ExcelHome技术论坛

 找回密码
 免费注册

QQ登录

只需一步,快速开始

EH搜索     
EH云课堂-专业的职场技能充电站 Excel转在线管理系统,怎么做看这里 Excel服务器-会Excel,做管理系统 Excel Home精品图文教程库
Excel不给力? 何不试试FoxTable! Excel 2016函数公式学习大典 高效办公必会的Office实战技巧 免费下载Excel行业应用视频
300集Office 2010微视频教程 Tableau-数据可视化工具 精品推荐-800套精选PPT模板,点击获取 ExcelHome出品 - VBA代码宝免费下载
你的Excel 2010实战技巧学习锦囊 欲罢不能, 过目难忘的 Office 新界面 Excel VBA经典代码实践指南
查看: 7908|回复: 30

[求助] 关键原理 - 系列宏病毒感染技术分析 - Laroux家族/Macro 4.0病毒/K4/及其它....

[复制链接]

TA的精华主题

TA的得分主题

发表于 2012-3-7 15:27 | 显示全部楼层 |阅读模式
本帖已被收录到知识树中,索引项:病毒防护
本帖最后由 kangatang 于 2012-9-18 09:09 编辑

-----------------------------------------------Laroux家族--------------------------------------

众所周知,当提到Laroux的时候,一般给出的感染技术介绍都是这样的:
".......一个被隐藏的、带有病毒代码的sheet被复制到未被感染的EXCEL文件中......完成病毒感染......"

Symantec对Laroux的介绍如下:

In infected spreadsheet files (Excel workbooks), the "laroux" datasheet is not readily visible (it is hidden). When an infected spreadsheet is
first opened on a system, the Auto_Open macro is automatically run by Excel, which in turn runs the Check_Files macro. This happens each
time a worksheet is activated.
The Check_Files macro then copies the worksheet with the virus code into a spreadsheet file stored in the Excel startup directory named
Personal.xls. (By default, this directory is \MSOffice\Excel\XLStart.) Personal.xls is the "global macro spreadsheet;" macros stored there are
automatically available to all other Excel spreadsheets on the system. Copying these macros to Personal.xls enables the infection of all other
spreadsheets opened or created on the infected system in the future.
XM.Laroux contains no deliberately destructive payloads: it exists only to replicate. XM.Laroux only works on Microsoft Windows operating
systems using Excel versions 5 and 7. It does not work in the Macintosh environment.
XM.Laroux is written in English.


现在就制作这样一张神奇的sheet
STEP 1 (建立)
如果你运行
    sub test1
         Thisworkbook.Modules.Add
    end sub
会新建一个module.
====================================
STEP 2 (自我繁衍)
然后,你在这个新建的module里加入以下procedure
    sub test2
          thisworkbook.modules.copy
   end sub
会自动新建一个book1.xls
最神奇的地方出现了,它会自我复制。
这个book1.xls居然有STEP 2里面那个新建的module.
=====================================
STEP 3 (感染)
新建一个workbook,命名为mytest.xls
在STEP 1里的那个workbook里面运行
Sub test3
ThisWorkbook.Sheets(1).Copy before:=Workbooks("mytest.xls").Sheets(1)
End Sub
然后再看看mytest.xls,里面多了个module,跟STEP 1里的那个一摸一样。
=====================================

讲到这里,你或许觉得原理是如此的简单。但很少人知道这一点(不要以为你已经知道了)。


-----------------------------------------------宏4.0病毒-------------------------------------------------

Coming soon....

-----------------------------------------------COPYMOD 和K4等新兴病毒------------------------------

Coming soon....

-----------------------------------------------历史上其他宏病毒盘点------------------------------------

Coming soon....

TA的精华主题

TA的得分主题

 楼主| 发表于 2012-3-7 15:39 | 显示全部楼层

TA的精华主题

TA的得分主题

 楼主| 发表于 2012-3-7 17:14 | 显示全部楼层

TA的精华主题

TA的得分主题

发表于 2012-3-7 23:09 | 显示全部楼层

TA的精华主题

TA的得分主题

发表于 2012-3-7 23:48 | 显示全部楼层

TA的精华主题

TA的得分主题

 楼主| 发表于 2012-3-8 09:20 | 显示全部楼层
HUNGCHILIN 发表于 2012-3-7 23:48
繼續加油
此技巧的沿伸技巧不會讓你失望的

凭大师的造诣,随便给我等初学者点拨一二,我们就茅塞顿开。

TA的精华主题

TA的得分主题

发表于 2012-4-8 09:47 | 显示全部楼层
本帖最后由 baomaboy 于 2012-4-8 10:11 编辑

copy之所以能运行并不神秘,只是利用了excel新老版本差异、过渡、兼容时形成的特殊构造的模块来完成的,不过确实很膜拜发现这一用法的神人。

TA的精华主题

TA的得分主题

发表于 2012-4-8 09:52 | 显示全部楼层
模块和表单没有分开吗?
这样复制都可以
怪不得都说微软的东西千疮百孔.....

第一次看见这样的方法
发现的神人膜拜ing

TA的精华主题

TA的得分主题

发表于 2012-4-8 10:03 | 显示全部楼层
本帖最后由 baomaboy 于 2012-4-8 10:04 编辑

上几张截图相信更容易理解此特殊模块的形成原理!
QQ截图20120408100127.png
QQ截图20120408100147.png
QQ截图20120408100232.png
QQ截图20120408100252.png

TA的精华主题

TA的得分主题

发表于 2012-4-8 10:29 | 显示全部楼层
本帖最后由 baomaboy 于 2012-4-8 10:34 编辑

这样形成的模块就可以使用使用“病毒”语句操作了。
QQ截图20120408102500.png

宏病毒模块漏洞利用分析.rar

9.39 KB, 下载次数: 48

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

关注官方微信,每天学会一个新技能

手机版|关于我们|联系我们|ExcelHome

GMT+8, 2019-8-24 17:07 , Processed in 1.121517 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.4

© 1999-2020 Wooffice Inc.

   

沪公网安备 31011702000001号 沪ICP备11019229号

本论坛言论纯属发表者个人意见,任何违反国家相关法律的言论,本站将协助国家相关部门追究发言者责任!     本站特聘法律顾问:徐怀玉律师 李志群律师

快速回复 返回顶部 返回列表