病毒与分析之--Word宏病毒与手动查杀

【实验目的】

1) 了解宏病毒

2) 学习宏病毒的查杀方法

【实验原理】

宏病毒是使用宏语言(VBA)编写的恶意程序,存在于字处理文档、电子数据表格、数据库等数据文件中,例如office数据处理系统中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中。

宏分成两种:一种是在某个文档中包含的内嵌宏,如fileopen宏;另一种是属于word应用程序,所有打开文档公用的宏,如autoopen宏。

Word宏病毒一般都首先隐藏在一个指定的word文档中,一旦打开了这个word文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己copy到全局宏的荡然区域,使得所有打开的文档都可以使用这个宏。这个文件的名字通常是“Normal.DOT”,即通用模板。 一般来说,宏病毒通过感染office文档或模板文档来传播自己。

病毒在获得第一次控制权之后,就会将自己写入到word模板normal.dot。这样,以后每次在word中执行打开等操作时,就会调用病毒代码,并且将病毒代码写到刚打开或新建的文档中,以达到感染传播的目的。另外,宏病毒还可以通过email附件进行传播,如梅丽莎病毒。

【实验环境】

Windows 2008 R2(单机)

Word 2003

【实验步骤】

一、宏的相关设置

1.1 进入桌面上的【tools】-->【计算机病毒】-->【宏病毒】文件夹,打开【文档1.doc】

1.2 打开菜单栏的【工具】-->【选项】-->【安全性】,即可看到【宏安全性】按钮。

1.3 点击【宏安全性】,设置安全级为【低】

1.4 点击【可靠发行商】,勾选【信任所有安装的加载项和模板】和【信任对于“Visual Basic 项目”的访问】

二、宏病毒的植入

2.1 使用快捷键【alt+F11】或者点击【工具】-->【宏】-->【Visual Basic 编辑器】。

2.2 Visual Basic 编辑器主界面

2.3 打开同一目录下的【简单宏病毒源码.txt】,将文档中的所有代码复制【Visual Basic 编辑器】的【Project(文档1)】下的【Microsoft Word 对象】的【ThisDocument】。

2.4 点击【保存】。注意,此时【Normal】下的【Microsoft Word 对象】的【ThisDocument】并没有任何代码。

2.5 关闭文档,打开【文档2.doc】,会弹出如下窗口,说明宏病毒植入成功

三、宏病毒手工查杀

3.1 两个文档需要同时打开,打开宏的【安全性】,设置【安全级】为【非常高】。

3.2 点击【可靠发行商】,取消下方的勾选,点击【确定】,保存文档。

3.3 打开【Visual Basic 编辑器】,将宏代码删除掉,点击【保存】。

3.4 在C盘中搜索【normal.dot】,并删除之。

3.5  点击文档,则可以正常打开。

时间: 2024-10-27 07:54:31

病毒与分析之--Word宏病毒与手动查杀的相关文章

一个Trojan木马病毒的分析(一)

一.基本信息 样本名称:Rub.EXE 样本大小:21504 字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成: 病毒母体文件Rub.EXE   MD5:035C1ADA4BACE78DD104CB0E1D184043 病毒母体释放的文件owwesc.exe(随机

如何在现有复杂网络上建立隔离网提供病毒样本分析,且不蔓延内网。

目前安全厂家及安全公司都有病毒样本分析及恶意程序分析的研究的必要性,大家都采用的大同小异的方式. 各位安全研究员先生无关乎用了以下几种方式,我讲的几种方式中还有几种至少博主所在的公司人不了解还没有在用,言归正传,为了下文的正式展开我先列举当前研究的几种方式: 一.利用杀软的隔离区 缺点:如果内容太多,大约有50个G,用虚拟磁盘不太现实,用杀软的隔离区更不行.我想补充如下几点问题:1.如用虚拟机,我会选择在虚拟机中装linux系统,再把病毒放进去.那么文件太多,整理.传输太慢,调用也不方便(如果不

火眼病毒木马分析

1,木马分析 最近服务器中招了,破windows. 找到了一个木马分析云端软件.火眼,网站是: https://fireeye.ijinshan.com/ 可以分析不知道是不是木马病毒. 金山出品的,挺有意思的.估计是在服务器上面开了一个虚拟机,然后对虚拟机进行监控,再分析下. 分析windows 执行文件的报告,很详细直观. 2,可以分析apk文件 这个比较有意思,可以分析下apk文件是否安全. apk软件运行效果: 这个比较好了,现在手机apk软件这么多,要是随便下载了一个万一有病毒就虾米了

对一个伪装成微信的加固病毒的分析

前不久,网上爆出一个伪装成微信的病毒,好久木有分析病毒了,于是拿来练下手. 该病毒安装后的图标如下图所示: 打开该应用后,会提示激活管理员器: 激活后要求用户添加银行卡信息,包括姓名,身份证号,手机号等. 另外,我们通过AndroidManifest.xml文件发现其包名为: 通过以上信息我们基本上就可以猜测该伪装应用就是一个窃取用户银行账号及相关信息的病毒了. 反编译该apk,发现该病毒被加固了.看到com.secapk.wrapper.ApplicationWrapper这个类基本就可以确定

介绍几种病毒样本分析格式并提出我们自己的分析策略

数种病毒样本格式: 1卡巴斯基式病毒分析 详细到骨子里.有意图分析和模板关系.编写者特征等.IP溯源家常便饭. 2金山火眼式 基本信息 火焰点评 危险行为 其它行为 行为描述 附加信息 注册表监控 网络监控 值得注意的是火眼使用最多两种哈希来确定一个样本.当然你可以使用其一. 3Comodo(毛豆)在线分析式 这是一张典型的使用毛豆进行扫描的结果: Comodo的通过SHA256来进行样本查询操作: 4.SysTracer的监控报告 这里应该简单介绍一下SysTracer,它是一款行为追踪监控程

一个Trojan木马病毒的分析(二)

一.基本信息 样本名称:hra33.dll或者lpk.dll 样本大小: 66560 字节 文件类型:Win32的dll文件 病毒名称:Dropped:Generic.ServStart.A3D47B3E 样本MD5:5B845C6FDB4903ED457B1447F4549CF0 样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03 这个样本文件是前面分析的Trojan木马病毒母体Rub.EXE释放到用户系统C:\WINDOWS\system32目录下

2019年4月最新勒索病毒样本分析及数据恢复

1. satan病毒升级变种satan_pro特征:.satan_pro 后缀勒索邮箱:[email protected] [email protected] 等 2.YYYYBJQOQDU勒索病毒特征:.YYYYBJQOQDU后缀勒索邮箱:[email protected] 等 3.ciphered勒索病毒特征:.ciphered后缀勒索邮箱:[email protected] [email protected][email protected] 等 4.p3rf0rm4勒索病毒特征:.p3r

2019年5月最新勒索病毒样本分析及数据恢复

一.依然熟悉的"老面孔" 1.GANDCRAB病毒病毒版本:GANDCRAB V5.2中毒特征:<原文件名>.随机字符串勒索信息:随机字符串-DECRYPT.txt?随机字符串-MANUAL.txt特征示例: readme.txt.pfdjjafw 2.GlobeImposter 3.0病毒(十二×××病毒)中毒特征:<原文件名>.XXXX4444勒索信息:HOW_TO_BACK_FILES.txt how_to_back_files.htm特征示例: read

Word/Excel文档伪装木马病毒-kspoold.exe分析

一. 病毒样本基本信息 样本名称:kspoold.exe 样本大小: 285184 字节 样本MD5:CF36D2C3023138FE694FFE4666B4B1B2 病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc..xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc..xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留