宏病毒

什么是宏?

宏(Macro)是微软公司出品的Office软件包中所包含的一项特殊功能。目的是减少用户的重复劳动。在Word的通用模板(Normal.dot)里面就包含了基本的宏。

什么是宏病毒?

宏病毒是利用word VBA进行编写的一些宏,是一种寄存在文档或模板的宏中的计算机病毒,是利用Microsoft office的开放性专门制作的一个或多个具有病毒特点的宏的集合。一旦打开含有宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机中并驻留在Normal模板上。

宏病毒特点:

1病毒原理简单,制作比较简单。

2传播速度相对较快

3病毒宏中必然含有对文档读写操作的指令。

4宏病毒在DOC文档、DOT模板中以BFF格式存放。

发作现象:

1..尝试保存word文档时,word只允许将文档保存为文档模板的格式(.dot)。

2.word文档图标的外形类似模板图标而非文档图标。

3.在工具菜单上指向宏并单击宏后,程序无任何响应,或工具菜单上不再显示宏或自定义菜单项。

4.宏列表出现新宏。

5.打开word文档或模板时显示异常或意外消息。

6.如果打开一个文档后未经任何改动,立即就有存盘操作,也有可能是因为该word文档带有病毒。

典型的宏病毒-“七月杀手”

破坏和表现:

1.以日期为触发条件,只感染office97和office2000产生的word文件。

2.自动关闭word工具中的宏、模板和加载项及自定义项。

3.通过Deltree/y c:\删除C下的所有文件。

病毒的机理:

病毒感染word97和word2000中的DOT及DOC文件,感染通用模板文件Normal.dat,并通过它来感染其它未被感染的活新建立的DOC文件;它与其它宏病毒的不同之处在于:当首次打开带病毒文件时,病毒会在C盘根目录下复制一个名为Autoexec.dot的病毒副本,该文件中隐藏着该病毒的所有代码。

防范宏病毒:

1.提高word宏中的安全级别。

2.删除既不是自定义也不是word默认提供的宏。

3.按照自己的使用习惯设置Normal.dot模板并进行备份。当被病毒感染时,利用备份的Normal.dot模板覆盖当前的Normal.dot。

4.若用户平时只进行普通的文字处理,很少使用宏编程,对Normal.dot模板也很少修改,可以设置“提示保存Normal.dot模板“功能。

时间: 2024-11-05 16:36:54

宏病毒的相关文章

病毒与分析之--Word宏病毒与手动查杀

[实验目的] 1) 了解宏病毒 2) 学习宏病毒的查杀方法 [实验原理] 宏病毒是使用宏语言(VBA)编写的恶意程序,存在于字处理文档.电子数据表格.数据库等数据文件中,例如office数据处理系统中运行,利用宏语言的功能将自己复制.繁殖到其他数据文档中. 宏分成两种:一种是在某个文档中包含的内嵌宏,如fileopen宏:另一种是属于word应用程序,所有打开文档公用的宏,如autoopen宏. Word宏病毒一般都首先隐藏在一个指定的word文档中,一旦打开了这个word文档,宏病毒就被执行,

关于宏病毒的原理及其防范技术

1. 宏病毒的基本概念 如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒,如果woro系统中的模板包含了宏病毒,我们称word系统感染了宏病毒. 2. 宏病毒来源 虽然OFFICE97/Word97无法扫描软盘.硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息,并且在2013年后的杀毒软件己支持宏病毒扫描. 这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏 如果您并不希望在文档中包含宏,或

宏&一个简单的宏病毒示例

基于VisualBasicForApplications 其一:录制宏 在word,视图,宏,录制宏选项. 操作比较简单,不再赘述. (注意根据需求选择normal还是当前文档) 例如:录制宏:快捷键设为空格,将某些字段设为隐藏/空白.可以隐藏信息.(虽然很简陋) 其二:编辑宏 视图 宏 查看宏 创建 (注意根据需求选择normal还是当前文档) CDO组件发送邮件. 用了ActiveDocument.FullName获取当前文档的path. 不知道为什么Dim mail As New CDO.

xkungfoo 2015 参会笔记

有点像第二位演讲者玩命说的,"我给技术人员丢脸了",不同之处在于他演讲是去打广告的,而我挂着技术人员的称号,实际上却不太懂技术. 因此,往下看之前请慎重考虑是否要继续点鼠标或下拉条. 0x1 内容 跨进程域利用内核漏洞提升Android权限 打造移动金融核心程序安全流水线 关于Office Word程序的漏洞发掘 基于Binder调用攻击Android系统服务提权 社会工程学攻击的实例化 .... 0x2 跨进程利益内核漏洞提升Android权限 演讲者是申迪 @retme,之前曾搞过

20169217 2016-2017-2 《网络攻防实践》免杀技术学习总结

1.基础问题回答 (1)杀软是如何检测出恶意代码的? 恶意代码与其检测是一个猫捉老鼠的游戏,单从检测的角度来说.反恶意代码的脚步总是落后于恶意代码的发展,是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件.完整性校验法以及手动检测,基于网络的检测方法主要有基于神经网络".基于模糊识别"等方法,本文主要讨论基于主机的检测.  恶意代码分析方法  静态分析方法 是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等,属于逆向工程分析方法. (1

Hacker(25)----病毒攻防之认识病毒

Internet中,计算机病毒是威胁计算机安全的程序.对于计算机病毒,用户不仅需要掌握其基础知识,还要认识常见的病毒及简单病毒制作方法.无论病毒基础还是制作简单病毒,用户需要掌握防御病毒的有效措施和专业软件. 计算机病毒不是由于突发或偶然因素产生的,是人为编写的程序.计算机病毒会破坏计算机功能或数据.影响计算机使用,且能够自我复制.若要全面认识病毒,则需要了解病毒的分类.特征.传播途径及计算机中毒后的常见症状. 一.病毒分类 Internet中存在数不清的计算机病毒,且它们的分类没有固定的标准,

计算机知识基础复习

软考快速复习,将近些年习题中自己出错和容易出错的题目收集起来,便于复习. 磁盘调度,某磁盘的转速为7200转/分,传输速度为4MB/s,控制器开销为1ms,要保证读或写一个512B的扇区的平均时间是11.3ms.那么平均寻道时间不应该超过 磁盘的存储时间包括寻道时间和等待时间.寻道时间(查找时间,seek time)为磁头移动到目标磁道所需要的时间不应该超过_____ms. 在本题中,因为磁盘的转速为7200转/分,即磁盘每转一圈所需的时间为8.33ms,因此,平均等待时间为4.17ms.已知传

计算机病毒的分类

1 根据寄生的数据存储方式划分 1> 引导型病毒--MBR病毒.BR病毒 2> 文件型病毒 1>>源码型病毒 2>>嵌入型病毒 3>>外壳型病毒 3> 混合型病毒(又称复合型) 2 根据感染文件类型划分 3 根据病毒攻击的操作系统划分 4 根据病毒攻击的计算机类型划分 1> 微型计算机病毒 2> 小型计算机病毒 3> 工作站病毒 5 根据病毒的链接方式划分 1> 源码型病毒 2> 嵌入型病毒 3> 外壳型病毒 4&g

软考错题合集之13-05-AM

1.常用的虚拟存储器由主存和辅存两级存储器组成. 虚拟存储器是为了给用户提供更大的随机存取空间而采用的一种存储技术.它将内存与外存结合使用,好像有一个容量极大的内存储器,工作速度接近于主存,每位成本又与辅存接近,在整机形成多层次存储系统.所以虚拟存储器有主存和辅存两级存储器组成. 2.DMA工作方式下,在主存与外设之间建立了直接的数据通路. 在DMA(Directional Movement Index,直接存储器访问)模式下,CPU只须向DMA控制器下达指令,让DMA控制器来处理数的传送,数据