利用微软Office默认功能创建可自我复制的恶意软件

意大利安全研究员力诺·安东尼奥·布诺发现了一个安全漏洞，影响几乎所有版本的微软Office办公软件。根据布诺的发现，该漏洞可使黑客创建并散布基于宏的自复制恶意软件，其能隐藏在Word文档中。

布诺解释称，自复制恶意软件能让宏写出更多的宏。尽管不是什么新的威胁，微软也已经引入安全机制限制该恶意软件的功能，但布诺公布的漏洞还是能使攻击者很容易地避开微软的安全控制。

然而，10月17日，布诺尝试通知微软该漏洞情况时，微软并不认为这是一个安全问题。微软宣称，该功能本来就是这么设计的。但是，如今大受恶意攻击者喜爱的动态数据交换(DDE)功能，微软也是这么说的。

而且，该科技巨头还指出，最新的宏设置变动中，默认禁用所有外部及非受信宏。这会限制宏对Office VBA工程模型的默认访问。用户需点击“信任对VBA工程对象模型的访问”来手动启用外部宏。该设置让微软Office可以自动信任所有宏，不显示安全警告请求用户同意就能执行代码。

但是布诺发现，只需编辑Windows系统的注册表，就能启用或禁用该功能。这就可以在不通知用户或请求授权的情况下，让所有宏都具备写出更多宏的能力。最终，受害者暴露在所有基于宏的攻击之下，并经由与其他用户共享受感染文档，而无意识地传播了恶意软件。

趋势科技也在11月22日发布了一份报告(http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/)，公告发现了一个基于宏的新自复制恶意软件，并将之称为“qkG”。令人惊讶的是，该恶意软件同样利用了微软Office的这个功能。

就在趋势科技的研究人员评估VirusTotal上越南用户上传的qkG样本时，他们意识到，该恶意软件看起来更像是一个实验项目或概念验证，而不是真正投入使用的恶意软件。报告还揭示，该qkG勒索软件利用了一项技术，可以在Word文档被关闭时执行恶意宏。该技术被称为“自动关闭”VBA宏。

qkG是扰乱某种文件类型的首款勒索软件，也是极少数以VBA宏编写的文件加密恶意软件。

与仅将宏用作勒索软件下载的常见勒索软件不同，qkG利用了恶意宏代码，这也是Locky勒索软件变种.lukitus所用的技术。两种勒索软件都在文档被关闭时执行恶意宏，但.lukitus宏代码不仅仅检索，还执行勒索软件，以加密目标设备上保存的目标文件。

qkG勒索软件的最新样本中包含有一个比特币地址，并附有简短的勒索信，要求支付价值300美元的比特币。进一步审查发现，该比特币地址目前尚未收到过任何一笔赎金，表明该勒索软件并未真正对用户下手，而且该勒索软件仍在使用默认硬编码口令：I’m QkG@PTM17! by TNA@MHT-TT2。

布诺发布了一段视频，演示他所发现漏洞的运作机制。视频中，我们可以看到含有恶意VBA代码的微软Word文档，是怎么被用来散布该多阶段自复制恶意软件的。

虽然该方法目前尚未被黑客实际使用，但只要他们真的用了，鉴于其利用的是合法Office功能，且主流杀毒软件都不会弹出警告或封锁基于VBA代码的Office文档，情况就真的很难应付了。微软也没有发布补丁降低该威胁影响的计划，因为微软就不认为这是个威胁。

因此，布诺提出了几个缓解该威胁的解决方案。比如，将AccessVBOM注册表键从HKCU移到HKLM，这样就只有系统管理员可以编辑该注册表键了。然后，在没验证发家的情况下，用户绝对不要点击邮件中收到的意外文档中的链接。