電腦病毒巨集病毒的回憶錄

　　巨集病毒是一個老生常談的問題，一提到它大多數的個人使用者會想到隨著微軟對Office版本的不斷改善與升級，Word 2007版本以上的個人使用者已經較少遭受巨集病毒的困擾了。下面由小編給你做出詳細的介紹!希望對你有幫助!

　　介紹：

　　但各位不知，貌似離我們很遠的巨集病毒近期卻再度氾濫，深深困擾著企業使用者，不少單位因此深陷於巨集病毒的泥潭中無法自拔。這一結論是由金山企業雲安全中心近期對於百萬級的企業級應用終端和網際網路的監測得出的，金山毒霸企業版可完美防護巨集病毒。

　　開門見山，還是要介紹一下今天的主角-巨集病毒。巨集病毒是病毒製造者利用Microsoft Office的開放性，即Office中提供的 BASIC程式設計介面，專門開發的一個或多個具有病毒特點的巨集集合。這種病毒巨集的集合會影響到計算機使用，並能通過DOC文件及DOT模板進行自我複製及傳播。一旦開啟感染巨集病毒的文件，其巨集就會被執行，巨集病毒就會被啟用，進一步轉移到計算機上，並駐留在Normal模板 上。從此以後，所有自動儲存的文件都會“感染”上這種巨集病毒，而且如果其他使用者打開了感染病毒的文件，巨集病毒又會轉移到他的計算機上。

　　巨集病毒的發展大致經過了三個階段。第一個階段為起源與集中爆發階段，時間為1996年至1999年。1996年，第一例巨集病毒“TaiwanNo.1”在臺灣被發現，該病毒僅用1年的時間就成為了PC年度殺手，1997年3月踢下米開朗基羅病毒，登上毒王寶座，因此，1996年也被稱為巨集病毒年。第二個階段為巨集病毒變種傳播及氾濫階段，時間為2000年至2005年。隨著微軟對Office 97以上版本的修正，使大部分基於以前Word版本的巨集病毒無法複製，巨集病毒的泛濫得以遏制，但是巨集病毒變種卻開始感染使用者的電腦，同時，巨集病毒的感染範圍由個人使用者逐漸向企業使用者過渡;巨集病毒發展的第三個階段為企業級使用者侵擾階段。時間從2006年一直延續至今。這一階段，巨集病毒對企業的危害開始凸顯，巨集病毒防護的核心由個人使用者向企業使用者傾斜。特別是由於企業內網中辦公檔案流轉的特殊屬性以及統一更換Office辦公軟體的複雜性，巨集病毒在企業內網中不斷得到傳播，防護巨集病毒成為了企業防病毒解決方案中舉足輕重的課題。

　　伴隨著巨集病毒的發展，它的傳播特點和危害開始被人們所熟知。依據不同時期的巨集病毒危害，大體可以概括出巨集病毒的三個主要特點。第一，隱蔽性強，傳播速度快。巨集病毒可以隱藏在移動介質和網路檔案中，一旦被感染，極易造成傳播。第二、容易產生變種，防治較難。巨集病毒採用了Word Basic編寫語言，可以不斷更改程式碼，進而產生新變種。第能夠跨平臺交叉感染，危害嚴重。巨集病毒能跨越多種平臺，並且針對關鍵資料進行破壞，因此具有極大的危害性。

　　眾所周知，巨集病毒對於文件有強大的破壞能力，感染巨集病毒的PC會出現多種特徵，從金山企業雲安全中心監測到的以及長期以來實際解決的感染案例中，我們可以將巨集病毒的感染特徵概括為以下幾種：

　　在文件已開啟“巨集病毒防護功能”的情況下，開啟文件，系統會彈出警告框。例如，以典型的MsExcel.ToDole病毒為例，感染該病毒的Excel文件在被開啟時，會出現如下圖所示的彈窗，出現該彈窗的原因為：帶毒文件被開啟時，會檢測巨集安全等級，若檢測的安全等級為高則關閉檔案，並提示使用者設定安全等級為中，為病毒的正常執行創造環境***巨集安全等級中及低才能執行載入巨集***。

　　巨集病毒的彈窗：

　　在已經開啟“巨集病毒防護功能”的情況下，Office中一系列的檔案在開啟時給出巨集警告。由於在一般情況下使用者很少使用到巨集，所以當看到成串的文件有巨集警告時，可以肯定這些文件中有巨集病毒。

　　用Word或Excel開啟檔案時，出現“文件未開啟”、“記憶體不夠”、“WordBasic Err=514”等;儲存檔案時，強制將檔案按“.dot”型別儲存，或強制在指定目錄存放等。

　　巨集病毒在感染了PC中的文件後，會執行一系列的步驟，下面是金山企業雲安全中心對某大型銀行感染的MsExcel.ToDole為例進行的剖析。ToDole是一個通過寫入病毒到Excel啟動資料夾***開啟任意xls檔案時都會執行***、利用郵件客戶端***僅Outlook***傳播的惡意病毒。正常文件被感染後，必須將巨集的安全等級設定成低，才能開啟文件，其執行過程的下所示：

　　MsExcel.ToDole病毒感染過程

　　巨集病毒對於個人使用者的危害已經不言而喻，它隱蔽性高、傳播快、易變種，使使用者無法正常使用辦公文件，極易產生文件無法編寫、印表機不能使用、檔案無法儲存等危害。然而，相對於個人使用者，企業內網中的巨集病毒無疑是更巨大的災難。

　　巨集病毒其危害性通常表現為以下幾點：

　　第一、巨集病毒在內網中極易造成傳播，防護難度大。辦公檔案的流轉是目前辦公資料傳送的最通常方式之一，無數的辦公檔案以金字塔般的形式，從上級傳播到基層， 基層與基層之間又不停地進行互動，這種辦公檔案的流動忠實地傳播和複製著巨集病毒，讓IT管理員束手無策。

　　第二、巨集病毒能夠破壞內網中的關鍵資料，造成內網中資料遭受嚴重破壞並大規模丟失，要進行恢復，難度大，耗費時間長。

　　第三、巨集病毒變種成本低，對系統威脅嚴重。大多數文件用巨集語言Word Basic編寫巨集指令，而巨集病毒同樣用Word Basic編寫。Word Basic語言提供了多種系統級底層呼叫，如Dos,呼叫Windows API，DLL等，這些操作均可能對系統構成直接威脅。而Word、Excel文件在指令安全性以及完整性上的檢測功能很弱，因此，破壞系統的指令就很容易被執行，而對於新變種產生的巨集病毒，企業必須對全網的防護軟體進行統一的升級才能及時的防護，但這對於企業中的管理員來講並不是一件簡單的事情。

　　除此之外，內網中如果感染了巨集病毒還會造成單位的印表機無法正常使用、內網裝置跨平臺交叉感染等危害，因此，防治企業內網中的巨集病毒在整個企業的防病毒策略中至關重要。

　　應該如何有效防護巨集病毒?小編建議：

　　首先，儘可能的封堵巨集病毒的傳播途徑，防止“病從口入”是關鍵。目前來看，巨集病毒傳播的途徑主要有兩個，第一個是移動介質的傳播，包括行動硬碟、光碟等;第二個是網路傳播，包括郵件傳播、網路下載、檔案傳輸等。因此，在內網中一旦發現了巨集病毒感染的檔案，管理員必須提醒內網中的所有使用者要謹慎，移動介質要先進行掃描檢查，對於不確定的文件，可以先用寫字板或者無巨集功能的文件軟體開啟，再進行相關的操作。

　　其次，由於巨集病毒變種較多，當隔離網使用者暫時無法使用升級防殺病毒軟體查殺新病毒時，可以手動提取檔案進行分析查殺。巨集病毒主要有載入巨集、公式巨集兩種型別，都是通過Excel的啟動函式來執行病毒程式碼，如遇到巨集病毒查殺模組不能查殺或反覆查殺的病毒，可以使用相關技術提取病毒樣本，交由專業的防病毒技術人員解決：

　　最後，金山毒霸網路版防病毒解決方案已經在實際的應用中成功部署並能夠及時防護內網中流行的巨集病毒，金山毒霸網路版採用國際領先水平的“藍芯”防毒引擎，全面支援 DOS、Windows、UNIX 等系統下的數十種壓縮格式，自動檢測移動介質及PC中的文件壓縮包查毒;支援 ZIP、RAR 等壓縮格式、UPX 加殼檔案的包內直接查殺;嵌入協議層的郵件監控，可雙向過濾郵件病毒;從源頭禁止巨集病毒的傳播，除此之外，金山毒霸網路版的主動升級機制可保證在第一時間獲取最新病毒庫，並自動分發給網內所有客戶機，防止因為巨集病毒變種引起的病毒爆發，因此，使用者可使用金山產品有效實現對巨集病毒的防護。

”人還：