文/小光 Word作为办公软件的佼佼者,是我们经常使用的软件,一旦感染了病毒,我们的工作将会受到很大的影响,而能够感染Word的病毒一般是宏病毒,最近笔者发现了一个Word宏病毒就是“Sting”。
病毒名称:Word97Macro/Sting.A
发现日期:2002-07-10
病毒类型:Word宏病毒
传播范围:中
危害级别:中
传播速度:低
知:Word97Macro/Sting.A是Word宏病毒,该病毒会感染Word 97/2000文档及模板,并且利用自己的病毒代码破坏大量标准的Word选项及菜单项。当被感染文档打开时,它会将弹出的文档转换为确认框,同时还会内建宏病毒保护,接着是保存对Normal模板修改的弹出框。如果你按下了清除“Alt+Ctrl+Shift+R”及“Alt+Ctrl+Shift+V”热键,取而代之的是运行病毒代码内的某个宏的指令。当用户按下“Alt+Ctrl+Shift+R”组合键后,病毒会弹出如图1的对话框,
图1
若用户输入正确答案“STING110499”,病毒会显示如图2的对话框,
图2
如果你输入的密码不正确,则显示如图3。
图3
如果你选择菜单“文件保存”或“文件另存为”,病毒会检查该文档是否被感染,若没有,则在“C:\WINDOWS\TEMP”目录下创建此文档的副本,之后利用批处理文件“C:\WINDOWS\COMMANDZZ.BAT”将其感染代码插入到文档的副本中。最后,病毒删除原目录下已保存的那个文件,并用已感染的文件进行覆盖。覆盖后,副本会被删除,如果你选择菜单“文件退出”,病毒会创建“C:\WINDOWS\COMMANDAZ.BAT”文件,用来拷贝病毒信息到Normal模板中的。同时会删除“C:\WINDOWS\TEMP”目录下后缀为“.do﹖”的所有文件,之后创建批处理文件“C:\WINDOWS\COMMANDXZ.BAT”,该文件用来修改“C:\WINDOWS\COMMAND”目录下病毒所生成文件的属性。另外,病毒还会编辑自动批处理文件“C:\AUTOEXEC.BAT”,将路径设为“C:\WINDOWS\COMMAND”,这是染毒文件存放的地方。
防:该病毒感染Word2000和Word97或者是以前比较低版本的Word,而对于WordXP,该病毒无法感染,所以建议用户可以将Word进行升级,如果你没有进行升级的话,那么可以利用杀毒软件将此病毒删除。
查:在运行Word程序之后,按下“Alt+Ctrl+Shift+V”组合键,弹出一个对话框让你输入密码以浏览宏代码。存在这种现象的话,那么你的电脑已经中了此病毒;或者是检查系统目录是否存在“C:\WINDOWS\COMMANDAZ.BAT”这个文件,如果存在的话,那么也表明已经中毒了。
杀:对于这个病毒,如果你有新的Word版本,那么在升级之后(升级到WordXP版本),该病毒将无法感染你的文档文件;或者是直接升级杀毒软件的病毒包,即可查杀该病毒。
|