您的位置:首页网络冲浪安全资讯 → Excel发现漏洞 “试卷大盗”借机传播

Excel发现漏洞 “试卷大盗”借机传播

时间:2004/10/8 15:02:00来源:本站整理作者:蓝点我要评论(1)

>      8月18日,金山毒霸反病毒中心率先截获一个利用Excel进行传播的宏病毒,该病毒利用了 Microsoft Excel 的一个程序漏洞,从而绕过 Microsoft Office 安全机制,将安全级别设置为高、并在没有任何提示的情况下运行。



  “试卷大盗”(Formula.Excel97.Counter)是一个宏病毒,同时具有木马的危害。它可进行Word/Excel双重感染。如果中毒的机器上存有“试题”的word文档,它便可将该文档设置密码,然后发送到作者的FTP服务器上,从而导致考题外泄。现在正值暑假,所有的重要考试都已经过去,应该暂时不会造成什么影响。就目前为止,金山公司也还未曾接受到与该病毒相关的投诉和求助。尽管如此,这种病毒的潜在社会危害性依然非常恶劣,需要相关教育机构提高警惕。



  病毒和木马的结合并不是什么新鲜事,木马的用途细分和专门偷盗也已经很常见,不过之前的木马大多针对网上的虚拟物品财产较多。考试是选拔人才的重要手段,作弊也同样自古便有,但是利用病毒进行作弊、将木马直接用于客观存在的考试试题,该病毒应该是前无仅有的第一例。



  众所周知,在 Microsoft Office 97 之后,为了防范宏病毒的传播,微软在 Office 中增加了“安全性”设置,缺省状态下“只允许运行可靠来源签署的宏,未经签署的宏会自动取消”,即使设置为“中”,在打开带有宏的文档时系统也会提示病毒风险。另外,利用一些二进制或专门的复合文档分析工具,也可以直接看出文档中带有宏代码。计数器(Formula.Excel97.Counter)病毒成功地绕过这些限制,文档打开时病毒就会直接被运行,既无安全性提示,也不能中止。从二进制上分析,这些病毒文档也看不到任何常规的宏代码!



  已经发现的这个安全漏洞是 Excel 的公式检查漏洞。在 Office 的 VBA 二次开发接口推出之后,Excel 采用了一种叫做宏表(Macro Sheet)的二次开发技术,在一个宏表内开发者可以使用象公式一样的运行代码。为了保持兼容性,Excel 的后续版本(包括 Excel 2003)依然支持这一功能。在 Excel 的二进制结构中,有两个位置记录有宏表的标志,正常情况下这两个标志位保持一致。构造一个特殊的文档,则可以使 Excel 不能检测到宏表从而没有任何提示地运行任意代码。



  此外,对于含有宏表的文档,打开时虽然有安全性提示,但却不能中止宏表的运行。利用这一功能的公式病毒由来已久,像 Formula.Excel.Black、Formula.Excel.Sic 等。“试卷大盗”(Formula.Excel97.Counter)正是利用了这一漏洞,从而可以在任意安全级别的计算机上感染。



  “试卷大盗”(Formula.Excel97.Counter)的技术分析如下:



  病毒信息



  病毒名称:Formula.Excel97.Counter、Macro.Excel97.Counter、Macro.Word97.Counter、Win32.Troj.Counter



  中文名称:试卷大盗



  威胁级别:三级



  病毒类型:宏病毒/公式病毒/木马



  病毒危害



  A、病毒运行后会复制自身到 Word 的模板文件和 Excel 的启动加载中,从而造成 Word/Excel 的双重感染。模板名称分别为:normal.dot 和 norma1.xlm。



  B、在 Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符,如果存在,将文件以“XAB01234”保存(X是固定的开头,后面字符为十六近制符号),并设置密码。然后上传到作者的FTP服务器上。这很明显是偷盗试题的行为。



  C、病毒感染后会在 C:\ 盘根目录下生成 c:\excel.tx(病毒源代码)t、asd.txt(ping 目标地址的结果日志)、setflag.exe、sendto.exe、internet.exe(三个相配合的木马、隐藏文件)、cab.cab(病毒包,含所有的木马和模板)。这些文件在运行中可能会被删除。



  D、修改注册表,使隐藏文件真正隐藏,即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。



  E、修改注册表,删除系统启动项的输入法程序(internat.exe),改为病毒(internet.exe)随系统进行启动。



  解决方案



   A、请使用金山毒霸2004年8月18日的病毒库可完全处理该病毒;



   B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;



   C、开启金山毒霸病毒防火墙可防止病毒入侵。



  安全建议



   A、不打开来历不明的邮件和 Office 文档;



   B、安装反病毒软件,随时更新病毒库,并保持病毒防火墙处于打开状态。经常使用办公软件时,一定要启动 Office 安全助手。

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 设置高强度密码技巧之

最新文章 360连回家是什么 360wifi密码怎么设置才不 电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明

人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生