TW445407B - Automated sample creation of polymorphic and non-polymorphic macro viruses - Google Patents

Description

4. 45 4-0 7 五、發明說明（l) 請求同在審查中之專利申請案之優先權 此處遵照35 U.S.C. §119(e)請求1997年11月21日由j

Bon lay等提出申請之同在審查中之專利申請案 . 6 0 / 0 6 6, 3 82，發明名稱"多形態和非多形態巨集病毒的自 動樣本產生”之優先權。該案併述於此以供參考。 發明領域： 概略而言本發明係關於自動分析電腦病毒，特別係 產生複數電腦病毒樣本之自動方法及裝置。 ； 發明背景： 、電腦病毒之複製為分析病毒前之首要步驟。若正 _ 複製則可對研究學者提供：（a)證實可疑病毒確實為病主仃 :(b)病毒樣本’而研究者可對該樣本從 = 毒樣本可用以擷取於各例病毒保持不 j,，病 過去數年來已經辨識客锸# 毋食名〇 明崁感興趣之電腦病毒稱作隼 、本發 於於應用程式巨集語言#^ 冴囚為其傾向 病毒相反，# - I# π ί 此係與二進制病毒及開機區 届t相反，後一者係於機器作業系統直旗 電腦巨集病毒需要复曰神 ， 、 焉執订。 '、“應用程式被載入且被激勃& 功能。只要應用程式約棗日I ,咕攸盈執仃 約走。眚Η I咗主 集之操作則此等病毒之功能受 受約束，故允許巨集執行。 旦不扣。之激發幾乎不 當懷疑帶有電腦巨隼佐I ^ μ a ^ 、 果病毒之文件或其他資料樣本（除韭 可能被誤解，$則後文僅稱為,,病 驗 接受分析’要緊地必須由接受到的可疑樣本儘可：產驗生至多

第7頁 Ι1Η C:\Program Files\Patent\54638.ptd d4540 7 五、發明說明（2) 數且多樣化 用程式並執 !行。若未能 疑，則可疑 若可疑病 生的樣本須 成。為了達 種版本包括 原因為同一 進制表現。 徵但仍保有 雖然典型 本，但某些 察得大量分 階段正確分 使用習知 勞力密集過 樣化或數目 響。 多形態巨 程或執行後

I 之樣本 行樣本 產生感 病毒可 毒不會 具有多 成多樣 外國語 應用程 同理病 病毒性 對每個 例中須 歧時， 析與試 辦法之· 程。若 過少， 。傳統 至產生 染檔則 由研究 複製， 種性質 化目的 版本重 式的不 毒於應 質。 應用程 產生更 需要多 驗。 問題為 採行捷 此等缺 之進行方式係將樣本載入適當應 感染插（本身的額外複本）人工進 稱該病毒非病毒。若對分析有懷 者人工剖析決定病毒性質。 則要緊地須產生足量樣本，及產 。此可藉多種勞力密集方法達 ’研究者可於目標應用種式之多 複複製過程。埤乃重要考慮點， 同版本可產生相同病毒之不同二 用程式之不同版本可產生不_同特 式版本無需產生多於例如6個樣 大量樣本。特別若巨集文件間觀 產生一倍版本來確保於稍後分析 若確切進行則病毒分斬為冗長的 徑則產生的樣本數目可能不夠多 點可能對隨後之分析造成負面影 參照以下 集病毒為一種可”突變"的病毒，亦即於執行過 改變病毒碼而使其更難與原先病毒版本比較3 共同讓予之美國專利案教示多種電腦病毒（不 疋巨集病毒）之檢測、去除及通知技術：1995年.8月8曰 專利.5,440,7.23名稱11電腦及電腦網路之自動 丨獲頒之美國

C:\Program Files\Patent\54638. ptd 第8頁

4.4-5 40 T 五、發明說明（3) ! 免疫系統π發明人Arno Id等；1 99 5年9月19日獲頒之美國專 利5，432,442名稱"評估及擷取電腦病毒及其他非期望軟體i 實體之簽名之方法及裝置”發明人Kephart ; 1996年1月16 曰獲頒之美國專利5, 485, 5 7 5名稱”電腦病毒結構之自動分 析及附著於其寄主之裝置"發明人Chess等；1996年11月5 曰獲頒之美國專利5, 5 72, 5 9 0名稱使用多個簽名區別惡性 改變與數位資訊”發明人Chess ;及1997年3月18日獲頒之 美國專利5，613，002名稱以電腦病毒感染之程式之解除感 染”發明人Kephart等。此等共同讓予本受讓人之美國專利 案之揭示内容併述於此以供參考，只要其揭示内容未與本 發明之教示衝突即可。 ’ 發明目的及優點： ‘ 本發明之第一目的及優點係提供一種可自動複製電腦病 毒特別巨集病毒之方法及系統。 本發明之另一目的及優點係提供一種可自動複製可疑巨j 集病毒之方法及系統’故可產生多樣化感染檔族群而輔助 可疑巨集病毒之分析’藉此提高檢測與辨識多形態巨集病 i毒之存在之機率。 發明概述 前述及其他問題皆可藉由實現根據本發明之具體例之方| 法及裝置之目的及優點克服’其中提供產生尽量多樣化可| i疑病毒樣本之自動化方法俾許可充分分析病毒。 | 本發明之方法係控制病毋固有之應用程式因而產生具有； 丨高成功率之樣本。該方法於多種應用程式版本產生樣本，丨 ! + !

C:\Program Files\Patent\54638. ptd 第 9 頁 44540 7 五、發明說明（4) 該等樣本產 病毒之不同 化為例，該 此處揭示 電腦巨集病 生可疑病毒 入如按鍵， 指令複製可 通過以該應 為，犧牲，於 系列指令包 通訊指令複 額外感染試 之步驟，及 之步驟至少 作為平行 例如由應用 用至少一個 視窗。藉此 止。 複製步驟 指令例如應 步驟。 複製步驟 生病毒 文字呈 方法可 —種自 毒之系 樣本； 滑鼠點 疑病毒 用程式 病毒之 含至少 製受感 驗檔。 該等執 部分係 方法， 程式之 棋擬按 方式複 之不同呈現及/或不同表現，結果導致 現。以病毒於病毒文字產生蓄音隨機變 辨識此種情況及產生額外樣本β 動產生至少一例應用程式之固有或關聯 統及方法。該方法包括下列步驟（3)產 及（b)使用包含至少一種模擬使用者輸 選等之程式順序或交互處理通訊GPC) 樣本於至少一個試驗檔’供執行試驗檔 而產生可疑試驗檔。試驗檔於此處考慮 檔。該方法進一步包括步驟（c)使用一 一個模擬使用者輸入如按鍵或交互處理 染的試驗棺於至少另一個試驗檔巧產生 該提供步驟包括決定可疑病毒樣本屬性 行模擬使用者輪入或交互處理通訊指令 基於決定屬性選擇。… 執行步驟包括檢測視窗之出現之步驟， 巨集病毒之一開啟的跳出視窗，然後使 鍵或父互處理通訊指令關閉該被開啟的 製過程不會被需要使用者輸入的視窗中 各自包含解譯複數腳本而產生一系列應用程式 用程式開啟，應用程式關閉及文件操縱指令之 包括比較經過執行之試驗檔與獲得之試驗檔複

C:\Program Files\Patent\54638. ptd 第10頁 ^45407 五、發明說明（5) ! i 丨本而檢測試驗棺之修改，例如存在巨集之修改或新巨集於 試驗檔之產生，及宣佈此種受改變的試驗檔為感染試驗檔 因而產生一例供隨後分析用之巨集病毒。 圖式之簡單說明 丨

前述及其他本發明之特點由隨後發明之詳細說明連同附I

. I 圖研讀將顯然易明，附圖中： 圖1為根據本發明之萬用巨集病毒複製方法之邏輯流程 圖， 圖2為處理指令檔之方法之邏輯流程圖； 圖3為執行檔操縱指令之方法之邏輯流程圖，該方法構 成圖2方法之一部分； , -♦ 圖4為執行指令之衛生檢查之方法之邏輯流程圖，；1¾方 丨 法構成圖3方法之一部分； '… 圖5為跳出視窗殺手常式之邏輯流程圖，該常式係由圖2 ： i方法起始且與圖2方法平行執行； … | 圖6為系統恢復方法之邏輯流程圖； 丨 圖7為複製樣本方法之邏輯流程圖，其構成圖1所示方法j 之一部分；及 i 圖8為根據本發明之教示之樣本複製系統之高階方塊 i :圖。 I i 發明之詳細說明 ! ^ ! ! 發明之範例具體例中，感興趣之應用程式亦即*可支援丨 受到病毒感染之巨集語言之應用程式安裝於例如於微軟視 i窗NTtm執行的個人電腦上。但提供正確功能執行該應用程 丨

C:\Program Files\Pateat\54638.ptd 第 il 頁 Λ45407 ;五、發明說明（6) ί I ! I式之作業系統較佳用於實施本發明。可發送動態資料交換| | (DDE)及物件鍵结與嵌入（〇LE)(二者皆為交互處理通訊指 | •令之例）及系統指令以及發送模擬使用者輸入如鍵盤及滑| 鼠輸入之聊本語言較佳用來控制應用程式β應用程式係於|

腳本控制下執行’若病毒錯誤或任何其他錯誤造成應用程I 式異常終止或"中止”時也確保應用程式結束。該腳本也可丨 丨檢測由病毒出現跳出視窗或應用程式必須關閉俾使複製引j I擎（參考圖ί)繼續準確執行之例。 | | 一般而言’硬體環境為可供該應用程式及應用程式所依| 賴之作業系統寄居之環境。硬體可為（IBM)個人電腦附有 丨 i例如英代爾8 0 38 6相容中央處理單元（CPU)，或可為蘋果麥； 金塔電腦或威力PCTM CPU。但僅舉出數例，需瞭解本發明 之用途非僅限於此等硬體具體例，可優異地使用可執行感| 丨興趣之應用程式之任一種硬體平臺。 |本發明之教示將於稱作Microsoft WordTM之應.用程式說 丨明，該程式用作複製過程的感染目標。再度絕非限制例， 丨本發明之教示可以類似方式應用於其他使用巨集語言例如 Microsoft ElxceT"之應用程式。資料處理業界人士容易瞭 解後文詳細說明方法可應用於多種應用程式俾成功地複製-:對該應用程式寫出的病毒。 |本發明至少部分於腳本具體表現，該腳本吊於控制應用 |程式及監控系統。適當腳本語言包括C、perl及Visual :Basi c ，其容許存取微軟視窗DDE應用程式規劃介、.面（API) 及微軟視窗OLE API ’如同微軟視窗系統介面其許可模擬

C:\PrograraFiles\Patent\54638.ptd 第 12 頁 44540 7 五 '發明說明（7) 按鍵及滑鼠2選發送給應用程式。但業界人士瞭解此僅為 I g腳本m β之例，其他腳本語言可優異地個別或組合使 用如業界人士已知腳本較佳以聊本集合執行。 隨後說明中腳本構成複^丨擎（RE)之一部分。 參照圖8所示構想方塊圖，電腦系統1包括：作業系統 (0S)2如微軟視窗NT ;複製？丨擎3其於較佳具體例包含腳本 語言之解譯器3A及腳本3β本身；感興趣之應用程式4如微 軟Word及待分析之資料樣本如含至少一種典型複數巨集之 文件D(巨集1、巨集2、…巨集n)，各自顯示關聯有病毒。 受感染的巨集（本例為巨集2)於此處稱作巨集病毒6或.簡稱 病毒6。 一方面，R£ 3作動而自動模擬使用·者與應用程式4$互 動’經由編譯腳本代表指令檔中個別指令.及產生模擬輸入 如按鍵’滑鼠活動等供執行應用程式4及巨集5嘗試制激巨 集病毒6具有病毒表現。此外RE 3可使用交互處理通訊指 令（於指令檔規定）替代模擬輸入等，此種情況出現於無法 提供期望結果或為較佳。指令檔之指令也代表模擬輸入與 交互處理通訊指令之組合。期望目標為產生額外且較诖夕-樣化之病毒樣本6顯示為複數受感染試驗檔7 β然 a 、夕 之試驗檔7可進一步分析，此乃期望結果。RE 3’y古^感染-執行已知可觸發複製之指令而激發病毒6複製。試藉由 例如Microsoft Word中後文簡稱為‘Word’巨集 成兩類巨集：自動巨集及標準巨集。自動巨集係由$可分 動執行’當Word開始時（自動執行）’ Word關閉日士W〇rd '自 ^自動退

4 45^0 7 五、發明說明（8) I出），Word開啟文件時（自動開啟）’Word關閉文件時（自動 關閉）及Word基於模版產生文件時（自動開新檔案）。 | 自動巨集對於寫病毒程式者極具吸引力，原因為其限制 使用者於操縱文件時觸發感染作業機構所需作用量及類 型。 若標準巨集具有内建word指令名稱’則於使用者點選該 指令相關項目選單或鍵入該指令之鍵盤捷徑時運作。 例如若具有存樓巨集之文件MW〇rd英文版被激發時，此i 巨集將於使用者每次點選檔案項目單中之儲存時或按下控 制鍵於S鍵時運作。標準巨集也可由其他巨集呼叫或由指 定的鍵盤捷徑。 根據 操作針 用包括 不同名 模擬 指令關 巨集而 下控制 種方式 下控制 開啟之 模擬按 鍵盤 本發明之教示’複製過程包^以多數檔案執行多種 對呼叫病毒6之標準巨集及觸發自'動巨集。此等作 :開始Word，退出Word ’開啟檔案，儲存檔案，以 稱儲存檔案，關閉檔案，產生新檔'及寫入文字檔。 按鍵係以兩種方式使用。第一方式係模擬若干^以 聯之捷徑鍵之按鍵，該等指令可，叫或觸發病毒6 使其複製。例如若病毒6含有開啟檔案巨集，則按 鍵和〇呼叫英文版ff〇rd病毒6之檔案開啟巨集。第二 係由W〇rd顯示之某些對話盒發送要求資訊^例如& 鍵和〇典型造成對話盒出現，其中使用者將鍵入待 檔案名稱及位置，RE 3等候此種視窗顯 鍵發送要求資訊。 鍵係經由Win32 ΑΡί發送特殊視窗訊息至對話盒模

C:\Program Files\Patent\54638. ptd 44540 7 五 '發明說明（9) 擬’或使用若干程式規劃語言提供之内建功钛π "与t* %擬。 資料動態交換（DDE)用於發送WordBasic指令至 後執行指令。通常DDE用於微軟視窗呈交互虚^ 2 〇rd其隨 L. 地理通訊形 式’其使用共享記憶體而於各應用程式間交# , 又供貝訊。廡田 程式可使用DDE做一次資料移轉以及繼續交拖另s * 题用 Ί为叹·灵新資 料。以本發明教示使用DDE可出現兩種作用： 、八J边使W Q γ~ d 直接執行若干經由病毒6執行時可能產生錯誤的指a (B)遨遊過檔案而編輯其内容。 及 參照第一類型作用’當指令經由DΠΕ發送時，其係由 Word内建指令執行而未觸發標準巨集，於執行其他'指令 前，自動巨集可防止由發送失能自$巨集DDE指令觸"發7。 然後再度執行失能自動巨集而致能^動巨集。 此等類型作用可用於克制巨集病毒之某些問題，否則將 造成複製方法失敗。例如英文版Word之指定巨集病毒6可 能含有訛誤巨集，其於對檔執行特殊動作.例如=啟毋存°檔 或關閉時產生錯誤。但通過DDE發送開啟、存檔或關閉指 令可繞過訛誤巨集而使處理可繼續進行。 至於第二動作，亦即遨遊通過檔及編輯其内容，注意若 干WordBasic指令可使游標移動至檔案终點或起點，可"用。 =希望添加文字至試驗檔時，因而更可模擬病毒6可能注 思之正常使用者打為範圍。相同效果可使用物件鏈結與嵌 入（0LE)指令獲得，但Word可能命令經由DDE而非經由〇LE 關機。如前述DDE及OLE為可能交互處理通訊指令之例。.但 j任何適當類型之交互處理通訊皆可用於執行本發明之教

C:\Program Fi1es\Parent\54638.ptd 第 15 頁 445407 五 '發明說明（10) 示。 如箾述’RE 3之較佳具體例包含脚本語言之解譯器a及 腳本3B本身。業界人士瞭解相同效果可以不同方式達成。 例如可使用單晶程式達成0 本發明之較佳具體例也可使用多種資料庫3C。又參照圖 8，資料庫包括下列：（a )試驗檔資料庫8，其儲存用於複 製處理的代號與活化及備份試驗檔8複本如文件間之交又 參考，（B)指令交又參考資料庫9，其以按鍵及D])e指令之 國語版本交叉參考一個指令；及（C )標準視窗資料庫丨〇， 其含有多種常規對話盒及視窗之識別資訊以及與視窗互動 所需的適當按鍵。記憶體位置也用於儲存應用程式之處理 ID及視窗柄稱作區塊11及w〇rd活性變數12。此等儲存 資料之使用容後詳述。 ； 試驗稽8Α包含Word檔，其彼此間有顯著差異而可分歧樣 本產生結果並獲得最大感染機會。其可屬-於不同類型（文 件模版及萬用模版）且含一或多個巨集或不含巨集。文件 大小可不同及可含有不同内文。 RE 3始於‘乾淨’系統丨及可疑病毒6樣本後文簡稱為樣-本。現在參照圖1 ’於1 1決定樣本屬性例如文件語言及類、 型（例如模版或平面文件）。此資訊用於使複製處理最適 化’及選擇Word之正確國語版本，按鍵及DDE指令。某些 例中’此等資訊可提供以樣本’否則該資訊於丨.1藉分析 樣本演釋。 病毒樣本可提供作為不同類型檔之一。病毒樣本載入複

44540 7 !五、發明說明（II) 數所需指令集合之方式依據類型而定，此種情況下，各種 I類型具有關聯的特定複製指令集合。 I用於fford病毒’病毒樣本可為文件模版，萬用模版或 (對於某些Word版本）文件。文件為使用者於應用程式開啟 及使用者的寫入内文之檔案。其含有對最新進w〇rd版本之 訂製程式（例如巨集）^文件模版為使用者創造的檔案，其 中使用者儲存訂製程式（例如巨集）。此等訂製程式於模版 為活性時具有被活化。使用者也可將内文寫入模版。萬用 模版為特殊模版，其中ff〇rd儲存訂製程式（例如巨集）其於 執行Word時必須呈活性。其於開始時自動由Word載入.而無 需使用者的介入《若樣本為文件模脲或文件，則一旦執行 Word文件被開啟。若樣本為萬用模版，則w〇rd之萬用模版 i於執行Word前以樣本替代。 ' ‘ I對於平面文件及文件模版處理略有不同。步驟1,2中若| 已知樣本類型則確定方法。若為是則複製前進於步驟 i I 1.3(參考圖7)。若未知樣本類型則於步驟14嘗試複製樣| :本於文件。若無法成功產生受感染的試驗檔（步驟1,5)， ! !則於步驟1,6嘗試複製樣本為萬用模版。若失敗（步驟 | 丨1.7)，則樣本最可能非為病毒6而標記供於步驟丄8人工| 析。 丨 I戸可識別為藉檢測現有巨集之變化或”或創作新i 丨不#木。例如某些病毒可未感染檔而改變檔，單純修改i |,1、内文"此種病毋稱作122〇^〇]^病毒其任意添加 | i wazzu至文件内文。但此種病毒也可能複製稱作，自動關|

C：\Program Fi ies\Patent\54638. ptd

445407 五、發明說明（12) ：閉的巨集而感染文件。繼續說明此例’特定試驗檔若發 !現先前未存在的自動關閉巨集則辨識為受感染，或發現原| 丨先存在的自動關閉巨集已經被Wazzu Word病毒自動關閉巨| j集改寫則視為受感染。 | !若感染試驗擋7於步驟1.9、1，5或1.7產生，則於步驟丄 i 10決定是否產生足量供分析之感染試驗檔7。感染試驗檔7 丨之實際分析並未構成本發明之一部分於此不再詳加說明。 |感染試驗檔7之正確數目依據病毒6性質以及使用之分析方 i法而定。通常5或6感染試驗檔即足供分析，但可使用更夕 i或更少檔。 > I 為了產生進一步樣本（及進一步之·樣本世代），較佳使用i 感染試驗檔7而非使用原始樣本來重·複複製過程。此種情| i況下，於步驟1.12選擇感染試驗檔之一 v控制其返回步a驟| j 1.3 =然後該方法使用於步驟丨.；！演繹出或步驟14及^ ^分| i析出之屬性重複進行通過目前感染試驗檔樣本匯集物 I 驟 1.3、1_10、1.11'1.12)。 ，、 ^ I 樣本無法充分複製可由步騾1.11缺乏足量樣本決定。n | |能之起因為病毒6受損3但此種情況較佳於步驟1 8以人工i |判定。同理若於步驟丨· 4*16發現未產生感.染試驗檔，=| |指示要求人工分析。 」： 丨 由於基本上無法判定指定樣本是否為病毒6，若本呈 i例敘述之處理失敗，則無法單純假定樣本非為病毒但可处 丨非為病毒。如此需要人工分析。 _此 !現在參照圖7有關複製過程之討論，參照圖丨之步驟

4 4,5 40 7 五、發明說明（13) 1.3、1.4及1.6。複製包含載入指令檔其匹配病毒6屬性及 於步驟7. 1於解譯器執行（參考圖2)。然後個別指令檔的指 令被編譯，又嘗試複製病毒6。處理後’方法比較試驗檔 8A之備份複本與使用試驗檔資料庫8之活性試驗棺（7. 2)。 試驗檔資料庫8與用於複製過程之試驗檔8A(活性）有交互 關聯具有由存取Word所得儲存之保護複本。工具用以比較 試驗檔巨集區’其指示是否試驗檔受感染。若於步驟八3 發現若干試驗檔受感染’則系統恢復於步驟7. 4 (參考圖6 ) 進行返回。若於步驟7. 3並未發現試驗檔受感染’則該方 法於步驟7. 5決定是否存在有不同指令標其匹配病毒6之屬 性。若是則控制返回步驟7. 1，否則，系統恢復於步驟7. 6並 Λ 以‘無感染試驗檔’產生指令進行返回》 / 現在參照圖2，指令檔解譯器3Α始於步驟2. 1，載入試驗 檔資料庫8其也含有用於指令檔標示試驗檔8Α之代號。其 次於步驟2. 2讀取第一指令及於步驟2. 3決1定指令屬性。指 令可為操控檔案的尋常指令*開始W 〇 r d指令或關閉W 〇 r d指 令。 若指令係開始Word則前進至步驟2, 4”硬性"關閉任何目 前正在執行的Word。’’硬性”關閉表示指令檔解譯器3 A使用 視窗AP I呼叫而殺死處理，此乃最保險的關閉處理方法。 然後Word於步驟2. 5開始及於步驟2. 6找出處理ID及視窗柄 及於步騾2 · 7儲存於記憶體區塊1 1。然後於步驟2 . 8開始跳 出殺手（參考圖5)其使用Word視窗柄定位Word原始_複本3 此種過程係與主複製過程平行進行，可負責去除典型由於

C:\Program Files\Patent\54638. ptd 第 19 頁 五 '發明說明（14) 病毒6活性結果可能出現的迷途跳出視窗，而該視窗係無 法由指令檔解譯器3Α本身處理。 若於步驟2. 3決定指令為關閉w〇rd指令則首先f試”軟性 關閉手段。於步驟2, 9鍵盤焦點基於先前儲存的處理id及 視窗柄11設定為原始W〇r(i例，於步驟2. 1 〇發送適當按鍵至 該例Word而關閉Word。首先嘗試使用此種方法而更能模擬 正常使用者行為，許可任何預期可接受此種按鍵來感染或 完成感染的病毒6。 若於步驟2 · 11判定Word藉此種技術關閉，則此處理完 成，控制進入步驟2. 1 8 »若Word未關閉，則於步驟2. 12嘗 試使用DDE關閉Word而失能自動巨集及隨後關閉tf0rd。此 種辦法對於某些病毒巨集干擾W〇rd i確結朿時為較佳， DDE許可Word自然終結但可防止巨集病毒的干擾。若於步 驟2. 13決定Word關閉，則控制進入步驟2. 18。若Word仍未 關閉則於步騾2. 14執行硬性關閉（參考步驟2. 4)-。 若於步騾2. 3決定指令為尋常Wor d指令，則控制進入步 驟2 _ 1 5執行指令（參考圖3 )，然後進入步驟2, 1 6判定被操 縱的試驗檔名稱是否改變，試驗檔名稱係由指令之.增值決― 定°若是則於步驟2 , 1 7更新試驗檔資料庫8及控制進入步- 驟2·18 。 文件試驗檔受病毒感染偶爾導致試驗檔名辦之字尾改 變’可能變成‘dot ’而非‘doc ’ 。若發生此種改變則於 步驟2, 17更新試驗檔資料庫8及控制進入步驟2, 18_。若出· 現任何其他變化例如由‘anydoc. doc ’變成

C：\Program Fi1es\Patent\54638.ptd 苐 20 頁 五'發明說明（15) ‘document doc ’ ，則RE 3推定發生某種類型之故障而忽 略該變化。 於步驟2. 18，指令檔解譯器3A決定是否存在有另—個指 令。若是，則控制返回步驟2. 2執行次一指令，否則控制 返回呼叫常式。 現在參照圖3說明於圖2步驟2, 15執行有關檔操縱指令執 行方法。當編譯指令時，步驟3. 1使用之方法由指令交又 參考資料庫9及樣本屬性擷取適當按鍵《指令交又參考資 料庫9包含按鍵DDE指令表（以列及欄格式表示），此處各欄 表示Word版本及各列表示指令.因需要不同按鍵用於不同 國語及其他Word版本故使用指令交冬參考資料庫9，如同 本發明使用之多種程式般。DDE指令*也交叉參考供稍後使 用。 、 亦即扣令是否正確執 行至次一指令。否則 發送按鍵。 否預期為視窗。若是 真正出現。若是，則 結顯示視窗。此時須 仍然存在。若是’則 令之主張（空自主張g 功。若於步騾3, 7決突 ，於此處執行、硬性關 出現預期的視窗， 於步騾3.2，若指令之衛生檢查， 行（參考圖4)。若檢查失敗則方法進 於步驟3. 3鍵盤焦點設定為Word例及 於步驟3.4判定接受處理的指令是 則於步驟3, 5檢查判定預期視窗是否 控制進入步驟3. S發送要求的按鍵終 移開視窗，於步驟3. 7決定視窗是否 控制進入步驟3_ 8使用伴隨大部分指 常藉著内設而為真）決定指令是 視窗仍然存在，則控制進入步驟3 9 閉視窗。它方面，若於步驟3 5並未

C:\Program Γϊles\Patent\54638. ptd

五、發明說明（16) 於步驟3, 9出現視窗但已經被硬性關閉，或若於步驟3 8判 定主張失敗，則控制進入步驟3· 1〇而擷取等於指令之‘ DDE，失能自動巨集，發送指令然後致能自動巨集。隨後 返回處理下一指令。 可採用多種技術來決定視窗的存在的現況。例如tfin32 API提供許多功能來操縱視窗。若干功能例如FindWindQws 及FmdWindowsEx於存在有此種視窗時返回具有特殊特徵 (名稱，類別，處理等）之視窗處理（識別編號）。另—種功 能GetLastActivePopup擷取由特定處理產生之最末跳出視 窗處理。其他功能返回視窗性質，提供其處理。 根據本發明之一方面，跳出殺手使用此種功能判定粍d 是否產生跳出視窗，獲得決定視窗‘否為常規視窗之 視窗特徵（例如名稱及類別）。 ' 7 RE 3可使用相同功能但Re 3並非決定視窗是否為常規視 窗，反而決定視窗是否為預期視窗。- 參照圖4，衛生檢查（圖3步驟3· 2)本身牽涉第一步驟 4.1，使用試驗檔資料庫8由處理擷取試驗檀名稱，及於步 驟4, 2檢查原始例是否使用預先儲存的處理id及視窗 處理11仍然運作。#非屬此種情況，則返回且附有錯誤指 Μ運作’則方法前進至步郵4.3判定 曰7貝右％ 7晕涉開啟檔’則執行步驟4. 4判定目標 稽是否可開啟供讀寫存取。#是則返回而附以成功指示， 否則返回而附有錯誤“。若指令並非涉及操縱檔，則控 制進入步驟4, 5判定择始；+ & 锦縱之文件是否同目前载於Word的文

4 4δ 4>〇 1 五、發明說明（17) 交互處理通訊指令查 否則返回而附有錯誤指 若是則返回附有成功指示 件《目前文件可使用系統呼叫或藉 個檔 則方法即刻退出附有成 示。若指令益非涉及產生 功指示。 前文说明係參照恢復系統（例如阁7止 砝夕日沾在生私V V 1如圖7步驟7, 4及7. 6)。恢

復乐統之目的係清除任何殘餘佐* D 货届毒6之複製引鼙3。現在參 照圖6，於步驟6. 1全部Word例皆鈾" Ψ 』一— 白破硬性"關閉》於步驟6. 2系統Word已經存取的檔案系统部 ^ ^ !刀错由去除全部額外檔 及以備份複本替代被改變的槽而被,，磨除”。最後於步驟6· 3系統使用者恢復其原先狀態。 現在對目前較佳之處理跳出視窗進行說明。當病毒的寄 主應用程式係藉主複製法執行時，出現某些對話盒及跳出 視窗。此種視窗屬於多種類別。例如標準_視窗係由回應於 指令需要某種資訊之應用程式產生（例如於英文版粍以， 當使用者選擇由檔案項目單開啟檔或當使-用者壓下控制鍵 和〇鍵開啟棺時出現開殷對話盒）。另一例中，視窗可藉病 毒6產生。此等視窗要求使用者的介入（點選按鈕或按壓按 鍵），否則终止R E 3之自動執行。 若視窗為標準視窗，則RE 3之主複製過程於標準視窗資 料庫1 0存取關閉視窗所需資訊，使用例如前述模挺發 送該資訊至視窗。自若視窗係來自於病毒或馬無法關閉的 標準視窗，則需關閉視窗來致能進行自動複製處理。鲈出 殺手常式（始於圖1步驟2. 8 )其回應於視窗的關閉與“ ^之 其他操作並行執行。

C:\Program Files\Patent\54638. ptd 五、發明說明（18) 跳出殺手也回應於另外兩種任務，其目的係防止RE 3故 障終止。其他任務係發現未知Word例執行時殺死（终止）未 知Word例，若發現Word將要故障終止時殺死Word。本發明 中當Word —致無法開啟檔案或關閉目前檔案時則視為Word 失活化。RE 3測量目前檔案開啟多久或並未開啟任何檔案 經過多久而瞭解此種情況。又就此方面而言若Word故障終 止，則無法對RE 3發送的指令正確反應。例如當RE 3發送 DDE指令給Word時，其等候來自〇S 2之信號指示應用程式 接收指令。若Word故障終止而未發送指令，則RE 3將無限 期的等候’除非被定期器或若干其他機搆终止。但若w〇rd 未運作’則由OS 2即刻發送錯誤碼返回RE 3，其可重建作 業。如前文討論’此等先前例係由；^成RE 3執行指令的腳 本處理> 、 ； 當於圖1步驟2.8首先啟動Word時，跳出殺手常式被引 發。參照圖5，包含始於步驟5. 1之迴路而關閉所有未知之 Word例（亦即不具有對應處理11}及視窗處理u之例）。然後 於步驟5. 2判疋疋否預定〇 r d例仍在執行。若否則常式退 出。若預定Word例仍然在執行，則於步驟5. 3使用粍rd活 性變數1 2決定Word是否已經執行或已經失活化超過一段預 定時間。此步驟涉及檢查及更新w〇rd活動之硬體或軟體定 時器以及總Word執行時間。若w〇rd&經執行過長時間或已 經失活化過長時間，則於步驟5> 4硬性關閉及常式終結’ 否則於步驟5. 5判定存在有跳出視窗。若無跳出視心κ 步驟5, 6檢查活性檔案是否已改變’該種情況下，於步驟

C:\Program Files\Patent\54638.ptd 第24頁 Δ454ϋ 7 五、發明說明（19) 5. 7設定Word活性變數12指示Word為活性。否則於步驟5. 8 設定W 〇 r d活性變數1 2指示W 〇 r d無活性。任一種情況下，控 制於步驟5.1返回迴路頂端。Word活性變數12用於步驟 5. 3，如前述。 若於步驟5. 5判定跳出視窗已經出現，則控制進入步驟 5, 9 ’使用前述一種或多種視窗相關功能判定跳出視窗是 否為標準視窗資料庫1 〇中列舉的標準視窗。若跳出視窗為 列舉視窗，則假定存在有跳出視窗係由於主執行處理結 果。此種情況下於步驟5. 1 〇延遲供關閉視窗。於步驟5 !丄 判定跳出視窗是否仍然存在。若仍然存在則視窗被硬性關 閉如同於步驟5. 9該跳出視窗未見於標準視窗資料庫1 〇時 該視窗亦關閉。控制進入步驟5· 7。硬性關閉跳出視窗可 札示跳出視齒於未預期出現時出現，或跳出視窗無法以正 常方式關閉。若於步驟5. 11發現經過步驟5,ι〇之時間延遲 後視窗”自然"關閉’則控制進入步驟5· 7設定w〇rd活性 數1 2指示W 〇 r d活性。 顯然本發明之教示提供供經由使用模擬使用者輸入如按 鍵，滑鼠點選等以及經由使用交互處理通訊指令及典型使 用者無法利用之系統階層指令提供複製£ f病毒之^ 用技術及系統。 雖然前文已經特別參照較佳具體例說明本弩明，但業界 人士顯然易知可未悖離本發明之範圍及精髓對形式及細 上做出多種變化。 v

C:\Program Fiies\Patent\54638,ptd 第25頁

Claims (1)

1. d4B AU 7 六、申請專利範圍 1. 一種自動產生至少一例與一應用程式有關的電腦巨集 病毒之方法，該方法包含下列步驟： 提供一可疑病毒樣本；及 使用至少一模擬過的使用者輸入或交互處理通訊指令 複製可疑病毒樣本於至少一試驗檔上，用以經由該應用程 式執行試驗檔而因而產生感染試驗檔。 2. 如申請專利範圍第1項之方法，其進一步包含下述步 驟： 使用至少一模擬過的使用者輸入或交互處理通訊指令 複製被感染的試驗檔於至少另一個試驗檔上，而產生一個 額外受感染的試驗檔。 3. 如申請專利範圍第2項之方法，其中該提供步騾良括 一個決定可疑病毒樣本屬性之步驟，且其中該執行模擬使 用者輸入或交互處理通訊指令之步騾至少部分係基於所決 定的屬性而選擇。 —_ 4. 如申請專利範圍第2項之方法，其中該執行步騾包括 下列步驟： 檢測由應用程式或巨集病毒之一開啟的視窗出現；及 使用模擬使用者輸入或交互處理通訊指令中之至少一 者關閉該被開啟的視窗。 5. 如申請專利範圍第2項之方法，其中該等^复製步驟各 自包括一個解譯複數稿本而產生複數應用程式指令之步 驟。 、-. 6. 如申請專利範圍第5項之方法，其中該應用程式指令

   C:\Program Files\Patent\54638. ptd 第26頁 44540 7 P'申請專利宛圍 ~~~ ' i ! ί I包含應用程式開啟，應用程式關閉及文件操縱指令。 | 7, 如申請專利範圍第2項之方法，其中該等複製步称包 括一個比較被執行的試驗檔與試驗檔之安全複本，俾檢測 新巨集的產生或修改正在執行試驗檔中之現有巨集，及宣 佈已改變的試驗檔為受感染的試驗檔之步驟。 i i 8. —種自動產生與一應用程式有關之至少一例電腦巨集 病毒用之系統’包含一供儲存應用程式的記憶體，一含有 至少一巨集的可疑樣本，一包含表示一應用程式指令檔案 及一指令解譯器的複數稿本的複製引擎，複數試驗檔及包 含一資料庫供儲存至少可表示執行某種指令所需預定1使用| 者輪入資訊的諸資料庫；該複製引擎操作而解譯該指令檔 |案’用以產生複數個應用程式指令’及用以發送對馬預定i 模擬使用者輸入或交互處理通訊指令中之至少一者，’供透i 丨過該應用程式執行一試驗檀；該系統尚包含裝置供比較一 |已執行的試驗檔與其安全複本以檢測新£集的產生或被執Ϊ 行的試驗檔中現有巨集之修改’及供宣佈被修改的試驗檔丨 為含有已複製的巨集病毒之受感染試驗檔。 | ί 9.如申請專利範圍第8項之系統，其中該複製引擎又進 I —步操作使用對應預定模擬使用者輸入或交:互處理通訊指-丨 |令中之至少一者，供複製一可疑試驗檔於至少另一試驗檔； 上’提供另一世代巨集病毒。 ! 10·如申請專利範圍第8項之系統，其進一步包含決定可丨 疑病毒樣本屬性之裝置，及其中該解譯器至少部分係基於 決疋的屬性而選擇使用者輸入或交互處理通訊指令。

   C:\ProgramFiles\Patent\54638.ptd 第 27 頁 ^45 40 7 I六、申請專利範圍 ! 丨 11.如申請專利範圍第8項之系統，其進一步包含檢測由丨 ! !應用程式或巨集中之一者開啟之視窗出現之裝置，該裝置； | j |係與解譯器平行操作，用以根據視窗資料庫決定被開啟的i 視窗是否為標準視窗，及用以使用模擬使用者輸入或交互 處理通訊指令中之至少一者關閉被開啟的視窗。 1 2.如申請專利範圍第8項之系統 > 其中該應用程式指令 包含應用程式開啟，應用程式關閉及文件操縱指令。 1 3.如申請專利範圍第9項之系統，其中該巨集病毒為多 形態巨集病毒，且其中該巨集病毒之另一世代係與已複製 的巨集病毒不同。 -

   C:\Program Files\Patent\54638. ptd 第28頁