新浪首页 > 科技时代 > 软件 > 正文

金山截获“试卷大盗” 教育工作者请注意

http://www.sina.com.cn 2004年08月18日 19:12 新浪科技

  金山毒霸报道:8月18日,金山毒霸反病毒试验室应急处理中心率先截获一个利用Excel进行传播的宏病毒,该病毒利用了 Microsoft Excel 的一个程序漏洞,从而绕过 Microsoft Office 安全机制,在安全级别设置为高、未任何提示的情况下运行。

  众所周知,在 Microsoft Office 97 之后,为了防范宏病毒的传播,微软在 Offi
8月,三星与您激情奥运 MOTO大礼倾情放送
LG CDMA手机一元抢拍 精彩手机赛事全攻略
ce 中增加了“安全性”设置,缺省状态下“只允许运行可靠来源签署的宏,未经签署的宏会自动取消”,即使设置为“中”,在打开带有宏的文档时系统也会提示病毒风险。另外,利用一些二进制或专门的复合文档分析工具,也可以直接看出文档中带有宏代码。计数器(Formula.Excel97.Counter)病毒成功地绕过这些限制,文档打开时病毒就会直接被运行,既无安全性提示,也不能中止。从二进制上分析,这些病毒文档也看不到任何常规的宏代码!

  已经发现的这个安全漏洞是 Excel 的公式检查漏洞。在 Office 的 VBA 二次开发接口推出之后,Excel 采用了一种叫做宏表(Macro Sheet)的二次开发技术,在一个宏表内开发者可以使用象公式一样的运行代码。为了保持兼容性,Excel 的后续版本(包括 Excel 2003)依然支持这一功能。在 Excel 的二进制结构中,有两个位置记录有宏表的标志,正常情况下这两个标志位保持一致。构造一个特殊的文档,则可以使 Excel 不能检测到宏表从而没有任何提示地运行任意代码。

  此外,对于含有宏表的文档,打开时虽然有安全性提示,但却不能中止宏表的运行。利用这一功能的公式病毒由来已久,像 Formula.Excel.Black、Formula.Excel.Sic 等。“试卷大盗”(Formula.Excel97.Counter)正是利用了这一漏洞,从而可以在任意安全级别的计算机上感染。

  “试卷大盗”(Formula.Excel97.Counter)的详情如下:

  病毒信息

  病毒名称:Formula.Excel97.Counter、Macro.Excel97.Counter、Macro.Word97.Counter、Win32.Troj.Counter

  中文名称:试卷大盗

  威胁级别:三级

  病毒类型:宏病毒/公式病毒/木马

  病毒危害

  A、病毒运行后会复制自身到 Word 的模板文件和 Excel 的启动加载中,从而造成 Word/Excel 的双重感染。模板名称分别为:normal.dot 和 norma1.xlm。

  B、在 Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符,如果存在,将文件以“XAB01234”这样以“X”打头的名称保存,并且以密码“xxxxxxxxxx98765”(此处以“x”隐去详细内容,下同)进行加密。然后上传到“xxx.xx.xx.110”服务器上,可能会导致考试试题泄露。

  C、病毒感染后会在 C:\ 盘根目录下生成 c:\excel.tx(病毒源代码)t、asd.txt(ping 目标地址的结果日志)、setflag.exe、sendto.exe、internet.exe(三个相配合的木马、隐藏文件)、cab.cab(病毒包,含所有的木马和模板)。这些文件在运行中可能会被删除。

  D、修改注册表,使隐藏文件真正隐藏,即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。

  E、修改注册表,删除系统启动项的输入法程序(internat.exe),改为病毒(internet.exe)随系统进行启动。

  解决方案

  A、请使用金山毒霸2004年8月18日的病毒库可完全处理该病毒;

  B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;

  C、开启金山毒霸病毒防火墙可防止病毒入侵。

  安全建议

  A、不打开来历不明的邮件和 Office 文档;

  B、安装反病毒软件,随时更新病毒库,并保持病毒防火墙处于打开状态。经常使用办公软件时,一定要启动 Office 安全助手。


  点击此处查询全部试卷大盗新闻
评论】【应用软件】【推荐】【 】【打印】【关闭
 

 
新 闻 查 询
关键词一
关键词二



热 点 专 题
千张即时奥运图片报道
UC音频直播奥运赛事
奥运场馆瘦身风波
北航招生丑闻
机动车负全责遭质疑
北京地铁美食全攻略
二手车估价与交易平台
购房租房经历征文
余秋雨绝唱:借我一生

 

 发表评论: 匿名发表 新浪会员代号:  密码:
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网