宏病毒的深入分析
OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具,帮助用户节省时间,并得到优雅美观的结果,在当前使用中是占有巨大优势的文字,数据处理器。
它为我们的办公提供了极大的便利.OFFICE为了方便客户,提供了宏这样一个功能。
宏就是能组织到一起作为一独立的命令使用的一系列命令,它能使日常工作变得更容易,一般说来,宏是一种规则或模式,或称语法替换,用于说明某一特定输入(通常是字符串)如何根据预定义的规则转换成对应的输出(通常也是字符串)。
这种替换在预编译时进行,称作宏展开。
通俗的来说,客户事先设置好宏,需要时就可以批量使用,而不必重复操作。
然而宏也是一把双刃剑,它在让客户享受便利的同时,同时也为黑客留下了漏洞,这就是今天要分析的宏病毒。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。
多年来,人们大多重视保护自己
计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word 宏病毒传播带来很多便利。
特别是Intemet网络的普及.Email的大量应用更为Word 宏病毒传播铺平道路。
根据国外保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就40多个宏病毒,而目前国际上普通病毒种类已达12000多种。
宏病毒的产生,是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。
这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取控制权,达到传染目的。
目前在可被宏病毒感染的文件中,以W0rd,Excel居多。
Word宏病毒与Excel宏病毒的特性较为相似,因此以word宏病毒为例,说明宏病毒的作用,传染以及发作的机理和特性。
一旦病毒宏侵入woId,它就会替代原有的正常的宏,如FileOpen、FileSave等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏f
包括自动宏)复制到该文档中。
被转换成模板格式后的染毒文件无法转存为任何其他格式。
含有自动宏的宏病毒染毒文档,当被其他计算机的woId系统打开时,便会自动感染该计算机。
例如,如果病毒捕获并修改了FileOpen.那么,它将感染每一个被打开的Word文件。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果Word 系统在读取一个染毒文件时遭受感染.则其后所有新创建的DOC文件都会被感染。
以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏言word Basic形式出现,所以编写和修改宏病毒比以往病毒更容易。
目前,世界上的宏病毒原型己有几十种,其变种与日俱增.追究其原因还是Word
的开放性所致。
现在的Word病毒都是用woId Basic语言所写成。
大部分word 病毒宏并没有使用Word提供的Execute—Only处理函数处理,它们仍处于可打开阅读修改状态。
所有用户在Word工具的菜单中很方便就可以看到这种宏病毒的全部面目。
当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
病毒样本信息以及传染过程:
这里介绍一个病毒样本book1病毒,它是利用EXCEL宏传播的一种病毒。
本次病毒的来源为网上下载,大小为21.3KB。
将代码复制在宏编译器里,保存。
当重新打开XLS文件的时候会提示该文件含有宏,不运行宏则无法看到表格内容,运行宏后,屏幕伴随闪动一下,同时会产生一个BOOK1的工作薄,此时,BOOK1病毒感染成功。
book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。
这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel文件中添加和复制一个宏表,利用宏表4.0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。
打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。
清除过程(手工清除)
如果你的office2003装在C盘,则双击“防止感染C.bat”,office装在D 盘,则双击“防止感染D.bat”(说明:该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件(普通方法无法删除),防止该病毒建立book1病毒文件,如果\XLSTART存在book1(155KB)在启动EXCEL 时,就会同时打开该文件,然后感染你打开的XLS文件。
)
然后,打开带宏毒的XLS文件,并启用宏。
点菜单格式,工作表,取消隐藏。
确定。
此时,会出现“00000ppy”工作表,点菜单工具,保护,撤消工作表保护,密码为“VicodinES”。
然后,对着“00000ppy”表标签右击,删除。
打开已扫描(已清除)宏病毒的XLS,提示点“确定”。
点菜单插入,名称,定义,出现“定义名称”对话框,按住ALT+D,用鼠标点列表中的各项(即依次删除各项),最后,保存XLS。
再打开就正常了。
清除过程(杀毒软件清除)
如果你的office2003装在C盘,则双击“防止感染C.bat”,office装在D 盘,则双击“防止感染D.bat”(说明:该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件(普通方法无法删除),防止该病毒建立book1病毒文件,如果\XLSTART存在book1(155KB)在启动EXCEL 时,就会同时打开该文件,然后感染你打开的XLS文件。
)
安装“BOOK1宏病毒超专杀.exe”(该软件必须关闭你所装的杀毒软件方可运行。
),并对你的XLS文件进行扫描清除宏毒。
该软件不理想的是,打开已扫描(已清除)宏病毒的XLS,始终会有禁止宏的提示。
按3可以去除。
打开已扫描(已清除)宏病毒的XLS,提示点“确定”。
点菜单插入,名称,定义,出现“定义名称”对话框,按住ALT+D,用鼠标点列表中的各项(即依次删除各项),最后,保存XLS。
再打开就正常了。
宏病毒危害很大,所以我们要提前做好预防工作。
(1)、根据AUTO宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。
(2)、当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏,特别是出现一些怪名字的宏,肯定是病毒无疑,将它删除即可。
具体做法是,选择“工具”→“宏”→“Visual Basic编辑器”,删除各宏代码模块即可。
(3)、当使用外来可能有宏病毒的WORD文档时,如果没有保留原来文档排版格式的必要,可先使用WINDOWS自带的写字版来打开,将其转换为写字版格式的文件保存后,再用WORD调用。
因为写字版不调用、不记录、不保存任何宏,文档经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
(4)、最好把C 盘中的AutoExec.bat和Config.sys文件设为“只读”, 把自动执行宏功能禁止, 让宏病毒无法被激活。
在Word中, 选择“工具→选项”, 进入“常规”标签, 选取“宏病毒保护”, 这样Word 就有了防止自动宏执行的功能。
当然, 我们也可以用下面的命令行来使自动宏无效:Winword.exe/m( 注: 在打开Word 文档时, 按住Shift 键也有同样的作用), 同时, 选择“工具→宏→安全性”, 将安全级设置为最高, 并且取消“可靠来源”中的“信任所有安装的加载项和模版”, 这让我们在预防宏病毒时更加有效。
