第十讲 宏病毒分析.ppt

第十讲 宏病毒分析 本讲概要 本讲将针对宏病毒展开详细的讨论，就宏的概念，宏病毒的历史，宏病毒原理，破化特性和应对之策进行学习。 本讲目标 通过本讲学习，学员应该掌握宏病毒的基本知识，了解宏病毒的机制和防护办法。 与上一讲一样，本章旨在让学员能深入了解宏病毒的传播途径和方式，以利于更加深刻的理解针对宏病毒的防御方法和措施，并非要求学员掌握编写该类型病毒的技能。 宏 宏允许用户在做一些重复工作（例如打开、修改和保存文件）时提高自动化程度 很多主流软件包括Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Visio, 和 Lotus AmiPro 都有很强的编写宏的功能 宏 宏并不局限于同一种软件创建的文件，别的文件类型也同样 这使得使用宏编写一个文件传播到另一个文件的病毒程序变得相对简单 历史简介 第一个宏病毒 – LOTUS 123 简单的宏语言 文件的访问是通过菜单条 第一个真正的宏病毒– DMV (Document Macro Virus) December, 1994 Joel McNamara 是为了示范宏病毒的可能性而编写的 第一个传播的宏病毒 – WM/Concept Summer, 1995 各种平台以及软件 Microsoft Office WinWord Excel PowerPoint Access AmiPro CorelDraw SoftWindows 98 VBA3, VBA5, VBA6 Excel 宏语言 Formula – Excel 4.0 VBA3 – Excel 5.0 WordBasic – Word 6.0 VBA5 – Office 97 applications VBA6 – Office 2000 注 从WinWord 7.0a – 1st 以后，微软的程序开始自带防病毒的警告机制 Visual Basic for Applications January 1997 微软发布 Office 97 (所有的程序都采用 VBA5) Word 8.0 可以转化（重编码）以前的宏到新的语言版本 转化的成功率 – 90% 自动删除常见的宏病毒以阻止它们的传播 WM/Concept.A, WM/Wazzu.A 和 WM/Npad.A 比WordBasic拥有更复杂的语言 在OLE2文件中，宏用两种不同的实体方式存在 编译过的宏语言体 压缩过的宏文本 查看宏 禁用宏 禁用宏 禁用宏 调试 VBA 调试 VBA MS Word 宏病毒 Word 病毒感染通用模板，该文件的名字为NORMAL.DOT. 该文件维护缺省的和用户自定义的关于MS-Word的设置 该文件的修改会影响所有后来用word打开的文件 WORD 宏病毒的生命周期 某个宏病毒对文档取得控制权 该病毒将自身复制到通用模板 通用模板在启动时自动调用 某些受感染文件会直接查找硬盘上的相关文件 有时会使用最近打开的文件列表 其它的会把自己复制到模板文件中去（类似通用模板） Microsoft Excel 病毒 这些病毒在执行的时候会将自身复制到其它的Excel文件中去，同时在Excel的启动文件夹中也会留下一份拷贝 MS Excel 在启动的时候会自动加载在这个文件夹中的所有文件 EXCEL 宏病毒的生命周期 Excel 病毒在启动文件夹XLSTART中生成一个新的启动文件 Excel 在下次运行时加载该文件 (PERSONAL.XLS) Excel 不检查文件的后缀名，因此许多病毒遗留下来的文件就不添加后缀名，比如 ‘BOOK1’ Microsoft Office AutoMacros 这些宏的自动执行的特点使得病毒的编写成为可能 一个自动执行的宏语句是指在满足某个特定的条件下会自动执行，并不需要用户显式的执行 AutoMacro范例 菜单关联/快捷键 将宏和菜单栏的某个选项相关联 删除和修改菜单栏中的项目 将宏和键盘上的某个键相关联 这些方法可以取代使用auto-macros的方法取得控制权 多态宏病毒 举例 W97M/CLASS.A W97M/STP 利用WinWord的编辑功能修改自身的代码 隐形和加密 病毒代码防止被轻易查看到的措施 隐形和加密：续 隐形和加密：续 宏病毒存储时代码随机打乱 口令保护 WinWord 6.0/7.0 整个文件可以进行密码保护 整个文件被打乱 不能访问该文件和其中的宏 Office 97/2000 在文档用密码进行保护后，宏语句还是可以被查看到 文件损坏和手动编辑 WinWord 6.0 在宏语句进行复制的时候有一个程序的错误 这会导致 WM/NPAD 200个不同的变种 1997/98-自然的损坏是