2023年12月1日发(作者:)
宏病毒分析
一、宏病毒简介
宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而
设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,
就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复
相同的动作。
宏病毒是一种寄存在文档或模板的宏中计算机病毒。一旦打开这样的文档,
其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在
Normal模板上。从此以后所以自动保存的文档都会“感染”上这种宏病毒,而
且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行
病毒感染,本质上,它是嵌入到字处理文档或其他类型文件中的一段可执行代码。
二、宏病毒特点
(1)、宏病毒的主要破坏
1
.对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将 ○
文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。
2
.对系统的破坏是:Word Basic语言能够调用系统命令,造成破坏。 ○
(2)、宏病毒隐蔽性强,传播迅速,危害严重,难以防治
与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播
迅速,危害严重,难以治愈等特点。
(3)、宏病毒具体表现
1
.隐蔽性强 ○
由于人们忽视了在传递一个文档时也会有传播病毒的机会。
2
.毒传播迅速 ○
因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以
减少普通.EXE或.COM病毒传播的话,那么这一招对Word病毒将束手元策。
3
.危害严重 ○
无数的DOC文件从上级机关传播到基层, 基层又上报到上级机关,从各个单
位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种
可能,当成千上万的计算机系统在传播和复制这些数据以及文档文件的同时,也
在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台,并且针对数据文档
进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送
时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。
4
.难以防治 ○
由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法
不同。一般情况下,人们大多注意可执行文件(.COM、.EXE)的病毒感染情况,
而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,
因此病毒可以隐藏很长一段时间。
(4)、四种常见宏病毒
startup病毒
借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,
新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动
的原理把病毒代码复制到新打开的excel文件中。
book1病毒
book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这
种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel
文件中添加和复制一个宏表,利用宏表4.0程序的auto_open事件启动宏表中的
宏代码,进行代码复制,病毒文件创建。打开中了book1病毒文件,在插入-名
称里会出现很多陌生的定义名称,这些都是病毒启动名称。
VBA病毒
打开EXCEL文档,提示EXCEL VBA中包含无法禁用的宏( excel4.0的),
禁用宏则文档为空什么都不显示;发邮件提示有病毒文件发送不成功;在打开
EXCEL文件时,自动新建无数个EXCEL文件。
poppy病毒
如果将宏的安全性设为非常高,禁用宏,会弹出一个警告:“出现了一个
不能被禁止、又无法签署的Microsoft Excel 4.0 宏”,该表打不开;如果要打
开这个表,必须降低excel宏安全性等级,将它设为中或低,即运行宏病毒,但
又多出了一个book1表。
三、宏病毒检测
宏病毒离不开可供其运行的系统软件(WORD,EXCEL 等OFFICE 软件),所以
宏病毒的检测其实非常容易。只要留意一下常用的OFFICE 系统软件是不是出现
了一些不正常的现象,就能大概知道计算机是不是染上了宏病毒。
(1)通用模版中出现宏。
(2)无故出现存盘操作。
(3)office功能混乱,无法使用。
(4)office菜单命令消失。
(5)office文档的内容发生变化。
(6)尝试保存文档时,只允许将文档保存为文档模版的格式。
(7)文档图标的外形类似模板而非文档图标。
四、宏病毒的清除
1、手工清除
(1)、通过删除宏命令的形式删除宏病毒。
(2)、通过复制粘贴方式清除宏病毒。
(3)、通过删除来除掉Word宏病毒。
(4)、通过格式转换清除Word 宏病毒。
(5)、通过高版本的Word发现病毒宏。
(6)、为防万一,在打开怀疑感染了宏病毒的文档时按住SHIFT键,这样可以避
免宏自动运行,如果有宏病毒,则不会加载宏。
(7)、四种常见病毒清除方法
病毒。
首先把宏的安全性设置为最高级,禁止所有宏运行。然后在电脑中搜索
xlstart文件夹,找到后把该文件夹中的文件删除掉,然后逐个
打开已中病毒的文件,按atl+f11打开VBE编辑器。把含病毒的模块删除掉。
book1病毒
同样先把宏的安全设置为最高级,然后去xlstart文件夹下删除book1名子
的所有文件。然后打开含病毒代码的excel文件,然后插入--名称--定义。把陌
生的定义名称全删除掉。
poppy病毒
1、备份表格,防止万一损坏。
2、找到xlstart文件夹,删除里面的book1,其它文件也可删掉。
3、将excel 2003 宏的安全性设置为高,禁止宏病毒运行。
VBA病毒
①格式-工作表—取消隐藏,会多出来一个“00000PPY”的工作表,请把该隐
藏的工作表删除。如取消隐藏为灰色,则文件没中该病毒、EXCEL 2007操作
方法为:选中某一工作表后右键—取消隐藏
② 插入-名称-定义,把所有的多余的名称定义删除。EXCEL 2007操作方
法为:公式—名称管理器
此时该文件的病毒已删除。但如果新建EXCEL文件,则还会中该病毒,请执
行第三步
③打开ProgramFilesMicrosoftOfficeOFFICE11XLSTART下的book1文件,
执行1、2步。(BOOK1文件为无扩展名,请用右键-打开方式-选择EXCEL打开)
④找到ProgramFilesMicrosoftOfficeOFFICE11XLSTART下的book1文件,
右键—属性—只读打勾—确定。由于EXCEL每次启动时自动打开
ProgramFilesMicrosoftOfficeOFFICE11XLSTART下的book1文件,经过第3、
4步处理后,不会在本机上再传播此病毒,但已感染的文件必须逐一进行第1步
和第2步处理。
2、专杀工具
常见的宏病毒专杀工具有MacroClean(又名“Office病毒专杀”)是毒霸资
深反病毒工程师boom的业余作品,用于解决Book1、Startup、Results、Poppy
等Office常见宏病毒。
五、宏病毒的预防
(1)、根据AUTO宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有
自动宏的执行办法来达到防治宏病毒的目的。
(2)、当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用
户没有编制过、也不是OFFICE默认提供而出现的宏,特别是出现一些怪名字的
宏,肯定是病毒无疑,将它删除即可。具体做法是,选择“工具”→“宏”→“Visual
Basic编辑器”,删除各宏代码模块即可。
(3)、当使用外来可能有宏病毒的WORD文档时,如果没有保留原来文档排版格
式的必要,可先使用WINDOWS自带的写字版来打开,将其转换为写字版格式的文
件保存后,再用WORD调用。因为写字版不调用、不记录、不保存任何宏,文档
经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
(4)、最好把C 盘中的和文件设为“只读”, 把自
动执行宏功能禁止, 让宏病毒无法被激活。在Word中, 选择“工具→选项”, 进
入“常规”标签, 选取“宏病毒保护”, 这样Word 就有了防止自动宏执行的功
能。当然, 我们也可以用下面的命令行来使自动宏无效:/m( 注: 在
打开Word 文档时, 按住Shift 键也有同样的作用), 同时, 选择“工具→宏→
安全性”, 将安全级设置为最高, 并且取消“可靠来源”中的“信任所有安装的
加载项和模版”, 这让我们在预防宏病毒时更加有效。
发布评论