published 2017-01-16 by liwz11
office是一款應用廣泛的辦公軟體,它允許在文件中使用功能強大的可執行指令,也就是巨集**。然而,巨集**帶來便利的同時,也使得病毒的製造與傳播更加容易。正所謂想要瓦解敵人,一定要從內部開始,所以從word巨集病毒的實現入手,來分析其感染原理。
實驗目標:開啟word文件時,自動執行某個指定程式。
1. 啟用所有巨集
新建word文件並開啟,進入[選項]->[信任中心]->[信任中心設定]->[巨集設定],點選「啟用所有巨集」。我的office版本是2013,其他版本的設定大同小異,細節上可能有些許差別,讀者自行google。
2. 建立巨集
進入[檢視]->[巨集],「巨集名」任意輸入,「巨集的位置」選擇當前活動文件,然後點選[建立],即可成功建立乙個巨集,並自動進入巨集**編輯模組。
3. 編寫巨集**
選擇工程目錄中的[project/microsoft word 物件/thisdocument],編寫如下**:
4. 嵌入木馬程式
上一步巨集**的目標是在開啟word時執行檔名為「tmp.exe」的木馬程式,前提當然是文件中確實嵌入了這麼乙個程式,具體方法為:進入[插入]->[物件]->[由檔案建立]->[瀏覽],選擇你想嵌入的可執行程式(需提前重新命名為「tmp.exe」)。
儲存上述所有操作,關閉文件。重新開啟文件(或將文件拷貝到另一台機器上開啟),點選「enable content」(啟用內容),會自動彈出剛才嵌入的可執行程式(如果在**中設定隱藏視窗,需要開啟程序管理器才能看到)。建議先找個系統程式試一下,比如cmd.exe或是calc.exe,但是在現實環境中,可執行程式就可能是個木馬,而且無疑是隱藏視窗執行,難以被察覺。
在上一步驟中,實現了開啟文件自動執行可執行程式,其基本實現流程是:將當前文件另存為兩個rtf檔案,儲存路徑為系統臨時目錄,然後開啟其中乙個rtf檔案,最後執行臨時目錄中乙個名為「tmp.exe」的可執行程式。顯然,該程式就是嵌入到文件中的可執行程式,而這個word文件(這段巨集**)的目的就是將其釋放並執行。那麼問題來了,嵌在文件中的「tmp.exe」是怎麼跑到系統臨時目錄中的呢?
其實很簡單,乙個rtf檔案被開啟時,該rtf檔案所包含的ole物件將會被自動釋放至使用者的臨時目錄中,並保留其原始的檔名。這麼做的本意是優化效能,比如ole物件重用,但是,它也可能被攻擊者所利用,攻擊者可以很容易地把自己的惡意程式嵌入到word檔案中,並且加上像上面那麼一段巨集**,就能輕易感染目標機器。
這種場景最容易發生在郵件附件中,平時開啟來歷不明的office附件要留乙份心眼。
參考文章:
注:本文僅用作學習交流,請勿非法濫用。
病毒診斷分析程式(病毒分析師的福音)
此程式是乙個專業的病毒診斷分析程式。08 09 26修正版 修正了某些情況下會漏點一些程序沒監控的情況 08 10 11修正四版 修正了在監視某些ie程式時路徑過長導致的藍屏情況 https p blog.csdn.net images p blog csdn net chenhui530 entr...
簡單android病毒分析並實現其效果
今天在群裡看到大家發的乙個鏈結,乙個病毒的顯示方式,挺好玩的,模仿寫了下。這個實現的難度不大,主要是思路上面能夠理解就非常簡單了。根據截圖來看,主要也就是文字方面的更改,那麼我們可以直接考慮android中如何給textview進行賦值的操作。textview.settext charsequenc...
一次簡單的分析手機APK病毒木馬
寫個筆記記錄一下,起因是朋友在qq上發了個連線叫我看看 安不安全,叫我幫他看看,反正在店裡待著也沒生意,那就順便看看咯。起先我的思路是想先從這個 下手!先搞定這個 或者伺服器吧,然後在提取裡邊的classes.dex檔案 我們把提取的classes.dex檔案複製到dex2jar工具的目錄下,然後自...