Цитата |
---|
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Ворд вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним явно вирус. Запускаю файл на виртуальной машине, после запуска запросы ни к каким левым сайтам не идут,определить, создались ли после запуска какие-нибудь "левые" файлы тоже не получилось (скорее всего плохо искал ). Соответственно olly доковский файл не открыть на прямую. Читал статьи по макровирусам, под описание вроде не подходит. Подскажите пожалуйста как в такой ситуации анализировать вирус, буду очень признателен. |
Современные версии пакета Microsoft Office (2007/2010) не позволяют таким зловредам исполняться соответствующим уведомлением, по умолчанию они отключены. Макросы характерны только для старых систем, либо отдельных систем с некорректными настройками безопасности самого Office'a (
Цитата |
---|
да есть и не только макросы, скажем *.js, *vbs скрипты, также функции Word'a, скажем давно известно что Exel'e для атаки испоьзовали функцию Host(),.... |
Цитата |
---|
Как тогда используются уязвимости Microsoft Word по переполнению буфера, в смысле как в сам файл дописывается вредоносный код, hex-редактор? |
Как раз все это и есть содержимое макроса, только реализовывать макросы можно в виде проекта VBA, никак иначе. В содержимом конечно можно предусмотреть распаковку и запуск JS, но это из другой серии. Это OpenOffice позволяет писать макросы на Java Script. В добавок, у Excel нет функции "Host()". Зная структуру документа и описание формата, можно создать вредоносный документ, который бы воздействовал на клиента, эксплуатируя ту ил иную уязвимость.
Для анализа можно использовать утилиту от самой компании Microsoft - Offviz, которая может парсить как старый бинарный формат, так и новый, который по сути представляется простым XML. Для обнаружения вредоносного кода - универсальное решение вряд ли найдется, есть конкретные продукты, которые ищут сигнатуры известных багов в Office (OfficeMalwareScanner, известные антивирусные решения), но обнаружают их не всегда корректно по причине возможности обфускации кода, а так же использование в самом содержимом Office-документа сторонних технологий (например, Adobe Flash).