宏病毒深入分析
关于Office文档中宏病毒的处理方法
关于Office文档中宏病毒的处理方法
Office文档是目前使用最多、最常见的办公文档(它包含Word文档,Excel文档,PPT文档等),由于Office 软件默认的安全级别为中,所以Office文档成了病毒攻击的目标,目前有许多Office文档病毒,最近校园网出现的宏病毒传播,成了大家头疼的一件事,现就处理方法介绍如下,请各老师参考与分享。
1.宏病毒的分析
Office文档中的宏是Office中最高级别的部分,平时大家很少用到,它能把繁重的工作简单化,默认的安全级别为中,宏病毒正是利用这一点通过网络、U盘等进行传播,中毒的电脑明显反应变慢,Office文档大小在不断变化,有的成倍增加,一个小小的电子表格就有2M之多,使用十分困难。
2.感染后的特征
感染后的Office文档,除大小变大外,每次打开都要求启用宏,不启用便不能打开Office文档,或者打开了,全是空白,如果使用杀毒软件,则会把文档删除,给用户带来许多麻烦。
Office软件运行缓慢,电脑经常死机等。
由于现在(QQ、126)邮件系统都集成防毒软件,在发送邮件时上传感染后的Office文档,邮件系统会提示文件发送失败。
3.处理方法
方法一:
点击下载“Office病毒专杀.zip”工具,解压后安装,界面如下:
点击全盘杀毒,即可对电脑中的Office病毒进行全面查杀。
方法二:点击下载安装“新版360杀毒软件.rar”,启动新增Office宏病毒免疫功能。
宏病毒原理及案例分析
宏病毒原理及案例分析屈立成4114005088什么是宏?所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务。
Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。
Word使用宏语言Word_Basic将宏作为一系列指令来编写。
Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即word中提供的Word BASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过.DOC文档及.DOT 模板进行自我复制及传播。
宏可使任务自动化,如果在Word中重复进行某项工作,可用宏使其自动执行。
宏是将一系列的Word命令和指令结合在一起,形成一个命令,以实现任务执行的自动化。
用户可创建并执行一个宏,以替代人工进行一系列费时而重复的Word操作。
事实上,它是一个自定义命令,用来完成所需任务。
宏的一些典型应用如:加速日常编辑和格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务自动执行等。
Word 提供了两种创建宏的方法:宏录制器和Visual Basic 编辑器。
宏录制器可帮助用户开始创建宏。
Word 在VBA 编程语言中把宏录制为一系列的Word 命令。
可在Visual Basic 编辑器中打开已录制的宏,修改其中的指令。
也可用Visual Basic 编辑器创建包括Visual Basic 指令的非常灵活和强有力的宏,这些指令无法采用录制的方式。
VBAVisual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化任务的编程语言。
主要能用来扩展Windows的应用程式功能,特别是Microsoft Office软件。
也可说是一种应用程式视觉化的Basic 脚本。
宏病毒分析报告优秀课件
•.
•4
宏病毒的判断方法
(2)使用专业杀毒软件:目前杀毒软件公司都具备清 除宏病毒的能力,当然也只能对已知的宏病毒进行检查和 清除, 对于新出现的病毒或病毒的变种则可能不能正常地 清除,或者将会破坏文件的完整性,此时还是手工清理为 妙。
•.
•8
3、应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。 如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、 已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀 它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开 这个包含了宏病毒的文档(当然是启WORD中的“宏病毒防护” 功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中 选择“另存为”,将此文档改存成写字板(RTF)格式或 WORD6.0格式。
winword.exe/mDisableAutoMacros
•.
•7
2、清除
(1)手工:以Word为例,选取“工具”菜单中“宏” 一项,进入“管理器”,选取标题为“宏”的一页,在 “宏 有效范围”下拉列表框中打开要检查的文档。这时 在上面的列表框中就会出现该文档模板中所含的宏,将不 明来源的自动执行宏删除即可。
2、同样是在打开“宏病毒防护功能”的情况下,您的OFFICE 文档中一系列的文件都在打开时给出宏警告。由于在一般 情况下我们很少使用到宏,所以当您看到成串的文档有宏 警告时,可以肯定这些文档中有宏毒。
宏病毒分析实验(新)
---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求:通过本实验的学习,大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。
二、实验基本原理:宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro,第二前缀是:Word、 Word97、 Excel、 Excel97(也许还有别的)其中之一。
凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀,格式是:Macro. Word97;凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀,格式是:Macro. Word;凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀,格式是:Macro. Excel97;凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀,格式是:Macro. Excel,依此类推。
该类病毒的公有特性是能感染 OFFICE系列文档,然后通过OFFICE 通用模板进行传播,如:1 / 5著名的美丽莎(Macro. Melissa) 。
一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材:PC 电脑一台四、实验内容或步骤:---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1.启动 Word,创建一个新文档。
宏病毒
宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
上世纪90年代的宏病毒主要感染文件有word、Excel 的文档。
并且会驻留在Normal面板上6,宏病毒在.DOC文档、.DOT模板中是以BFF(BinaryFileFormat)格式存放,这是一种加密压缩格式,每种Word版本格式可能不兼容。
木马病毒“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。
植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作,特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
危害58 ASCII码采用____C__位二进制编码。
A、6B、7 C 8 D 9139 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
多选题5、常见的信息采集工具有哪些扫描仪:(纸制材料扫描成图片,利用OCR软件识别为文字)照相机:主要用于采集图像信息;摄像机:主要用于采集视频信息;录音设备:主要用于采集音频信息(麦克风、录音笔、Mp3);计算机:采集来自光盘网络等多种类型的信息至计算机中10如何缩小搜索范围A搜索关键词提练B细化搜索条件C用好逻辑命令D搜索逻辑命令通常是指布尔命令“AND”、“OR”、“NOT”及与之对应的“+”、“-”等逻辑符号命令。
宏病毒
如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的 Internet节点。在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。
2.制作、变种方便
以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
起源
宏病毒起源 当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。
其实宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。然而,宏病毒与普通病毒不同,它不感染.EXE或.COM文件,而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。
鉴于绝大多数人都不需要或着不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!
宏病毒的探究及防治
宏病毒的探究及防治【摘要】宏病毒是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。
宏作为办公软件的一个创新功能,可把操作程序简化,但同时也提高了宏病毒的传播与感染率。
本文从宏病毒的概念出发,介绍了宏病毒的类型、运行机制、防治方法,以此来帮助用户在遭遇宏病毒攻击时做出正确的应对措施,保护计算机中数据的安全。
【关键词】计算机病毒;宏病毒;Office 软件计算机及网络技术的飞速发展就像把双刃剑,在便捷人们生活的同时,也为宏病毒的蔓延与传播提供了方便,虽然人们都研制出各具特色的方法来抵御宏病毒,但宏病毒具有多样性,新的病毒被消灭,就会有其他宏病毒浮出水面,这对人们抵御宏病毒工作带来了诸多麻烦。
一、宏病毒的概念所谓“宏”就是在使用软件工作时,为了避免相同的操作,用简单的语法而设计出来的一种工具,在办公软件中宏可使用一系列命令。
宏语言是用于在特定应用程序中自动执行特定序列的命令措辞,宏通过自动完成特定方法来简化复杂的过程并使其更适合。
什么叫“宏病毒”,就是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。
宏病毒可以存在于Word、Excel、Database、PowerPoint 等数据文件中,可在一些处理数据的系统中运行,利用宏程序特殊的功能,将自己复制到其他数据处理文件中。
宏作为办公软件中一个创意性的新功能,利用宏可以帮助用户简化操作,但同时也为宏病毒的传播和感染提供了便利,但他们也产生能够处理和产生office文件的宏病毒,这使Microsoft Word 和 Microsoft Excel成为宏病毒的首要攻击对象,宏病毒可以影响 PC 和 Mac。
如图所示。
二、宏病毒的类型1.Concept病毒Concept病毒是最“有名”的宏病毒。
它于1995年首次出现,专门用于感染Microsoft Word 文档。
这也是第一次病毒通过将自身附加到文档而不是应用程序进行传播。
宏病毒
宏病毒宏病毒发作方式: 在Word打开病毒文档时,宏会接管计算机,然后将自己感染到其他文档,或直接删除文件等等。
Word将宏和其他样式储存在模板中,因此病毒总是把文档转换成模板再储存它们的宏。
这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。
判断是否被感染: 宏病毒一般在发作的时候没有特别的迹象,通常是会伪装成其他的对话框让你确认。
在感染了宏病毒的机器上,会出现不能打印文件、Office 文档无法保存或另存为等情况。
宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。
防范措施:平时最好不要几个人共用一个Office程序,要加载实时的病毒防护功能。
病毒的变种可以附带在邮件的附件里,在用户打开邮件或预览邮件的时候执行,应该留意。
一般的杀毒软件都可以清除宏病毒。
各单位、各部门Office文档是目前使用最多、最常见的办公文档(它包含Word文档,Excel 文档,PPT文档等),由于Office软件默认的安全级别为中,所以Office文档成了病毒攻击的目标,目前有许多Office文档病毒,最近校园网出现的宏病毒传播,成了大家头疼的一件事,现就处理方法介绍如下,请各老师参考与分享。
1.宏病毒的分析Office文档中的宏是Office中最高级别的部分,平时大家很少用到,它能把繁重的工作简单化,默认的安全级别为中,宏病毒正是利用这一点通过网络、U盘等进行传播,中毒的电脑明显反应变慢,Office文档大小在不断变化,有的成倍增加,一个小小的电子表格就有2M之多,使用十分困难。
2.感染后的特征感染后的Office文档,除大小变大外,每次打开都要求启用宏,不启用便不能打开Office文档,或者打开了,全是空白,如果使用杀毒软件,则会把文档删除,给用户带来许多麻烦。
Office软件运行缓慢,电脑经常死机等。
由于现在(QQ、126)邮件系统都集成防毒软件,在发送邮件时上传感染后的Office文档,邮件系统会提示文件发送失败。
宏病毒分析
实验报告课程名称:计算机病毒与防治实验名称:宏病毒分析组号:第四组班级:网工19102项目负责人实验日期小组成员一、实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。
本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。
【注意事项】1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。
在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。
2.若在个人电脑上实验,最好在虚拟机中运行。
3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。
4.请勿传播该病毒。
传播该病毒造成有用数据丢失、电脑故障甚至触犯法律等后果,由传播者负责。
二、实验要求Windows系统、word2003 等软件设置:关闭杀毒软;打开Word 2003,在工具→宏→安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问.如图:三、实验内容1. macro virus中的内容2.计算机病毒 ---->计算机宏病毒四、实验步骤A、自我复制,感染word公用模板和当前文档打开一个word文档,然后按Alt+F11调用宏编写窗口(工具宏Visual Basic 宏编辑器),在左侧的project—>Microsoft Word对象ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒代码截图:只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
析在office中字处理宏病毒
析在office中字处理的宏病毒病毒是针对微软公司的字处理软件word编写的一种病毒。
微软公司的字处理软件是目前最为流行的编辑软件。
由于宏病毒利用了word的文档机制进行传播,它和以往的病防治方法不同,一般情况下,人们大多注意可执行文件的病毒感染情况,而word宏病毒寄生于word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。
病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒通过互联网相互进行文档传送时,迅速漫延,不到一周时间使机器全部染上病毒。
一、word工作原理word是一个功能很强大的字处理软件,流行于各种平台上,它不仅和windows其它软件有着天然的密切联系,而且它的文档机制是基于面向对象的文档机制建立的。
它提供了强大的word basic的编程能力,可以支持dee等多种windows的机制。
word还提供强大的功能——宏,宏是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易。
word 使用宏语言word basic。
word启动时,自动加载start up下模板及normal.dot模板,以及它们所包含的宏。
可以为宏指定特殊的名称,使其变为自动宏。
word可以识别以下名称的自动宏。
宏名运行条件autoexec 启动word时autonew 每次新建文档时autoopen 每次打开已有文档时autoclose 每次关闭文档时autoexit 退出word时宏病毒是一种特殊的宏。
它修改了这些自动宏,并附在文档中进行传播,下面通过对一个宏病毒说明其传染方式。
二、宏病毒的表现目前发现的几种主要宏病毒有:waiiu、concept、13号病毒(又称“台湾1号”病毒)。
13号病毒运行在中文word上,其发作时间为每月13号,用户打开文件时出一道四则运算题,往往这道题必须经过本机的word basic运算才能做对,而用计算器,或其它机器均有可能产生错误;如果答对,则进行宏病毒的问答,如“我是宏病毒,如何预防我,”答案是“不要看我。
宏病毒分析报告
宏病毒分析报告一、引言在当今数字化的工作环境中,宏病毒已成为一种常见的计算机安全威胁。
宏病毒通常隐藏在文档、电子表格等文件中的宏代码中,一旦被激活,可能会对用户的计算机系统和数据造成严重损害。
本报告旨在对宏病毒进行详细的分析,包括其定义、特点、传播方式、危害以及防范措施等方面,以帮助用户更好地了解和应对这一威胁。
二、宏病毒的定义与特点(一)定义宏病毒是一种利用应用程序(如 Microsoft Office)中的宏语言编写的恶意代码。
宏是一系列预定义的操作指令,可以自动执行重复性任务,但也被恶意攻击者利用来传播病毒。
(二)特点1、隐蔽性强宏病毒通常隐藏在看似正常的文档中,用户很难察觉。
2、传播速度快通过电子邮件、网络共享等方式,能够迅速传播到大量计算机。
3、变种多样由于宏语言的灵活性,宏病毒容易产生变种,增加了查杀的难度。
三、宏病毒的传播方式(一)电子邮件附件攻击者将包含宏病毒的文档作为电子邮件附件发送给用户,当用户打开附件并启用宏功能时,病毒就会被激活。
(二)网络共享文件在共享网络中,用户可能会下载或打开被感染的文件,从而感染宏病毒。
(三)恶意网站用户访问恶意网站时,可能会被诱骗下载包含宏病毒的文件。
四、宏病毒的危害(一)破坏数据宏病毒可能会删除、篡改或加密用户的重要文件和数据,导致数据丢失或无法使用。
(二)系统崩溃大量的恶意操作可能导致计算机系统崩溃,影响正常的工作和学习。
(三)窃取信息某些宏病毒还能够窃取用户的个人信息、账号密码等敏感数据,造成隐私泄露和财产损失。
五、宏病毒的检测与分析方法(一)杀毒软件检测使用知名的杀毒软件对计算机进行全面扫描,能够检测出大部分已知的宏病毒。
(二)文件特征分析通过分析文件的大小、修改时间、宏代码等特征,判断是否存在异常。
(三)行为监测观察文件在运行时的行为,如是否自动连接网络、访问敏感区域等,来判断是否感染宏病毒。
六、宏病毒的防范措施(一)提高安全意识用户应了解宏病毒的危害,不随意打开来源不明的文件和邮件附件。
第十讲 宏病毒分析
37
代码分析:续
• Else If ActivInstall = False And NormInstall = True Then Set Dobj = ActiveDocument.VBProject
– 另外,如果已经安装在normal.dot中而在当前文档中没有的话, 导入到当前文档中
• Dobj.VBComponents.Import ("c:\demo.sys")
– 这将会把c:\demo.sys导入到normal.dot或者活动文档,根据上面 设置的变量值决定
• Set Dobj = ActiveDocument.VBProject
30
其它
• • • • • 手动删除某些外来的宏语句 防病毒产品没有完全将宏病毒正确清除 WinWord 在复制宏语句时异常终止 由于Word 6.0 的其它原因生成的不正常的宏语句 VBA5/VBA6 在单一模组中允许多项功能和多个事件操作同时 进行 • Office 97/2000 – 很少有其它情形下产生的宏病毒
7
SoftWindows 98
8
VBA3, VBA5, VBA6 & Excel
宏语言 • • • • • Formula – Excel 4.0 VBA3 – Excel 5.0 WordBasic – Word 6.0 VBA5 – Office 97 applications VBA6 – Office 2000
34
代码分析
• Sub AutoClose()
– 当文件关闭时会自动启用
• On Error Resume Next
宏病毒及其防治方法探析
宏病毒及其防治方法探析摘要:宏病毒的出现对办公软件的安全使用带来了极大的威胁,故文章在深入研究宏病毒作用机制的基础上,从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析,以供参考。
关键词:宏病毒作用机制防治方法前言:微软公司的Microsoft Word 几乎已经成为目前全世界办公文档的事实工业标准,而宏病毒就是是针对的字处理软件Word 编写的一种病毒,其种类达数百种,危害日甚一日,感染率高达40%以上,已成为威胁计算机信息系统安全的主要因素。
因此,对其作用机制进行深入研究,制定切实有效的防治方法,从而最大限度地降低病毒带来的危害是十分必要的。
1.宏病毒的作用机制Word 的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。
WORD 处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。
每一种动作其实都对应着特定的宏命令。
通常,WORD 宏病毒至少会包含一个以上的自动宏( 如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew 等) ,或者是一个以上的标准宏,如FileOpen、FileSaveAs等。
如果某个.DOC 文件感染了这类WORD 宏病毒,则当WORD 运行这类自动宏时,实际上就是运行了病毒代码。
一旦病毒宏侵入WORD 系统,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs 和FilePrint 等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒主要寄生于AutoOpen、AutoClose 和AutoNew 3 个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。
《宏病毒分析报告》课件
运用安全软件找到宏病毒
如何利用安全软件检测和定位宏病毒的存在?探讨常用安全软件中的宏病毒 检测功能及其使用。
典型宏病毒案例解析
透过典型的宏病毒案例,深入分析宏病毒的攻击方式、目标以及对受害者造成的影响。
宏病毒的防范措施
根据宏病毒的特点和传播方式,制定恰当的宏病毒防范措施,确保计算机系统的安全。
宏病毒的传播途径
宏病毒是如何传播的?了解它利用哪些途径侵入计算机系统,以及如何避免 宏病毒的传播。
宏病毒的目标
宏病毒主要攻击什么类型的文件和系统?了解宏病毒对不同目标的影响及其 潜在威胁。
宏病毒的特点
宏病毒的其他病毒的区别。
宏病毒的危害
《宏病毒分析报告》PPT 课件
这份《宏病毒分析报告》PPT课件将带您深入了解宏病毒的定义、传播途径、 分类、危害以及防范措施。让我们一起探索这个隐藏在电脑中的隐患。
病毒概述
什么是宏病毒?了解病毒及其分类的基本概念,以及宏病毒在计算机系统中的角色和功能。
发现宏病毒的原因
为什么宏病毒成为计算机系统中的威胁?探讨宏病毒被发现的背后原因,以 及可能导致宏病毒感染的行为和情境。
宏病毒属于哪种威胁
将宏病毒与其他计算机安全威胁进行对比,了解宏病毒在黑客攻击和信息安全中的角色和影响。
如何保护电脑避免宏病毒
学习保护计算机免受宏病毒感染的最佳实践,包括使用防病毒软件、限制宏 病毒的执行和保持操作系统更新。
防范宏病毒的建议
了解有效的防范宏病毒的方法和策略,以及避免宏病毒传播的最佳实践。
宏病毒常见的攻击方式
宏病毒如何达到其攻击目的?探索宏病毒常见的攻击方式,以及如何应对和 防范这些攻击手法。
可能会感染宏病毒的文件类型
宏病毒可能感染哪些常见的文件类型?了解宏病毒针对的文件扩展名以及宏病毒在这些文件中的隐藏方式。
计算机宏病毒分析及清除试验报告
If ThisDocument = NormalTemplate Then
Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With host
If .Lines(1, 1) <> "'Micro-Virus" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, ourcodemodule.Lines(1, 100)
.ReplaceLine 2, "Sub Document_Close()"
Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False
Options.SaveNormalPrompt = False
Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModule
实验报告
实验时间
2016年11月23日
实验地点
软件工程实验室
实验名称
计算机宏病毒分析及清除
实验目的:1、了解“宏病毒”机理;
2、掌握清除宏病毒的方法;
3、掌握采用“宏”和脚本语言进行编程的技术。
实验平台:1、Windows 2000/2003/XP或更高级别的Windows操作系统;
2、Office Word 2000/2003等字处理软件。
宏病毒共性及分析介绍:
宏病毒共性及分析介绍:电脑病毒宏病毒具有一些共性什么共性呢!下面由店铺给你做出详细的宏病毒共性及分析介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!宏病毒共性及分析介绍:1,以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了人们的“数据文件不会传播病毒”的错误认识。
宏病毒会感染.DOC文档文件和.DOT模板文件。
被它感染的.DOC文档属性必然会被改为模板而不是文档,但不一定修改文件的扩展名。
而用户在另存文档时,就无法将该文档转换为任何其他方式,而只能用模板方式存盘。
这一点在多种文本编辑器需转换文档时是绝对不允许的。
2,染毒文档无法使用“另存为(SaveAs)”修改路径以保存到另外的磁盘/子目录中。
3,病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏将自身复制至Word的通用(Normal)模板中,以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。
4,大多数宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自动宏。
只有这样,宏病毒才能获得文档(模板)操作控制权。
有些宏病毒还通过FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件的操作。
5,病毒宏中必然含有对文档读写操作的宏指令。
6,宏病毒在.DOC文档、.DOT模板中是以BFF(BinaryFileFormat)格式存放,这是一种加密压缩格式,每种Word版本格式可能不兼容。
7病毒分析编辑宏病毒传播途径主要有:1,软盘交流染毒文档文件;2,硬盘染毒,处理的文档文件必将染毒;3,光盘携带宏病毒;4,Internet上下载染毒文档文件;5,BBS交流染毒文档文件;6,电子邮件的附件夹带病毒。
两支宏病毒分析1,Nuclear宏病毒这是一个对操作系统文件和打印输出有破坏功能的宏病毒。
这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFile SaveAsInsertPayloadPayload这些宏是只执行(Execute-only)宏。
宏病毒的名词解释
宏病毒的名词解释宏病毒,即宏命令病毒,是一种针对办公软件和应用程序的恶意软件。
它利用了宏语言的功能,通过嵌入恶意代码来感染和破坏文件。
宏病毒的破坏性广泛存在于Word、Excel等办公软件中,曾经对计算机安全构成严重威胁。
一、宏病毒的传播方式宏病毒多以邮件附件的形式传播。
黑客通过电子邮件发送带有嵌入宏病毒的文档,一旦用户点击或打开,宏病毒就开始在用户计算机上执行恶意操作。
宏病毒还可以通过文件共享、网络下载和可移动存储介质等方式传播。
二、宏病毒的感染和破坏宏病毒主要感染和破坏办公文档文件,如Word、Excel、PowerPoint等。
它利用文档应用程序内置的宏语言功能,如VBA(Visual Basic for Applications),使恶意代码得以在打开文档的同时运行。
宏病毒可以操纵整个文档,执行恶意操作,如删除、篡改内容、复制自身并传播到其他文档。
宏病毒的破坏性可分为明显和隐蔽两种形式。
明显的病毒会立即显示出破坏行为,如删除文件、关闭程序等。
而隐蔽的病毒则更加隐蔽,它会在后台默默地进行操作,窃取用户信息、传播到其他文档或网络上。
三、预防宏病毒的措施为了保护计算机和个人信息的安全,我们需要采取一系列预防措施来防止宏病毒的感染和破坏。
1. 注意邮件和文件来源:不打开来自陌生人或不可信来源的邮件和文件,尤其是带有宏功能的文档。
2. 更新安全软件:定期更新防病毒软件和操作系统,以获取最新的病毒定义和安全补丁。
3. 禁用宏:对于非必要的宏功能,建议禁用或设置为仅在受信任的文件中启用。
4. 建立安全意识:提高员工对宏病毒的认知,教育他们不轻易点击或打开可疑附件,注意安全使用办公软件。
5. 备份重要文件:定期备份关键文件,以防止突发病毒感染或数据丢失。
四、应对宏病毒的解决方法如果不幸遭受宏病毒感染,我们需要及时采取相应的解决方法来处理病毒。
1. 断开网络连接:迅速断开计算机与网络的连接,以防止病毒通过网络传播和进一步破坏。
宏病毒实验报告
宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害,并通过实际操作和观察,探索有效的防范和清除策略。
二、实验环境1、操作系统:Windows 10 专业版2、办公软件:Microsoft Office 20193、杀毒软件:_____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
当打开包含宏病毒的文档时,宏病毒会被自动激活,并执行其中的恶意代码。
宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。
四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。
对获取的文档进行备份,以防对实验环境造成不可恢复的破坏。
2、观察宏病毒的激活过程打开带有宏病毒的文档。
留意弹出的警告提示,记录相关信息。
3、分析宏病毒的行为观察文档中的内容是否被篡改。
检查计算机系统的性能是否受到影响,如 CPU 使用率、内存占用等。
4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。
手动删除相关的宏代码。
五、实验结果与分析1、宏病毒激活情况打开测试文档时,Office 软件弹出了宏安全警告,但仍可以选择启用宏。
一旦启用宏,病毒立即开始执行恶意操作。
2、宏病毒的行为表现文档中的部分文本被修改,格式变得混乱。
CPU 使用率短时间内飙升,系统运行变得卡顿。
3、清除效果杀毒软件能够检测到宏病毒,并成功清除大部分感染,但仍有部分残留。
手动删除宏代码后,文档恢复正常,系统性能也逐渐恢复。
六、实验结论1、宏病毒具有较强的隐蔽性和破坏性,能够在用户不知情的情况下对文档和系统造成损害。
2、办公软件的宏安全设置对于防范宏病毒至关重要,用户应保持较高的安全意识,不轻易启用来源不明的宏。
3、杀毒软件在宏病毒的清除方面起到了一定的作用,但仍需不断更新病毒库和优化清除算法,以应对不断变化的宏病毒威胁。
4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。
宏病毒分析
宏病毒的原理
Word、Excel居多,较为相似 ������ 病毒进入word,代替正常宏 FileOpen、FileSave、FileSaveAs、FilePrint ������ 获得对文件交换的控制 ������ 当某项功能被调用时,相应的病毒宏会篡夺 控 制权,实施非法操作,包括传染操作、表现操
把文档转换成模版格式 ������ 把所有宏病毒复制到该文档 ������ 被转换成模版格式后的染毒文件无法转存 为 其他格式 ������ 含有自动宏的宏病毒被其他计算机的word 打 开的时候会自动感染该计算机 ������ 将感染每一个被打开的word文档 ������ 另外创建的新文档同样含有宏病毒
宏病毒的特征和行为
与操作系统病毒相似,宏病毒在感染时 增加了文件的大小。 如果你知道文档上一次被修改的大约时 间,你可以检查该文档的时间戳,看这 个文档最后一次被修改的时间。如果时 间戳比你记忆中的修改时间靠后,就可 能存在着病毒。
宏病毒感染的几种症状
在以前不含有宏的文件中出现了宏。 ������ 该应用程序将所有文件保存为模板。 ������ 该应用程序经常会提醒用户保存那 些 只是被查看了但没有被修改的文件。
宏病毒的原理
宏病毒的产生是利用了一些数据处理系统内置宏命令编 程语言的特性而形成的。这些数据处理系统内置宏编成 语言的存在使得宏病毒有可乘之机,病毒可以把特定的 宏命令代码附加在制定文件上,通过文件的打开或关闭 来获得控制权,实现宏命令在不同文件之间的共享和传 递,在未经使用者许可的情况下获取某种控制权,达到 传染的目的。
宏病毒的破坏表现
对用户进行骚扰 一种宏病毒在每月13日发作显示出5个数 字连乘的心算数学题 有些病毒使文档打印时出现乱码 有些病毒删除帮助文件或删除硬盘所有 文件 对word、excel运行的破坏 对系统的破坏,basic能够调用系统命令
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宏病毒的深入分析
OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具,帮助用户节省时间,并得到优雅美观的结果,在当前使用中是占有巨大优势的文字,数据处理器。
它为我们的办公提供了极大的便利.OFFICE为了方便客户,提供了宏这样一个功能。
宏就是能组织到一起作为一独立的命令使用的一系列命令,它能使日常工作变得更容易,一般说来,宏是一种规则或模式,或称语法替换,用于说明某一特定输入(通常是字符串)如何根据预定义的规则转换成对应的输出(通常也是字符串)。
这种替换在预编译时进行,称作宏展开。
通俗的来说,客户事先设置好宏,需要时就可以批量使用,而不必重复操作。
然而宏也是一把双刃剑,它在让客户享受便利的同时,同时也为黑客留下了漏洞,这就是今天要分析的宏病毒。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。
多年来,人们大多重视保护自己
计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word 宏病毒传播带来很多便利。
特别是Intemet网络的普及.Email的大量应用更为Word 宏病毒传播铺平道路。
根据国外保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就40多个宏病毒,而目前国际上普通病毒种类已达12000多种。
宏病毒的产生,是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。
这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取控制权,达到传染目的。
目前在可被宏病毒感染的文件中,以W0rd,Excel居多。
Word宏病毒与Excel宏病毒的特性较为相似,因此以word宏病毒为例,说明宏病毒的作用,传染以及发作的机理和特性。
一旦病毒宏侵入woId,它就会替代原有的正常的宏,如FileOpen、FileSave等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏f
包括自动宏)复制到该文档中。
被转换成模板格式后的染毒文件无法转存为任何其他格式。
含有自动宏的宏病毒染毒文档,当被其他计算机的woId系统打开时,便会自动感染该计算机。
例如,如果病毒捕获并修改了FileOpen.那么,它将感染每一个被打开的Word文件。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果Word 系统在读取一个染毒文件时遭受感染.则其后所有新创建的DOC文件都会被感染。
以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏言word Basic形式出现,所以编写和修改宏病毒比以往病毒更容易。
目前,世界上的宏病毒原型己有几十种,其变种与日俱增.追究其原因还是Word
的开放性所致。
现在的Word病毒都是用woId Basic语言所写成。
大部分word 病毒宏并没有使用Word提供的Execute—Only处理函数处理,它们仍处于可打开阅读修改状态。
所有用户在Word工具的菜单中很方便就可以看到这种宏病毒的全部面目。
当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
病毒样本信息以及传染过程:
这里介绍一个病毒样本book1病毒,它是利用EXCEL宏传播的一种病毒。
本次病毒的来源为网上下载,大小为21.3KB。
将代码复制在宏编译器里,保存。
当重新打开XLS文件的时候会提示该文件含有宏,不运行宏则无法看到表格内容,运行宏后,屏幕伴随闪动一下,同时会产生一个BOOK1的工作薄,此时,BOOK1病毒感染成功。
book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。
这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel文件中添加和复制一个宏表,利用宏表4.0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。
打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。
清除过程(手工清除)
如果你的office2003装在C盘,则双击“防止感染C.bat”,office装在D 盘,则双击“防止感染D.bat”(说明:该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件(普通方法无法删除),防止该病毒建立book1病毒文件,如果\XLSTART存在book1(155KB)在启动EXCEL 时,就会同时打开该文件,然后感染你打开的XLS文件。
)
然后,打开带宏毒的XLS文件,并启用宏。
点菜单格式,工作表,取消隐藏。
确定。
此时,会出现“00000ppy”工作表,点菜单工具,保护,撤消工作表保护,密码为“VicodinES”。
然后,对着“00000ppy”表标签右击,删除。
打开已扫描(已清除)宏病毒的XLS,提示点“确定”。
点菜单插入,名称,定义,出现“定义名称”对话框,按住ALT+D,用鼠标点列表中的各项(即依次删除各项),最后,保存XLS。
再打开就正常了。
清除过程(杀毒软件清除)
如果你的office2003装在C盘,则双击“防止感染C.bat”,office装在D 盘,则双击“防止感染D.bat”(说明:该操作可在X:\Program Files\Microsoft Office\OFFICE11\XLSTART下生成BOOK1特殊文件(普通方法无法删除),防止该病毒建立book1病毒文件,如果\XLSTART存在book1(155KB)在启动EXCEL 时,就会同时打开该文件,然后感染你打开的XLS文件。
)
安装“BOOK1宏病毒超专杀.exe”(该软件必须关闭你所装的杀毒软件方可运行。
),并对你的XLS文件进行扫描清除宏毒。
该软件不理想的是,打开已扫描(已清除)宏病毒的XLS,始终会有禁止宏的提示。
按3可以去除。
打开已扫描(已清除)宏病毒的XLS,提示点“确定”。
点菜单插入,名称,定义,出现“定义名称”对话框,按住ALT+D,用鼠标点列表中的各项(即依次删除各项),最后,保存XLS。
再打开就正常了。
宏病毒危害很大,所以我们要提前做好预防工作。
(1)、根据AUTO宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。
(2)、当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是OFFICE默认提供而出现的宏,特别是出现一些怪名字的宏,肯定是病毒无疑,将它删除即可。
具体做法是,选择“工具”→“宏”→“Visual Basic编辑器”,删除各宏代码模块即可。
(3)、当使用外来可能有宏病毒的WORD文档时,如果没有保留原来文档排版格式的必要,可先使用WINDOWS自带的写字版来打开,将其转换为写字版格式的文件保存后,再用WORD调用。
因为写字版不调用、不记录、不保存任何宏,文档经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
(4)、最好把C 盘中的AutoExec.bat和Config.sys文件设为“只读”, 把自动执行宏功能禁止, 让宏病毒无法被激活。
在Word中, 选择“工具→选项”, 进入“常规”标签, 选取“宏病毒保护”, 这样Word 就有了防止自动宏执行的功能。
当然, 我们也可以用下面的命令行来使自动宏无效:Winword.exe/m( 注: 在打开Word 文档时, 按住Shift 键也有同样的作用), 同时, 选择“工具→宏→安全性”, 将安全级设置为最高, 并且取消“可靠来源”中的“信任所有安装的加载项和模版”, 这让我们在预防宏病毒时更加有效。