根据技术博客Barkly在上周发表的一篇文章来看，安全研究人员Derek Knight（@dvk01uk）已经发现了一系列新的垃圾电子邮件活动，采用了一种较为新颖的方法来感染受害者。这些活动并未使用Word文档或其他常被滥用的附件类型，而是使用Web查询文件（.iqy）——本质上是一种简单的文本文件，默认在微软Excel中打开，用于从因特网下载数据。

Excel专家Jon Wittwer对.iqy文件的评价是——“基本上就像在Excel中内置了一个web浏览器”。它危险之处在于，能够被滥用于将功能强大的实用工具打包成一种极其简单、合法的文件格式，而这不足以引起杀毒软件的反应。正如Derek Knight指出的那样，“这些文件通过了所有的杀毒软件，因为它们没有恶意内容。”

目标在于传播FlawedAmmyy RAT

在Derek Knight发现的这一系列垃圾电子邮件活动中，.iqy文件会下载一个PowerShell脚本，该脚本通过微软Excel启动并执行一系列恶意下载。

第一批利用.iqy文件的垃圾电子邮件于2018年5月25日发出，来自目前全球最大的垃圾邮件僵尸网络Necurs。 随后，一个较小的峰值在2018年6月5日被探测到。仅在两天之后，也就是2018年6月7日，Derek Knight发现了第三波活动。

出现在所有这些活动中的电子邮件，其正文只有很少，甚至是没有内容。这是一种很典型的垃圾电子邮件类型。例如，在第一波活动中，邮件的主题是“未付发票[ID: xxxxxxxxx]”，正文完全没有任何内容，并且看起来像是来自目标组织的内部人员。

正如前面提到的那样，几乎所有杀病毒软件在.iqy文件面前似乎都显得毫无意义。根据VirusTotal，第一波活动中出现的.iqy文件在当天完全没有被检测到。直到Derek Knight通过Twttier公布了他的发现之后，在第二天才开始有杀毒软件陆续将其检测出来。

打开时，.iqy文件将通过微软Excel（其默认打开程序）启动，并尝试从内部包含的URL中提取数据。正如Jon Wittwer指出的那样，.iqy文件的基本形式非常简单。例如，在记事本中打开在第二波活动中出现的.iqy文件看起来像这样（只是几行文字）：

一个.xls文件将被下载，该文件实际上是一个伪装的.exe文件。最终的有效载荷是FlawedAmmyy，这是一种由网络安全公司Proofpoint发现的远程访问木马（RAT）。

FlawedAmmyy由流行的远程桌面软件Ammyy Admin泄露的源代码构建而成，它具有提供Ammyy Admin的许多功能。简单来说，它基本上允许攻击者获取到对受感染计算机的完全访问，允许他们窃取文件和凭证、劫持计算机以发送更多垃圾电子邮件等等。

额外的潜在（甚至更危险）威胁

安全专家认为，.iqy文件的危险性远远超出这些具体的活动。创建.iqy文件容易程度，外加上无处不在的Excel，甚至可能使.iqy文件在滥用的可能性方面与宏大致相当。

尽管.iqy文件的危险性到目前为止还没有完全展现出来，但并不是完全没有记录。早在2015年8月，Casey Smith就曾介绍了关于滥用.iqy文件来开展网络钓鱼活动的可能性。而现在，它正被Necurs这样的大型僵尸网络用于发起多起活动，这很可能意味着更广泛的滥用可能正在发生。

我们建议各位管理员应及时调整防火墙和电子邮件过滤规则，以阻止.iqy文件。另外，除非你需要频繁使用.iqy文件，否则明智的做法应该是进一步设置Windows始终在记事本中打开.iqy文件。