计算机病毒及其防范技术(第2版)课件–宏病毒.pptVIP

清除宏病毒 对每一个受感染的word文档进行如下操作： 打开受感染的word文档，进入宏编辑环境（Alt+F11），打开Normal?Microsoft Word对象?This Document，清除其中的病毒代码（只要删除所有内容即可）。 然后打开Project?Microsoft Word?This Document，清除其中的病毒代码。 实际上，模板的病毒代码只要在处理最后一个受感染文件时清除即可，然而清除模板病毒后，如果重新打开其他已感染文件，模板将再次被感染，因此为了保证病毒被清除，可以查看每一个受感染文档的模板，如果存在病毒代码，都进行一次清除。 计算机学院 计算机学院 宏病毒 上海交通大学信息安全工程学院 刘功申 本章的学习目标 掌握宏病毒概念 掌握宏病毒制作机制 了解宏病毒实例 掌握宏病毒防范方法 掌握宏病毒实验 宏病毒定义 宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过文档及模板进行自我复制及传播。 支持宏病毒的应用系统特点 要达到宏病毒传染的目的，系统须具备以下特性： 可以把特定的宏命令代码附加在指定文件上； 可以实现宏命令在不同文件之间的共享和传递；? 可以在未经使用者许可的情况下获取某种控制权。 可支持宏病毒的应用系统 Microsoft公司的WORD、EXCEL、Access、PowerPoint、Project、Visio等产品； Inprise公司的Lotus AmiPro字处理软件； 此外，还包括AutoCAD、Corel Draw、PDF等等。 宏病毒的特点 传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题 宏病毒的共性 宏病毒会感染DOC文档文件和DOT模板文件。 打开时激活，通过Normal模板传播。 通过AutoOpen，AutoClose，AutoNew和AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指令。 宏病毒的作用机制 模板在建立整个文档中所起的作用是作为一个基类。新文档继承模板的属性（包括宏、菜单、格式等）。 编制宏病毒要用到的宏如右表 类别 宏 名 运行条件 自动宏 AutoExec 启动Word或加载全局模板时 AutoNew 每次创建新文档时 AutoOpen 每次打开已存在的文档时 AutoClose 在关闭文档时 AutoExit 在退出Word或卸载全局模板时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件 Word宏病毒感染过程 编制语言VBA\WordBasic等 环境：VBE 经典宏病毒-美丽莎 Melissa 利用微软的Word宏和Outlook发送载有80个色情文学网址的列表 它可感染Word 97或Word 2000,是一种Word宏病毒 当用户打开一个受到感染的Word 97或Word 2000文件时，病毒会自动通过被感染者的Outlook的通讯录，给前50个地址发出带有W97M_MELISSA病毒的电子邮件。 染毒现象： 信箱中将可以看到标题为“Important message from XX(来自XX的重要信息)”的邮件，其中XX是发件人的名字。 正文中写道，“这是你索要的文件……不要给其他人看;－)。”此外，该邮件还包括一个名为list.doc的Word文档附件，其中包含大量的色情网址。 经典宏病毒-台湾NO.1B 病毒发作时，只要打开一个Word文档，就会被要求计算一道5个至多4位数的连乘算式。 由于算式的复杂度，很难在短时间内计算出答案，一旦计算错误，Word就会自动开启20个新窗口，然后再次生成一道类似的算式，接着不断往复，直至系统资源耗尽。 经典宏病毒-O97M.Tristate.C病毒 O97M.Tristate.C宏病毒可以交叉感染MS Word 97、MS Excwel 97和MS PowerPoint 97等多种程序生成的数据文件。 病毒从Word文档、Excel电子表格或PowerPoint幻灯片被激活，并进行交叉感染。 病毒在Excel中被激活时，它在Excel Startup目录下查找文档BOOK1.XLS，如果不存在，病毒将在该目录下创建一个被感染的工作簿并使Excel的宏病毒保护功能失效。病毒存放在被感染的电子表格的“ThisWorkbook”中。 宏语言 Office程序和它们所使用的宏语言 Office程序版本 宏语言 Word 6.x, 7.x WordBasic Excel 5.x, 7.x VBA 3.0 Office 97, Word 8.0, Excel 6.0\8.0, Project 98, A