VBA病毒"制造机"正在流行安天安全研究与应急处理中心(AntiyCERT)VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页目录VBA病毒"制造机"正在流行11威胁概述.
12一张图读懂——宏.
13宏生成器功能分析.
24脚本分析.
44.
1生成宏脚本分析.
44.
2生成VBS脚本分析65案例分析.
65.
1案例一分析.
65.
2案例二分析.
96总结.
12附录一:关于安天.
12VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第1页1威胁概述最近,安天CERT(安全研究与应急处理中心)的安全研究人员意外发现了一个用于生成宏病毒的生成器.
生成器根据用户配置可以生成在微软Word和Excel执行的恶意宏文件.
生成器采取.
net平台编写,用大量混淆方法和加密措施来进行反逆向行为.
而生成器生成的宏病毒代码同样采取了混淆函数名和加密函数参数等方式来反杀毒软件.
经证明其反杀毒能力很强,几乎目前所有产品均无法检测.
生成器内置加密器具备加密恶意软件、配置恶意软件自动运行、静默运行等多种功能.
而后经过大量分析发现目前多数宏病毒都由生成器生成伴随邮件肆虐传播.
2一张图读懂——宏VBA病毒"制造机"正在流行安天实验室版权所有,欢迎无损转载第2页1983年微软office问世,随后几乎垄断了全球的文字处理软件的地位.
到1991年Windows版本的VB(VisualBasic)诞生,它是由微软公司开发的面向对象的编程语言,源自于BASIC编程语言.
VB在当时引起很大轰动曾一度被认为是具有划时代意义的编程语言[1].
在1993年微软推出VBA(VisualBasicforApplications)是VisualBasic的一种宏脚本语言,主要用于扩展office文档的功能,可以利用该脚本文件来方便、高效的完成office文档的功能[2].
例如,使用一段宏代码实现复杂的运算、统计等功能,宏代码可以调用WindowsAPI来实现一些功能.
例如可以创建文件、下载文件、执行文件等,该功能被恶意代码巧妙运用,将恶意宏插入office文档中,用户打开office文档并启用宏功能即可中招.
最早期的宏病毒为台湾一号,当时中毒的现象是在用户电脑上显示一个运算题,如果做错将会无休止的打开文件,直到内存不足导致出错.
1999年爆发的梅丽莎(Melissa),最初伪装成来自用户朋友的"重要信息"邮件.
随即横向感染更多的邮件,在当时感染能力极强,导致大量电子邮件服务器瘫痪,带来的经济损失超过3亿,至今为止,梅丽莎仍然是著名的电脑病毒之一.
宏病毒是一个古老而又风靡一时的病毒,它不像普通病毒可以感染EXE文件,宏病毒可以感染office文档文件,有跨平台能力,并且感染宏病毒的文档会很危险,其破坏程度完全取决于病毒作者的想象力.
宏病毒在上个世纪90年代的时候比较流行,在后来相当长一段时间内销声匿迹,慢慢淡出了"安全圈".
近两年,宏病毒再次出现,配合钓鱼邮件、社工手段等方式又有卷土重来的气势.
瓜云互联怎么样?瓜云互联之前商家使用的面板为WHMCS,目前商家已经正式更换到了魔方云的面板,瓜云互联商家主要提供中国香港和美国洛杉矶机房的套餐,香港采用CN2线路直连大陆,洛杉矶为高防vps套餐,三网回程CN2 GIA,提供超高的DDOS防御,瓜云互联商家承诺打死退款,目前商家提供了一个全场9折和充值的促销,有需要的朋友可以看看。点击进入:瓜云互联官方网站瓜云互联促销优惠:9折优惠码:联系在线客...
百驰云成立于2017年,是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。百驰云提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以及国际顶尖品牌硬件。专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端...
华为云818上云活动活动截止到8月31日。1、秒杀限时区优惠仅限一单!云服务器秒杀价低至0.59折,每日9点开抢秒杀抢购活动仅限早上9点开始,有限量库存的。2G1M云服务器低至首年69元。2、新用户折扣区优惠仅限一单!购云服务器享3折起加购主机安全及数据库。企业和个人的优惠力度和方案是不同的。比如还有.CN域名首年8元。华为云服务器CPU资源正常没有扣量。3、抽奖活动在8.4-8.31日期间注册并...