【快訊】火絨安全團隊發出警告,近日,一批新型宏病毒正通過Excel檔案傳播,該病毒入侵電腦運作後,會悄悄通路帶有推廣計費名的2345網址暗刷流量,并且還會感染電腦上其它的Excel檔案,然後通過這些檔案傳播給其它電腦,被感染的Excel檔案打開後會出現“安全警告 宏已被禁用”的提示。
分析顯示,該病毒會調用IE浏覽器來通路帶有推廣計費名的2345導航網址。而且,該病毒異常狡猾,為了提升自己的隐蔽性,在刷流量前會先檢測使用者是否開啟IE浏覽器程序。如果沒有,則主動開啟微軟官方頁面,讓使用者誤把病毒刷流量的程序當成官方頁面程序,進而避免被關閉。
火絨工程師提醒大家,由于Excel檔案是工作、學習中常用檔案,極易導緻該病毒在公司、學校等範圍内快速傳播,請廣大使用者及時做好防範工作。火絨使用者無需擔心,火絨産品最新版即可清除該病毒。
附【分析報告】:
一、 樣本分析
近期,火絨截獲到一批宏感染型樣本,該病毒運作後會隐藏通路帶有推廣計費名的2345導航網址暗刷流量,并且還會感染其他Excel工作簿檔案。被感染文檔打開後,都會出現如下圖所示:
被感染文檔
被感染文檔中會出現宏病毒代碼,如下圖所示:
病毒宏代碼
該病毒為了提高自身隐蔽性,在暗刷流量前還會檢測IE浏覽器程序是否存在,如果不存在則會先啟動微軟office官方頁面(https://products.office.com/zh-CN/),通過此方法讓使用者誤以為暗刷流量的IE浏覽器程序與剛剛被啟動的IE浏覽器有關。在準備工作完成後,病毒代碼會通過ActiveX對象調用IE浏覽器通路帶有推廣計費名的2345導航網址。因為通過這種方式被宏腳本調用的其他程式啟動時都是隐藏的,是以普通使用者不會有所察覺。相關代碼,如下圖所示:
暗刷流量相關代碼
暗刷流量時的程序樹,如下圖所示:
程序樹
通過窗體控制工具可以顯示IE浏覽器窗體,如下圖所示:
暗刷流量的IE浏覽器窗體
病毒感染相關代碼執行後,會先在XLSTART目錄下建立名為authorization.xls的Excel文檔,并将病毒代碼前100行插入到該文檔的宏子產品中,之後續追加的病毒函數調用代碼,使authorization.xls主要為用來感染其他Excel文檔。authorization.xls被建立後,所有被啟動的Excel文檔都會加載執行該宏病毒代碼。相關代碼,如下圖所示:
在XLSTART目錄中釋放病毒宏文檔
在XLSTART目錄中被建立的病毒Excel文檔
當有其他Excel文檔被打開時,如果目前文檔ThisWorkbook宏子產品前10行中存在“update”、“boosting”、“person”關鍵字,則會将ThisWorkbook宏子產品中的原始代碼删除,删除行數與病毒代碼行數相同。之後,将病毒宏代碼前100行插入到ThisWorkbook宏子產品中,再加入相關調用代碼。被追加的調用代碼決定被感染的Excel主要會釋放authorization.xls、暗刷流量。相關代碼,如下圖所示:
感染代碼
二、 附錄
樣本hash: