Microsoft Excel发现漏洞 试卷大盗借机传播

hzg7818

Microsoft Excel发现漏洞 试卷大盗借机传播

2004年08月18日 19:05　金山毒霸信息安全网

8月18日，金山毒霸反病毒实验室应急处理中心率先截获一个利用Excel进行传播的宏病毒，该病毒利用了 Microsoft Excel 的一个程序漏洞，从而绕过Microsoft Office 安全机制，在安全级别设置为高、未有任何提示的情况下运行。 　　 众所周知，在 Microsoft Office 97 之后，为了防范宏病毒的传播，微软在 Office 中增加了“安全性”设置，缺省状态下“只允许运行可靠来源签署的宏，未经签署的宏会自动取消”，即使设置为“中”，在打开带有宏的文档时系统也会提示病毒风险。另外，利用一些二进制或专门的复合文档分析工具，也可以直接看出文档中带有宏代码。计数器(Formula.Excel97.Counter)病毒成功地绕过这些限制，文档打开时病毒就会直接被运行，既无安全性提示，也不能中止。从二进制上分析，这些病毒文档也看不到任何常规的宏代码！ 　　 已经发现的这个安全漏洞是 Excel 的公式检查漏洞。在 Office 的 VBA 二次开发接口推出之后，Excel 采用了一种叫做宏表(Macro Sheet)的二次开发技术，在一个宏表内开发者可以使用象公式一样的运行代码。为了保持兼容性，Excel 的后续版本(包括 Excel 2003)依然支持这一功能。在 Excel 的二进制结构中，有两个位置记录有宏表的标志，正常情况下这两个标志位保持一致。构造一个特殊的文档，则可以使 Excel 不能检测到宏表从而没有任何提示地运行任意代码。 　　 此外，对于含有宏表的文档，打开时虽然有安全性提示，但却不能中止宏表的运行。利用这一功能的公式病毒由来已久，像 Formula.Excel.Black、Formula.Excel.Sic 等。“试卷大盗”(Formula.Excel97.Counter)正是利用了这一漏洞，从而可以在任意安全级别的计算机上感染。 　　“试卷大盗”(Formula.Excel97.Counter)的详情如下： 　　病毒信息 　　 病毒名称：Formula.Excel97.Counter、Macro.Excel97.Counter、Macro.Word97.Counter、 Win32.Troj.Counter 　　 中文名称：试卷大盗 　　 威胁级别：三级 　　 病毒类型：宏病毒/公式病毒/木马 　　病毒危害 　　 A、病毒运行后会复制自身到 Word 的模板文件和 Excel 的启动加载中，从而造成 Word/Excel 的双重感染。模板名称分别为：normal.dot 和 norma1.xlm。 　　 B、在 Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符，如果存在，将文件以“XAB01234”这样以“X”打头的名称保存，并且以密码“xxxxxxxxxx98765”(此处以“x”隐去详细内容，下同)进行加密。然后上传到“xxx.xx.xx.110”服务器上，可能会导致考试试题泄露。 　　 C、病毒感染后会在 C:\ 盘根目录下生成 c:\excel.tx(病毒源代码)t、asd.txt(ping 目标地址的结果日志)、setflag.exe、sendto.exe、internet.exe(三个相配合的木马、隐藏文件)、cab.cab(病毒包，含所有的木马和模板)。这些文件在运行中可能会被删除。 　　 D、修改注册表，使隐藏文件真正隐藏，即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。 　　 E、修改注册表，删除系统启动项的输入法程序(internat.exe)，改为病毒(internet.exe)随系统进行启动。 　　解决方案 　　 A、请使用金山毒霸2004年8月18日的病毒库可完全处理该病毒； 　　 B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭； 　　 C、开启金山毒霸病毒防火墙可防止病毒入侵。 　　安全建议 　　 A、不打开来历不明的邮件和 Office 文档； 　　 B、安装反病毒软件，随时更新病毒库，并保持病毒防火墙处于打开状态。经常使用办公软件时，一定要启动 Office 安全助手。

这是来自金山独霸的消息，实际上按照他的说法，这算不上漏洞，要算也是一个由来已久的漏洞，有些宏表文件就可以骗过Excel来执行，而不显示“宏”信息，另外修改注册表，这在咱们论坛已经是老生长谈了

taller

最近好像有两个帖子,估计中的就是这个病毒,因为代码中好像有改注册表的internet.exe

老刀

哈哈！就是这个东东

http://club.excelhome.net/viewthread.php?tid=58118&extra=&page=2

工作原理：

当打开中毒excel文件时，会自动执行auto_open宏 将自身携带的文本写入c:\excel.txt，然后插入打开的excel文件模块中形成 createcabfile 过程并自动执行。执行后将自身携带的一组二进制文件写入 c:\cab.cab 释放。。。。。

baomaboy

c:\excel.txt：染毒文件VBA模块中的代码就是由此文件而来。

系统启动项确实替换输入法为internet.exe且天网拦截此程序有连接网络上主机的现象，所以此程序大概是FTP类型的文件。

中毒后“发送到软盘”快捷方式被指向sendto.exe，但功能可正常使用，估计是用来拦截发送到软盘的有特定文件名的文件并通过internet.exe上传到网络主机。

setflag.exe不知和作用，分析文件名象是设置标记的意思。

《修改注册表，使隐藏文件真正隐藏，即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。》好象没有啊，用regscan-regmon等监视对注册表的操作就一个替换启动项。而且中毒后依然可以显示包括系统文件在内的所有文件。

[此贴子已经被作者于2004-9-30 22:37:23编辑过]