设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 唐人街茶馆 浅谈宏病毒与防御
回复 发帖
返回列表 发新帖
开启左侧

[闲聊] 浅谈宏病毒与防御

[复制链接]
63728 0
莫愁67 发表于 2022-1-21 15:57:32 | 只看该作者 打印 上一主题 下一主题
 
说到“宏病毒”,有人难免有些陌生,咱们先来从大家熟知的“宏”说起
宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。那么关于宏的安装和录制就不在这里详述了,我们再来把视线转向我们今天的主角——宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档
一旦打开带有宏病毒的文档,宏就会被执行,宏病毒就会被激活,转移到计算机上,驻留在Normal模板上。在此之后所有自动保存的文档都会“感染”上这种宏病毒,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上

浅谈宏病毒与防御 第1张图片
在Word和其他微软Office系列办公软件中,宏分为两种
内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等
全局宏:位于office模板中,为所有文档所共用,如打开Word程序(AutoExec)
宏病毒的传播路线如下:
单机:单个Office文档 => Office文档模板 => 多个Office文档(文档到模块感染)
网络:电子邮件居多
首先Office文档被感染病毒,当文档打开会执行自动宏,如果宏被执行,它会去检测当前模板是否被感染病毒,如果没有被感染,它会将释放自身的病毒代码。当模板被感染之后,系统中任何一个文档被打开,都会执行模板中的病毒,宏病毒进行传播
宏病毒的感染方案就是让宏在这两类文件之间互相感染,即数据文档、文档模板
宏病毒也可以通过网络进行传播,譬如电子邮件
Mellisa病毒:自动往OutLook邮件用户地址簿中的前50位用户发送病毒副本
“叛逃者”病毒:也集成了感染Office文档的宏病毒感染功能,并且可以通过OutLook发送病毒副本
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject("Outlook.Application")
Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")
If System.PrivateProfileString(", "HKEY_ _CURRENT_ USER\Software\Microsoft\Office\",
"Melissa?") <> "... by Kwyjibo" Then
#如果以前没有发过邮件,则发送邮件
If UngaDasOutlook = "Outlook" Then宏病毒的自我保护措施有如下三点:
1.禁止提示信息
On Error Resume Next 如果发生错误,不弹出出错窗口,继续执行下面语句
Application.DisplayAlerts = wdAlertsNone 不弹出警告窗口
Application.DisplayStatusBar = False 不显示状态栏,以免显示宏的运行状态
Options.VirusProtection = False 关闭病毒保护功能,运行前如果包含宏,不提示2.屏蔽命令菜单,不许查看宏
通过特定宏定义:
Sub ViewVBCode()
MsgBox "Unexcpected error",16
End Sub

Disable或者删除特定菜单项,用来使“工具—宏”菜单失效的语句:
CommandBars(“Tools”).Controls(16).Enabled = False3.隐藏宏的真实代码
在“自动宏”中,不包括任何感染或破坏的代码,但包含了创建、执行和删除新宏(实际进行感染和破坏的宏)的代码;将宏代码字体颜色设置成与背景一样的白色等
宏病毒的防御
一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。若文件重要不能删除,则需用杀毒软件全盘扫面,处理感染文件;
开启禁用宏进行防止再次感染病毒。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性;
安装杀毒软件,打全系统补丁是预防计算机病毒的基本措施,当然也适用于宏病毒,除此这些常规手段之外,宏病毒还有专门的防治措施;
用沙箱检测文档是否有宏病毒
宏病毒常常用在APT攻击中,一些鱼叉邮件之中经常会写入宏病毒,甚至有一些还能进行沙箱绕过,有一些可以通过聊天软件发送消息,获取对方电脑存储路径。所以千万记住,不明链接不要点


上一篇:『AAV』影响AAV病毒感染效率的因素
下一篇:木马病毒究竟有多可怕?
标签:自动化在这里执行的宏病毒一系列
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

莫愁67白金会员

0关注

8粉丝

463帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-5-12 07:04