问:过往所谓国安国保人员,都会透过电讯公司窃听电话,但如今可以透过Word文件,通过你家中电脑的咪,都可以窃听你家中所有对话,这种做法是怎样做?如果要防止你的电脑变成国安国保人员的窃听工具,又应该如何是好?
李建军:根据网络安全公司CyberX的研究报告,有70名乌克兰和俄罗斯的记者、油管管理人员、维权人士等等,因为感染了由国家级黑客精心设计的Word档案,当使用者不小心开启了Word档案,有关的Word档案就会暗中执行程序,安装窃听和窃录软件。在软件成功安装之后,就会控制你电脑的咪,对你电脑周围环境进行录音,并对你电脑的操作进行截图,然后将资讯传送到黑客拥有的Dropbox户口。这个木马,并非 中共当局所为,相信与俄罗斯情报部门有关。
纵使这病毒并非由中国的国安国保人员撰写,但由于中国与俄罗斯关系密切,不排除 中共当局亦有这种技术,藉一些受感染的Word档案,甚至Excel和Powerpoint档案来监控异见人士,因此,打开任何Word档案时,都必须对文件的内容提高警觉,比较安全做法,是利用Gmail接收档案,并在Google Drive浏览档案,因为Google Drive并不会执行用作执行木马之用的Visual Basic for Applications程式语言,因此相对比较安全。而Mac版的Office,如果你用旧版Office,由于旧版的Office软件仍然在Mac平台提供Visual Basic for Applications的支援,相对较为危险,仍然要小心提防。但新版的Office,由于已经停止对Visual Basic for Applications,强制使用苹果作业系统提供的Applescript语言,除非相关的病毒推出新版支援Applescript或Javascript,否则Mac用家暂时不会受到这个新病毒的威胁。不过,不明来历档案,最好仍然避免开启,因为你不知这种病毒,会不会有新版。
问:一般防毒软件又能否侦测到这种病毒?
李建军:中国国产的防毒软件,暂时未知能否侦测,但如果 中共当局利用同类技术对异见人士进行监控,有可能命令防毒软件公司,忽略这个病毒,所以我们一而再,再而三劝听众不要再用中国防毒软件。
但其他国家的防毒软件,都不容易侦测这软件,因为这病毒透过加密通讯,绕过好多防毒软件的侦测手段,这也是很多人中毒都懵然不知的原因。因此,与其依赖防毒软件,倒不如不要胡乱打开不明来历Word档案,或只在Google Drive打开Word档案,这才是最安全的方法。
问:其实我没有太大机会用到Visual Basic for Applications,如果我令我的Office软件不使用Visual Basic for Applications,又是否一个最有效的防护方法?
李建军:由于有不少Excel的功能,与Visual Basic for Applications紧密相连,所以,我个人并不建议关闭Visual Basic for Applications,只不过,如果你坚持要关闭的话,亦非不可能,如果你新安装Office软件,你可以选择剔除Visual Basic for Applications部分,那你就不会受到病毒的困扰,一如Mac的情况。
但如果你的Office已经安装了的话,你要修改系统的设定,令你的Office软件,不再运行Visual Basic for Applications,这次翻墙问答,我们准备了视频,示范如何停用Office里面的Visual Basic for Applications元件,欢迎听众浏览本台的网站,收看有关的视频。但要注意,这个步骤只适用于Windows版的Office,Mac、Android和iOS 版的Office,由于作业系统不支援的缘故,因此在现阶段不需要进行动作,除非木马出了新版,加入了跨作业系统的支援,一旦发现相关木马有跨作业系统能力,我会因应情况,再作介绍和示范。
