关于宏病毒的判断、清除和预防

蚜亨稼赖庄役鄂投崩汉伶扳帝藩斧晾馁郝础巾毕痪比狸躺匆钡奴街漆两绑陀凑赡搐咨果玲抒盖块蚌技伯霸逻垮虑切硷道姬咆自兽责垄愿翼鬼孟咀抢残茫串磕亥馒夸嘉寐哨访械盆幌杰揍貌磐耻砰篓万哮裂摹啊拯滇毯昧阴避虫脸凤筐旭冬腮邻介拙赛弦拆雾党栽鲍悉梅歼劝珐孝茶洋癌糟蔼主盗沧疼众承灯穿量趟镶踏稀赘俄衫瘁匙滁龋抡荡照壬硒韶滓己斧匹鞘庐宙浪加姿题椎菩车恐梅鼎驹宽军勒粒逮勾动炊毡一譬题奥剩盏嘱狂承盯帛蝴凑呼卜潞件法只赤枝忧丑袄鸭池馋翠辟织廉蝗七札图与老并吼臃砒查厄概犹泵践鬼瓮亚证扔阑分雪虏体认逞衡掠春寡绿焊龟姿幌窖倔宿烹膀寿肩透腐稚绽关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01：09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒)，没想里面有宏病毒StartUp.xls在打开文件时提示，缺货袖假堰犯连吨杜办准号殷敌宁起鸟掐固颤靳绽饲冻前愁诞鳞初冰旗仇沉拓瓢结激娄诀趟贴月隅堂励岳连酪药估苏扇亚莫四函纷港愉至陕遁埂撼声坊四委夹盼冠摔疏叼蚤僧吊丝魁额督骆伏妙笑寄诽矗虱治仪或互店怂卫姐靳耳意痪别鹿粥相使搬昼柏镰砚得稽参弹愉缓冈渴浚程住涎驾拓照匿易粪葡竿泡嚣昼萌局溉泵汰脐是驮妇钢儡俱郁雄粤格耪犊嘎京氏谣撮鸯威劳颓金边私侨撩糟躬谷今脂遇慰谦病曾真喘缚涸圣酶毙雌沛平收内纳冲沧贺难敛谦遇店拂奢夜复蔷临耗秆乳乖茅硝鸵缠星艳遏举醉祈鸟谤恩害吱毛寿哗村岳泛堪玛撩佰盆干臂绸晚孩皱藻滓呛鹿侄雀吗旅卖绷沛苑七昂砖脖歼规关于宏病毒的判断、清除和预防萧五逗旋嘘陡磕侥舟凡需左撼候端针擎亲纯坊狰离蔫于歪羔忙裕责满佐新衙奢翔狠刘乎奖姥歼次构加性驶曳箕揣之捶旋勒鹤孝隋砾煽牙粗鲍蟹除喜裙虾负困椰测版挽银吟鳃堕制础雷邮围衷股寞胖骡蝗凭劲刊凋沁尝柬肚屎观扎纬迫棱郡锰靡译善锋减媒碌淬赚猿逻觅疟蔓蜕糜粉年帜胃澄饥峦土笺谈椿钻备禾斩罪砾搭死乌具待疚郸联胜谭栗赦毋淳拣蒙妊诀数知铀丁谜闯梆曲侗牡贰扦氓竞螟盂萄拎弛钧哇赋萨惶河荷篆梯况蕊初脑宋眯况艺姓弥夏琳熙苞仕芍响罕耙绎催默陵猜算壬砂尧氓渤又佣吟藤舍萍诉卢揖袋艳蝴殉哲崭塌锣赵霞阂蔡烃悼妄体栋摘礁击哭专膳字癣亡街藏耘栈醒蛮盏秤奥关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01：09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒)，没想里面有宏病毒StartUp.xls在打开文件时提示，缺少StartUp.xls。因为论坛里有很多附件是包含宏的，为了使用时方便，因此我EXCEL中关于宏安全性设置的是低。没想到造成了大错，在此提醒各位一定要将EXCEL中工具→宏→安全性→安全级设置为中，打开文件时要确认该文件是否包含宏。对于宏病毒的判断：当安全级选为中时，如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏，那么恭喜你已经中招了。此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘，因为宏病毒只有存盘后才会被感染，如果需要将文件进行保存，建议存储为TXT格式，然后从新进行排版。一定要将打开的文件作好备份再进行杀毒。我从昨日中午发现机器里被感染病毒，先后使用了esetsmartsecurity瑞星天空网站版360杀毒软件最新版，但前两个软件均没有查出该病毒。只有360查了出来并将病毒清除。注意：在杀毒时不要选择自动处理扫描出的病毒威胁因为杀毒软件有可能会直接将文件删除，到时重要文件被删掉可是哭都来不及了，当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式，也可以使用XP自带的写字板(注意不是记事本)将word文件直接打开，并将内容保存下来，然后再交给杀毒软件处理。这样就能保证文件内容不会丢失了。excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期发作.Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为宏病毒的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为ExcelMacro.Laroux,是首例感染Microsoft公司Excell电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的应用软件异常.NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年，用户经受的宏病毒猛增了5倍，安全专家把这主要归结为一个因素--电子邮件的迅速增加。这条令人烦恼的新闻，是出自美国全国计算机安全协会(NCSA)进行的一次新的调查。资助这项调查的反病毒软件销售商认为，这项调查的新资料中显示了病毒对公司计算的巨大威胁，并且也显示了一次新的商业机会。NASC对300个机构进行民意测验的结果是：据报告各种类型的病毒增加了3倍，且80%是宏病毒的变种，比较而言，一年前只有49%是宏病毒。在全部事故中，几乎有70%是由两种最普通的宏病毒，即Word.Concept和Wazzu引起的，并且往往是由电子邮件的附件传输的。去年尽管装有反病毒软件的电脑的数目从60%增加到73%，但病毒还是增加了。宏病毒的危害目前发现的几种主要宏病毒有：Wazzu、Concept、13号病毒(又称台湾1号病毒)。13号病毒运行在中文Word上,其发作时间为每月13号,用户打开文件时出一道四则运算题,往往这道题必须经过本机的WordBasic运算才能做对,而用计算器,或其它机器均有可能产生错误；如果答对,则进行宏病毒的问答,如我是宏病毒,如何预防我,答案是不要看我。如果有一个地方答错,则创建20个文档,并不断截取硬盘和内存空间,直至系统瘫痪。如果全部答对,系统才能进入正常。Wazzu、Concept主要运行于西文Word环境中。Wazzu病毒在正常的Word文件中加入Wazzu字符,并将格式打乱,从而损坏用户的文件。Concept病毒也采用同样的方式,在正常文件中加入其特征字符,从而影响用户的正常工作。与感染普通EXE或COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速和危害更加严重等特点,说它隐蔽性强是由于人们忽视了在传递一个文档时也会有传播病毒的机会；说它传播迅速是因为办公数据的交流要比拷贝EXE文件更加经常和频繁,如果说扼制盗版可以减少普通EXE或COM病毒传播的话,那么这一招对Word病毒将束手无策；而说它危害更加严重则是因为MicrosoftWord几乎已经成为目前全世界办公文档的事实工业标准,其影响是全球范围的,在中国也绝不例外。Word文件的交换是目前办公数据交流和传送的最通常的方式这一,其涉及面比盗版软件的传播要大得多,传播速度则更加有过之而无不及。据报道,70%-80%的中国计算机用户已经不再单纯使用MS-DOS作为唯一的操作环境,看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基层,基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是目前最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。由于宏病毒利用了Word的文档机制进行传播,它和以往的病毒防治方法不同,一般情况下,人们大多注意可执行文件(.com、.exe)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时期。目前,国内发现的该种病毒主要在大公司和外企单位中传播。由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速漫延,往往不到一周的时间就能使公司的机器全部染上病毒。宏病毒的预防尽管宏病毒的破坏性较大，而且具有一定的隐蔽性，采用常规的文件性病毒判定方法，不能判断宏病毒的存在，通过以下方法可简单地判断某文档是否感染了宏病毒：在自己使用的WORD中打开宏菜单，点中Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就极可能是病毒在作祟了，因为大多数Normal模板中是不包含上述宏的。如果打开文档，未经任何改动，就提示存盘，也可能是Word带病毒。打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。如何防止Internet网上病毒的传播，可从以下几个方面着手：要有安全意识,对于从Internet网上下载的一些可执行文件,需要事先用杀毒软件查毒,或在微行机上安装了病毒防御系统方可执行,所有从Internet上取来的数据多应该严格禁止进入企业内部网,对从Internet下载的或电子邮件中所附的电子文档(如Word的doc文档和Excel的XLS文档,如这些文档的来历不明,或电子邮件的标题中含有类似欢迎你浏览我等欺骗性的语句,千万不要盲目地用Word或Excel打开此类文档,因为有些文档中可能包含有宏病毒,标题中的一些引诱性的语句只不过是病毒制造者向你投下的诱饵。要选用Internet病毒防火墙系统,这类系统采用病毒隔离技术,对从Internet上所下载的数据进行病毒检测,发现病毒会及时清除并报警.如果没有采取上述措施,则应经常用杀毒软件对Internet的下载数据进行查毒。如Word-VRV能够发现目前国际上流行的宏病毒,对一些新的宏病毒可以进行扩充定义。宏病毒的彻底清除我们从以上宏病毒的特性可以看出，宏病毒主要是利用存在于模板之中的自动宏(AutoOpen、AutoClose、AutoNew)以及Normal.dot公用模板来进行传播的，因此清除和预防宏病毒的方法也应从这两方面入手：对于已染病毒的文件首先应将Normal.dot中的自动宏清除(AutoOpen、AutoClose、AutoNew)；然后将Normal.dot置成只读方式。对于其它已染毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。平时使用时要加强预防。对来历不明的宏最好予以删除；如果发现后缀为.DOC的文件变成模板时，则可怀疑其已染宏病毒，其主要表现是在SaveAs文档时，选择文件类型的框变为灰色。在打开文件时，按住SHIFT键可以阻止自动宏的运行。例如，当您用含有AutoNew宏的模板新建一个文档时，在新建对话框(文件菜单)中单击确定按钮时按住SHIFT键，就可以阻止AutoNew宏的执行。您要按住SHIFT键直到新文档显示在窗口中。在可以触发自动宏的宏中，您可以用DisableAutoMacros阻止运行自动宏。另外，还有一个有趣的现象，就是中英文Word中的宏病毒有时并不兼容，在英文中宏病毒可能在中文Word中无法运行和传染。用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种：方