Word宏病毒清除技術
| 作者:std 發表日期:2002-01-07 00:00:00
|
摘錄3w3
(林皓)
2 月13日,本是國家政府機關和大型企事業單位春節後剛剛上班的日子。誰都沒有料到會有一種計算機病毒向他們襲
來,這就是“台灣1號”宏病毒,因為這天是13日,該病毒於96年12月13日首次在大陸被發現。
受宏病毒感染的用戶有個共同特點就是他們是大量使用Word文檔處理器的國家機關。
如果說Concept病毒引出了word宏病毒的概念,“台灣1號”便引來了Word宏病毒的發作,引來了人們對Word宏病毒的
重視。
一、Word宏病毒揭密
MicrosoftWord中對宏定義為:“宏就是能組織到一起作為一獨立的命令使用的一系列Word 命令,它能使日常工作變
得更容易。”
Word使用宏語言WordBasic將宏作為一系列指令來編寫。
要想搞清楚宏病毒的來龍去脈,必須了解Word宏的知識及WordBasic編程技術。
Word宏病毒是一些制作病毒的專業人員利用MICROSOFTWord的開放性即Word中提供的WordBASIC編程接口,專門制作的
一個或多個具有病毒特點的宏的集合,這種病毒宏的集合影響到計算機使用,並能通過DOC文檔及DOT模板進行自我復制及
傳播。
宏病毒的特點
1 傳播極快
Word宏病毒通過DOC文檔及DOT模板進行自我復制及傳播,而計算機文檔是交流最廣的文件類型。多年來,人們大多重
視保護自己計算機的引導部分和可執行文件不被病毒感染,而對外來的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳
播帶來很多便利。特別是Internet網絡的普及,E-mail的大量應用更為Word宏病毒傳播舖平道路。
2 制作、變種方便
Word使用宏語言WordBasic來編寫宏指令。宏病毒同樣用WordBasic來編寫。
目前,世界上的宏病毒原型已有幾十種,其變種與日驟增,追究其原因還是Word的開放性所致。現在的Word病毒都是
用WordBasic語言所寫成,大部分Word病毒宏並沒有使用Word提供的Execute─Only處理函數處理,它們仍處於可打開閱讀
修改狀態。
所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當然會有“不法之徒”利用掌握的 Basic
語句把其中病毒激活條件和破壞條件加以改變,立即就生產出了一種新的宏病毒,甚至比原病毒的危害更加嚴重。
3 破壞可能性極大鑒於宏病毒用WordBasic語言編寫,WordBasic語言提供了許多系統級底層調用,如直接使用 DOS系
統命令,調用WindowsAPI,調用DDE、DLL等。這些操作均可能對系統直接構成威脅,而Word在指令安全性完整性上檢測能
力很弱,破壞系統的指令很容易被執行。宏病毒Nuclear就是破壞操作系統的典型一例。
宏病毒的兼容性
Word模板(TEMPLATE)是開發Word應用程序的唯一方法。病毒宏也不例外。
模板的不兼容使英文Word中的病毒模板在同一版本中文Word中打不開而自動失效,反之亦然,同時高版本的 Word7.0
的文檔在低版本的Word6.0下是打不開的,這就是為什麼宏病毒在中國大陸發現較少的原因。然而,中文Word7.0可以打開
英文Word6.0中的宏。所以在Word7.0大量普及後,必然會使許多在英文Word中制作的宏病毒泛濫。 “台灣1號”是在台灣
中文Word下做的,其模板與大陸中文Word兼容,在大陸中傳播很快。
宏病毒的共性:
1 宏病毒會感染DOC文檔文件和DOT模板文件。
被它感染的DOC文檔屬性必然會被改為模板而不是文檔,而用戶在另存文檔時,就無法將該文檔轉換為任何其它方式,
而只能用模板方式存盤。這一點在多種文本編輯器需轉換文檔時是絕對不允許的。
2 病毒宏的傳染通常是Word在打開一個帶宏病毒的文檔或模板時,激活了病毒宏,病毒宏將自身復制至Word的通用
(Normal)模板中,以後在打開或關閉文件時病毒宏就會把病毒復制到該文件中。
3 大多數宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自動宏。只有這樣,宏病毒才能獲得文檔(模板)
操作控制權。
有些宏病毒還通過FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件的操作。
4 病毒宏中必然含有對文檔讀寫操作的宏指令。
5 宏病毒在DOC文檔、DOT模板中是以 BFF(BinaryFileFormat)格式存放,這是一種加密壓縮格式,每種Word版本格
式可能不兼容。
二、Word現毒的表現
例1:Nuclear宏病毒:
這是一個對操作系統文件和打印輸出有破壞功能的宏病毒。
這個宏病毒中包含以下病毒宏:
AutoExec
AutoOpen
DropSuriv
FileExit
FilePrint
FilePrintDefault
FileSaveAs
InsertPayload
Payload
這些宏是只執行(Execute-only)宏。
Nuclear宏病毒造成的破壞現象為:
1 打開一個染毒文檔並打印的時侯,它會在您打印的最後一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”,
這個現象是在每分鐘的55秒─60秒之間操作打印時發生。
2 如果在每天17:00─18:00之間打開一個染毒文檔,Nuclear病毒會將PH33R病毒傳染到計算機上,這是個駐留型病
毒。
3 在每年的四月五日,該病毒會將計算機上IO.SYS,MSDOS.SYS文件清零,並且刪除C盤根目錄上的COMMAND.COM文件。
一旦病毒發作,MS-DOS就不可能被引導,計算機將陷入癱瘓。
例2:台灣一號病毒:
台灣一號病毒會在每月的13日影響您正常使用Word文檔和編輯器。它包含以下病毒宏:
AutoClose
AutoNew
AutoOpen
這些宏是可被編輯宏。
在病毒宏中含有如下的語句:
IfDay(Now())=13Then...
這條語句與13日有關。
台灣一號病毒造成的危害是:在每月13日,若用戶使用Word打開一個帶毒的文檔(模板)時,病毒會被激發,激發時
的現象是:在屏幕正中央彈出一個對話框,該對話框提示用戶做一個心算題,如做錯,它將會無限制地打開文件,直至Wo
rd內存不夠,Word出錯為止;如心算題做對,會提示用戶“什麼是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,
再提示用戶:“如何預防巨集病毒?”,回答是“不要看我”。
三Word宏病毒發現及清除:
根據宏病毒的傳染機制,不難看出宏病毒傳染中的特點,所以發現宏病毒可以通過以下步聚進行:
1 在自己使用的Word中打開工具中的宏菜單,點中通用(Normal)模板,若發現有“AutoOpen”等自動宏,“FileSa
ve”等文件操作宏或一些怪名字的宏,而自己又沒有加載特殊模板,這就有可能有病毒了。因為大多數用戶的通用(Norm
al)模板中是沒有宏的。
2 如發現打開一個文檔,它未經任何改動,立即就有存盤操作,也有可能是Word帶有病毒。
3 打開以DOC為後綴的文件在另存菜單中只能以模板方式
存盤而此時通用模板中含有宏,也有可能是Word有病毒。
手工清除宏病毒的方法:
1 打開宏菜單,在通用模板中刪除您認為是病毒的宏。
2 打開帶有病毒宏的文檔(模板),然後打開宏菜單,在
通用模板和病毒文件名模板中刪除您認為是病毒的宏。
3 保存清潔文檔。
特別值得注意的是氏成本Word模板中的病毒在更高版本的Word中才能被發現並清除,英文版Word模板中的病毒還可仍
在相應或更高的中文版Word中被發現並清除。
手工清除病毒總是比較煩瑣而且不要靠,用殺毒工具自動清除宏病毒是理想的解決辦法,方法有兩種:
方法1?用WordBasic語言以Word模板方式編制殺毒工具,在Word環境中殺毒。
方法2?根據WordBFF格式,在Word環境外解剖病毒文檔(模板),去掉病毒宏。
方法1因為在Word環境中殺毒,所以殺毒準確,兼容性好。而方法2由於各個版本的WordBFF格式都不完全兼容, 每次
Word升級它也必須跟著升級,兼容性不好。
目前有些DOS殺毒軟件不是採用WordBFF格式去解剖病毒文檔(模板),而是簡單化的把病毒文檔(模板)中的某些特
征串填為了零,給用戶一個假象殺掉了病毒,而實際上病毒宏無法被去除,殺毒後的文件長度與帶病毒時的長度相等,這
種做法有三個缺點:
1?容易將原文檔破壞。
2?很容易漏殺病毒。
3?要不斷地隨著Word版本升級和病毒變化而改變程序。
因為每個版本的WordBFF格式不完全一樣,所以病毒宏在不同版本的Word中被壓縮的格式和存放的位置都不同, 另外
若文檔正文中包含病毒串描述,就會被錯殺。
四、全自動清除宏病毒的工具Word─VRV
Word-VRV是用WordBasic語言以Word模板方式編制的殺毒工具,它在Word環境中殺毒。
WORD-VRV由WORDVRV.DOT用於中文版Word中使用,EWORD-VRV.DOT用於英文版Word中使用,README.EXE三個文件組成。
WORD-VRV是個可自升級的Word殺毒器,有下列特點:
可在Word有毒環境下自動檢測並清除Word模板中的病毒;
自動檢測各有效驅動器及路徑下的文檔(模板);
有只檢測功能;
發現病毒有提示,報警,產生列表;
可以備份帶毒文檔(模板);
提供使用者自己定義結構,清除新的宏病毒。
WORD-VRV允許用戶自我擴允新的宏病毒特征的方法為:用文本編輯器,如:EDIT編輯文件,編輯一個名為WORDVRV.DA
T文件(與WORDVRV.DOT在同一目錄中)。該文件每行內容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:
{特征宏名::宏中字串},病毒宏1,病毒宏2,...,病毒宏N,例如:
{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,
其中{}中病毒特征宏為在病毒所有宏中選取一個可以代表該病毒特征的宏的名稱,“::”之後的特征字串為編輯該特
征宏時,其中可以表示該特征宏中的特點的字符串,若該特征宏為只執行宏(EXECUTE─ONLY), 則{}中不需要輸入兩個
冒號及其以後的特征串,即其中內容僅僅為特征宏名。另外特征宏在病毒定義行可以有多個,但必須分別用{}組成。
利用WORDVRV的可擴充性,使用者可殺除所有新的宏病毒。
你還沒有登錄進社區不能回復,如果你是會員請登錄進社區 >>
如果你還不是會員請申請 >>
依美艾爾交友網:向善為善誠信社會