关于宏病毒的原理及其防范技术

1、 宏病毒的基本概念

如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒,如果woro系统中的模板包含了宏病毒,我们称word系统感染了宏病毒。

2、 宏病毒来源

虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息,并且在2013年后的杀毒软件己支持宏病毒扫描。

这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏

如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的intemet节点,在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”

OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选相。如果愿意,您可以终止系统对文档宏病毒的检查当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框,或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。

不过建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。

上世纪90年代的宏病毒主要感染文件有word、Excel的文档,并且会驻留在Normal.dot面板上

据统计,通过internet传播的不同类型的病毒数量如下:

DOS型:10000至11000种

Windows型:12种

Macintosh型:35种

宏病毒:200余种

Unix型:6种

其中10000-11000种DOS病毒能感染所有DOS、windows95平台的计算机(但不感染macintosh计算机):但200余种宏病毒中的大部分能感染所有计算机,包括pc机和macintosh机。所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务(如word中的宏命令)。

3、 宏病毒判断方法

虽然虽然不是所有包含宏的文档都包含了宏病毒,但当有下列情况之一时,您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒:

1.在打开“宏病毒防护功能”的情况下,当您打开一个您自己写的文档时,系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。

2.同样是在打开“宏病毒防护功能”的情况下,您的OFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。

3.如果软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。OFFICE97中提供了对宏病毒的防护功能,它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后,会在您每次退出时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效, 则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot已经被感染。

鉴于绝大多数人都不需要或者不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框, 那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!

4、 宏病毒防治清除

1.首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。

ETHAN宏病毒相当隐蔽,比如您使用KV300 Z+、RAV V9.0(11)、KILL 85.03等反病毒软件(应该算比较新的版本了)都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项,并且某些情况下会把被感染的文档置为只读属性,从而更好地保存了自己。

宏病毒原理

因此,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件,及时升级是非常重要的。比如虽量KV300 Z+版不能查杀宏病毒,但最新推出的已经可以查杀它。

2.应急处理方法:用写字板或WORD6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。

在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存成WORD6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的RTF格式适用于文档中的内容限于文字和图片的情况下,如果文档内容中除了文字、图片外还有图形或表格,那么按WORD6.0格式保存一般不会失去这些内容。存盘后应该检查一下文档的完整性,如果文档内容没有任何丢失,并且在重新打开此文档时不再出现宏警告则大功告成

5、 宏病毒判断

如果必须保留原有的文档排版格式,可以有以下几种方式预防或判断是否有宏病毒。
   1.为了防止病毒的侵入,用户在新安装了Word后,可打开一个新模板,将Word的工作环境按你的使用习惯进行设置,并将你需要使用的宏一次编制好,做完后,保存为Normal.dot。新的按你的需要设置并绝对没有宏病毒,将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候,用备份的Normal.dot覆盖当前的模块。另外,为了防止病毒蔓延,可将你新设置的Normal.dot文件的属性设置成“只读”,以后当退出Word环境时, 如果出现自动修改“Normal.dot”的对话框,而你并没有录制新的宏,说明有宏病毒,此时选择“否”,以保持Wod环境的干净。
   2.在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒能用“Auto×××”命名)。这样能保证用户在安全启动Word文档后,再时行必要的病毒检查。对于使用Word97版本的用户,Word97已经提供此项功能,将其激活或开即可。方法是点击“工具|选项”,然后单击“常规”,选择“宏病毒防护”,使其有效,这样,当前打开的Word文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时,如果打开的文档带有“自动宏”,并询问用户是否执行这些宏,这进选择“取消宏”进入Word并打开文档,再进一步对文档进行“宏”检查。对使用Word97以前版本的用户,需要自行编制一个名为的AtuoExec。将AtuoExec宏保存在一个另外命名的Word模板中,比如AE.dot,当要使用外来的Word文档时,将AE.dot模板该名为Normal.dot(备份原来的Normal.dot),宏AtuoExec执行时,将关闭其它所有动执行的Word宏。如果不使用外来文档,可以将原来备份的Normal.dot模板再该名拷贝回来。

6、 宏病毒清除步骤

如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问,应该停下手边的其它工作,争取彻底清除宏病毒。一般可采取以下两个步骤

1.入“工具|宏”,查看模板若发现有Normal.dot,若发现有Filesavea  Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏,说明系统确实感染了宏病毒, 删除这些来历不明的宏。对以Auto×××命名的,若不是用户自己命名的自动宏则说明文明感染了宏病毒,删除它们。若是用户自己创建的自动宏,可以打开它, 看是否与原来创建时的内容一样,如果存在被改变处,说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下,如果分不清那些是宏病毒,为安全起见,可删除所有来路不明的宏,甚至是用户自己创建的宏。因为即便删错了,也不会对Word文档内容产生任何影响,仅仅是少了“宏功能”。如果需要,还可以重新编制。

2.即使在“工具|宏”删除了所有的病毒宏,并不意味着你可以高枕无忧了。因为病毒原体还在文本中,只不过暂时不活动了,也许还会死灰复燃。为了彻底消除宏病毒,再时入“文件|新建”,选择“模板”,正常情况下,可以在“文件模板”处见到“Normal.dot”,如果没有,说明文档模板文件已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot:或你没有备份,则删掉然毒重新进入在“模板”里,重置默认字体等选项后退出Word,系统就会自动创建一个干净的Normal.dot。再进入Word,再打开原来的文本,并新建另一个空文档,这时新建文档是干净的:将原文件的全部内容拷贝到新文件中,关闭感染宏病毒的文本,然后再将新文本保存为原文件名存储。这样,宏病毒就感染彻底清除了,原文件也恢复了原样,可以放心大胆地编辑、修改、存储了。

虽然上述方法对大部分宏病毒可彻底清除,但是“道高一尺,魔高一丈”,

有些智能点数比较高的宏病毒,会事先防范,让宏编辑功能失效,进入“工具宏”的时候,看不到病毒的名字,因此,也就无法删除它们。对付这“狡猾”的宏病毒,可选用杀宏病毒的专门软件如KV300WV、瑞星等进行杀除。并注意检查出文件可能感染病毒后,首先对文件备份,然后再执行清除命令,以免意情况下杀掉病毒的同时改变原文件的内容。以上是关于宏病毒的预防和杀除。总之,首先要保证文档环境无病毒,即文档模板是干净的:其次是要预防在Word里打开的文本携有病毒:最后,发现了宏病毒后,要采取行之有效的措施,保证文档环境、文档本身恢复到无病毒状态。

7、 宏病毒清除后遗症 

宏病毒“后遗症”的清除

以“台湾一号”为代表的专门感染WORD文档的新型病毒---宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工,或杀毒软件),依然是以一种模板形式存盘,这样就导致“另存为”命令失效,即此文件已不能转换为别的文件格式(如TXT),其实这就是宏病毒留下的“后遗症”,应该把它清除干净。下面就谈谈如何清除这种“后遗症

DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档(尽管形式上其扩展名仍是DOC。此时可按下述步骤进行处理

1,将该文件打开。2,选择全部内容,复制到剪贴板。3,关闭此文件。4,

新建一个DOC文件(此前应保证Norml模板干净)。5,粘贴剪贴板上的内容。6,另存为原文件名(将原来模板属性的文件覆盖)。

完成后,该文档的“另存为”命令可以正常使用了,宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的文档。最后想说一句,清除宏病海时,若染毒文档太多,手工方法将非常繁琐,亦可以使用杀毒软件来清除

2.全面封杀网页病毒

学你如何齐点封杀网页病毒学你如何片面封宰网页病毒

在所无的病毒传布的道路外,应用网页流传病毒的迫害非最小的。稍不留心就可能西招。实在,咱们完整能够变被静的查宰替自动的防备,干到防患于已然。

3.屏蔽指定网页

对一些包括歹意代码的网页,在知道其地址的情形上,我们可以将其屏蔽掉启动IE浏览器后,打开“工具”菜单下的“Internet选项”命令,将打开的窗口切换到“内容”选项卡,在“分级审查”中单击“启用”按钮,将打开的“内容审查程序”窗口切换到“许可站点”选项卡,然后在“允许该站点”中输入其地址输入其地址并单击“从不”按钮将其添加到拒绝列表中即可。

4.提高安全级别

提高IE的安全级别来来防范网页病毒。

将前面打开的窗口切换到“安全”选项卡,然后单击“自定义级别”按钮打开“安全设置窗口”,将“Active控件和插件”、“脚本”下的所有选项都尽可能的设为“禁用”,同时将“重置自定义设置”设为“安全级一高”即可将后面关上的窗心切换到“平安”选项卡,而后复击“从定义级别”按钮翻开“危齐设置”窗心,将“ActiveX控件跟拔件”、“手标”高的所无选项,皆尽否能的设替“禁用”,共时将“沉置自定义设置”设替“保险级一高”便否。

5.确保WSH保险

很多网页会利用VBScript编造病毒,它们利用Windows自带的Scripting Host激活运行。对此,我们可以采用卸载系统自带的WSH或将其升级来防范病毒的横行。

如因是Windows 9x体系,这么只有打开“添加/删除程序”项,而后通功修改 Windows组件,把“附件”项中的“Windows Scripting Host ”撤消便可;假如非 windows 2000/xp操坐更加简略,只须要打开件夹选项窗口,然后在“文件类型”选项卡,找到“ VBS VBScript File”选项并将其删除即可。

另外我们也可以通过到微软网站下载安装最新的WSH,那样也可以在一定程度上防止VBScript病毒的运行。

6.禁止远程程注册表服务

通常情形下,我们是不需要程启动远程注册表服务的,由于很多恶意网页病毒是通过修改注册表来达到自己的目的,因而我们可以将该服务封闭。进入把控制面板,在“管理工具”文件中打开“服务”项,而后双击右侧的“Remnote Registry”将其启动类型设为“已禁用”,并单击“停用”按钮即可。

要预防网页病毒对自己的损害,除了做好上面的保护工作外,还必须养成良好的应用习惯,有条件的应该安装防火墙和杀毒硬件,那样也可以在一定程度上阻挡网页脚本程序的运行。

8、 宏病毒的实验方法/步骤

宏病毒的破坏性较大,具有一定的隐藏性,采用常规的病毒判定方法,不能判断宏病毒的存在

在启动“宏病毒防护功能”的前提下,当打开一个自己写的文档时,系统会弹出相应的提示框。

同样是在启动“宏病毒防护功能”的情况下,office文档中一系列的文件都在打开时出现红警告。

由于在一般情况下很少使用到宏,所以当看到文本由宏警告时,就可以判断这些文档中有宏病毒。

如果软件中关于宏病毒防护选项启用后,不能再下次开机时依然保存,

word中提供了对病毒的防护功能,但有些宏病毒为了对付office中的提供的宏警告功能,他在感染系统后,会在每次退出office时自动屏蔽掉宏病毒防护选项

如果office文档在打开时,系统给出一个宏病毒警告框,那么则说明系统感染了宏病毒。

2、网页病毒防范

1.屏蔽指定网页,打开ie浏览器à工具àinternet选项

2.切换至内容 分级审查  启用 许可站点。对于同一些包含恶意代码的网页,在知道其地址的情况下,可以将其屏蔽掉,在“允许该站点”中输入其它地址并单击“从不”按钮将其添加到拒绝列表中即可。

3.提高安全级别

提高lE的安全级别来来防范网页病毒。

将前面打开的窗口切换到“安全”选项卡,然后单击“自定义级别”  按钮打开“安全设置窗口”,将“Mctive控件和插件”、“脚本”下的所有选项, 我们尽可能的设为“禁用”,同时将“重置自定义设置”设为“安全级高”即可,

确保WSH安全

禁用远程注册表服务

原文地址:https://www.cnblogs.com/mutudou/p/11770342.html

时间: 2024-10-11 12:15:28

关于宏病毒的原理及其防范技术的相关文章

UDP反射DDoS攻击原理和防范

东南大学:UDP反射DDoS攻击原理和防范 2015-04-17 中国教育网络 李刚 丁伟 反射攻击的防范措施 上述协议安装后由于有关服务默认处于开启状态,是其被利用的一个重要因素.因此,防范可以从配置主机服务选项和访问控制权限(ACL)入手.具体建议如下: Chargen攻击防范配置方法 关闭Chargen服务,具体的操作方法: 1.Linux系统:在/etc/inetd.conf文件中注释掉'chargen'服务,或者在/etc/xinetd.d/目录下将chargen服务对应的文件中的"d

数据库原理与应用技术,学习笔记

数据库原理与应用技术 苗雪兰,宋歌编著 学习者:何 ◆ 第1章 数据库系统概述 >> 数据库是数据管理的新手段和技术. >> 信息就是新的.有用的事实和知识. >> 数据(Data)是用于承载信息的物理符号. >> 数据不等于信息,数据只是信息表达方式中的一种 >> 数据处理是指对数据的收集.组织.整理.加工.存储和传播等工作. >> 数据管理是其他数据处理的核心和基础. >> 数据库(DataBase,DB)是一个按数据

数据库原理与应用技术原理阅读笔记(1)

对数据库原理和应用技术原理这本书读了有几天了, 现在对自己学习过程中需要记录的话写下来: 数据库系统设计的目标是:对于给定的应用环境,建立一个性能良好.能满足不同用户使用要求的.又能被选定的数据库管理系统所接受的数据库系统模式. 数据库的结构特性设计过程是:先将现实世界中的事物.事物见的联系用E-R图汇总,得出数据库的信息模型:然后讲信息模型转化为数据模型的逻辑结构表示. 数据库的行为特性的设计步骤是:先将现实世界中的数据和应用情况用数据流程图和数据字典表示,并详细描述其中的数据操作要求(即操作

分布式拒绝服务攻击(DDoS)原理及防范

DDoS攻击概念 DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应. DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式.单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低.内存小或者网络带宽小等等各项性能指标不高它的效果是明显的.随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 – 目标对恶意攻击包的”消化能力”加强了不

CC攻击原理及防范方法和如何防范CC攻击

一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止. 二.CC攻击的种类:  CC攻击的种类有三种,直接攻

49 Linux操作系统原理、虚拟化技术基础原理

04 虚拟化技术基础原理 一.配置虚拟化网络 1.编辑配置文件 #关闭NetworkManager [[email protected] ~]# service NetworkManager stop [[email protected] ~]# chkconfig NetworkManager off    [[email protected] ~]# chkconfig --list NetworkManager NetworkManager  0:关闭  1:关闭  2:关闭  3:关闭

1.搜索引擎的历史,搜索引擎起步,发展,繁荣,搜索引擎的原理,搜索技术用途,信息检索过程,倒排索引,什么是Lucene,Lucene快速入门

 一: 1  搜索引擎的历史 萌芽:Archie.Gopher Archie:搜索FTP服务器上的文件 Gopher:索引网页 2  起步:Robot(网络机器人)的出现与spider(网络爬虫) Robot基于网络的,可以执行特定任务的程序 Spider:特殊的机器人,网络爬虫,爬取互联网上的信息(可以是文件,网络)----网络自动下载程序 3   发展阶段:excite,galaxy,yahoo这些公司做搜索 4   繁荣:infoseek,AltaVista,Google和百度 5  

MyBATIS插件原理第一篇——技术基础(反射和JDK动态代理)(转)

在介绍MyBATIS插件原理前我们需要先学习一下一些基础的知识,否则我们是很难理解MyBATIS的运行原理和插件原理的. MyBATIS最主要的是反射和动态代理技术,让我们首先先熟悉它们. 1:Java反射技术 在Java中反射技术已经大行其道,通过不断的优化性能得到了巨大的提高,而反射技术使得Java的可配置性大大提高.让我们来写一个服务打印hello + 姓名. import java.lang.reflect.InvocationTargetException; import java.l

数据库连接池的工作原理以及这项技术的产生

为什么要有这项技术? 数据库连接是一种非常珍贵而且有限的资源,尤其是在多用户的网络上,对数据库的管理好坏直接影响整个系统的性能 一.建立一个数据库连接是一项非常耗时的操作,在页面应用中如果每次用户都需要创建一次数据库连接,那么响应的时间就会非常长,会影响用户体验 二.数据库连接数是有限的,如果管理不好用户经常与数据库建立连接却忘记了释放,那么运行时间久了,数据库连接资源将会被耗尽,当再有新的用户操作时将会进行等待,直到资源被释放,这对系统的可用性造成了影响.因此管理好数据库连接资源非常重要,尤其