Virus VBA Macro

Malware

Wh------
08/01/2015
41
56 bài viết
Virus VBA Macro
Tổng quan về Macro
Macro là tên gọi chung của những đoạn mã lệnh được sử dụng để thực hiện một số nhiệm vụ một cách tự động. Việc sử dụng Macro sẽ giúp người sử dụng đơn giản hóa các thao tác lặp đi lặp lại để thực hiện một công việc cụ thể nào đó, chỉ bằng một câu lệnh Macro. Các ứng dụng trong bộ Microsoft Office như Word, Excel, PowerPoint đều cho phép tạo ra các Macro ngay trong các file văn bản, file bảng tính hay file trình diễn. Hacker đã lợi dụng điều này để tạo ra virus Macro, lây nhiễm trên các file văn bản (.doc, .docx), các file bảng tính (.xls, .xlsx) hay các file trình diễn (.ppt, .pptx) của các phần mềm Word, Excel hay PowerPoint. Có 2 loại Macro là Macro4 và VBA Macro
Sau đây mình xin đưa ra bài viết giới thiệu khái quát về virus Macro cũng như phân tích một mẫu virus VBA Macro để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.

Phân tích mẫu virus VBA Macro trong file excel
Virus VBA Macro được tạo ra bằng ngôn ngữ là VBA (Visual Basic Application)

Để xem code VBA trong file excel:
Tools -> Macro -> Visual Basic Editor hoặc Alt + F11

14899399411.1.png

Hình 1: Mở code VBA trong excel

14899399411.2.png

Hình 2: Giao diện hiển thị code VBA​


Cơ chế xâm nhập vào máy nạn nhân:
Virus VBA Macro là một đoạn mã viết bằng ngôn ngữ VBA(Visual Basic Application) thường nằm trong một file dữ liệu. File này được gửi qua email hoặc do nạn nhân sao chép file đã bị lây nhiễm ở máy khác. Đoạn mã độc này chỉ được lây nhiễm khi nạn nhân thực hiện mở file dữ liệu.

Cơ chế hoạt động:
Hành vi chung của mã độc VBA Macro
+ Thiết lập chế độ bảo mật VB object model ở excel
+ Lây nhiễm mã độc VBA
+ Gửi mail


Các hành vi chi tiêt
Mã độc VBA thực hiện thiết lập lại chế độ bảo mật của excel để có thể copy mã độc VBA vào file excel khác. Cách thức thực hiện là mã độc sẽ truy cập vào key AccessVBOM và Level rồi sửa đổi giá trị bằng 1.
14899399411.3.png


Hình 3: Thiết lập chế độ bảo mật để tác động đến VB object model​


Lây nhiễm mã độc VBA: mã độc thực hiện copy module chứa code virus VBA vào file excel khác.

14899399411.4.png

Hình 4: Inject code VBA​


Sau khi đã lây nhiễm thành công, mã độc sẽ thực hiện hành vi gửi email. Nó sẽ nén dữ liệu lấy được của nạn nhân vào một file .CAB

14899399411.5.png

Hình 5: Nén dữ liệu​


Sau khi đã nén dữ liệu xong, mã độc thực hiện gửi email đi với tệp đính kèm là file đã nén – thực hiện hành vi ăn cắp dữ liệu.

14899399411.6.png

Hình 6: Gửi dữ liệu đã nén​


Trên đây là bài phân tích của mình về mẫu malware VBA Macro. Bài phân tích còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
 
Chỉnh sửa lần cuối bởi người điều hành:
Tôi vừa lập trình vba trong file powerpoint để làm trò chơi, nhưng đem qua máy khác thì phần mềm diệt virus bắt mất. Giờ làm sao đây
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tôi vừa lập trình vba trong file powerpoint để làm trò chơi, nhưng đem qua máy khác thì phần mềm diệt virus bắt mất. Giờ làm sao đây
Bạn giỏi quá @@
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên