基于VB的Excel宏表病毒专杀工具设计与实现

2024年3月20日发(作者：)

ＣＯＭＰＵＴＩＮＧ　ＳＥＣＵＲＩＴＹ　ＴＥＣＨＮＩＱＵＥＳ　计算机安全技术　

基于ＶＢ的Ｅｘｃｅｌ宏表病毒专杀工具设计与实现　

解必华　

（云南省楚雄农业学校，云南楚雄６７５０００）　

摘要：基于ＶＢ的Ｅｘｃｅｌ宏表病毒专杀工具，具有清除硬盘、移动磁盘及用户指定目录中已知的Ｂｏ０ｋ１宏表病毒　

及其他未知的Ｅｘｃｅｌ宏表病毒功能。本文分析宏表病毒的感染症状与原理，论述了程序的设计与实现。　

关键词：Ｅｘｃｅｌ；Ｂｏｏｋ一病毒；宏病毒；专杀程序　

Ｔｈｅ　Ｄｅｓｉｇｎ　ａｎｄ　Ｒｅａｌｉｚａｔｉｏｎ　ｏｆ　ａ　Ｒｅｍｏｖａｌ　Ｍａｃｒｏ　Ｖｉｒｕｓ　Ｔｏｏｌ　Ｂａｓｅｄ　ｏｎ　ＶＢ　

ＸＩＥ　Ｂｉｈｕａ　

（Ｙｕｎｎａｎ　Ｃｈｕｘｉｏｎｇ　Ａｇｒｉｃｕｌｔｕｒａｌ　Ｓｃｈｏｏｌ，Ｙｕｎｎａｎ　Ｃｈｕｘｉｏｎｇ　６７５０００）　

Ａｂｓｔｒａｃｔ：Ｔｈｅ　ｐｒｏｇｒａｍｅ　ｏｆ　ｔｈｅ　Ｒｅｍｏｖ￣Ｅｘｃｅｌ　ｍａｃｒｏ－ｓｈｅｅｔ　ｖｉｒｕｓ，ｃａｎ　ｒｅｍｏｖｅ　ｔｈｅ　ｅｘｃｅｌ　ｍａｃｒｏ—ｓｈｅｅｔ　ｖｉｒｕｓ　ｓｕｃｈ　ａｓ　Ｂｏｏｋｌ—　

Ｖｉｍ　ｉｎ　ｔｈｅ　ｈａｒｄ　ｄｒｉｖｅ，ｔｈｅ　ｒｅｍｏｖａｂｌｅ　ｄｉｓｋｓ　ａｎｄ　ｔｈｅ　ｄｉｒｅｃｔｏｒｙ．Ｔｈｉｓ　ｐａｐｅｒ　ａｎａｌｙｚｅｓ　ｔｈｅ　ｍａｃｒｏ　ｖｉｒｕｓ　ｉｎｆｅｃｔｉｏｎ　ｓｙｍｐｔｏｍｓ　ａｎｄ　

ｐｒｉｎｃｉｐｌｅ，ｄｉｓｃｕｓｓｅｓ　ｔｈｅ　ｄｅｓｉｇｎ　ａｎｄ　ｒｅａｌｉｚａｔｉｏｎ　ｏｆ　ｔｈｅ　ｐｒｏｇｒａｍ．　

Ｋｅｙ　ｗｏｒｄｓ：Ｅｘｃｅｌ；Ｂｏｏｋ—Ｖｉｍ；Ｍａｃｒｏ　Ｖｉｕｓ；Ｋｉｒｌｌｉｎｇ　Ｖｉｕｓ　Ｐｒｏｇｒａｍｅ　ｒ

１　引言　

Ｅｘｃｅｌ宏表病毒属于Ｅｘｃｅｌ宏病毒，具有一定的危害性、　

易传染、Ｅｘｃｅｌ普通用户难清除等特点。时下正流行的Ｂｏｏｋｌ　

病毒，可认为是Ｅｘｃｅｌ宏表病毒的典型代表。通用杀毒软件一　

般不检查此类病毒或直接隔离、删除染毒Ｅｘｃｅｌ数据文件，给　

用户造成不必要的损失；手工逐文件清除病毒费时、费力，　

４３个之多）。对于受感染的Ｅｘｃｅｌ文件，用户使用网易邮件服　

务器发送时，会被告知因邮件含病毒而未被发送。　

３　专杀工具设计与实现　

３．１程序功能　

Ｅｘｃｅｌ宏表病毒专杀程序的核心功能是干净、尽可能无损　

或微损清理目标计算机及用户Ｅｘｃｅｌ文件中的Ｅｘｃｅｌ宏表病毒，　

恢复Ｅｘｃｅｌ程序正常运行及用户Ｅｘｃｅｌ数据文件的正常使用。　

从方便用户使用角度，设计Ｅｘｃｅｌ宏表病毒专杀程序主要功能　

如下：　

效率与效益低。下文尝试论述以Ｖｉｓｕａｌ　Ｂａｓｉｃ６．０作开发工具，　

开发主要针对Ｂｏｏｋｌ病毒的Ｅｘｃｅｌ宏表病毒专杀软件。　

２　病毒原理及感染特征　

Ｅｘｃｅｌ宏表病毒通过在Ｅｘｃｅｌ工作簿文件中插入隐藏的　

Ｍｉｃｒｏｓｏｆｔ　Ｅｘｃｅｌ　４．０宏表，向工作簿中定义若干名称，在宏表　

（１）全盘清理：对用户计算机整个硬盘各逻辑分区及插　

入计算机的各移动磁盘中的所有Ｅｘｃｅｌ工作簿文件逐个进行　

Ｅｘｃｅｌ宏表病毒检查与清理。　

中写入若干公式，实现向Ｅｘｃｅｌ启动文件夹Ｘｌｓｔａｒｔ中检查或创　

建其无扩展名母病毒文件，向新工作簿及所打开工作簿复制　

宏表病毒。Ｅｘｃｅｌ宏表病毒利用Ｅｘｃｅｌ启动时自动加载Ｘｌｓｔａｒｔ　

启动文件夹中文件、Ｅｘｃｅｌ　４．０宏表禁止宏运时不打开含宏表　

（２）Ｕ盘清理：仅对用户插入计算机的各移动磁盘中的所　

有Ｅｘｃｅｌ工作簿文件逐个进行Ｅｘｃｅｌ宏表病毒检查与清理。　

（３）目录清理：仅对用户指定的硬盘某一逻辑分区、插　

入计算机的某一移动磁盘或任一目录中的所有Ｅｘｃｅｌ工作簿文　

件逐个进行Ｅｘｃｅｌ宏表病毒检查与清理。　

（４）特殊文件隔离：对受损或用户无密码不能打开的Ｅｘ—　

ｃｅｌ工作簿文件，分别移动到专门目录，供用户删除处理，获　

得密码或文件修复后，使用“目录清理”功能清理。　

（５）Ｅｘｃｅｌ清理：无论上述哪种清理，均首先清除Ｅｘｃｅｌ　

的相应工作簿、Ｅｘｃｅ１名称与公式在工作簿打开后自动运算功　

能，激发自身运行，实现Ｅｘｃｅｌ感染与文件感染及自身传播。　

计算机感染Ｅｘｃｅｌ宏表病毒后，在Ｐｒｏｇｒａｍ　Ｆｉｌｅｓ＼Ｍｉｃｒｏｓｏｆｔ　

Ｏｆｉｆｃｅ＼ＯｆｆｉｃｅｋＸｌｓｔａｒｔ目录，甚至各Ｗｉｎｄｏｗｓ用户的Ａｐｐｌｉｃａｔｉｏｎ　

Ｄａｔａ＼ＭｉｅｒｏｓｏｆｔｋＥｘｃｅｌｋＸＬＳＴＡＲＴ目录中，会被创建一个可用Ｅｘ—　

ｃｅｌ打开的无扩展名文件）或扩展名为．ｘｌｓ的文件（Ｂｏｏｋｌ病毒　

均命名为“Ｂｏｏｋｌ”）。用户启动Ｅｘｃｅｌ或打开Ｅｘｃｅｌ文件并禁用　

宏时，Ｅｘｃｅｌ提示“该工作簿中含有一种无法被禁用又无法被　

签署的宏（Ｍｉｃｒｏｓｏｆｔ　Ｅｘｃｅｌ　４．０版的宏……”。若用户选择不打　

开工作簿，目标丁作簿文件将不被打开。若用户选择启用宏　

启动目录中的宏表病毒文件。　

３．２查杀算法　

依据Ｅｘｃｅｌ宏表病毒感染原理，设计清除算法如下：　

（１）清除Ｐｒｏｇｒａｍｅ程序目录中的Ｅｘｃｅｌ主病毒文件。　

打开工作簿，宏表病毒文件（Ｂｏｏｋｌ病毒为“Ｂｏｏｋｌ”文件）　

将被同时打开，宏表病毒自动运行，完成对所打开工作簿文　

件的感染；用户使用工作表取消隐藏操作或使用ＶＢＡ代码设　

置所有工作表Ｖｉｓｉｂｌｅ属性为Ｔｒｕｅ，可看到被隐藏的病毒宏表　

（Ｂｏｏｋｌ病毒为“Ｏ００００ｐｐｙ”）；在Ｅｘｃｅｌ“定义名称”对话框名　

（２）清除各Ｗｉｎｄｏｗｓ用户目录中的Ｅｘｃｅｌ主病毒文件甚至　

Ｅｘｃｅｌ菜单栏与工具栏配置文件。　

作者简介：解必华（１９７３一），男，讲师，研究方向：办公自　

动化与信息管理。　

收稿日期：２０１１－１０—１１　

称列表中，用户可找到若干非自己定义的名称（Ｂｏｏｋｌ病毒有　

。参　－ｔ柚　４　，　

电脑编程技巧与维护　

（３）清除硬盘各分区、移动磁盘或用户指定目录一辛受感　主要通过Ｄｏ　Ｗｈｉｌｅ……Ｌｏｏｐ循环、Ｆｏｒ……Ｎｅｘｔ循环与　

Ｓｕｂ过程递归调用实现。在Ｄｏ　Ｗｈｉｌｅ……Ｌｏｏｐ循环中，通过Ⅱ　

染Ｅｘｃｅｌ工作簿文件中的病毒宏表和病毒定义名称，原路径、　

原名另存文件。　

（４）对受损与用户无密码不能打开的Ｅｘｃｅｌ工作簿文件，　

分别移动到专门目录“受损工作簿”与“加密工作簿”。　

３－３程序开发　

语句和ＧｅｔＡｔｔｒ函数，实现对目录中子目录的判断及数量获取；　

在Ｆｏｒ……Ｎｅｘｔ循环中，通过递归调用实现对各级子目录中工　

作簿文件的遍历；在Ｄｏ　Ｗｈｉｌｅ……Ｌｏｏｐ循环中，调用工作簿　

文件中病毒体清除过程，实现目录中所有工作簿文件的打开　

及病毒清理。　

（１）ＶＢ访问Ｅｘｃｅｌ程序　

ＶＢ中调用Ｅｘｃｅｌ，需添加对Ｅｘｃｅｌ的引用，Ｅｘｃｅｌ２００３的　

引用项目为“Ｍｉｃｒｏｓｏｆｔ　Ｅｘｃｅｌ　１　１．０　Ｏｂｊｅｃｔ　Ｌｉｂｒａｒｙ”。模块过程或　

事件过程中调用Ｅｘｃｅｌ打开工作簿前，先定义Ｅｘｃｅｌ程序、工　

作序簿、工作表对象并实例化。调用Ｅｘｃｅｌ完成一个染毒文件　

（６）工作簿文件中病毒体清除　

程序成功打开工作簿文件后，分两步清除病毒体，原路　

径、原名另存文件即可。首先，对于用户未知的宏表病毒，　

使用Ｆｏｒ　Ｅａｃｈ……Ｎｅｘｔ循环遍历ＷｏｒｋＳｈｅｅｔｓ集合，将其中的　

病毒体清理任务后，应释放定义的Ｅｘｃｅｌ程序、工作簿、工作　

表对象变量。　

（２）用户组遍历及主病毒文件清除　

Ｅｘｃｅｌ　４．０宏表全部删除（会导致用户的非病毒宏表删除）；对　

于用户已知的Ｂｏｏｋｌ病毒，不用遍历，使用Ｓｈｅｅｔｓ　

（“Ｏ００００ｐｐｙ”）．ｄｅｌｅｔｅ删除其病毒宏表“０００００ｐｐｙ”。然后，对　

于用户未知的宏表病毒，使用Ｆｏｒ　Ｅａｃｈ……Ｎｅｘｔ循环遍历Ｅｘ—　

使用系统环境变量Ｅｎｖｉｒｏｎ（”ＳｙｓｔｅｍＤｒｉｖｅ”）获取系统盘　

盘符，使用ＦｉｌｅＳｙｓｔｅｍ０ｂｉｅｃｔ对象的ＧｅｔＦｏｌｄｅｒ方法获取各　

Ｗｉｎｄｏｗｓ用户文件夹所在的Ｄｏｃｕｍｅｎｔｓ　ａｎｄ　Ｓｅｔｔｉｎｇｓ文件夹。通　

过Ｆｏｒ　Ｅａｃｈ……Ｎｅｘｔ循环与Ｋｉｌｌ语句实现对Ｗｉｎｄｏｗｓ用户组　

的遍历，并删除各Ｗｉｎｄｏｗｓ用户目录中Ｅｘｃｅｌ启动文件夹中的　

病毒文件。　

（３）硬盘分区与移动磁盘遍历　

对磁盘的遍历，可调用Ｗｉｎｄｏｗｓ　ＡＰＩ函数中的ＧｅｔＬｏｇｉ—　

ｃａｌＤｒｉｖｅＳｔｒｉｎｇｓ函数与ＧｅｔＤｒｉｖｅＴｙｐｅ函数实现，故需在ＶＢ工　

程声明部分，先声明两函数。ＧｅｔＬｏｇｉｃａｌＤｒｉｖｅｓｔｒｉｎｇｓ函数用于　

获取所有逻辑驱动器的根驱动器路径；ＧｅｔＤｒｉｖｅＴｙｐｅ函数用于　

判断磁盘驱动器的类型。程序只对硬盘

ＤＲＩＶＥ

ｃｅｌ的Ｎａｍｅｓ集合，将其中的名称定义全部删除（会导致用户　

定义的名称删除）；对于用户已知的Ｂｏｏｋ１病，只删除其病毒　

名称定义４３个即可。　

４　结语　

基于ＶＢ的Ｅｘｃｅｌ宏表病毒专杀程序，是一款适用、小　

巧，对染毒Ｅｘｃｅｌ文件无损或微损清除宏表病毒体的绿色软　

件，可作为ＶＢ程序设计的教学范例或实训开发项目。　

参考文献　

［１］ＳＴＥＰＨＥＮ　ＢＵＬＬＥＮ，等，著．杜茂康，刘友军，等，译．　

Ｅｘｃｅｌ专业开发［Ｍ】．北京：电子工业出版社，２００７．　

［２］张更路，董岩，高仕军．查杀Ｒｏｓｅ病毒的程序设计．电　

脑编程技巧与维护，２００６（９）．　

（类型值为　

ＦＩＸＥＤ）、移动磁盘（类型值为ＤＲＩＶＥ—ＲＥＭＯＶＡＢＬＥ）　

进行遍历和病毒清理。遍历通过Ｄｏ……Ｌｏｏｐ　Ｕｎｔｉｌ循环实现。　

（４）目录及工作簿文件遍历　

（５）对目录及工作簿文件的遍历　

（上接第１１７页）　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｎｅｔ　１．１．１．２　０．０．０．０　ａｒｅａ　０　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｎｅｔ　２．２．２．０　０．０．０．２５５　ａｒｅａ　０　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｅｘｉｔ　

Ｒ３：　

，

Ｒ２：　

Ｒｏｕｔｅｒ＃ｃｏｎｆｉｇ　ｔ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ）＃ｒｏｕｔｅｒ　ｏｓｐｆ　１００　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ａｒｅａ　０　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｓ－　

ｓａｇｅ——ｄｉｇｅｓｔ　Ｒｏｕｔｅｒ＃ｃｏｎｆｉｇｔ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｒｏｕｔｅｒ　ｏｓｐｆ　１００　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｎｅｔ　１．１．１．３　０．０．０．０　ａｒｅａ　０　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｉｎｔ　ｅＯ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ—ｉｆ）＃ｉｐ　ｏｓｐｆ　ｍｅｓｓａｇｅ—ｄｉｇｅｓｔ—ｋｅｙ　１　

ｍｄ５　ｃｉｓｃｏ　

Ｒ３：　

Ｒｏｕｔｅｒ＃ｃｏｎｆｉｇ　ｔ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｎｅｔ　３．３．３．３　０．０．０．２５５　ａｒｅａ　０　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｅｘｉｔ　

启用ｍｄ５认证：　

Ｒ１：　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ）＃ｒｏｕｔｅｒ　ｏｓｐｆ　１００　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ａｒｅａ　０　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｓ－　

ｓａｇｅ。‘ｄｉｇｅｓｔ　

Ｒｏｕｔｅｒ＃ｃｏｎｆｉｇ　ｔ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ）＃ｒｏｕｔｅｒ　ｏｓｐｆ　１００　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ａｒｅａ　０　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｍｅｓ－　

ｓａｇｅ——ｄｉｇｅｓｔ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ－ｒｏｕｔｅｒ）＃ｉｎｔ　ｅ０　

Ｒｏｕｔｅｒ　ｒ　ｃｏｎｆｉｇ—ｉ）＃ｉｆｐ　ｏｓｐｆ　ｍｅｓｓａｇｅ—ｄｉｇｅｓｔ—ｋｅｙ　１　

ｍｄ５　ｃｉｓｃｏ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ—ｒｏｕｔｅｒ）＃ｉｎｔ　ｅＯ　

Ｒｏｕｔｅｒ（ｃｏｎｆｉｇ—ｉｆ）＃ｉｐ　ｏｓｐｆ　ｍｅｓｓａｇｅ—ｄｉｇｅｓｔ—ｋｅｙ　１　

ｍｄ５　ＣｉＳＣＯ　

冀鼗