VBA病毒"制造机"正在流行安天安全研究与应急处理中心(AntiyCERT)VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页目录VBA病毒"制造机"正在流行11威胁概述.
12一张图读懂——宏.
13宏生成器功能分析.
24脚本分析.
44.
1生成宏脚本分析.
44.
2生成VBS脚本分析65案例分析.
65.
1案例一分析.
65.
2案例二分析.
96总结.
12附录一:关于安天.
12VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第1页1威胁概述最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器.
生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件.
生成器采取.
net平台编写,用大量混淆方法和加密措施来进行反逆向行为.
而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件.
经证明其反杀毒能力很强,几乎目前所有产品均无法检测.
生成器内置加密器具备加密恶意软件、配置恶意软件自动运行、静默运行等多种功能.
而后经过大量分析发现目前多数宏病毒都由生成器生成伴随邮件肆虐传播.
2一张图读懂——宏VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页1983年微软office问世,随后几乎垄断了全球的文字处理软件的地位.
到1991年Windows版本的VB(VisualBasic)诞生,它是由微软公司开发的面向对象的编程语言,源自于BASIC编程语言.
VB在当时引起很大轰动曾一度被认为是具有划时代意义的编程语言[1].
在1993年微软推出VBA(VisualBasicforApplications)是VisualBasic的一种宏脚本语言,主要用于扩展office文档的功能,可以利用该脚本文件来方便、高效的完成office文档的功能[2].
例如,使用一段宏代码实现复杂的运算、统计等功能,宏代码可以调用WindowsAPI来实现一些功能.
例如可以创建文件、下载文件、执行文件等,该功能被恶意代码巧妙运用,将恶意宏插入office文档中,用户打开office文档并启用宏功能即可中招.
最早期的宏病毒为台湾一号,当时中毒的现象是在用户电脑上显示一个运算题,如果做错将会无休止的打开文件,直到内存不足导致出错.
1999年爆发的梅丽莎(Melissa),最初伪装成来自用户朋友的"重要信息"邮件.
随即横向感染更多的邮件,在当时感染能力极强,导致大量电子邮件服务器瘫痪,带来的经济损失超过3亿,至今为止,梅丽莎仍然是著名的电脑病毒之一.
宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力.
宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈".
近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势.
vollcloud怎么样?vollcloud LLC创立于2020年,是一家以互联网基础业务服务为主的 技术型企业,运营全球数据中心业务。VoLLcloud LLC针对新老用户推出全场年付产品7折促销优惠,共30个,机会难得,所有产品支持3日内无条件退款,同时提供产品免费体验。目前所有产品中,“镇店之宝”产品性价比高,适用大部分用户基础应用,卖的也是最好,同时,在这里感谢新老用户的支持和信任,我们...
易探云怎么样?易探云香港云服务器比较有优势,他家香港BGP+CN2口碑不错,速度也很稳定。尤其是今年他们动作很大,推出的香港云服务器有4个可用区价格低至18元起,试用过一个月的用户基本会续费,如果年付的话还可以享受8.5折或秒杀价格。今天,云服务器网(yuntue.com)小编推荐一下易探云国内云服务器优惠活动,北京和深圳这二个机房的云服务器2核2G5M带宽低至330.66元/年,还有高配云服务器...
Friendhosting发布了今年黑色星期五促销活动,针对全场VDS主机提供45折优惠码,虚拟主机4折,老用户续费可获9折加送1个月使用时长,优惠后VDS最低仅€14.53/年起,商家支持PayPal、信用卡、支付宝等付款方式。这是一家成立于2009年的老牌保加利亚主机商,提供的产品包括虚拟主机、VPS/VDS和独立服务器租用等,数据中心可选美国、保加利亚、乌克兰、荷兰、拉脱维亚、捷克、瑞士和波...