宏病毒分析
宏病毒分析
一、宏病毒简介
  宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。
    宏病毒是一种寄存在文档或模板的宏中计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal哈萨克斯坦女排模板上。从此以后所以自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
    宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行病毒感染,本质上,它是嵌入到字处理文档或其他类型文件中的一段可执行代码。
二、宏病毒特点
1)、宏病毒的主要破坏
      .对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。   
    .对系统的破坏是:Word Basic语言能够调用系统命令,造成破坏。
2)、宏病毒隐蔽性强,传播迅速,危害严重,难以防治
    与感染普通.EXE.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以治愈等特点。
3)、宏病毒具体表现
.隐蔽性强
   由于人们忽视了在传递一个文档时也会有传播病毒的机会。
.毒传播迅速
   因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以减少普通.EXE.COM病毒传播的话,那么这一招对Word病毒将束手元策。
.危害严重
   无数的DOC文件从上级机关传播到基层, 基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。
.难以防治
    由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法不同。一般情况下,人们大多注意可执行文件(.COM.EXE)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。
4)、四种常见宏病毒
startup病毒
  借用宏表4.0auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。
book1病毒
  book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在搞笑qq名excel文件中添加和复制一个宏表,利用宏表4.0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。
VBA病毒
  打开EXCEL文档,提示EXCEL VBA中包含无法禁用的宏( excel4.0的),禁用宏则文档为空什么都不显示;发邮件提示有病毒文件发送不成功;在打开EXCEL文件时,自动新建无数个EXCEL文件。
poppy病毒
  如果将宏的安全性设为非常高,禁用宏,会弹出一个警告:“出现了一个不能被禁止、又无法签署的Microsoft Excel 4.0 宏”,该表打不开;如果要打开这个表,必须降低excel宏安全性等级,将它设为中或低,即运行宏病毒,但又多出了一个book1表。
三、宏病毒检测
宏病毒离不开可供其运行的系统软件(WORDEXCEL OFFICE 软件),所以宏病毒的检测其实非常容易。只要留意一下常用的OFFICE 系统软件是不是出现了一些不正常的现象,就能大概知道计算机是不是染上了宏病毒。神州十四号航天员
1)通用模版中出现宏。
2)无故出现存盘操作。
3office功能混乱,无法使用。
4office菜单命令消失。
5office文档的内容发生变化。
6)尝试保存文档时,只允许将文档保存为文档模版的格式。
7)文档图标的外形类似模板而非文档图标。
四、宏病毒的清除
1、手工清除
(1)、通过删除宏命令的形式删除宏病毒。
(2)、通过复制粘贴方式清除宏病毒。
(3)、通过删除NORMAL.DOT来除掉Word宏病毒。
(4)、通过格式转换清除Word 宏病毒。
(5)、通过高版本的Word发现病毒宏。
(6)、为防万一,在打开怀疑感染了宏病毒的文档时按住SHIFT键,这样可以避免宏自动运行,如果有宏病毒,则不会加载宏。
(7)、四种常见病毒清除方法
strartup.xls病毒。
  首先把宏的安全性设置为最高级,禁止所有宏运行。然后在电脑中搜索xlstart文件夹,到后把该文件夹中的strartup.xls文件删除掉,然后逐个打开已中病毒的文件,按atl+f11打开VBE编辑器。把含病毒的模块删除掉。
book1病毒
  同样先把宏的安全设置为最高级,然后去xlstart文件夹下删除book1名子的所有文件。然后打开含病毒代码的excel文件,然后插入--名称--定义。把陌生的定义名称全删除掉
poppy病毒
  1、备份表格,防止万一损坏。
2、到xlstart文件夹,删除里面的book1,其它文件也可删掉。
3一只熊走过来、将excel 2003 宏的安全性设置为高,禁止宏病毒运行。
世界杯决赛2022时间
VBA病毒
  ①格式-工作表取消隐藏,会多出来一个“00000PPY”的工作表,请把该隐藏的工作表删
除。如取消隐藏为灰,则文件没中该病毒、EXCEL  2007操作方法为:选中某一工作表后右键取消隐藏
  插入-名称-定义,把所有的多余的名称定义删除。EXCEL  2007操作方法为:公式名称管理器
  此时该文件的病毒已删除。但如果新建EXCEL文件,则还会中该病毒,请执行第三步
  ③打开ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,执行12步。(BOOK1文件为无扩展名,请用右键-打开方式-选择EXCEL打开)
  ④到ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,右键属性只读打勾确定。由于EXCEL每次启动时自动打开ProgramFiles\MicrosoftOffice\OFFICE11\XLSTART下的book1文件,经过第34步处理后,不会在本机上再传播此病毒,但已感染的文件必须逐一进行第1步和第2步处理。
2、专杀工具
常见的宏病毒专杀工具有MacroClean(又名“Office病毒专杀”)是毒霸资深反病毒工程师boom的业余作品,用于解决Book1StartupResultsPoppyOffice常见宏病毒。
五、宏病毒的预防
1)、根据AUTO宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。
2)、当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏,特别是出现一些怪名字的宏,肯定是病毒无
疑,将它删除即可。具体做法是,选择“工具”→“宏”→“Visual Basic编辑器”,删除各宏代码模块即可。
白酒十大品牌
3)、当使用外来可能有宏病毒的WORD文档时,如果没有保留原来文档排版格式的必要,可先使用WINDOWS自带的写字版来打开,将其转换为写字版格式的文件保存后,再用WORD调用。因为写字版不调用、不记录、不保存任何宏,文档经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
4)、最好把C 盘中的AutoExec.batConfig.sys文件设为“只读”, 把自动执行宏功能禁止, 让宏病毒无法被激活。在Word, 选择“工具→选项”, 进入“常规”标签, 选取“宏病毒保护”, 这样Word 就有了防止自动宏执行的功能。当然, 我们也可以用下面的命令行来使自动宏无效:/m( : 在打开Word 文档时, 按住Shift 键也有同样的作用), 同时, 选择“工具→宏→安全性”, 将安全级设置为最高, 并且取消“可靠来源”中的“信任所有安装的加载项和模版”, 这让我们在预防宏病毒时更加有效。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。