Office文件带木马

微软Office是如今使用最为广泛的一种办公软件，很多MM都是坚定的Office拥护者。但是很多朋友都不知道，Office文件能够被入侵者用来携带木马。一旦运行了携带木马的Office文件，将给MM们带来 “沉痛”的教训。

来自银川的英雄陈明德将叫板携带木马的Office文件，让Office文件无法再为虎作伥。

本期英雄：陈明德

英雄出处：银川

来自Office文件的木马

“咚咚咚”，一阵敲门声将我从睡梦中惊醒，开门一看，原来是隔壁的小莫MM。“我的电脑出现了问题，你能不能帮我看看啊？”MM说。看着小莫MM哀求的样子，我便答应了。

简单查看了系统，并没有什么不对，因为系统资源占用也没有升高，硬盘也没有乱转，于是问道：“你说电脑有什么问题呢？”“今天我和一个同事聊天，他说通过摄像头看到我的衣服很好看，问我在哪里买的，想给他女朋友也买一件。可是我的摄像头并没有打开啊，所以我才找你帮我看看。”

我已经基本明白了，如果说小莫MM的摄像头没有开启，别人却可以看到她，只能说明那是别人在她不知情的情况下强行打开的。而能做到这一切的，现在只有各种流行的木马程序。清除木马很简单，直接断网进安全模式杀毒。顺利清除木马后，我就有一个疑问了，木马程序是怎样跑到MM的电脑中的呢？

在Office文件中加入木马

为了证实自己的想法，我在电脑上验证了一下可行性。很早以前，Office文件的宏功能，就被人利用来制造出各种各样的“宏病毒”，给用户带来了很大的麻烦。可后来，随着安全厂商对宏的注意，宏病毒也逐渐消失。

但是，最近又出现了一种通过Office文件进行木马程序传播方法。该方法通过在Office文件末尾加入木马等恶意程序，用户只要运行这个Office文件就会中木马。我知道，要想将Office文件和恶意程序“合”在一起很容易，用COPY命令就可以实现，关键是如何将“合”在一起的文件分离开，而宏恰恰就可以起这个作用。当用户执行这个Office文件后，宏会把文件末尾的恶意程序读出来并保存到C盘中，然后执行。

小知识：什么是宏？

能自动执行某种操作的命令统称为“宏”。宏是一种操作命令，是通过一次单击就可以应用的命令集。宏几乎可以自动完成用户在程序中执行的任何操作，甚至还可以执行用户认为不可能的任务。Office提供了两种创建宏的方法：宏录制器和 Visual Basic编辑器。

网上有一款名为VBA 宏病毒生成工具的小工具，通过它可以将EXE可执行文件转化为可被Office的宏调用的应用程序。运行VBA 宏病毒生成工具，我首先通过点击“后门程序”选项后的“Open”按钮来选择一个木马程序。

通过说明文件得知，恶意程序的体积不能过大，如果设置的恶意程序体积过大的话，在执行这个文档的时候就容易产生Office溢出，从而使恶意程序执行失败。

为了查看效果，我选择了一款可以看到界面的绿色软件，然后在“编码文件”选项后设置一个保存宏的文本文件，然后又在“扩展信息设置”选项中，选择将木马程序嵌入到Word文档中，另外程序还能将木马程序嵌入到Excel文件当中。而“进程名称”选项中是Word程序将宏释放出来的进程。我设置完所有的设置后，点击“Start”按钮就生成了一个保存有宏的文本文件。

我马上打开这个文本文件，然后全选所有的代码并复制到剪贴板当中。打开Word程序，点击“工具”菜单下的“宏”子菜单中的“宏”命令。在弹出的“宏”窗口中进行设置。首先在“宏名”下面为宏设置一个名称，再在“宏的位置”选项中设置“文档 1 （文档）”，然后点击“创建”按钮就会弹出一个代码的编辑窗口。

我将窗口中原有的所有代码删除，将剪贴板中的代码粘贴到里面，然后退出并保存该文档。双击该Office文件后，程序果然弹出了刚刚设置的那个小工具。

为MM支招

其实这次能成功入侵MM的电脑，“宏”的作用功不可没。为了防范这种通过Office文件进行恶意程序的传播方法，以保护系统和文件，用户首先不要启用来源未知的宏。

如果用户需要使用宏，可以将Office程序中将宏的安全性设置为“中”。点击“工具”菜单下的“宏”子菜单中的“安全性”命令，在弹出的“安全性”窗口中设置为“中”即可。

这样，在任何时候打开包含宏的文件时，程序会提示用户选择启用或禁用宏。除此以外，现在的杀毒软件都具有针对Office文件的检测功能，很大一部分主要是针对宏进行检测，用户就不用担心Office文档中的恶意程序了。另外，杀毒软件的注册表监控功能可以在有程序向注册表中添加启动项的时候，提示用户是否进行安装选择。