Virus VBA Macro

Thảo luận trong 'Virus/Malware' bắt đầu bởi Malware, 06/03/15, 08:03 AM.

  1. Malware

    Malware Wh------

    Tham gia: 08/01/15, 11:01 AM
    Bài viết: 56
    Đã được thích: 32
    Điểm thành tích:
    48
    Tổng quan về Macro
    Macro là tên gọi chung của những đoạn mã lệnh được sử dụng để thực hiện một số nhiệm vụ một cách tự động. Việc sử dụng Macro sẽ giúp người sử dụng đơn giản hóa các thao tác lặp đi lặp lại để thực hiện một công việc cụ thể nào đó, chỉ bằng một câu lệnh Macro. Các ứng dụng trong bộ Microsoft Office như Word, Excel, PowerPoint đều cho phép tạo ra các Macro ngay trong các file văn bản, file bảng tính hay file trình diễn. Hacker đã lợi dụng điều này để tạo ra virus Macro, lây nhiễm trên các file văn bản (.doc, .docx), các file bảng tính (.xls, .xlsx) hay các file trình diễn (.ppt, .pptx) của các phần mềm Word, Excel hay PowerPoint. Có 2 loại Macro là Macro4 và VBA Macro
    Sau đây mình xin đưa ra bài viết giới thiệu khái quát về virus Macro cũng như phân tích một mẫu virus VBA Macro để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.

    Phân tích mẫu virus VBA Macro trong file excel
    Virus VBA Macro được tạo ra bằng ngôn ngữ là VBA (Visual Basic Application)

    Để xem code VBA trong file excel:
    Tools -> Macro -> Visual Basic Editor hoặc Alt + F11

    [​IMG]
    Hình 1: Mở code VBA trong excel

    [​IMG]
    Hình 2: Giao diện hiển thị code VBA​


    Cơ chế xâm nhập vào máy nạn nhân:
    Virus VBA Macro là một đoạn mã viết bằng ngôn ngữ VBA(Visual Basic Application) thường nằm trong một file dữ liệu. File này được gửi qua email hoặc do nạn nhân sao chép file đã bị lây nhiễm ở máy khác. Đoạn mã độc này chỉ được lây nhiễm khi nạn nhân thực hiện mở file dữ liệu.

    Cơ chế hoạt động:
    Hành vi chung của mã độc VBA Macro
    + Thiết lập chế độ bảo mật VB object model ở excel
    + Lây nhiễm mã độc VBA
    + Gửi mail


    Các hành vi chi tiêt
    Mã độc VBA thực hiện thiết lập lại chế độ bảo mật của excel để có thể copy mã độc VBA vào file excel khác. Cách thức thực hiện là mã độc sẽ truy cập vào key AccessVBOM và Level rồi sửa đổi giá trị bằng 1.
    [​IMG]

    Hình 3: Thiết lập chế độ bảo mật để tác động đến VB object model​


    Lây nhiễm mã độc VBA: mã độc thực hiện copy module chứa code virus VBA vào file excel khác.

    [​IMG]
    Hình 4: Inject code VBA​


    Sau khi đã lây nhiễm thành công, mã độc sẽ thực hiện hành vi gửi email. Nó sẽ nén dữ liệu lấy được của nạn nhân vào một file .CAB

    [​IMG]
    Hình 5: Nén dữ liệu​


    Sau khi đã nén dữ liệu xong, mã độc thực hiện gửi email đi với tệp đính kèm là file đã nén – thực hiện hành vi ăn cắp dữ liệu.

    [​IMG]
    Hình 6: Gửi dữ liệu đã nén​


    Trên đây là bài phân tích của mình về mẫu malware VBA Macro. Bài phân tích còn nhiều thiếu xót, rất mong nhận được sự góp ý của các bạn.
     
    Last edited by a moderator: 23/08/16, 02:08 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    dunget thích bài này.
  2. Hồng

    Hồng New Member

    Tham gia: 30/08/18, 10:08 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Tôi vừa lập trình vba trong file powerpoint để làm trò chơi, nhưng đem qua máy khác thì phần mềm diệt virus bắt mất. Giờ làm sao đây
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 196
    Đã được thích: 126
    Điểm thành tích:
    43
    Bạn giỏi quá @@
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan