文章目录
前言
近日,在某个技术论文上看到了一篇关于宏病毒的技术博客,并且在几个月前在虚拟机上做了一个简单的宏病毒实验,但并未认真研究过其原理,今天忽然有了一点莫名的兴致,借着这个莫名而来的兴趣研究了下宏和宏病毒,由于本人还是在校学生,基础不是非常扎实,且没有该方面的真实实战经验,故可能存在一些错误的地方,还望各位技术大佬给予批评指正。
PS:本文关于的定义只是为宏病毒的学习进行简单的铺路,可能不够详细。
宏
定义
在百度百科的解释是:宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。结合定义及其他技术博客,个人的理解是通过一个指令代替一大串指令,从而提高效率。
宏病毒
定义
与之对应的就是安全相关的就是宏病毒,以下是百度百科给出的关于宏病毒的定义:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
通过上面的宏的定义,我们可以知道,宏病毒正是利用宏能够通过一条指令代替多条指令这一特点导致在Word中可以快速感染(以Word为例)。
然而并非所有系统均能感染宏病毒
系统要求/特性
- 可以把特定的宏命令代码附加在指定文件上
- 可以实现宏命令在不同文件之间的共享和传递
- 可以在未经使用者许可的情况下获取某种控制权
支持系统
- Microsoft公司的Word、Excel、Access、PowerPoint、Project、Visio等产品
- Inprise公司的Lotus AmiPro字处理软件
- AutoCAD、Corel Draw、PDF等
特点
- 传播极快
- 制作、变种方便
- 破坏可能性极大
- 多平台交叉感染
- 地域性问题
- 早起的大多数宏病毒只感染英文版的Word,通常不会感染其他的一些本地化的非英文版本的Word系统
- 由于中文版的Word内置的BASIC实际上是英文版,故所有感染英文版Word宏病毒几乎都会对中文版Word感染威胁
- 版本问题
- 宏病毒在DOC文档、DOT模板中以BBF格式存放(一种加密压缩格式),故可能存在不同Word版本格式可能不兼容
共性
- 宏病毒会感染文档文件和模板文件
- 打开时激活,通过Normal模板传播
Word宏病毒(若对宏或宏病毒有一定了解可直接跳转于此)
工作原理
Word宏及其运行条件
判断方法
- 在打开“宏病毒防护功能”的情况下,打开一个文档时,系统弹出相应的警告框
- 在打开“宏病毒防护功能”的情况下,OFFICE文档在打开时给出宏警告
- 软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存
- 在Normal模板发现有AutoOpen等自动宏,FileSave等标准宏或一些怪名字的宏,而自己又没有加载特殊模板,这就有可能有病毒了
- 当打开一个文档时,未经任何改动,立即就有存盘操作
- 打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘
- 无法使用“另存为(Save As)”修改路径
- 不能再被转存为其它格式的文件
- DOC文件具备与DOT文档相一致的内部格式(尽管文件扩展名未改变)
清除方法
Alt+F11进入宏环境,打开Normal下的Microsoft Word对象下的This Document,删除宏病毒代码,ctrl+s保存,保存并重启Word
预防方法
首选方法:非必要条件下,Word中宏设置应设置为禁用所有宏,并发出通知
- 对于已染毒的模板文件(Normal.dot),应先其中的自动宏清除(AutoOpen、AutoClose、AutoNew),然后将其置成只读方式。
- 对于其他已染毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。
- 平时使用时要加强预防。对来历不明的宏最好删除。
- 先禁止所有自动执行的宏。
- 安装反病毒软件。
经典宏病毒
- 美丽莎(Melissa)
- 台湾NO.1B
- O97M.Tristate.C病毒
参考文献
【1】宏(百度百科) https://baike.baidu.com/item/%E5%AE%8F/2648286?fr=aladdin
【2】宏病毒(百度百科) https://baike.baidu.com/item/%E5%AE%8F%E7%97%85%E6%AF%92/1568984?fr=aladdin
【3】刘功申,孟魁,王轶骏,姜开达,李生红. 《计算机病毒与恶意代码——原理、技术及防范(第4版)》. 清华大学出版社,2019.6
【4】什么是 BBF 文件扩展名? https://www.solvusoft.com/zh-cn/file-extensions/file-extension-bbf
【5】 宏病毒学习总结 https://blog.csdn.net/bcbobo21cn/article/details/68957180?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159495109919725222419869%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=159495109919725222419869&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_ecpm_v3~pc_rank_v4-15-68957180.first_rank_ecpm_v3_pc_rank_v4&utm_term=%E5%AE%8F%E7%97%85%E6%AF%92