《宏病毒分析报告.ppt》由会员分享,可在线阅读,更多相关《宏病毒分析报告.ppt(11页珍藏版)》请在三一文库上搜索。
1、班级:信息05B3 姓名:倪鸿 学号:27,宏病毒分析报告,1,什么是宏病毒? 宏病毒有哪些危害? 感染了该病毒后会出现哪些症状? 用户如何查找、确定感染了这种病毒? 如果确定了该病毒,用户可采取哪些处理方法?,2,宏病毒简介,宏病毒是一种寄存在文档或模板的宏中计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后所以自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行病毒感染,本质上,它是嵌入
2、到字处理文档或其他类型文件中的一段可执行代码。,3,宏病毒的危害,一、宏病毒的主要破坏 1对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。如Taiwan No.l Macro病毒每月13日发作,所有编写工作无法进行。2对系统的破坏是:Word Basic语言能够调用系统命令,造成破坏。 二、宏病毒隐蔽性强,传播迅速,危害严重,难以防治 与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以治愈等特点。,4,具体表现:,1隐蔽性强由于人们忽视了在传递一个文档时也会有传播病毒的机会。 2
3、毒传播迅速因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话,那么这一招对Word病毒将束手元策。 3危害严重因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业标准,其影响是全球范围的,在中国也绝不例外。Word文件的交换是目前办公数据交流和传送的最通常的方式之一,其涉及面比盗版软件的传播要大得多,传播速度则更加有过之而元不及。据报道,70-80的中国计算机用户已经不再单纯使用MSDOS作为唯一的操作环境,看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基
4、层, 基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。 4难以防治由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法不同。一般情况下,人们大多注意可执行文件(.COM、.EXE)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件
5、进行备份,因此病毒可以隐藏很长一段时间。,5,虽然不是所有包含宏的文档都包含了宏病毒,但当有下列 情况之一时,您可以百分之百地断定您的OFFICE文档OFFICE 系统中有宏病毒: 1、在打开“宏病毒防护功能”的情况下,当您打开一个您自己写的文档时,系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。 2、同样是在打开“宏病毒防护功能”的情况下,您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏毒。,宏病毒的判断方法,6,3、如果软
6、件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。Word97中提供了对宏病毒的防护功能,它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付Office97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后,会在您每次退出 Office时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动Word之间保持有效,则您的系统一定已经感染了宏病毒。也就是说一系列Word模板、特别是normal.dot 已经被感染。 鉴于绝大多数人都不需要或着不会使用“宏”这个功能,我们 可以得
7、出一个相当重要的结论:如果您的Office文档在打开时, 系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警 惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的 文档并不能清除Office系统中的宏病毒!,7,1、预防 (1)将常用的Word模板文件改为只读属性,可防止Word系统被感染;DOS下的autoexec.bat和config .sys文件最好也都设为只读属性文件。 (2)因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的,所以只要将自动执行宏功能禁止掉,即使有宏病毒存在,但无法被激活,也无法发作传染、破坏,这样就起到了防毒的效果。可以使用下面命令行来使所有自动宏无效
8、: winword.exe/mDisableAutoMacros,宏病毒的防治和清除,8,2、清除 (1)手工:以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。 (2)使用专业杀毒软件:目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除, 对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。,9,3、应急处理方法:用写字板或WORD 6.0文档作为清除宏病
9、毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。 在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存 成 WORD 6.0格式则是利用了WORD97文档在转换WORD6.0格式时 会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字 和图片的情况下,如果文档内容中除了文字、图片外还有图形或表 格,那么按 WORD6.0格式保存一般不会失去这些内容。,10,谢谢观看!,11,