作者:乔山办公网日期:
返回目录:office365
宏病毒是一些别有用心的人,利用Microsoft Office的开放性,即Word中提供的VBA编程接口,专门制作的一个或多个具有病毒特点的宏的集合。其特点是传知播极快、制作变种方便、破坏性极大。
大多数宏道病毒中含有自动宏或对文档读写操作的宏指令,以BFF(Binary File Format)的加密压缩格式存放在.doc或.dot文件中,每种Word版本格式可能不兼容。
建议您安装腾讯电脑管家杀毒软件,全面的保护您的电脑安全!!首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,能够在保证识别准确率的前提下最大程度地提升木内马病毒的通杀能力,VB100、AVC、AV-TEST、Check Mark等国际权威杀毒软件评测中均取得佳绩,并成为获得国际权威认证“四大满贯”的国产杀毒软件。杀毒能力已跻容身国际超一流杀毒软件行列
希望可以帮到您了
一、宏病毒的一般知识
1、什么是宏?
宏是微软公司为其OFFICE软件包设计的一个特殊功能,目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXEAL都有宏。在下面的讨论中我们以WORD为例。
如果在Word中重复进行某项工作,可用宏使其自动执行。宏是将一系列的Word命令和指令组合在一起,形成一个命令,以实现任务执行的自动化。您可创建并执行一个宏,以替代人工进行一系列费时而重复的 Word操作。
以下是宏的一些典型应用:
加速日常编辑和格式设置
组合多个命令
使对话框中的选项更易于访问
使一系列复杂的任务自动执行
Word提供了两种创建宏的方法:宏录制器和Visual Basic编辑器。
宏录制器可帮助您开始创建宏。Word在Visual Basic for Applications编程语言中把宏录制为一系列的Word命令。
可在Visual Basic编辑器中打开已录制的宏,修改其中的指令。也可用Visual Basic编辑器创建包括Visual Basic指令的非常灵活和强有力的宏。
您可将宏保存到模板或文档中。在默认的情况下e799bee5baa6e4b893e5b19e333,Word将宏存贮在 Normal模板中,以便所有的Word文档均能使用。注意这一特点几乎为所有的宏病毒所利用
2、什么是宏病毒?
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒;如果 WORD系统中的模板包含了宏病毒,我们称WORD系统感染了宏病毒。
虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒(要得到这种保护,需要购买和安装专门的防病毒软件)。但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。
这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏。
如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的 Internet节点。在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。
OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选框。如果愿意,您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。
不过我强烈建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。
二、宏病毒的判断方法
虽然不是所有包含宏的文档都包含了宏病毒,但当有下列情况之一时,您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒:
1、在打开“宏病毒防护功能”的情况下,当您打开一个您自己写的文档时,系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。
2、同样是在打开“宏病毒防护功能”的情况下,您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。
3、如果软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能,它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后,会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效,则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。
鉴于绝大多数人都不需要或着不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!
三、宏病毒的防治和清除
1、首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。
ETHAN宏病毒相当隐蔽,比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒软件(应该算比较新的版本了)都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项,并且某些情况下会把被感染的文档置为只读属性,从而更好地保存了自己。
因此,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件,及时升级是非常重要的。比如虽然KV300 Z+版不能查杀ETHAN宏病毒,但最新推出的KV300 Z++已经可以查杀它。
2、应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。
在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存成 WORD 6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下,如果文档内容中除了文字、图片外还有图形或表格,那么按 WORD6.0格式保存一般不会失去这些内容。
存盘后应该检查一下文档的完整性,如果文档内容没有任何丢失,并且在重新打开此文档时不再出现宏警告则大功告成。
参考资料:http://163.sh.cn/Article/xxep/sha/200410/10568.html
1、首先打开excel,随便打开一个文件就可以了。主要是设置一下安全性。在菜单栏上找到工具,在工具菜单中,我们点击“宏”,在宏7a64e4b893e5b19e330的次级菜单中,找到安全性,打开安全性对话框。
2、在安全性对话框中,勾选非常高:只允许预定安装在受信任位置的宏。然后点击确定,这样宏病毒就安全一些了。
3、在开始菜单打开计算机,方法是点击开始——计算机。
4、在计算机的地址栏中输入如下地址:C:\Documents and Settings\administrator\Application Data\Microsoft\Excel\XLSTART 按回车键就能够跳转到xlstart的文件夹。
5、找到这个StartUp.xls文件,右键单击,选择删除。
6、接着重复4步骤,复制这个地址到地址栏:C:\Documents and Settings\administrator\Application Data\Microsoft\Excel 然后找到按回车键。
7、找到excel11.xlb这个文件,右键单击,在右键菜单中选择删除。
8、回到excel界面,在菜单栏上找到工具菜单,打开工具菜单,选择宏,在宏菜单中,选择visual basic编辑器。
9、在下面这个图中,箭头指出来的位置有一个srartup,右键单击它,选择删除即可。
宏病毒
是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
什么是宏病毒
宏病毒是一些别有用心的人,利用Microsoft Office的开放性,即Word中提供的VBA编程接口,专门制作的一个或多个具有病毒特点的宏的集合。其特点是传播极快、制作变种方便、破坏性极大。
大多数宏病毒中含有自动宏或对文档读写操作的宏指令,以BFF(Binary File Format)的加密压缩格式存放在.doc或.dot文件中,每种Word版本格式可能不兼容。
目前发现的几种主要宏病毒有:Wazzu、Concept、13号病毒、Nuclear、July.killer(又名“七月杀手”)。
宏病毒是通过DOC文档及DOT模板进行自我复制及传播。DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档 (尽管形式上其扩展名仍是DOC)。一旦打开这样的文件,宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒。
查杀宏病毒
因为每个版本的Word BFF格式不完全一样,所以宏病毒在不同版本的Word中被压缩的格式和存放的位置都不同,所以,用杀毒软件杀除宏病毒,关键是杀毒后要能正确、安全地恢复文件参数。
笔者目前使用的是KV300杀毒软件,它的解毒方法有两种。
方法1:在Windows环境下执行kvw3000.exe,任选一可能存在宏病毒的子目录进行查杀。KV300在查出病毒后,为了安全起见,先将其扩展名改为.kv,然后再将原文件中的病毒杀除。
方法2:在DOS环境下,用干净的Windows 98系统软盘引导机器,运行KV300,出现主菜单后,按下可能存在宏病毒的盘符键,就会对宏病毒自动清除,精确地恢复了文件的参数,文件可正常地打开。
当你遇到来历不明的word文档提示有宏存在时,先用杀毒软件查杀一下,不可贸然打开,千万千万,切记切记
一、宏病毒的原理
病毒WORD/EXCEL宏病毒的特性较为相似,因此我们仅以WORD宏病毒为例,说明宏病毒的作用、传染以及发作的机理和特性。
宏病毒的产生,是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏7a686964616fe78988e69d83330命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传染的目的。目前在可被宏病毒感染的系统中,以微软的Word、Excel居多。
二、宏病毒的作用机制
以Word为例,一旦病毒宏侵入WORD,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs和 FilePrint等等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病 毒宏就会纂夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等等。宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其它格式。含有自动宏的宏病毒染毒文档,当被其它电脑的WORD系统打开时,便会自动感染该电脑。例如,如果病毒捕获并修改了FileOpen,那么,它将感染每一个被打开的WORD文件 。 目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果WORD系统在读取一个染毒文件时遭受感染,则其后所有新创建的DOC文件都会被感染。
三、宏病毒的主要类型
有些宏病毒对用户进行骚扰,但不破坏系统,比如说有一种宏病毒在每月的13日发作时显示出一5个数字连乘的心算数学题。有些宏病毒或使打印中途中断或打印出混乱信息,如Nuclear、Kompu等属此类。有些宏病毒将文档中的部分字符、文本进行替换。但也有些宏病毒极具破坏性,如MDMA.A,这种病毒既感染中文版Word,又感染英文版Word,发作时间是每月的1日。此病毒在不同的Windows平台上有不同的破坏性表现,轻则删除帮助文件,重则删除硬盘中的所有文件。另外还有一种双栖复合型宏病毒,发作可使计算机瘫痪。
四、宏病毒的预防与清除
1、预防
①将常用的Word模板文件改为只读属性,可防止Word系统被感染;DOS下的autoexec.bat和config .sys文件最好也都设为只读属性文件。
②因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的,所以只要将自动执行宏功能禁止掉,即使有宏病毒存在,但无法被激活,也无法发作传染、破坏,这样就起到了防毒的效果。可以使用下面命令行来使所有自动宏无效:winword.exe/mDisableAutoMacros
2、清除
①手工:以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。
②使用专业杀毒软件:目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除, 对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。
本节介绍几种常见的宏病毒。
13.2.1 Concept 病毒(又称Prank)
当第一次发现Word 感染该病毒时,会出现一个对话框,对话框中的文本只有一个“1”,按钮也只有一个“OK”键(在中文环境中为“确定”键)。病毒加载之后,就会修改【文件】菜单的【保存】命令所代表的宏,然后在每次保存文件的时候,就会将病毒保存到文件中。
受此病毒感染后,所编辑的文档只能按模板格式保存。Concept 病毒不会造成文件数据丢失。其症状是Word 的Normal 模板中会出现两个名字为AAAZAO 和AAAZFS 的宏命令,如图13-1 所示。另外还有一个PayLoad 宏,该宏只包含一句话“这足以证明我的观点(That’s enough to prove my point.)”,而不做其他事情。
虽然Concept 在这个宏里面没有包含任何内容,但是任何一个对宏有一定了解的人都可以修改这个宏,做一些可怕的事情,例如删除某些文件,修改磁盘上的一些关键参数或生成另外的一个更可怕的病毒。因此,虽然可以认为Concept 是良性病毒,但是必须注意,它随时都可以变成恶性病毒(这也是其他病毒发展的必然过程)。
13.2.2 Nuclear 病毒
该病毒会对文档打印功能造成破坏,并会破坏MS-DOS 系统文件。感染该病毒后,Word 的Normal 模板将出现以下宏命令:AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad,如图13-2 所示。
Nuclear 宏病毒可能造成以下危害:
(1)如果在任何时间的55~57 秒之间操作文件,病毒会在打印的文档上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC (停止法国在太平洋的所有核试验)”这句话。
(2)如果在下午5 点~6 点(系统时间)打开感染了Nuclear 病毒的文件,这台计算机将被PH33R 病毒感染,PH33R 病毒会产生一个 DOS 驻留程序。
(3)每年4 月5 日,Nuclear 病毒会将计算机中的IO.SYS 和 MSDOS.SYS 两个文件的长度置为零,并删除COMMOND.COM 文件,使 DOS 无法启动。
13.2.3 DMV 病毒
该病毒与Concept 病毒类似,使Word 中的【另存为】命令无效
13.2.4 宏病毒的一些变种
从第一个宏病毒Concept 诞生到1998 年底,Word 宏病毒已经出现了几千个变种,其中不少是恶性病毒,但是万变不离其宗,所有的病毒都需要在宏里面增加一个名字为“AutoLoad”的宏,下面介绍一些另外常见的宏病毒。
1. Alliance
感染.DOC 和.DOT 文件,仅在每月的2、7、11 和12 日感染和复制,并且屏幕显示一个信息窗,提示用户已感染病毒。
2. Boom
感染德文板的MS Word 软件的.DOC 和NORMAL.DOT 文件,每年的 3 月13 日13 时13 分13 秒发作,发作时胡乱更改菜单,显示政治笑话。
3. Clock:DE
感染德文板的MS Word 软件,在每月的1、2、13、21 和27 日,每个整点过后的5 分钟发作,发作时将文件打开和存取功能交替颠倒,并产生混乱。
4. Concept.F
基于Concept 病毒原型的宏病毒,病毒经过自身加密,在每月的 16 日发作,发作时分别用“,”、“e”和“not”替换文本中所有的“.”、“a”和“and”,并且屏幕显示一个信息窗,提示用户已感染病毒。
5. Concept.L
感染.DOC 和.DOT 文件,每月的17 日发作,发作时将删除“C:” 根目录下的有关文件,并且屏幕显示一个信息窗,提示用户已感染病毒。
6. Helper
感染.DOC 和.DOT 文件,在每月的10 日发作,发作时所有经过打开和创建操作后关闭的文件将被设置一个加密口令。
7. Kompu
该病毒是一个使用了加密、隐性技术的宏病毒。感染.DOC 和.DOT 文件,在每月的6 日和8 日发作。发作时在屏幕上显示一个信息窗,提示用户输入口令,用户必须输入“KOMM”以关闭此窗口,否则,病毒将通过打印机打印出混乱的信息。
8. MDMA.A
每月的1 日发作,可感染多种操作系统(Windows、Windows 95、 Macintosh 和Windows NT),在Windows 3.x 下发作时,会在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的恶意指令,后果严重。
9. MDMA.C
上述病毒的一个变种,每月的20 日后的任何一天都可能发作,可感染Windows、Windows 95 和Windows NT,设置密码口令,删除 C:\Windows\system\*.CPL 文件。
10. Nuclear.B
有三种可能的发作方式:
(1)4 月5 日,删除Command.com 文件。
(2)17~18 日使用,释放一个DOS 的可执行文件病毒PH33R.1332。
(3)在某时某分的54~59 秒间打印文件时,将会加入下面一行文字:“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC(停止法国在太平洋的所有核试验)”。
11. Phardera
发作时屏幕显示一个信息窗,干扰用户正常工作,同时从【工期】菜单中删除【宏】和【自定义】命令,阻碍用户手工杀毒。
12. Saver:DE
德文版宏病毒,4 月21 日发作。
13. Taiwan.Theatre
双字节宏病毒,每月的1 日发作,破坏系统硬盘数据。
14. TW-No.1(台湾1 号)
每月的13 日发作,发作时在屏幕上显示一个窗口,要求用户做4 位数连乘,若做错,将连续打开窗口,让用户继续做题,由于系统资源不断消耗,系统运行速度将越来越慢。