防火墙病毒常见病毒和防治.pptxVIP

防火墙病毒常见病毒和防治防火墙病毒常见病毒和防治第1页

第三章常见病毒与预防宏病毒：所谓宏是为防止重复一样工作而设计一个工具。起源：MicroSoftWord，利用软件支持宏命令编写可复制、感染宏。特点：跨平台、相对简单、不感染comexe文件、经过DocDot文件进行自我复制和传输防火墙病毒常见病毒和防治第2页

第三章常见病毒与预防宏病毒：特征：传输快：使用广泛制作变种快：易于修改多平台防火墙病毒常见病毒和防治第3页

第三章常见病毒与预防宏病毒：症状：打开文档或模板文件时激活包含AutoOpenAutoCloseAutoNewAutoExit包含对文档读写命令DocDot中以BEF(BineryFileFormat)格式存放将文档改为模板，但不改变扩展名不能用SaveAs打开激活，复制到Normal.dot通用模板中。防火墙病毒常见病毒和防治第4页

第三章常见病毒与预防宏病毒：作用机制Word文档中含有代码、数据。该代码能够被Word解释执行。Word文档经过模板建立。缺省为Normal.dot。Word中每个操作都对应一个宏命令，如：FileSaveFileSaveAs。打开文件时，检验AutoOpen是否存在。存在则执行。AutoClose在文件关闭时执行。含病毒代码宏将其移植到通用模板代码段。Word开启时打开通用模板，该宏替换正常宏，用户调用后进行非法操作。防火墙病毒常见病毒和防治第5页

第三章常见病毒与预防宏病毒：传输路径：软盘交流文档硬盘感染光盘携带Internet下载BBS交流电子邮件附件防火墙病毒常见病毒和防治第6页

第三章常见病毒与预防宏病毒：去除手工：打开宏菜单，从Normal.dot中删除可疑宏打开带有宏病毒文档，打开宏菜单去除保留清洁文档软件去除防火墙病毒常见病毒和防治第7页

第三章常见病毒与预防Concept病毒（又称Prank）

????当第一次发觉Word感染该病毒时，会出现一个对话框，对话框中文本只有一个“1”，按钮也只有一个“OK”键（在汉字环境中为“确定”键）。病毒加载之后，就会修改【文件】菜单【保留】命令所代表宏，然后在每次保留文件时候，就会将病毒保留到文件中。

????受此病毒感染后，所编辑文档只能按模板格式保留。Concept病毒不会造成文件数据丢失。其症状是WordNormal模板中会出现两个名字为AAAZAO和AAAZFS宏命令，如图13-1所表示。另外还有一个PayLoad宏，该宏只包含一句话“这足以证实我观点（That’senoughtoprovemypoint.）”，而不做其它事情。?防火墙病毒常见病毒和防治第8页

第三章常见病毒与预防即使Concept在这个宏里面没有包含任何内容，不过任何一个对宏有一定了解人都能够修改这个宏，做一些可怕事情，比如删除一些文件，修改磁盘上一些关键参数或生成另外一个更可怕病毒。所以，即使能够认为Concept是良性病毒，不过必须注意，它随时都能够变成恶性病毒（这也是其它病毒发展必定过程）。防火墙病毒常见病毒和防治第9页

第三章常见病毒与预防Nuclear病毒

该病毒会对文档打印功效造成破坏，并会破坏MS-DOS系统文件。感染该病毒后，WordNormal模板将出现以下宏命令：AutoExec、AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、FileSaveAs、InsertPayLoad、PayLoad，如图13-2所表示。

????Nuclear宏病毒可能造成以下危害：

????（1）假如在任何时间55~57秒之间操作文件，病毒会在打印文档上加入“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC（停顿法国在太平洋全部核试验）”这句话。

????（2）假如在下午5点~6点（系统时间）打开感染了Nuclear病毒文件，这台计算机将被PH33R病毒感染，PH33R病毒会产生一个DOS驻留程序。

????（3）每年4月5日，Nuclear病毒会将计算机中IO.SYS和MSDOS.SYS两个文件长度置为零，并删除COMMOND.COM文件，使DOS无法开启。防火墙病毒常见病毒和防治第10页

第三章常见病毒与预防图片来自滚石咨询防火墙病毒常见病毒和防治第11页

第三章常见病毒与预防DMV病毒

????该病毒与Concept病毒类似，使Word中【另存为】命令无效

13.2.4宏病毒一些变种

????从第一个宏病毒Concept诞生到1998年底，Word宏病毒已经出现了几千个变种，其中不少是恶性病毒，不