宏病毒还有不了解的么

2022-05-10 20:30:34 浏览数 (1)

有不少粉丝私聊问我宏病毒,今天就稍微总结总结写给有兴趣的小伙伴们,大佬勿喷

0x00 原理介绍

按照常规套路我们依旧从原理剖析一下。首先,什么是宏?是一种可在其更广泛的环境中工作的编程语言编写的,可以理解成一个小程序,能在较大的程序中运行,可以代表用户自动执行任务,通常会指一项复杂或比较耗时的任务,它还在很多MMORPG(大型多人在线角色扮演游戏)社区和某些搜索引擎优化软件中使用

宏病毒会依靠特定的应用程序工作,并且通常会攻击使用Microsoft程序的Windows或Mac计算机,但是除了Microsoft其他软件程序也会被操作

如果被攻击了,它会传播到其他文档,可能会遇到泄漏敏感信息,文件被加密等等

当前Microsoft Office的宏是使用Visual Basic for Applications(VBA)编写的,是Microsoft流行的Visual Basic编程语言的一种变体专门为Office建的

VBA可在大多数Office程序中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher,Visio和Word等等。它也可以适用于Windows和Macintosh的Office的最新版本中使用

由于宏是用编程语言编写的程序,像其他程序一样,也可能会受到恶意软件的破坏。Microsoft Office因为使用人数多,Microsoft声称有12亿用户哈哈哈可能也是经常被攻击的原因吧

宏病毒通过修改(* .DOC)和NORMAL.DOT模板来感染Microsoft Office文档。在感染NORMAL.DOT之前在Microsoft Word下打开受感染的文档时,该病毒将获得AutoOpen宏的控制权,并感染选定的全局默认模板通常为NORMAL.DOT

之后使用File | SaveAS命令保存的每个文档都被病毒感染。如果在感染之前存在任何宏,它们将被覆盖

宏其实是一种节省时间的好方法,可以节省可预测的任务。比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档

0x01 如何工作

宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。通常情况下宏病毒会通过秘密替换合法命令的方式对计算机进行破坏,当执行在计算机上的操作时,病毒将接管并告诉计算机执行完全不同的操作

宏病毒利用msf拿shell,利用msf生成宏,将生成的payload放进创建好的宏中,利用kali打开监听模式就ok了,当然也可以做一下免杀。具体过程可以参照这篇公众号 利用badusb远程控制 ,也可以利用cs拿shell

0x02宏病毒示例

Word.Macro.Concept

这是最常见的宏病毒。1995年8月Microsoft运送给数百家OEM公司的名为“Microsoft Compatibility Test”的CD ROM中存在这种病毒。当打开受感染的文档时,屏幕上会出现一个带有文本“ 1”的消息框

Word.Macro.Nuclear

核中的所有宏都受到保护,无法对其进行查看或编辑。被感染的NORMAL.DOC包含名为AutoExec,AutoOpen,DropSuriv,FileExit,FilePrint,FilePrintDefault,FileSaveAs,InsertPayload等九个宏

Word.Macro.Colors

该病毒包含以下宏:AutoOpen, AutoClose, Autoexec, Filenew, Fileexit, Filesave, Filesaveas, Toolsmacro等等

Word.Macro.Hot

此病毒在会WINWORD6.INI配置文件中创建一个包含“hot date”的条目。该“hot date”是从当前日期算起的14天将触发病毒

Word.Macro.DMV

这是一种“demonstration”概念病毒

Word.Macro.FormatC(TrojanFormat)

这是特洛伊木马,不会自我复制,会格式化C:

自动宏

AutoExec、AutoNew、AutoOpen、AutoClose、AutoExit

标准宏

FileSave、FileSaveAs、FilePrint、FileOpen

0x03 防御措施

大多数宏病毒并不用下载安装到计算机上,这就比其他病毒更难检测。它通常会尝试感染更多的计算机

宏病毒可以破坏数据,创建新文件,移动文本,格式化硬盘驱动器,发送文件和插入图片,有时候会出现缺少菜单项或者是出现密码,如果有这些情况就要考虑是不是宏病毒引发的

如果操作某些感染了宏病毒的文件(文档或模板)就有可能感染宏病毒

感染文件通常以以下方式传播:

通过网络共享文件

打开带病毒的电子邮件附件

共享USB驱动器或其他外部/共享媒体上的文件

打开并下载带病毒的Internet文件等等等

为了防止感染宏病毒,我们可以使用恶意软件清除工具进行程序检测并清除宏病毒

并且在使用电脑时中不要立即打开电子邮件或电子邮件附件,并且保持防病毒软件的更新。在下载新程序时也要小心,尤其是Windows系统。尽量也不要点击弹出式广告

总结一句话:禁用宏

0 人点赞