MsExcel.ToDole病毒感染的Excel文檔打開后的彈窗
2����、 在已經(jīng)開啟“宏病毒防護(hù)功能”的情況下��,Office中一系列的文件在打開時給出宏警告�����。由于在一般情況下用戶很少使用到宏��,所以當(dāng)看到成串的文檔有宏警告時�,可以肯定這些文檔中有宏病毒。
3���、 用Word或Excel打開文件時���,出現(xiàn)“文檔未打開”、“內(nèi)存不夠”�����、“WordBasic Err=514”等;保存文件時����,強(qiáng)制將文件按“.dot”類型存儲,或強(qiáng)制在指定目錄存放等�。
宏病毒在感染了PC中的文檔后,會執(zhí)行一系列的步驟���,下面是金山企業(yè)云安全中心對某大型銀行感染的MsExcel.ToDole為例進(jìn)行的剖析���。ToDole是一個通過寫入病毒到Excel啟動文件夾(打開任意xls文件時都會運(yùn)行)�、利用郵件客戶端(僅Outlook)傳播的惡意病毒���。正常文檔被感染后,必須將宏的安全等級設(shè)置成低��,才能打開文檔��,其執(zhí)行過程的下所示:
MsExcel.ToDole病毒感染過程
宏病毒對于個人用戶的危害已經(jīng)不言而喻�����,它隱蔽性高����、傳播快、易變種��,使用戶無法正常使用辦公文檔���,極易產(chǎn)生文檔無法編寫�����、打印機(jī)不能使用��、文件無法儲存等危害�����。然而���,相對于個人用戶��,企業(yè)內(nèi)網(wǎng)中的宏病毒無疑是更巨大的災(zāi)難�����。其危害性通常表現(xiàn)為以下幾點(diǎn):
第一����、宏病毒在內(nèi)網(wǎng)中極易造成傳播����,防護(hù)難度大。辦公文件的流轉(zhuǎn)是目前辦公數(shù)據(jù)傳送的最通常方式之一�����,無數(shù)的辦公文件以金字塔般的形式,從上級傳播到基層�����,基層與基層之間又不停地進(jìn)行互動�����,這種辦公文件的流動忠實(shí)地傳播和復(fù)制著宏病毒����,讓IT管理員束手無策��。
第二���、宏病毒能夠破壞內(nèi)網(wǎng)中的關(guān)鍵數(shù)據(jù)����,造成內(nèi)網(wǎng)中數(shù)據(jù)遭受嚴(yán)重破壞并大規(guī)模丟失����,要進(jìn)行恢復(fù)����,難度大�����,耗費(fèi)時間長����。
第三、宏病毒變種成本低�,對系統(tǒng)威脅嚴(yán)重。大多數(shù)文檔用宏語言Word Basic編寫宏指令��,而宏病毒同樣用Word Basic編寫����。Word Basic語言提供了多種系統(tǒng)級底層調(diào)用,如Dos,調(diào)用Windows API���,DLL等�,這些操作均可能對系統(tǒng)構(gòu)成直接威脅����。而Word�、Excel文檔在指令安全性以及完整性上的檢測功能很弱����,因此,破壞系統(tǒng)的指令就很容易被執(zhí)行�,而對于新變種產(chǎn)生的宏病毒,企業(yè)必須對全網(wǎng)的防護(hù)軟件進(jìn)行統(tǒng)一的升級才能及時的防護(hù)�,但這對于企業(yè)中的管理員來講并不是一件簡單的事情。
除此之外����,內(nèi)網(wǎng)中如果感染了宏病毒還會造成單位的打印機(jī)無法正常使用、內(nèi)網(wǎng)設(shè)備跨平臺交叉感染等危害��,因此��,防治企業(yè)內(nèi)網(wǎng)中的宏病毒在整個企業(yè)的防病毒策略中至關(guān)重要����。
應(yīng)該如何有效防護(hù)宏病毒?金山企業(yè)云安全中心建議:
首先�����,盡可能的封堵宏病毒的傳播途徑�����,防止“病從口入”是關(guān)鍵。目前來看�,宏病毒傳播的途徑主要有兩個,第一個是移動介質(zhì)的傳播����,包括移動硬盤、光盤等;第二個是網(wǎng)絡(luò)傳播�����,包括郵件傳播���、網(wǎng)絡(luò)下載��、文件傳輸?shù)?����。因此����,在?nèi)網(wǎng)中一旦發(fā)現(xiàn)了宏病毒感染的文件,管理員必須提醒內(nèi)網(wǎng)中的所有用戶要謹(jǐn)慎�����,移動介質(zhì)要先進(jìn)行掃描檢查����,對于不確定的文檔,可以先用寫字板或者無宏功能的文檔軟件打開�����,再進(jìn)行相關(guān)的操作���。
其次�����,由于宏病毒變種較多�,當(dāng)隔離網(wǎng)用戶暫時無法使用升級防殺病毒軟件查殺新病毒時�����,可以手動提取文件進(jìn)行分析查殺�����。宏病毒主要有加載宏�����、公式宏兩種類型���,都是通過Excel的啟動函數(shù)來執(zhí)行病毒代碼����,如遇到宏病毒查殺模塊不能查殺或反復(fù)查殺的病毒����,可以使用相關(guān)技術(shù)提取病毒樣本,交由專業(yè)的防病毒技術(shù)人員解決:
最后����,金山毒霸網(wǎng)絡(luò)版防病毒解決方案已經(jīng)在實(shí)際的應(yīng)用中成功部署并能夠及時防護(hù)內(nèi)網(wǎng)中流行的宏病毒,金山毒霸網(wǎng)絡(luò)版采用國際領(lǐng)先水平的“藍(lán)芯”殺毒引擎���,全面支持 DOS��、Windows�、UNIX 等系統(tǒng)下的數(shù)十種壓縮格式,自動檢測移動介質(zhì)及PC中的文檔壓縮包查毒;支持 ZIP�、RAR 等壓縮格式、UPX 加殼文件的包內(nèi)直接查殺;嵌入?yún)f(xié)議層的郵件監(jiān)控��,可雙向過濾郵件病毒;從源頭禁止宏病毒的傳播��,除此之外�����,金山毒霸網(wǎng)絡(luò)版的主動升級機(jī)制可保證在第一時間獲取最新病毒庫��,并自動分發(fā)給網(wǎng)內(nèi)所有客戶機(jī)���,防止因?yàn)楹瓴《咀兎N引起的病毒爆發(fā)��,因此���,用戶可使用金山產(chǎn)品有效實(shí)現(xiàn)對宏病毒的防護(hù)。
