论文部分内容阅读
摘 要:本文从多个方面描述了发现宏病毒的方法及解决方案,目的在于使得大家了解宏病毒,避免被宏病毒侵入,造成计算机数据文件的丢失。
关键词:Word宏病毒 清除
中图分类号:TP393 文献标识码:A 文章编号:1674-098x(2012)02(c)-0000-00
目前,Microsoft Office几乎已经成为最大众化的办公文档,Word文档更是目前办公数据交流和传送的最常用的方式。无数的.DOC文件从上级机关下达到基层,基层又上报到上级机关,或再传发到私人的电脑里。与此同时,计算机系统在传播和复制数据的过程中,可能携带着宏病毒。这种病毒能跨越多种平台,并且针对数据文档进行破坏,危害性极大。一般情况下,人们大多注意可执行文件(.Com、.Exe)的病毒感染情况。而Word宏病毒寄生于Word文档中,并且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。所以,宏病毒的危害很大且难以防治。
1 Word宏病毒揭密
Microsoft Word中对宏定义为:“宏是能组织到一起作为一独立命令使用的一系列Word指令,它能使日常工作变得更容易。”但是一些制作病毒的专业人员利用Microsoft Word的开放性即Word中提供的Word Basic编程接口,利用一些数据吃力系统内置命令编程语言的特性而形成的一中病毒。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传染的目的。目前在可被宏病毒感染的系统中,以微软的Word、Excel居多。
2 宏病毒的特点
2.1 传播速度极快
Word 宏病毒通过DOC文档和DOT模板先进行自我复制,然后进行传播,而Word文档恰恰是交流最广的文件类型。多年来,人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本上是直接浏览使用,这就给Word宏病毒传播带来很多便利。特别是Internet网络的普及,E-mail的大量应用更是为Word宏病毒传播“拓展”了道路。
2.2 制作方便、种类繁多
Word 使用宏语言 Word Basic 来编写宏指令。宏病毒同样用Word Basic 来编写。目前,世界上的宏病毒原型已有几十种,其变种与日俱增,究其原因还是Word的开放性所致。现在的Word病毒都是用Word Basic语言写成,大部分Word病毒宏并没有使用Word提供的Execute-Only函数处理,它们仍可打开、阅读、修改。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有不法之徒利用掌握的Basic语句把其中病毒激活条件和破坏条件加以改变,制造出一种新的宏病毒,甚至比原病毒的危害更加严重。
2.3 破坏性较强
宏病毒一般用Word Basic 语言编写,Word Basic 语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用Windows API,调用DDE、DLL等。这些操作均可能对系统直接构成威胁,而Word 在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。
3 Word宏病毒的发现及清除
3.1 病毒的发现
根据宏病毒的传染机制,不难看出宏病毒传染中的特点,当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是Word默认提供而出现的宏。特别是出现一些奇怪名字的宏,肯定是病毒无疑,若发现有"Auto Open"等自动宏,"File Save"等文件操作宏或一些名字较为奇怪的宏,而自己又没有加载特殊模板,这就可能有病毒了,将它删除即可。即使删除错了,也不会对Word文档内容产生任何影响,仅仅是少了相应的“宏功能”而已。看Word程序是否有特征反应:在使用的Word“工具”菜单中看不到“宏”这个字,或看到“宏”但光标移到“宏”,鼠标点击无反应,这种情况肯定有宏病毒。打开一个文档,不进行任何操作,退出Word,如提示存盘,这极可能是Word中的Normal.doc模板中带宏病毒。
3.2 手工清除宏病毒的方法
(1)打開宏菜单,在通用模板中删除认为是病毒的宏。(2)打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除认为是病毒的宏。(3)保存清洁文档。特别值得注意的是低版本Word模板中的病毒在更高版本的Word中才能被发现并清除,英文版Word模板中的病毒还可在相应或更高的中文版Word中被发现并清除。
3.3 用杀毒工具自动清除宏病毒
手工清除病毒总是比较烦琐而且不可靠,用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种:(1)用Word Basic 语言以Word 模板方式编制杀毒工具,在Word 环境中杀毒。(2)根据Word BFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。因为每个版本的Word BFF格式不完全一样,所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同;另外若文档正文中包含病毒串描述,就会被错杀。
3.4 全自动清除宏病毒的工具Word-VRV
Word-VRV 是用Word Basic 语言以Word 模板方式编制的杀毒工具,它在Word 环境中杀毒。Word-VRV 由WORDVRV.DOT(用于中文版Word中)、EWORD-VRV.DOT(用于英文版Word中)、README.EXE三个文件组成。Word-VRV 是个可自升级的Word 杀毒器,具有下列特点:(1)可在Word有毒环境下自动检测并清除Word模板中的病毒;(2)自动检测各有效驱动器及路径下的文档(模板);(3)有只检测功能;(4)发现病毒则提示和报警,并产生列表;(5)可以备份带毒文档(模板);(6)允许使用者自己定义结构,清除新的宏病毒。
Word-VRV允许用户自我扩充新的宏病毒特征的方法为:用文本编辑器,如:EDIT编辑器等,编辑一个名为WORDVRV.DAT文件(与WORDVRV.DOT在同一目录中)。该文件每行内容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:
<病毒名> {特征宏名::宏中字串},病毒宏1,病毒宏2,……,病毒宏N,
例如:
{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,
其中{ }中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名称,"::"之后的特征字串为编辑该特征宏名时可以表示该特征宏的特点字符串,若该特征宏为只执行宏(Execute-Only),则{ }中不需要输入"::"及以后的特征串,即其中内容仅仅为特征宏名。另外特征宏在病毒定义行可以有多个,但必须分别用{ }组成。利用Word-VRV的可扩充性,使用者可杀除所有新的宏病毒。
关键词:Word宏病毒 清除
中图分类号:TP393 文献标识码:A 文章编号:1674-098x(2012)02(c)-0000-00
目前,Microsoft Office几乎已经成为最大众化的办公文档,Word文档更是目前办公数据交流和传送的最常用的方式。无数的.DOC文件从上级机关下达到基层,基层又上报到上级机关,或再传发到私人的电脑里。与此同时,计算机系统在传播和复制数据的过程中,可能携带着宏病毒。这种病毒能跨越多种平台,并且针对数据文档进行破坏,危害性极大。一般情况下,人们大多注意可执行文件(.Com、.Exe)的病毒感染情况。而Word宏病毒寄生于Word文档中,并且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。所以,宏病毒的危害很大且难以防治。
1 Word宏病毒揭密
Microsoft Word中对宏定义为:“宏是能组织到一起作为一独立命令使用的一系列Word指令,它能使日常工作变得更容易。”但是一些制作病毒的专业人员利用Microsoft Word的开放性即Word中提供的Word Basic编程接口,利用一些数据吃力系统内置命令编程语言的特性而形成的一中病毒。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传染的目的。目前在可被宏病毒感染的系统中,以微软的Word、Excel居多。
2 宏病毒的特点
2.1 传播速度极快
Word 宏病毒通过DOC文档和DOT模板先进行自我复制,然后进行传播,而Word文档恰恰是交流最广的文件类型。多年来,人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本上是直接浏览使用,这就给Word宏病毒传播带来很多便利。特别是Internet网络的普及,E-mail的大量应用更是为Word宏病毒传播“拓展”了道路。
2.2 制作方便、种类繁多
Word 使用宏语言 Word Basic 来编写宏指令。宏病毒同样用Word Basic 来编写。目前,世界上的宏病毒原型已有几十种,其变种与日俱增,究其原因还是Word的开放性所致。现在的Word病毒都是用Word Basic语言写成,大部分Word病毒宏并没有使用Word提供的Execute-Only函数处理,它们仍可打开、阅读、修改。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有不法之徒利用掌握的Basic语句把其中病毒激活条件和破坏条件加以改变,制造出一种新的宏病毒,甚至比原病毒的危害更加严重。
2.3 破坏性较强
宏病毒一般用Word Basic 语言编写,Word Basic 语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用Windows API,调用DDE、DLL等。这些操作均可能对系统直接构成威胁,而Word 在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。
3 Word宏病毒的发现及清除
3.1 病毒的发现
根据宏病毒的传染机制,不难看出宏病毒传染中的特点,当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是Word默认提供而出现的宏。特别是出现一些奇怪名字的宏,肯定是病毒无疑,若发现有"Auto Open"等自动宏,"File Save"等文件操作宏或一些名字较为奇怪的宏,而自己又没有加载特殊模板,这就可能有病毒了,将它删除即可。即使删除错了,也不会对Word文档内容产生任何影响,仅仅是少了相应的“宏功能”而已。看Word程序是否有特征反应:在使用的Word“工具”菜单中看不到“宏”这个字,或看到“宏”但光标移到“宏”,鼠标点击无反应,这种情况肯定有宏病毒。打开一个文档,不进行任何操作,退出Word,如提示存盘,这极可能是Word中的Normal.doc模板中带宏病毒。
3.2 手工清除宏病毒的方法
(1)打開宏菜单,在通用模板中删除认为是病毒的宏。(2)打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除认为是病毒的宏。(3)保存清洁文档。特别值得注意的是低版本Word模板中的病毒在更高版本的Word中才能被发现并清除,英文版Word模板中的病毒还可在相应或更高的中文版Word中被发现并清除。
3.3 用杀毒工具自动清除宏病毒
手工清除病毒总是比较烦琐而且不可靠,用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种:(1)用Word Basic 语言以Word 模板方式编制杀毒工具,在Word 环境中杀毒。(2)根据Word BFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。因为每个版本的Word BFF格式不完全一样,所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同;另外若文档正文中包含病毒串描述,就会被错杀。
3.4 全自动清除宏病毒的工具Word-VRV
Word-VRV 是用Word Basic 语言以Word 模板方式编制的杀毒工具,它在Word 环境中杀毒。Word-VRV 由WORDVRV.DOT(用于中文版Word中)、EWORD-VRV.DOT(用于英文版Word中)、README.EXE三个文件组成。Word-VRV 是个可自升级的Word 杀毒器,具有下列特点:(1)可在Word有毒环境下自动检测并清除Word模板中的病毒;(2)自动检测各有效驱动器及路径下的文档(模板);(3)有只检测功能;(4)发现病毒则提示和报警,并产生列表;(5)可以备份带毒文档(模板);(6)允许使用者自己定义结构,清除新的宏病毒。
Word-VRV允许用户自我扩充新的宏病毒特征的方法为:用文本编辑器,如:EDIT编辑器等,编辑一个名为WORDVRV.DAT文件(与WORDVRV.DOT在同一目录中)。该文件每行内容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:
<病毒名> {特征宏名::宏中字串},病毒宏1,病毒宏2,……,病毒宏N,
例如:
{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,
其中{ }中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名称,"::"之后的特征字串为编辑该特征宏名时可以表示该特征宏的特点字符串,若该特征宏为只执行宏(Execute-Only),则{ }中不需要输入"::"及以后的特征串,即其中内容仅仅为特征宏名。另外特征宏在病毒定义行可以有多个,但必须分别用{ }组成。利用Word-VRV的可扩充性,使用者可杀除所有新的宏病毒。