Top
首页 > 网络和信息安全 > 病毒木马 > 正文

邪恶病毒篡改doc文档留言“邹小朋爱邹琪”

邪恶病毒篡改doc文档留言示爱

近期,有一种恶意篡改DOC的病毒。此类病毒会篡改用户电脑后缀名为doc的word文档的DOC头,同时隐藏原始doc文件,并且创建一个同名的exe来启动被篡改以后的doc文档
发布时间:2010-11-02 05:55        来源:        作者:铁军
【赛迪网-IT技术讯】近期,有一种恶意篡改DOC的病毒。此类病毒会篡改用户电脑后缀名为doc的word文档的DOC头,同时隐藏原始doc文件,并且创建一个同名的exe来启动被篡改以后的doc文档。这个exe会在内存中修复doc头,因此使用这个exe文件加载的doc文档可以正常显示内容。 一旦病毒体被安全软件查杀,此时用户打开doc文档会发现是乱码,当然可以正常显示出来的内容是“邹小朋爱邹琪”――看上去像是一个男人喜欢一个女人的样子。 安全专家拿到病毒样本,进行了深入解析,这个病毒样本是一个名为“增电源标识8.30.doc”的word文档。 1、病毒简介 使用word打开“增电源标识8.30.doc”文档,显示的是乱码,只有使用“增电源标识8.30.exe”打开才能正常显示内容。 (1)增电源标识8.30.exe doc文档加载器,图标是doc的默认图标,会释放灰鸽子等其他病毒木马。 (2)增电源标识8.30.doc 被恶意篡改过的doc文档,用户机子上应该是被隐藏,需要显示隐藏文件才能查看到。 2、增电源标识8.30.exe doc文档相关的行为 (1)获取doc文档的完整路径并且以可写的方式打开,比如C:\增电源标识8.30.doc。

(2)将正确的DOC的头数据“D0CF11E0A1B11AE100000000”写入到C:\增电源标识8.30.doc中(内存中的doc文件,硬盘里面的数据没有被修改的)。

(3)调用ShellExecuteA打开当前的doc文档

3、使用16进制编辑工具c32asm修复被篡改的doc文档(其他的16进制编辑工具也可以)。 (1)用c32asm打开被篡改的doc文档,选择doc文档的前12个字节的数据,复制引号内的数据“D0CF11E0A1B11AE100000000”替换原先的数据:选择编辑-特殊粘帖-ACSSII Hex。

(2)修复后的文档,貌似应该正常吧。

(责任编辑:钼铁)

加载更多

专题访谈

合作站点
stat