3.20 嵌入式对象插入依赖性

作者: Peter Szor 出处:机械工业出版社 　2007-07-17 13:51　   砖    好    评论  条 　进入论坛

阅读提示：本书由Symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。作者系统地讲述了反病毒技术的方方面面，包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。本文介绍的是嵌入式对象插入依赖性。

3.20 嵌入式对象插入依赖性
已知的第一个感染WORD 6文件的二进制病毒叫做Anarchy.6093[51]，在1997年被发现。 Anarchy是基于DOS的、能够感染COM、EXE和DOC文件的病毒。这些年里这样的病毒并不多 见，这也不奇怪，因为攻击文件格式、给它们加上一个宏可不是一件容易的事情（其他攻击 Word文件、增加宏的病毒大多数是宏病毒而不是二进制病毒。—译者注）。
第一个能够从二进制代码直接感染V B A 文件的病毒是从俄国释放的， 名叫 {Win32,W97M}/Beast.41472.A，好像是在1999年4月爆发的。病毒使用Borland Delphi开发，并 编译为32位PE格式。
与其他二进制病毒相比，Beast使用一种不同的方式来感染文件。beast编写者使用诸如 AddOLEObject()之类的对象链接及嵌入（Object Linking and Embedding，OLE）API，通过微软 WORD中的内部OLE支持，将宏代码与嵌入式可执行代码一起插入到文件中去。在OLE的支持 下，该病毒向VBA文件中插入一个嵌入式对象（可执行文件）。不过在正常的情况下，使用者是 看不到这个嵌入式对象的，因为病毒使用了一个伎俩将嵌入式对象的图标隐藏了起来。
该病毒将寻找WORD中的活动窗口。当它能够取得一个活动文件的句柄时，它将调用感染 模块。首先它检查文件中是不是没有嵌入式对象，但在某些情况下不会这么做，因为该病毒可 能已经在文件里加入了多个嵌入式可执行文件。 接着，Beast将把它自己以C:\I.EXE的形式加入到文件中，取名叫3BEPb（beast在俄文中的 叫法）。如果整个过程都按计划发展，那么文件里将出现一个新的宏AutoOpen()。 使用活动文件中的3BEPb的激活方式将加速嵌入式对象的执行： Beast对反病毒软件提出了一个新的要求，反病毒软件需要检测和删除文件中恶意的嵌入式对象，而这并非易事。

回书目   上一节   下一节