收到一封包含Exploit.D-Encrypted.Gen病毒的excel邮件

心语收到一封病毒邮件,来自"Da jiyuan" <[email protected]>，日期：2013-6-3 下午5:29，她转发给我，我下载附件中的2013(1-6)reports.xls,然后上传到virustotal.com 检查出Exploit.D-Encrypted.Gen病毒。

以下是virustotal的分析结果的链接：

https://www.virustotal.com/zh-cn/file/35febd9c257234e7f4873a52c30dd143a46a5a9713ad2c576579290309d6f8ca/analysis/1370256907/

以下的邮件的截图：

邮件中的附件我上传到 file.zuo.la 了

http://file.zuo.la/virusmail/2013JUN/2013(1-6)reports.xls.virus

欢迎安全研究人员研究此邮件病毒的运行方式。

最近的攻击邮件似乎都被GOOGLE云端识别出来了，通常都会有以下提示，即使邮件是转发的：

请谨慎对待此邮件。因为类似的邮件曾用于窃取用户的个人信息。除非您信任发件人，否则请勿点击链接或回复邮件并提供个人信息。  了解详情

邮件的原始代码没有，我还没有教心语如何保存邮件原始代码呢。请心语看下面的截图：

点击上图中的“显示原始邮件”就会在新窗口中打开邮件原始代码，然后另存为txt就把邮件转存下来了，要是另存为.eml就能被outlook直接打开了，这原始邮件通常不方便读，附件被用base64加密了，但原始邮件里有许多信息，如来源IP，使用的邮件工具，这些信息可以作为蛛丝马迹用于鉴定来源。