VBA病毒"制造机"正在流行安天安全研究与应急处理中心(AntiyCERT)VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页目录VBA病毒"制造机"正在流行11威胁概述.
12一张图读懂——宏.
13宏生成器功能分析.
24脚本分析.
44.
1生成宏脚本分析.
44.
2生成VBS脚本分析65案例分析.
65.
1案例一分析.
65.
2案例二分析.
96总结.
12附录一:关于安天.
12VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第1页1威胁概述最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器.
生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件.
生成器采取.
net平台编写,用大量混淆方法和加密措施来进行反逆向行为.
而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件.
经证明其反杀毒能力很强,几乎目前所有产品均无法检测.
生成器内置加密器具备加密恶意软件、配置恶意软件自动运行、静默运行等多种功能.
而后经过大量分析发现目前多数宏病毒都由生成器生成伴随邮件肆虐传播.
2一张图读懂——宏VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页1983年微软office问世,随后几乎垄断了全球的文字处理软件的地位.
到1991年Windows版本的VB(VisualBasic)诞生,它是由微软公司开发的面向对象的编程语言,源自于BASIC编程语言.
VB在当时引起很大轰动曾一度被认为是具有划时代意义的编程语言[1].
在1993年微软推出VBA(VisualBasicforApplications)是VisualBasic的一种宏脚本语言,主要用于扩展office文档的功能,可以利用该脚本文件来方便、高效的完成office文档的功能[2].
例如,使用一段宏代码实现复杂的运算、统计等功能,宏代码可以调用WindowsAPI来实现一些功能.
例如可以创建文件、下载文件、执行文件等,该功能被恶意代码巧妙运用,将恶意宏插入office文档中,用户打开office文档并启用宏功能即可中招.
最早期的宏病毒为台湾一号,当时中毒的现象是在用户电脑上显示一个运算题,如果做错将会无休止的打开文件,直到内存不足导致出错.
1999年爆发的梅丽莎(Melissa),最初伪装成来自用户朋友的"重要信息"邮件.
随即横向感染更多的邮件,在当时感染能力极强,导致大量电子邮件服务器瘫痪,带来的经济损失超过3亿,至今为止,梅丽莎仍然是著名的电脑病毒之一.
宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力.
宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈".
近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势.
RackNerd今天补货了3款便宜vps,最便宜的仅$9.49/年, 硬盘是SSD RAID-10 Storage,共享G口带宽,最低配给的流量也有2T,注意,这3款补货的便宜vps是intel平台。官方网站便宜VPS套餐机型均为KVM虚拟,SolusVM Control Panel ,硬盘是SSD RAID-10 Storage,共享G口带宽,大流量。CPU:1核心内存:768 MB硬盘:12 ...
华纳云双11钜惠出海:CN2海外物理服务器终身价688元/月,香港/美国机房,免费送20G DDos防御,50M CN2或100M国际带宽可选,(文内附带测评)华纳云作为一家专业的全球数据中心基础服务提供商,总部在香港,拥有香港政府颁发的商业登记证明,APNIC 和 ARIN 会员单位。主营香港服务器、美国服务器、香港/美国OpenStack云服务器、香港高防物理服务器、美国高防服务器、香港高防I...
易探云怎么样?易探云是目前国内少数优质的香港云服务器服务商家,目前推出多个香港机房的香港云服务器,有新界、九龙、沙田、葵湾等机房,还提供CN2、BGP及CN2三网直连香港云服务器。近年来,许多企业外贸出海会选择香港云服务器来部署自己的外贸网站,使得越来越多的用户会选择易探云作为网站服务提供平台。今天,云服务器网(yuntue.com)小编来谈谈易探云和易探云服务器怎么样?具体香港云服务器多少钱1个...