关于宏病毒的判断清除和预防doc.docx
《关于宏病毒的判断清除和预防doc.docx》由会员分享,可在线阅读,更多相关《关于宏病毒的判断清除和预防doc.docx(8页珍藏版)》请在冰豆网上搜索。
关于宏病毒的判断清除和预防doc
关于宏病毒的判断、清除和预防
关于宏病毒的判断、清除和预防2011年01月15日星期六下午01:
09关于宏病毒的判断和预防
前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒),没想里面有宏病毒"StartUp.xls"在打开文件时提示,缺少"StartUp.xls"。
因为论坛里有很多附件是包含宏的,为了使用时方便,因此我EXCEL中关于宏安全性设置的是"低"。
没想到造成了大错,在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中,打开文件时要确认该文件是否包含宏。
对于宏病毒的判断:
当安全级选为中时,如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏,那么恭喜你已经中招了。
此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘,因为宏病毒只有存盘后才会被感染,如果需要将文件进行保存,建议存储为TXT格式,然后从新进行排版。
一定要将打开的文件作好备份再进行杀毒。
我从昨日中午发现机器里被感染病毒,先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版",但前两个软件均没有查出该病毒。
只有360查了出来并将病毒清除。
注意:
在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除,到时重要文件被删掉可是哭都来不及了,当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式,也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开,并将内容保存下来,然后再交给杀毒软件处理。
这样就能保证文件内容不会丢失了。
excel宏病毒是怎么来的
随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.
另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为ExcelMacro.Laroux,是首例感染Microsoft公司Excell电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.
去年,用户经受的宏病毒猛增了5倍,安全专家把这主要归结为一个因素--电子邮件的迅速增加。
这条令人烦恼的新闻,是出自美国全国计算机安全协会(NCSA)进行的一次新的调查。
资助这项调查的反病毒软件销售商认为,这项调查的新资料中显示了病毒对公司计算的巨大威胁,并且也显示了一次新的商业机会。
NASC对300个机构进行民意测验的结果是:
据报告各种类型的病毒增加了3倍,且80%是宏病毒的变种,比较而言,一年前只有49%是宏病毒。
在全部事故中,几乎有70%是由两种最普通的宏病毒,即Word.Concept和Wazzu引起的,并且往往是由电子邮件的附件传输的。
去年尽管装有反病毒软件的电脑的数目从60%增加到73%,但病毒还是增加了。
宏病毒的危害
目前发现的几种主要宏病毒有:
Wazzu、Concept、13号病毒(又称"台湾1号"病毒)。
13号病毒运行在中文Word上,其发作时间为每月13号,用户打开文件时出一道四则运算题,往往这道题必须经过本机的WordBasic运算才能做对,而用计算器,或其它机器均有可能产生错误;如果答对,则进行宏病毒的问答,如"我是宏病毒,如何预防我",答案是"不要看我"。
如果有一个地方答错,则创建20个文档,并不断截取硬盘和内存空间,直至系统瘫痪。
如果全部答对,系统才能进入正常。
Wazzu、Concept主要运行于西文Word环境中。
Wazzu病毒在正常的Word文件中加入Wazzu字符,并将格式打乱,从而损坏用户的文件。
Concept病毒也采用同样的方式,在正常文件中加入其特征字符,从而影响用户的正常工作。
与感染普通EXE或COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速和危害更加严重等特点,说它隐蔽性强是由于人们忽视了在传递一个文档时也会有传播病毒的机会;说它传播迅速是因为办公数据的交流要比拷贝EXE文件更加经常和频繁,如果说扼制盗版可以减少普通EXE或COM病毒传播的话,那么这一招对Word病毒将束手无策;而说它危害更加严重则是因为MicrosoftWord几乎已经成为目前全世界办公文档的事实工业标准,其影响是全球范围的,在中国也绝不例外。
Word文件的交换是目前办公数据交流和传送的最通常的方式这一,其涉及面比盗版软件的传播要大得多,传播速度则更加有过之而无不及。
据报道,70%-80%的中国计算机用户已经不再单纯使用MS-DOS作为唯一的操作环境,看VCD和使用Word成为用户使用Windows应用程序的榜首。
无数的DOC文件从上级机关金字塔般地传播到基层,基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。
于是,便存在这样一种可能,当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。
宏病毒是针对微软公司的字处理软件Word编写的一种病毒。
微软公司的字处理软件是目前最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。
由于宏病毒利用了Word的文档机制进行传播,它和以往的病毒防治方法不同,一般情况下,人们大多注意可执行文件(.com、.exe)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时期。
目前,国内发现的该种病毒主要在大公司和外企单位中传播。
由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速漫延,往往不到一周的时间就能使公司的机器全部染上病毒。
宏病毒的预防
尽管宏病毒的破坏性较大,而且具有一定的隐蔽性,采用常规的文件性病毒判定方法,不能判断宏病毒的存在,通过以下方法可简单地判断某文档是否感染了宏病毒:
在自己使用的WORD中打开宏菜单,点中Normal模板,若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏,如AAAZAO、PayLoad等,就极可能是病毒在作祟了,因为大多数Normal模板中是不包含上述宏的。
如果打开文档,未经任何改动,就提示存盘,也可能是Word带病毒。
打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘,也可能带有Word宏病毒。
如何防止Internet网上病毒的传播,可从以下几个方面着手:
要有安全意识,对于从Internet网上下载的一些可执行文件,需要事先用杀毒软件查毒,或在微行机上安装了病毒防御系统方可执行,所有从Internet上取来的数据多应该严格禁止进入企业内部网,对从Internet下载的或电子邮件中所附的电子文档(如Word的doc文档和Excel的XLS文档,如这些文档的来历不明,或电子邮件的标题中含有类似"欢迎你浏览我"等欺骗性的语句,千万不要盲目地用Word或Excel打开此类文档,因为有些文档中可能包含有宏病毒,标题中的一些引诱性的语句只不过是病毒制造者向你投下的"诱饵"。
要选用Internet病毒防火墙系统,这类系统采用病毒隔离技术,对从Internet上所下载的数据进行病毒检测,发现病毒会及时清除并报警.
如果没有采取上述措施,则应经常用杀毒软件对Internet的下载数据进行查毒。
如Word-VRV能够发现目前国际上流行的宏病毒,对一些新的宏病毒可以进行扩充定义。
宏病毒的彻底清除
我们从以上宏病毒的特性可以看出,宏病毒主要是利用存在于模板之中的自动宏(AutoOpen、AutoClose、AutoNew)以及Normal.dot公用模板来进行传播的,因此清除和预防宏病毒的方法也应从这两方面入手:
对于已染病毒的文件首先应将Normal.dot中的自动宏清除(AutoOpen、AutoClose、AutoNew);然后将Normal.dot置成只读方式。
对于其它已染毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。
平时使用时要加强预防。
对来历不明的宏最好予以删除;如果发现后缀为.DOC的文件变成模板时,则可怀疑其已染宏病毒,其主要表现是在SaveAs文档时,选择文件类型的框变为灰色。
在打开文件时,按住SHIFT键可以阻止自动宏的运行。
例如,当您用含有AutoNew宏的模板新建一个文档时,在"新建"对话框("文件"菜单)中单击"确定"按钮时按住SHIFT键,就可以阻止AutoNew宏的执行。
您要按住SHIFT键直到新文档显示在窗口中。
在可以触发自动宏的宏中,您可以用DisableAutoMacros阻止运行自动宏。
另外,还有一个有趣的现象,就是中英文Word中的宏病毒有时并不兼容,在英文中宏病毒可能在中文Word中无法运行和传染。
用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种:
方法1.用WordBasic语言以Word模板方式编制杀毒工具,在Word环境中杀毒。
方法2.根据WordBFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。
方法1因为在Word环境中杀毒,所以杀毒准确,兼容性好。
而方法2由于各个版本的WordBFF格式都不完全兼容,每次Word升级它也必须跟着升级,兼容性不好。
目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档(模板),而是简单地把病毒文档(模板)中的某些特征串填为零,给用户一个假象杀掉了病毒,而实际上病毒宏无法被去除,杀毒后的文件长度与带病毒时的长度相等,这种做法有三个缺点:
1.容易将原文档破坏。
2.很容易漏杀病毒。
3.要不断地随着Word版本升级和病毒变化而更改程序。
因为每个版本的WordBFF格式不完全一样,所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同;另外若文档正文中包含病毒串描述,就会被错杀。
Word-VRV是用WordBasic语言以Word模板方式编制的杀毒工具,它在Word环境中杀毒。
Word-VRV由WORDVRV.DOT(用于中文版Word中)、EWORD-VRV.DOT(用于英文版Word中)、README.EXE三个文件组成。
Word-VRV是个可自升级的Word杀毒器,具有下列特点:
可在Word有毒环境下自动检测并清除Word模板中的病毒;
自动检测各有效驱动器及路径下的文档(模板);
有只检测功能;
发现病毒则提示和报警,并产生列表;
可以备份带毒文档(模板);
允许使用者自己定义结构,清除新的宏病毒。
利用Word-VRV的可扩充性,使用者可杀除所有新的宏病毒。
宏病毒的判断方法
虽然不是所有包含宏的文档都包含了宏病毒,但当有下列情况之一时,您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒:
1、在打开"宏病毒防护功能"的情况下,当您打开一个您自己写的文档时,系统会会弹出相应的警告框。
而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。
2、同样是在打开"宏病毒防护功能"的情况下,您的OFFICE文档中一系列的文件都在打开时给出宏警告。
由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。
3、如果软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。
WORD97中提供了对宏病毒的防护功能,它可以在"工具/选项/常规"中进行设定。
但有些宏病毒为了对付OFFICE97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了"启用宏"才有可能)后,会在您每次退出OFFICE时自动屏蔽掉宏病毒防护选项。
因此您一旦发现:
您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效,则您的系统一定已经感染了宏病毒。
也就是说一系列WORD模板、特别是normal.dot已经被感染。
鉴于绝大多数人都不需要或着不会使用"宏"这个功能,我们可以得出一个相当重要的结论:
如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大。
注意:
简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!
宏病毒的防治和清除
1、首选方法:
用最新版的反病毒软件清除宏病毒。
使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。
但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓"广谱"的查杀软件,这方面的突出例子就是ETHAN宏病毒。
ETHAN宏病毒相当隐蔽,比如您使用KV300Z+、RAVV9.0(11)、KILL85.03等反病毒软件(应该算比较新的版本了)都无法查出它。
此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项,并且某些情况下会把被感染的文档置为只读属性,从而更好地保存了自己。
因此,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。
无论你使用的是何种反病毒软件,及时升级是非常重要的。
比如虽然KV300Z+版不能查杀ETHAN宏病毒,但最新推出的KV300Z++已经可以查杀它。
2、应急处理方法:
用写字板或WORD6.0文档作为清除宏病毒的桥梁。
如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:
打开这个包含了宏病毒的文档(当然是启用WORD中的"宏病毒防护"功能并在宏警告出现时选择"取消宏"),然后在"文件"菜单中选择"另存为",将此文档改存成写字板(RTF)格式或WORD6.0格式。
在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存成WORD6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。
写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下,如果文档内容中除了文字、图片外还有图形或表格,那么按WORD6.0格式保存一般不会失去这些内容。
存盘后应该检查一下文档的完整性,如果文档内容没有任何丢失,并且在重新打开此文档时不再出现宏警告则大功告成。
宏病毒的防御
Microsoft公司的Word字处理软件因其功能强大,使用方便等诸多优点受到广大使用者的青睐,版本从2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不断升级。
Word的推广使用,确实为文本处理工作带来了极大的便利,但随之而来的宏病毒也平添了不少烦脑。
宏病毒困扰着用Word处理的文本,轻则文本不能正常存储,重则变成乱码,甚至磁盘被格式化,使许多普通用户谈"宏"变色。
实际上,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防治。
Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。
与其它计算机病毒一样,它能对用户系统中的可执行文件和数据、文本类文件造成破坏。
Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序,简化一些经常重复性的操作,与DOS中的批处理文件类似。
Word宏的编制技术,与其它复杂的编程技术相比,要求很低很容易编制,这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。
但也正因其编制简单,使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。
下面就谈在日常用Word处理文本时,如何预防和消除宏病毒。
防止"病从口入"是对付所有病毒的指导思想,同样对付宏病毒的重点也应该放在对其预防上。
Word宏病毒的触发条件是在启动或调用Word文档时,自动触发执行,因此,只要不打开被感染的文本,宏病毒是不会传播的。
如果打开了带毒的文本,其它没打开的文本不会被感染;即使是打开了其它文本,只要不存盘,也不会感染到硬盘中的文本。
Word本身不带病毒,即初次进入Word环境时没有病毒,一旦在其中打开带宏病毒的文件,病毒就会留在Word环境中,如果这时打开其它文件,这些文件就会被感染;更严重的是,关闭Word时的环境就带上了宏病毒,而这时处理的所有文档都将感染上宏病毒。
宏病毒入侵有两条路径,一是E-mail,二是软盘,其共同特点是只能通过word格式(文件后缀为dos或rtf)传播。
只要不用word格式存盘,而用txt格式,宏病毒就无从存活了。
因此,为了防止宏病毒通过软盘流传,在交换软盘时,可要求对方用TXT格式传交文件,或者先用Window提供的书写器(对window3.X而言),或写字板(对Window而言)打开外来的word文档,将其先转换成书器或写字板格式的文件并不保存后,再用word调用。
因为书写器或写字板是不调用也不记录和保存任何Word宏的,文档经此转换,所有附带其上的宏都将丢失,当然,这样做将使该Word文档中所有的排版格式一并丢失。
如果必须保留原有的文档排版格式,可以有以下几种方式预防或判断是否有宏病毒。
1、为了防止病毒的侵入,用户在新安装了Word后,可打开一个新模板,将Word的工作环境按你的使用习惯进行设置,并将你需要使用的宏一次编制好,做完后,保存为Normal.dot。
新的Normal.dot按你的需要设置并绝对没有宏病毒,将这份干净的Normal.dot备份。
在遇到有宏病毒或怀疑感染了宏病毒的时候,用备份的Normal.dot覆盖当前的Normal.dot模块。
另外,为了防止病毒蔓延,可将你新设置的Normal.dot文件的属性设置成"只读",以后当退出Word环境时,如果出现自动修改"Normal.dot"的对话框,而你并没有录制新的宏,说明有宏病毒,此时选择"否",以保持Word环境的干净。
2、在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒只能用"Auto×"命名)。
这样能保证用户在安全启动Word文档后,再实行必要的病毒检查。
对于使用Word97版本的用户,Word97已经提供此项功能,将其激活或开即可。
方法是点击"工具|选项",然后单击"常规",选择"宏病毒防护",使其有效,这样,当前打开的Word文档所使用模板就有了防止"自动宏"(以Auto开头命名)执行的功能。
当以后使用这个模板的文档时,如果打开的文档带有"自动宏",并询问用户是否执行这些宏,这进选择"取消宏"进入Word并打开文档,再进一步对文档进行"宏"检查。
对使用Word97以前版本的用户,需要自行编制一个名为AutoExec的。
将AutoExec宏保存在一个另外命名的Word模板中,比如AE.dot,当要使用外来的Word文档时,将AE.dot模板改名为Normal.dot(备份原来的Normal.dot),宏AutoExec执行时,将关闭其它所有动执行的Word宏。
如果不使用外来文档,可以将原来备份的Normal.dot模板再改名拷贝回来。
如果确信你的文件和系统已不幸感染了宏病毒。
毫无疑问,应该停下手边的其它工作,争取彻底清除宏病毒。
一般可采取以下两个步骤:
1、进入"工具|宏",查看模板Normal.dot,若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏,说明系统确实感染了宏病毒,删除这些来历不明的宏。
对以Auto×命名的,若不是用户自己命名的自动宏,则说明文明感染了宏病毒,删除它们。
若是用户自己创建的自动宏,可以打开它,看是否与原来创建时的内容一样,如果存在被改变处,说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。
在最糟的情况下,如果分不清那些是宏病毒,为安全起见,可删除所有来路不明的宏,甚至是用户自己创建的宏。
因为即便删错了,也不会对Word文档内容产生任何影响,仅仅是少了"宏功能"。
如果需要,还可以重新编制。
2、即使在"工具|宏"删除了所有的病毒宏,并不意味着你可以高枕无忧了。
因为病毒原体还在文本中,只不过暂时不活动了,也许还会死灰复燃。
为了彻底消除宏病毒,再时入"文件|新建",选择"模板",正常情况下,可以在"文件模板"处见到"Normal.dot",如果没有,说明文档模板文件Normal.dot已被病毒修改了。
这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot;或你没有备份,则删掉然毒Normal.dot,重新进入Word,在"模板"里,充置默认字体等选项后退出Word,系统就会自动创建一个干净的Normal.dot。
再进入Word,再打开原来的文本,并新建另一个空文档,这时新建文档是干净的;将原文件的全部内容拷贝到新文件中,关闭感染宏病毒的文本,然后再将新文本保存为原文件名存储。
这样,宏病毒就感染彻底清除了,原文件也恢复了原样,可以放心大胆地编辑、修改、存储了。
虽然上述方法对大部分宏病毒可彻底清除,但是"道高一尺,魔高一丈",有些智能点数比较高的宏病毒,会事先防范,让宏编辑功能失效,进入"工具|宏"的时候,看不到病毒的名字,因此,也就无法删除它们。
对付这"狡猾"的宏病毒,可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。
并注意检查出文件可能感染病毒后,首先对文件备份,然后再执行清除命令,以免意情况下杀掉病毒的同时改变原文件的内容。
以上是关于宏病毒的预防和杀除。
总之,首先要保证文档环境无病毒,即Normal.dot文档模板是干净的;其次是要预防在Word里打开的文本携有病毒;最扣,发现了宏病毒后,要采取行之有效的措施,保证文档环境、文档本身恢复到无病毒状态。
宏病毒后遗症的清除
以"台湾一号"为代表的专门感染WORD文档的新型病毒--宏病毒侵入计算机。
许多人的染毒文档在杀毒之后(或手工,或杀毒软件),依然是以一种模板形式存盘。
这样就导致"另存为"命令失效,即此文件已不能转换为别的文件格式(如TXT)。
其实这就是宏病毒留下的"后遗症",应该把它清除干净。
下面就谈谈如何清除这种"后遗症"。
DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档(尽管形式上其扩展名仍是DOC)。
此时可按下述步骤进行处理:
1,将该文件打开。
2,选择全部内容,复制到剪贴板。
3,关闭此文件。
4,新建一个DOC文件(此前应保证Normal模板干净)。
5,粘贴剪贴板上的内容。
6,另存为原文件名(将原来模板属性的文件覆盖)。
现在,该文档的"另存为"命令可以正常使用了,宏病毒的"后遗症"清除完毕。
照此法处理所有曾经染毒的文档。
最后想说一句,清除宏病毒时,若染毒文档太多,手工方法将非常繁琐,杀毒软件又不十分完善(存在杀不干净或误杀的问题),所以最好采用杀毒软件与手工清除相结合的方式。
特别声明:
1:
资料来源于互联网,版权归属原作者
2:
资料内容属于网络意见,与本账号立场无关
3:
如有侵权,请告知
升级会员 