通过Excel传播的新的宏病毒

分析表明，该病毒将调用IE浏览器以使用促销帐单名称访问2345导航URL. 而且，该病毒极其狡猾. 为了改善其隐蔽性，它将首先检测用户在刷新流量之前是否启动IE浏览器进程. 否则，它将主动打开Microsoft官方页面，使用户将病毒清除过程误认为是官方页面过程，从而避免被关闭.

天鹅绒工程师提醒大家，由于Excel文件通常用于工作和学习中，因此很容易使病毒在公司，学校等中迅速传播，请用户及时做好工作. Tinder用户无需担心，最新版本的Tinder产品可以杀死该病毒.

使用[分析报告]:

一个，样品分析

最近，一批被宏观感染的样品被天鹅绒拦截了. 病毒运行后，它将隐藏对带有促销帐单名称的2345导航URL的访问，以使流量变暗，并且还将感染其他Excel工作簿文件. 打开受感染的文档后，它将显示如下:

受感染的文件

宏病毒代码将出现在受感染的文档中，如下所示:

病毒宏代码

为了改善其隐藏性，该病毒还将在屏蔽流量之前检测IE浏览器进程的存在. 如果不存在宏病毒excel，它将首先通过此方法启动Microsoft Office官方页面（），以使用户错误地认为流量遮蔽IE浏览器进程与刚刚启动的IE浏览器有关. 准备工作完成后，病毒代码将通过ActiveX对象调用IE浏览器，以使用促销帐单名称访问2345导航URL. 因为由宏脚本以这种方式调用的其他程序在启动时被隐藏，所以普通用户不会注意到它. 相关代码，如下所示:

暗刷交通相关代码

暗刷流量时的进程树，如下所示:

进程树

可以通过窗口控制工具显示IE浏览器窗口，如下图所示:

用于暗中访问流量的IE浏览器表单

执行与病毒感染相关的代码之后，将在XLSTART目录中创建一个名为authorization.xls的Excel文档，并将病毒代码的前100行插入文档的宏模块中，然后是病毒功能调用代码，因此authorization.xls主要用于感染其他Excel文档. 创建authorization.xls后，所有激活的Excel文档将加载并执行宏病毒代码. 相关代码，如下所示:

发布XLSTART目录中的病毒宏文档

在XLSTART目录中创建的病毒Excel文件

打开其他Excel文档时，如果当前文档的ThisWorkbook宏模块的前10行中存在关键字“ update”，“ boosting”和“ person”，则ThisWorkbook宏模块中的原始代码将被删除和删除的行数与病毒代码的行数相同. 之后，将病毒宏代码的前100行插入ThisWorkbook宏模块中宏病毒excel，然后添加相关的调用代码. 附加的调用代码确定受感染的Excel将主要释放授权.xls和黑笔刷通信. 相关代码，如下所示:

感染代码

第二，附录

样本哈希:

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-198742-1.html