臭名昭着的Clippy比以往任何时候都更加震撼，因为安全研究人员开发了一种工具，可以帮助红色的teamers和安全测试人员创建恶意的Microsoft Office文档。

Outflank专家在BlackHat Asia展示了该工具，并在技术分析中解释说，所谓的Evil Clippy可以使用涉及VBA踩踏的复杂方法绕过防病毒应用程序。

研究人员解释说，这种方法归结为滥用未正式记录的功能，即“每个模块流的未记录的PerformanceCache部分包含VBA引擎的编译伪代码（p代码）”。

可以在Windows，Linux和macOS上运行的Evil Clippy可以隐藏来自GUI编辑器的VBA宏，傻瓜分析工具，通过HTTP提供VBA踩踏模板，以及在Office文档中设置和删除VBA项目锁定/不可查看的保护。

“Evil Clippy使用OpenMCDF库来操作MS Office复合文件二进制格式（CFBF）文件，并且此处滥用MS-OVBA规范和功能。它重用Kavod.VBA.Compression中的代码来实现dir和模块流中使用的压缩算法（参见MS-OVBA的相关规范），“安全研究人员解释说。

深入了解Evil Clippy可以在上面链接的页面上找到。

微软需要做什么
虽然Evil Clippy可能会引起微软Office用户特别关注，但安全专家团队指出，该工具的目的是呼吁这家位于雷德蒙德的软件巨头进一步加强对其生产力套件中恶意宏的防护。

“Evil Clippy只是揭示了由于VBA宏官方规范（MS-OVBA）与MS Office中的实际实现之间的差距导致的问题。由于恶意宏是威胁行为者最初妥协的最常见方法之一，因此对这些宏进行适当的防御是至关重要的，“他们解释说。

Evil Clippy的源代码已经在GitHub上提供了。