原以为现在不可能再有宏病毒这种东西了,office的安全性还是实现的意义都使这种病毒不再流行,可是最近宏病毒居然会在公司内流行,通过邮件附件传播,收到带有宏病毒的excel文档的员工,一般不会在意宏的安全提示,以为是工作文档或上级下发的文件,直接启用宏,然后就中招了。
截了一份病毒文档,excel的,在中招的那台电脑(没装杀毒软件)上出现了奇怪的现象,可能也是病毒作者没有预计到的,除了最初那份带毒excel文件可以打开(但鼠标会长时间处于漏斗状),其它所有的excel文档都无法双击打开了,一打开就出现程序错误然后关闭,重装了excel,这下又变成其它excel文档由于出现错误询问是否要重启恢复,但如果先启动excel程序,再从中选定打开一个excel文件,文件倒是可以打开,但鼠标一直一直处于漏斗状,无法进行下一步的操作。后来检测,杀毒软件报病毒名为MSExcel.ToDole或MSExcel.dole。
打开最初那个病毒文档,进入VBA编辑器,发现多了一个病毒代码模块TODOLE,还有不少vbs脚本代码,好象也有生成vbs文件执行,代码我就不贴了,还没完全细看,不过网上已经有分析(http://topic.csdn.net/u/20120614/08/c41924fa-f329-4781-8d78-875ee6c25241.html),简单说说,这个病毒会放置一个k4.xls到excel的启动文件夹用来感染其它excel文件,如C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\,当然如果你的当前登录用户名不是administrator,则前面路径中的administrator也会变成你的用户名,修改注册表中excel宏安全性为低并不再提示宏且不让修改。然后在D盘建立一个NTFS数据流文件(不过在我用虚拟机测试时,由于虚拟机上没有D盘,所以它也没处建了,因为D盘以及其它一些盘符,如E:\KK,都是代码中明确指定的),搜索outlook程序按通讯簿定时发邮件,传播带病毒附件。不过似乎还没看到有更多的危害,难道只是传播感染excel?有空再看看。
很遗憾的是,我公司电脑上基本没有人装有微软的OFFICE OUTLOOK,最多是用outlook express或foxmail,或者直接登录网页收发邮件,也就是说中毒的电脑找不到OUTLOOK程序,就算找到了(“幸运”的是我截取的那台电脑上正好有该程序,默认安装的),由于没人使用,其中也没有通讯簿联系人的信息,更没有邮件帐户,根本不能发送邮件,至少我周围的情况是这样子的,MS OFFICE OUTLOOK的普及率基本上等于0,安装率接近于0,至于其它公司就不知道了。
至于清除,除了删除上述生成文件,并修复注册表外,也要删除文档中的TODOLE模块,不过如果在中毒期间打开过其它excel文件,那么它们也被感染,每个都要这样清除病毒模块,否则还会起死回生。所以最好用专杀工具或杀毒软件处理(很多杀毒软件已经能清除病毒修复文档了,不过为免损失,还是建议杀前备份,或保留隔离文件,万一哪个不开眼的只删除不修复呢),专杀工具有金山的一个office病毒专杀:http://bbs.duba.net/thread-22450603-1-1.html(没想到还有更新呢),也能搞掉它(不过也有正常的excel被杀残的例子,注意备份)
补充后续:删除“无法禁用的宏”
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1255.html
