浅谈宏病毒与防御
宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,
|
说到“宏病毒”,有人难免有些陌生,咱们先来从大家熟知的“宏”说起 宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。那么关于宏的安装和录制就不在这里详述了,我们再来把视线转向我们今天的主角——宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档 一旦打开带有宏病毒的文档,宏就会被执行,宏病毒就会被激活,转移到计算机上,驻留在Normal模板上。在此之后所有自动保存的文档都会“感染”上这种宏病毒,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上
在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用,如打开Word程序(AutoExec) 宏病毒的传播路线如下: 单机:单个Office文档 => Office文档模板 => 多个Office文档(文档到模块感染) 网络:电子邮件居多 首先Office文档被感染病毒,当文档打开会执行自动宏,如果宏被执行,它会去检测当前模板是否被感染病毒,如果没有被感染,它会将释放自身的病毒代码。当模板被感染之后,系统中任何一个文档被打开,都会执行模板中的病毒,宏病毒进行传播 宏病毒的感染方案就是让宏在这两类文件之间互相感染,即数据文档、文档模板 宏病毒也可以通过网络进行传播,譬如电子邮件 Mellisa病毒:自动往OutLook邮件用户地址簿中的前50位用户发送病毒副本 “叛逃者”病毒:也集成了感染Office文档的宏病毒感染功能,并且可以通过OutLook发送病毒副本 宏病毒的自我保护措施有如下三点: 1.禁止提示信息 2.屏蔽命令菜单,不许查看宏 3.隐藏宏的真实代码 在“自动宏”中宏病毒报错,不包括任何感染或破坏的代码,但包含了创建、执行和删除新宏(实际进行感染和破坏的宏)的代码;将宏代码字体颜色设置成与背景一样的白色等 ?宏病毒的防御 一旦发现计算机Office软件打开后弹出系统警告框,并且无法“另存为”,就表示该文件已感染宏病毒,此时不能再打开其他文件,否则病毒也会感染,应马上关闭删除该文件。若文件重要不能删除,则需用杀毒软件全盘扫面,处理感染文件; 开启禁用宏进行防止再次感染病毒。在“受信任位置”中,删除“可靠来源”列表框中的不安全来源,根据实际情况设置是否信任所有安装的加载项和模板,设置宏的安全性; 安装杀毒软件,打全系统补丁是预防计算机病毒的基本措施,当然也适用于宏病毒,除此这些常规手段之外,宏病毒还有专门的防治措施; 用沙箱检测文档是否有宏病毒 宏病毒常常用在APT攻击中,一些鱼叉邮件之中经常会写入宏病毒,甚至有一些还能进行沙箱绕过,有一些可以通过聊天软件发送消息,获取对方电脑存储路径。所以千万记住,不明链接不要点 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
