VBA病毒"制造机"正在流行安天安全研究与应急处理中心(AntiyCERT)VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页目录VBA病毒"制造机"正在流行11威胁概述.
12一张图读懂——宏.
13宏生成器功能分析.
24脚本分析.
44.
1生成宏脚本分析.
44.
2生成VBS脚本分析65案例分析.
65.
1案例一分析.
65.
2案例二分析.
96总结.
12附录一:关于安天.
12VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第1页1威胁概述最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器.
生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件.
生成器采取.
net平台编写,用大量混淆方法和加密措施来进行反逆向行为.
而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件.
经证明其反杀毒能力很强,几乎目前所有产品均无法检测.
生成器内置加密器具备加密恶意软件、配置恶意软件自动运行、静默运行等多种功能.
而后经过大量分析发现目前多数宏病毒都由生成器生成伴随邮件肆虐传播.
2一张图读懂——宏VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页1983年微软office问世,随后几乎垄断了全球的文字处理软件的地位.
到1991年Windows版本的VB(VisualBasic)诞生,它是由微软公司开发的面向对象的编程语言,源自于BASIC编程语言.
VB在当时引起很大轰动曾一度被认为是具有划时代意义的编程语言[1].
在1993年微软推出VBA(VisualBasicforApplications)是VisualBasic的一种宏脚本语言,主要用于扩展office文档的功能,可以利用该脚本文件来方便、高效的完成office文档的功能[2].
例如,使用一段宏代码实现复杂的运算、统计等功能,宏代码可以调用WindowsAPI来实现一些功能.
例如可以创建文件、下载文件、执行文件等,该功能被恶意代码巧妙运用,将恶意宏插入office文档中,用户打开office文档并启用宏功能即可中招.
最早期的宏病毒为台湾一号,当时中毒的现象是在用户电脑上显示一个运算题,如果做错将会无休止的打开文件,直到内存不足导致出错.
1999年爆发的梅丽莎(Melissa),最初伪装成来自用户朋友的"重要信息"邮件.
随即横向感染更多的邮件,在当时感染能力极强,导致大量电子邮件服务器瘫痪,带来的经济损失超过3亿,至今为止,梅丽莎仍然是著名的电脑病毒之一.
宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力.
宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈".
近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势.
EdgeNat 商家在之前也有分享过几次活动,主要提供香港和韩国的VPS主机,分别在沙田和首尔LG机房,服务器均为自营硬件,电信CN2线路,移动联通BGP直连,其中VPS主机基于KVM架构,宿主机采用四路E5处理器、raid10+BBU固态硬盘!最高可以提供500Gbps DDoS防御。这次开年活动中有提供七折优惠的韩国独立服务器,原生IP地址CN2线路。第一、优惠券活动EdgeNat优惠码(限月...
无忧云怎么样?无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点,目前商家开启了夏日清凉补贴活动,商家的机器还是非常...
阿里云香港配置图提速啦是成立于2012年的十分老牌的一个商家这次给大家评测的是 阿里云香港 16核32G 20M 这款产品,单单说价格上就是十分的离谱原价8631元/月的现价只要 999元 而且还有个8折循环优惠。废话不多说直接进入正题。优惠时间 2021年8月20日-2021年9月20日 优惠码 wn789 8折优惠阿里云香港BGP专线 16核32G 10M带宽 优惠购买 399元购买链接阿里云...