題描述
加密文檔感染宏病毒,加密狀態下專殺工具(K4、CleanMacro)均查不出病毒,解密文件后可以查殺病毒
解決方法
office安全助手(宏病毒專殺增強版)【定制配置】
強制授權主進程 safe_enforce_authproc=CleanMacro.exe
強制授權子進程safe_soft_child_process=CleanMacro.exe
K4宏病毒專殺【定制配置】
強制授權主進程 safe_enforce_authproc=宏病毒專殺.exe
強制授權子進程safe_soft_child_process=宏病毒專殺.exe
同樣思路測試
強制授權主進程 safe_enforce_authproc=進程名.exe
強制授權子進程safe_soft_child_process=進程名.exe
360安全衛士可以查殺密文病毒、QQ電腦管家不能查殺密文病毒
擊運行word文檔竟然會使所有office文檔中毒?近日,某醫院對接人員A遇到一件這樣的煩心事。他收到一個來自合作單位發來的《xx市婦幼保健院設備采購管理規范.doc》文檔,運行該文檔后,其機器上的所有文檔皆被感染病毒。同時他把該文檔發送給了其他同事,導致該醫院因office文檔被殺軟頻繁報毒,日常辦公節奏受到嚴重影響。
經騰訊電腦管家安全人員排查,判斷該病毒為宏病毒,其主要通過感染office模板文件而獲得強大的傳播能力,只有打開過帶宏病毒的文檔,所有新建或重新保存的文檔就會被“感染”。目前,該病毒并無明顯惡意行為,但不排除今后有植入后門監控用戶電腦、植入勒索病毒或挖礦木馬獲取加密貨幣等惡意行為。
(圖:該宏病毒的感染原理)
作為歷史最為“悠久”的病毒之一,宏病毒是一種寄存在文檔或模板的宏中的計算機病毒,感染主要集中在醫院、學校等一對多場景。用戶一旦打開這樣的文檔,其電腦中的宏就會被執行,于是宏病毒就會被激活,轉移到計算機上,并駐留在Normal模板上。由此開始,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
一直以來,宏病毒因其傳播速度快、隱蔽性高、易變種等特點,成為企業辦公網用戶和個人用戶的頭號威脅。針對宏病毒的防范,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,務必提高網絡安全防范意識,養成良好的上網習慣,不要輕易打開來歷不明的文檔文件,及時關閉office宏默認開啟功能。
(圖:企業級安全防護產品騰訊御點)
除了個人用戶加強防范以外,徹底封堵病毒的攻擊之門才是應對危機的最佳途徑。對于規模較大、設備類型眾多的企業,馬勁松建議使用終端殺毒軟件統一查殺,統一攔截清除此類宏病毒,增強防御方案的完整性和立體性,將絕大多數病毒剿滅在網絡之外,真正實現在源頭杜絕宏病毒的感染。
---------------------------------------------------------
1.本文援引自互聯網,旨在傳遞更多網絡信息,僅代表作者本人觀點,與本網站無關。
2.本文僅供讀者參考,本網站未對該內容進行證實,對其原創性、真實性、完整性、及時性不作任何保證。
果電腦也中招:如何在macOS上悄無聲息地啟動惡意宏病毒
原創 卡巴斯基實驗室
許多macOS的用戶仍舊自信地認為他們的計算機不需要任何安全防護方案。更糟糕的是,部分使用蘋果設備辦公的公司,它們的系統管理員也有同樣觀點。
在2020年黑帽大會上,安全研究人員Patrick Wardle試圖打消聽眾們這一錯誤觀念,他介紹了對macOS的惡意程序的分析,并構建了一個可以控制蘋果計算機的漏洞利用鏈。
微軟,宏,蘋果電腦
攻擊macOS系統最常見的方式之一便是使用帶有惡意宏的文檔,即通過微軟Office應用程序。雖然蘋果平臺有很多高質量程序,很多用戶實際上還是更傾向于使用微軟Office,一方面是由于習慣,另一方面則是為了兼容同事們所創建的文檔。
當然,大家早已耳聞來自文檔中的宏的潛在威脅,因此微軟和蘋果都有自己的安全機制來保護用戶。
微軟會在用戶打開帶有宏的文檔時發出警告消息,當用戶仍然決定啟動宏的時候,代碼會在沙箱之內運行。據微軟開發人員聲稱,這可以防止代碼訪問用戶文件或者對系統造成傷害。
蘋果公司則在最新版本的macOS Catalina系統中引入了一些新的安全特性,包括文件隔離和防止來自外部的可執行程序啟動運行的“公證“。
簡單來說,這些安全技術結合起來應該足以防御惡意宏,理論上來說一切都看似很安全。
漏洞利用鏈幫助宏逃逸沙箱
可是很多安全機制的實現方式都是存在問題的,因此研究人員(或者攻擊者)可能會發現繞過它們的方法,Wardle在他的演講中展示了一個漏洞利用鏈。
1. 繞過禁用宏的機制
以檢測文檔中存在宏并警示用戶的系統為例,通常情況下它可以像開發人員希望的那樣發揮作用。然而,即便已經在設置禁用宏,我們還是有辦法構造出允許宏自動運行而沒有任何提示的文檔。
可以通過Sylk(SLK)文件格式來實現這一目的,這種使用XLM宏語言的文件格式創建于上世紀80年代,最后一次更新是1986年。然而,出于向后兼容性的考慮,微軟公司的應用程序仍然支持Sylk格式。這一安全漏洞在2019年就曾被詳細描述過。
2. 沙箱逃逸
我們現在知道攻擊者可以隱蔽地運行宏,但是代碼運行在微軟Office的隔離沙箱中,黑客又是如何成功入侵計算機的呢?結果我們發現,在Mac系統中逃逸微軟沙箱并非難事。
攻擊者確實無法從沙箱內修改已經存儲在計算機中的文件,但是可以“創建”新的文件。該漏洞之前曾被利用來逃逸沙箱,似乎微軟已經發布了修復漏洞的更新程序,然而問題并沒有真正解決,通過對補丁程序詳細測試我們發現:這個補丁程序治標不治本:它在開發人員認為不安全的地方阻攔了文件創建,比如LaunchAgents文件夾,該文件夾中的腳本程序會在系統重啟后自動運行。
但是誰能保證微軟在開發補丁程序時考慮到了所有的“不安全地方”呢?之前發生過一例,通過Office文檔啟動的一個運行在沙箱內的Python腳本創建了一個叫做“Login Item”的對象。當用戶登錄系統時,該名稱的對象會自動啟動,由于該操作是由系統啟動,因此它會在沙箱的外部執行,從而繞過了微軟的安全限制。
3. 繞過蘋果的安全機制
我們現在知道了如何隱秘地運行宏程序并創建“Login Item”對象。當然,即使沙箱中的可疑進程創建了后門程序,macOS中的安全機制也會阻止它的啟動,對吧?
一方面來說,沒錯,蘋果的安全機制確實可以阻攔這種代碼的運行。另一方面,也有辦法繞過這一機制,如果將代碼放入ZIP存檔中作為Login Item,那么下次用戶登錄時系統會自動解壓文件。
攻擊者接下來需要做的就是將文件解壓至合適的地方。比如,文檔可以和用戶的庫放在同一目錄,該目錄在Launch Agent類型對象(微軟可以檢測到這個)所在目錄的上一層,然后文檔本身可以包含一個名為LaunchAgents的目錄,并存放Launch Agent腳本。
一旦解壓之后,腳本會被放置于LaunchAgents文件夾中,并在系統重啟時運行。該腳本由可信任程序(Archiver,檔案庫工具)創建并且不帶有隔離屬性,因此它可以啟動更加危險的程序。安全機制甚至不會阻攔該文件的運行。
最終攻擊者可以通過啟動Bash命令終端來獲取遠程訪問權限(從而獲取所謂的反向終端)。該Bash進程可以被用來下載不帶有隔離屬性的文件,從而允許攻擊者下載并不受限制地運行真正的惡意代碼。
總結
如何在macOS系統中保護自己不受惡意宏的攻擊
當然,研究人員已經向微軟和蘋果公司匯報了他的發現,而且兩家公司也在公開漏洞之前悄悄將其修復,漏洞甚至都還沒有正式的CVE編號。不過從目前的形勢來看,只要認真分析研究安全機制,人們完全有可能找到繞過它們的方法。
在過去,macOS總被認為是足夠安全的系統,主要原因并不是它有特別高級的安全機制,而是攻擊者對它的忽視。然而,現在蘋果計算機已經越來越流行,甚至在企業環境內也是這樣,因此網絡不法分子們也對攻擊macOS有了更大的興趣。
因此,為了維護系統安全,僅僅保持系統和軟件更新至最新版本是不夠的,你還需要可以檢測并阻攔可疑行為的安全解決方案,比如卡巴斯基的安全軟件,不管是家庭用戶版本還是企業客戶版本,都支持蘋果macOS系統。