| |
在Office文件中加入木马
为了证实自己的想法,我在电脑上验证了一下可行性。很早以前,Office文件的宏功能,就被人利用来制造出各种各样的“宏病毒”,给用户带来了很大的麻烦。可后来,随着安全厂商对宏的注意,宏病毒也逐渐消失。
但是,最近又出现了一种通过Office文件进行木马程序传播方法。该方法通过在Office文件末尾加入木马等恶意程序,用户只要运行这个Office文件就会中木马。我知道,要想将Office文件和恶意程序“合”在一起很容易,用COPY命令就可以实现,关键是如何将“合”在一起的文件分离开,而宏恰恰就可以起这个作用。当用户执行这个Office文件后,宏会把文件末尾的恶意程序读出来并保存到C盘中,然后执行。
小知识:什么是宏?
能自动执行某种操作的命令统称为“宏”。宏是一种操作命令,是通过一次单击就可以应用的命令集。宏几乎可以自动完成用户在程序中执行的任何操作,甚至还可以执行用户认为不可能的任务。Office提供了两种创建宏的方法:宏录制器和 Visual Basic 编辑器。
网上有一款名为VBA 宏病毒生成工具的小工具,通过它可以将EXE可执行文件转化为可被Office的宏调用的应用程序。运行VBA 宏病毒生成工具,我首先通过点击“后门程序”选项后的“Open”按钮来选择一个木马程序。
通过说明文件得知,恶意程序的体积不能过大,如果设置的恶意程序体积过大的话,在执行这个文档的时候就容易产生Office溢出,从而使恶意程序执行失败。
为了查看效果,我选择了一款可以看到界面的绿色软件,然后在“编码文件”选项后设置一个保存宏的文本文件,然后又在“扩展信息设置”选项中,选择将木马程序嵌入到Word文档中,另外程序还能将木马程序嵌入到Excel文件当中。而“进程名称”选项中是Word程序将宏释放出来的进程。我设置完所有的设置后,点击“Start”按钮就生成了一个保存有宏的文本文件。
我马上打开这个文本文件,然后全选所有的代码并复制到剪贴板当中。打开Word程序,点击“工具”菜单下的“宏”子菜单中的“宏”命令。在弹出的“宏”窗口中进行设置。首先在“宏名”下面为宏设置一个名称,再在“宏的位置”选项中设置“文档 1 (文档)”,然后点击“创建”按钮就会弹出一个代码的编辑窗口。
我将窗口中原有的所有代码删除,将剪贴板中的代码粘贴到里面,然后退出并保存该文档。双击该Office文件后,程序果然弹出了刚刚设置的那个小工具。
为MM支招
其实这次能成功入侵MM的电脑,“宏”的作用功不可没。为了防范这种通过Office文件进行恶意程序的传播方法,以保护系统和文件,用户首先不要启用来源未知的宏。
如果用户需要使用宏,可以将Office程序中将宏的安全性设置为“中”。点击“工具”菜单下的“宏”子菜单中的“安全性”命令,在弹出的“安全性”窗口中设置为“中”即可。
这样,在任何时候打开包含宏的文件时,程序会提示用户选择启用或禁用宏。除此以外,现在的杀毒软件都具有针对Office文件的检测功能,很大一部分主要是针对宏进行检测,用户就不用担心Office文档中的恶意程序了。另外,杀毒软件的注册表监控功能可以在有程序向注册表中添加启动项的时候,提示用户是否进行安装选择。 |
|
