VBA病毒"制造机"正在流行安天安全研究与应急处理中心(AntiyCERT)VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页目录VBA病毒"制造机"正在流行11威胁概述.
12一张图读懂——宏.
13宏生成器功能分析.
24脚本分析.
44.
1生成宏脚本分析.
44.
2生成VBS脚本分析65案例分析.
65.
1案例一分析.
65.
2案例二分析.
96总结.
12附录一:关于安天.
12VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第1页1威胁概述最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器.
生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件.
生成器采取.
net平台编写,用大量混淆方法和加密措施来进行反逆向行为.
而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件.
经证明其反杀毒能力很强,几乎目前所有产品均无法检测.
生成器内置加密器具备加密恶意软件、配置恶意软件自动运行、静默运行等多种功能.
而后经过大量分析发现目前多数宏病毒都由生成器生成伴随邮件肆虐传播.
2一张图读懂——宏VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页1983年微软office问世,随后几乎垄断了全球的文字处理软件的地位.
到1991年Windows版本的VB(VisualBasic)诞生,它是由微软公司开发的面向对象的编程语言,源自于BASIC编程语言.
VB在当时引起很大轰动曾一度被认为是具有划时代意义的编程语言[1].
在1993年微软推出VBA(VisualBasicforApplications)是VisualBasic的一种宏脚本语言,主要用于扩展office文档的功能,可以利用该脚本文件来方便、高效的完成office文档的功能[2].
例如,使用一段宏代码实现复杂的运算、统计等功能,宏代码可以调用WindowsAPI来实现一些功能.
例如可以创建文件、下载文件、执行文件等,该功能被恶意代码巧妙运用,将恶意宏插入office文档中,用户打开office文档并启用宏功能即可中招.
最早期的宏病毒为台湾一号,当时中毒的现象是在用户电脑上显示一个运算题,如果做错将会无休止的打开文件,直到内存不足导致出错.
1999年爆发的梅丽莎(Melissa),最初伪装成来自用户朋友的"重要信息"邮件.
随即横向感染更多的邮件,在当时感染能力极强,导致大量电子邮件服务器瘫痪,带来的经济损失超过3亿,至今为止,梅丽莎仍然是著名的电脑病毒之一.
宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力.
宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈".
近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势.
GigsGigsCloud是一家成立于2015年老牌国外主机商,提供VPS主机和独立服务器租用,数据中心包括美国洛杉矶、中国香港、新加坡、马来西亚和日本等。商家VPS主机基于KVM架构,绝大部分系列产品中国访问速度不错,比如洛杉矶机房有CN2 GIA、AS9929及高防线路等。目前Los Angeles - SimpleCloud with Premium China DDOS Protectio...
官方网站:点击访问白丝云官网活动方案:一、KVM虚拟化套餐A1核心 512MB内存 10G SSD硬盘 800G流量 2560Mbps带宽159.99一年 26一月套餐B1核心 512MB内存 10G SSD硬盘 2000G流量 2560Mbps带宽299.99一年 52一月套餐...
DMIT,最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99 美元 !!目前美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线路),Prem...