電腦病毒宏病毒的回憶錄
電腦病毒宏病毒的回憶錄
宏病毒是一個(gè)老生常談的問題,一提到它大多數(shù)的個(gè)人用戶會(huì)想到隨著微軟對(duì)Office版本的不斷改善與升級(jí),Word 2007版本以上的個(gè)人用戶已經(jīng)較少遭受宏病毒的困擾了。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的電腦病毒宏病毒的回憶錄介紹!希望對(duì)你有幫助!
電腦病毒宏病毒的回憶錄介紹:
但各位不知,貌似離我們很遠(yuǎn)的宏病毒近期卻再度泛濫,深深困擾著企業(yè)用戶,不少單位因此深陷于宏病毒的泥潭中無法自拔。這一結(jié)論是由金山企業(yè)云安全中心近期對(duì)于百萬級(jí)的企業(yè)級(jí)應(yīng)用終端和互聯(lián)網(wǎng)的監(jiān)測(cè)得出的,金山毒霸企業(yè)版可完美防護(hù)宏病毒。
開門見山,還是要介紹一下今天的主角-宏病毒。宏病毒是病毒制造者利用Microsoft Office的開放性,即Office中提供的 BASIC編程接口,專門開發(fā)的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏集合。這種病毒宏的集合會(huì)影響到計(jì)算機(jī)使用,并能通過DOC文檔及DOT模板進(jìn)行自我復(fù)制及傳播。一旦打開感染宏病毒的文檔,其宏就會(huì)被執(zhí)行,宏病毒就會(huì)被激活,進(jìn)一步轉(zhuǎn)移到計(jì)算機(jī)上,并駐留在Normal模板 上。從此以后,所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。
宏病毒的發(fā)展大致經(jīng)過了三個(gè)階段。第一個(gè)階段為起源與集中爆發(fā)階段,時(shí)間為1996年至1999年。1996年,第一例宏病毒“TaiwanNo.1”在臺(tái)灣被發(fā)現(xiàn),該病毒僅用1年的時(shí)間就成為了PC年度殺手,1997年3月踢下米開朗基羅病毒,登上毒王寶座,因此,1996年也被稱為宏病毒年。第二個(gè)階段為宏病毒變種傳播及泛濫階段,時(shí)間為2000年至2005年。隨著微軟對(duì)Office 97以上版本的修正,使大部分基于以前Word版本的宏病毒無法復(fù)制,宏病毒的泛濫得以遏制,但是宏病毒變種卻開始感染用戶的電腦,同時(shí),宏病毒的感染范圍由個(gè)人用戶逐漸向企業(yè)用戶過渡;宏病毒發(fā)展的第三個(gè)階段為企業(yè)級(jí)用戶侵?jǐn)_階段。時(shí)間從2006年一直延續(xù)至今。這一階段,宏病毒對(duì)企業(yè)的危害開始凸顯,宏病毒防護(hù)的核心由個(gè)人用戶向企業(yè)用戶傾斜。特別是由于企業(yè)內(nèi)網(wǎng)中辦公文件流轉(zhuǎn)的特殊屬性以及統(tǒng)一更換Office辦公軟件的復(fù)雜性,宏病毒在企業(yè)內(nèi)網(wǎng)中不斷得到傳播,防護(hù)宏病毒成為了企業(yè)防病毒解決方案中舉足輕重的課題。
伴隨著宏病毒的發(fā)展,它的傳播特點(diǎn)和危害開始被人們所熟知。依據(jù)不同時(shí)期的宏病毒危害,大體可以概括出宏病毒的三個(gè)主要特點(diǎn)。第一,隱蔽性強(qiáng),傳播速度快。宏病毒可以隱藏在移動(dòng)介質(zhì)和網(wǎng)絡(luò)文件中,一旦被感染,極易造成傳播。第二、容易產(chǎn)生變種,防治較難。宏病毒采用了Word Basic編寫語言,可以不斷更改代碼,進(jìn)而產(chǎn)生新變種。第能夠跨平臺(tái)交叉感染,危害嚴(yán)重。宏病毒能跨越多種平臺(tái),并且針對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行破壞,因此具有極大的危害性。
眾所周知,宏病毒對(duì)于文檔有強(qiáng)大的破壞能力,感染宏病毒的PC會(huì)出現(xiàn)多種特征,從金山企業(yè)云安全中心監(jiān)測(cè)到的以及長期以來實(shí)際解決的感染案例中,我們可以將宏病毒的感染特征概括為以下幾種:
在文檔已開啟“宏病毒防護(hù)功能”的情況下,打開文檔,系統(tǒng)會(huì)彈出警告框。例如,以典型的MsExcel.ToDole病毒為例,感染該病毒的Excel文檔在被打開時(shí),會(huì)出現(xiàn)如下圖所示的彈窗,出現(xiàn)該彈窗的原因?yàn)椋簬Ф疚臋n被打開時(shí),會(huì)檢測(cè)宏安全等級(jí),若檢測(cè)的安全等級(jí)為高則關(guān)閉文件,并提示用戶設(shè)置安全等級(jí)為中,為病毒的正常運(yùn)行創(chuàng)造環(huán)境(宏安全等級(jí)中及低才能運(yùn)行加載宏)。
宏病毒的彈窗:
在已經(jīng)開啟“宏病毒防護(hù)功能”的情況下,Office中一系列的文件在打開時(shí)給出宏警告。由于在一般情況下用戶很少使用到宏,所以當(dāng)看到成串的文檔有宏警告時(shí),可以肯定這些文檔中有宏病毒。
用Word或Excel打開文件時(shí),出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasic Err=514”等;保存文件時(shí),強(qiáng)制將文件按“.dot”類型存儲(chǔ),或強(qiáng)制在指定目錄存放等。
宏病毒在感染了PC中的文檔后,會(huì)執(zhí)行一系列的步驟,下面是金山企業(yè)云安全中心對(duì)某大型銀行感染的MsExcel.ToDole為例進(jìn)行的剖析。ToDole是一個(gè)通過寫入病毒到Excel啟動(dòng)文件夾(打開任意xls文件時(shí)都會(huì)運(yùn)行)、利用郵件客戶端(僅Outlook)傳播的惡意病毒。正常文檔被感染后,必須將宏的安全等級(jí)設(shè)置成低,才能打開文檔,其執(zhí)行過程的下所示:
MsExcel.ToDole病毒感染過程
宏病毒對(duì)于個(gè)人用戶的危害已經(jīng)不言而喻,它隱蔽性高、傳播快、易變種,使用戶無法正常使用辦公文檔,極易產(chǎn)生文檔無法編寫、打印機(jī)不能使用、文件無法儲(chǔ)存等危害。然而,相對(duì)于個(gè)人用戶,企業(yè)內(nèi)網(wǎng)中的宏病毒無疑是更巨大的災(zāi)難。
宏病毒其危害性通常表現(xiàn)為以下幾點(diǎn):
第一、宏病毒在內(nèi)網(wǎng)中極易造成傳播,防護(hù)難度大。辦公文件的流轉(zhuǎn)是目前辦公數(shù)據(jù)傳送的最通常方式之一,無數(shù)的辦公文件以金字塔般的形式,從上級(jí)傳播到基層, 基層與基層之間又不停地進(jìn)行互動(dòng),這種辦公文件的流動(dòng)忠實(shí)地傳播和復(fù)制著宏病毒,讓IT管理員束手無策。
第二、宏病毒能夠破壞內(nèi)網(wǎng)中的關(guān)鍵數(shù)據(jù),造成內(nèi)網(wǎng)中數(shù)據(jù)遭受嚴(yán)重破壞并大規(guī)模丟失,要進(jìn)行恢復(fù),難度大,耗費(fèi)時(shí)間長。
第三、宏病毒變種成本低,對(duì)系統(tǒng)威脅嚴(yán)重。大多數(shù)文檔用宏語言Word Basic編寫宏指令,而宏病毒同樣用Word Basic編寫。Word Basic語言提供了多種系統(tǒng)級(jí)底層調(diào)用,如Dos,調(diào)用Windows API,DLL等,這些操作均可能對(duì)系統(tǒng)構(gòu)成直接威脅。而Word、Excel文檔在指令安全性以及完整性上的檢測(cè)功能很弱,因此,破壞系統(tǒng)的指令就很容易被執(zhí)行,而對(duì)于新變種產(chǎn)生的宏病毒,企業(yè)必須對(duì)全網(wǎng)的防護(hù)軟件進(jìn)行統(tǒng)一的升級(jí)才能及時(shí)的防護(hù),但這對(duì)于企業(yè)中的管理員來講并不是一件簡單的事情。
除此之外,內(nèi)網(wǎng)中如果感染了宏病毒還會(huì)造成單位的打印機(jī)無法正常使用、內(nèi)網(wǎng)設(shè)備跨平臺(tái)交叉感染等危害,因此,防治企業(yè)內(nèi)網(wǎng)中的宏病毒在整個(gè)企業(yè)的防病毒策略中至關(guān)重要。
應(yīng)該如何有效防護(hù)宏病毒?學(xué)習(xí)啦小編建議:
首先,盡可能的封堵宏病毒的傳播途徑,防止“病從口入”是關(guān)鍵。目前來看,宏病毒傳播的途徑主要有兩個(gè),第一個(gè)是移動(dòng)介質(zhì)的傳播,包括移動(dòng)硬盤、光盤等;第二個(gè)是網(wǎng)絡(luò)傳播,包括郵件傳播、網(wǎng)絡(luò)下載、文件傳輸?shù)?。因此,在?nèi)網(wǎng)中一旦發(fā)現(xiàn)了宏病毒感染的文件,管理員必須提醒內(nèi)網(wǎng)中的所有用戶要謹(jǐn)慎,移動(dòng)介質(zhì)要先進(jìn)行掃描檢查,對(duì)于不確定的文檔,可以先用寫字板或者無宏功能的文檔軟件打開,再進(jìn)行相關(guān)的操作。
其次,由于宏病毒變種較多,當(dāng)隔離網(wǎng)用戶暫時(shí)無法使用升級(jí)防殺病毒軟件查殺新病毒時(shí),可以手動(dòng)提取文件進(jìn)行分析查殺。宏病毒主要有加載宏、公式宏兩種類型,都是通過Excel的啟動(dòng)函數(shù)來執(zhí)行病毒代碼,如遇到宏病毒查殺模塊不能查殺或反復(fù)查殺的病毒,可以使用相關(guān)技術(shù)提取病毒樣本,交由專業(yè)的防病毒技術(shù)人員解決:
最后,金山毒霸網(wǎng)絡(luò)版防病毒解決方案已經(jīng)在實(shí)際的應(yīng)用中成功部署并能夠及時(shí)防護(hù)內(nèi)網(wǎng)中流行的宏病毒,金山毒霸網(wǎng)絡(luò)版采用國際領(lǐng)先水平的“藍(lán)芯”殺毒引擎,全面支持 DOS、Windows、UNIX 等系統(tǒng)下的數(shù)十種壓縮格式,自動(dòng)檢測(cè)移動(dòng)介質(zhì)及PC中的文檔壓縮包查毒;支持 ZIP、RAR 等壓縮格式、UPX 加殼文件的包內(nèi)直接查殺;嵌入?yún)f(xié)議層的郵件監(jiān)控,可雙向過濾郵件病毒;從源頭禁止宏病毒的傳播,除此之外,金山毒霸網(wǎng)絡(luò)版的主動(dòng)升級(jí)機(jī)制可保證在第一時(shí)間獲取最新病毒庫,并自動(dòng)分發(fā)給網(wǎng)內(nèi)所有客戶機(jī),防止因?yàn)楹瓴《咀兎N引起的病毒爆發(fā),因此,用戶可使用金山產(chǎn)品有效實(shí)現(xiàn)對(duì)宏病毒的防護(hù)。
看過“電腦病毒宏病毒的回憶錄 ”人還看了:
1.電腦宏病毒