Después de abrir EXCEL, lo que aparece no es BOOK1 sino NORMAL.XLM.
18 de agosto de 2004 19:05 Kingsoft Antivirus Information Security Network
El 18 de agosto de Respuesta de emergencia del Kingsoft Antivirus Laboratory El centro tomó la iniciativa en interceptar un virus de macro propagado utilizando Excel, que aprovechó una vulnerabilidad en Microsoft Excel. El virus aprovecha las vulnerabilidades del programa en Microsoft Excel, evita el mecanismo de seguridad de Microsoft Office y se ejecuta sin ningún aviso cuando el nivel de seguridad es alto.
"Exam Paper Thief" (Formula.Excel97.Counter) es un virus de macro con peligros de caballo de Troya. Puede ser una infección dual de Word/Excel. Si la máquina envenenada contiene el documento de Word "Preguntas del examen", puede establecer la contraseña del documento y luego enviarla al servidor FTP del autor, lo que provoca que se filtren las preguntas del examen. Ahora son las vacaciones de verano y todos los exámenes importantes han pasado, por lo que no debería haber ningún impacto por el momento. Hasta el momento, Kingsoft no ha recibido ninguna queja ni solicitud de ayuda relacionada con el virus. Sin embargo, el daño social potencial del virus sigue siendo muy grave y las instituciones educativas pertinentes deben estar más alerta.
La combinación de virus y troyanos no es nueva. La descomposición y el uso de troyanos y el robo de cuentas especializados también son comunes. Sin embargo, en el pasado, la mayoría de los troyanos apuntaban a elementos y propiedades virtuales en Internet.
Como todos sabemos, después de Microsoft Office 97, para evitar la propagación de virus de macro, Microsoft agregó una configuración de "seguridad" en Office. De forma predeterminada, "solo se permiten macros firmadas por fuentes confiables". ejecutar Unsigned La macro se cancelará automáticamente". Después de cancelar ", incluso si está configurado en "Medio", el sistema le indicará un riesgo de virus al abrir un documento con macros. Además, utilizando algunas herramientas binarias o especializadas de análisis de documentos compuestos, también puede ver directamente el código. con macros en el documento. El virus Counter (Formula.Excel97.Counter) supera con éxito estas restricciones. El virus se ejecutará directamente cuando se abra el documento, sin ningún mensaje de seguridad ni posibilidad de suspenderlo. Counter (Formula. .Excel97.Counter) es una herramienta muy simple y fácil de usar que permite a los usuarios crear y editar documentos sin preocuparse por la seguridad del documento y sin poder evitar que se ejecute.
La vulnerabilidad de seguridad que se ha descubierto es la vulnerabilidad de verificación de fórmulas de Excel. Antes de la introducción de la interfaz de desarrollo secundaria VBA de Office, Excel usaba una tecnología de desarrollo secundaria llamada tablas de macros, donde los desarrolladores podían usar código en ejecución similar a una fórmula para mantener la compatibilidad. Las versiones posteriores de Excel (incluido Excel 2003) todavía admiten esta función. En la estructura binaria de Excel, hay dos posiciones registradas en los indicadores de la tabla macro y, en circunstancias normales, estos dos indicadores son consistentes mediante la construcción de documentos especiales. ejecute código arbitrario sin detectar tablas de macros y sin ningún mensaje
Además, para los documentos que contienen tablas de macros, habrá un mensaje de seguridad al abrir, pero la tabla de macros no se bloqueará. Los virus que aprovechan esta característica existen desde hace mucho tiempo, como Formula.Paper Bandit (Formula.Paper Bandit), que aprovecha esta vulnerabilidad para infectar computadoras de cualquier nivel de seguridad.
Los detalles de "Exam Paper Bandit" (Formula.Excel97.Counter) son los siguientes:
Información del virus
Nombre del virus: Formula.Excel97.Counter , Macro .Excel97.Counter, Macro.Word97.Counter, Win32.Troj.Counter
Nombre chino: Test Paper Thief
Nivel de amenaza: Nivel 3
Tipo de virus: virus de macro/virus de fórmula/Win32.Troj.Contador: virus de macro/virus de fórmula/caballo de Troya
Peligros de virus
1. Cuando el virus se ejecuta, se copiará a sí mismo a archivos de plantilla de Word y Excel En el archivo de plantilla, se carga en el archivo de plantilla de Word y en el iniciador de Excel, lo que provoca una doble infección de Word/Excel. Los nombres de las plantillas son: normal.dot y norma1.xlm.
B. Busque los caracteres "papel" y "prueba" en el título, primer párrafo y segundo párrafo del documento de Word, si los hay, asigne un nombre al archivo que comience con "X", como "XAB01234. "Guarde y cifre con la contraseña "xxxxxxxxxx98765" (aquí comienza con "x"). Luego cárguelo en el servidor "xxx.xx.xx.xx.110", lo que puede provocar que se filtren las preguntas del examen.
C. Después de la infección del virus, se generará c:\excel.tx (código fuente del virus), asd.txt (registro de resultados de la dirección de destino del ping), setflag.exe en la raíz del disco C:\ directorio, sendto.exe, internet.exe (tres archivos ocultos que coinciden con troyanos), cab.cab (paquete de virus, incluidos todos los troyanos y plantillas). Estos archivos se pueden eliminar en tiempo de ejecución.
D. Modifique el registro para que los archivos ocultos estén realmente ocultos incluso si "Mostrar todos los archivos y carpetas" está activado en la configuración del sistema operativo.
E. Modifique el registro, elimine la entrada de inicio del sistema del programa del método de entrada (internat.exe) y reemplácela con un virus (internet.exe) para iniciar el sistema.
Solución
A. Utilice la base de datos de virus Kingsoft Antivirus del 18 de agosto de 2004 para eliminar completamente el virus
B. Usuarios de nivel empresarial, utilice; Kingsoft Antivirus Online Edition puede evitar completamente que el virus ataque;
C. Activar Kingsoft Antivirus Firewall puede evitar que el virus invada.
Sugerencias de seguridad
A. No abra correos electrónicos ni documentos de Office de fuentes desconocidas
B. Instale software antivirus y actualice las bases de datos de virus en cualquier momento; y mantener un cortafuegos antivirus activado. Cuando utilice software de oficina con frecuencia, asegúrese de iniciar Office Security Assistant.