新浪网>>科技时代>>TrendMicro>>常见病毒处理FAQ 常见病毒处理FAQ4
 | FAQ4
| |
|  |
何谓宏病毒,它是如何散播的?中了宏病毒后是否还会感染其他病毒呢?
所谓“宏”是指众多指令的集合, 宏通常可以允许使用者自行设计以便能够一次执行连串的指令或动作。它的概念就很类似在DOS 环境下的批次档, 当我们在硬碟的根目录下放一个AUTOEXEC.BAT, 在每次开机时系统便会自动去执行这个档案, 所以我们便可以在AUTOEXEC.BAT 这个批次档中记载开机后所要执行的程式, 如设定路径(PATH), 扫瞄病毒等等, 而类似这样一个以简单的指令来代替许多动作或命令的形式就可以称得上是“宏”了。有的人可能以为宏是Word 才有的专利, 其实宏这个观念在很早以前就已经存在了,只是大家都没注意到而已。还记得几年前家喻户晓的文书处理程式 PE2 吗? 虽然说它并不是第一个推出宏观念的软体, 可是在台湾的电脑史上却曾让每个使用过它的人都留下过深刻的印象, PE2 的宏功能在当时可以说是最炙手可热的话题, 几乎每家杂志都报导过各种不同功能的PE2 宏写作技巧, 这些宏技巧也确实让许多的使用者有了更方便的操作方式。而随着宏功能不断的更新及演变, 也就成了各位都耳熟能详的Word 文件宏了。通常宏都是伴随着主程式启动时一起被载入记忆体中, 以 Microsoft Word 为例, 当我们启动Word 之后, Word 内定会替我们载入一NORMAL.DOT 的范本档以设定如字型、行距等等相关资讯。在正常的情况下NORMAL.DOT 这个范本档是不含有任何宏在里面的, 可是如果使用者有需要也可以自行录制宏在NORMAL.DOT 中, 等下一次Word 再被启动时使用者就可以使用这个自定的宏了, 而由于这个NORMAL.DOT 范本档是由Word内定 (default) 会自动载入, 所以通常也就成为文件宏病毒下手的主要目标了。在从前, 80%的病毒和大多数的病毒感染起因皆是开机型病毒。随着数据机和利用Internet来传输档案愈加普遍, 档案型病毒逐渐成为病毒感染的主要来源。如此的演变, 导致了新的档案型病毒正不断快速地进行传播, 宏型病毒(Macro-type viruses) 便是最好例子, 它每天不断地感染文件和试算表档案。
感染Word宏病毒可能有以下几个原因:
虽然电脑使用者很少由磁片来开机或执行程式, 但每天的工作却离不开交换资料档案。
WordBasic语言的功能强大, 同时, 建立宏指令是非常容易学习的, 甚至没有撰写程式经验的国中生也可以写出宏病毒。
Word 宏病毒不受作业平台的限制(即platform independent); 它们可在所有作业系统上感染Word文件和范本, 这些作业系统包括: DOS, Macintosh, Windows 3.x, Windows 95和Windows NT等。
经常使用电子邮件的附加档案和下载档案(file download)来交换资料档案, 加速了Word 宏病毒的蔓延。
目前, 经由电子邮件或FTP来传送文件非常普遍。前述所有原因均是造成Word 宏病毒之所以高成长的主要因素。许多应用程式,如Microsoft Word提供了宏功能, 而使一些宏指令能作用于范本档案。原本宏的设计在于帮助使用者能录制一连串在应用程式中连续的操作动作, 省下了很多时间与人力。一旦建立了宏之后,使用者不须操作每个动作, 即可执行宏来代替一连串的动作。也就是说, 内嵌的宏会自动执行一些指令。旧有的应用程式仅支援"共用宏", 亦即使用者编辑的任何档案皆共同使用的宏。现在的宏可以让使用者建立"自用(local)"宏, 并使用宏语言来撰写复杂的宏。宏语言的功能愈来愈强大, 一些宏语言可让程式撰写者开启、复制和删除档案,甚至启动DOS shell来执行如FORMAT等较低阶(lower level)的指令。宏病毒巧妙地利用宏的强大功能。当Word开启文件档案时, 实际上先开启范本档案(.DOT形式), 以载入所有的文件样式和字型大小, 字体等设定, 接着文件档案才被开启。一般的Word文件并不会存有宏。只有范本档案才可能包含宏。Word 宏病毒通常迫使中毒文件档案以范本形式(.DOT)储存, 亦即存档成.DOT形式。但是文件的附档名保持不变, 仍为.DOC, 所以使用者并不会发现档案已中毒。若范本档案中包含一个名为"AutoOpen"宏, 开启该档案时, 所有在该宏中的动作将一一被执行。Word宏病毒时常藉由AutoExec, AutoNew, AutoClose…..等其它类似的"自动宏(Auto Macros)"来扩散。宏病毒利用这个方法来将"中毒" (viral)宏加入文件中, 然后将此中毒宏复制到"共用范本"(例如:NORMAL.DOT)。一旦开启该中毒范本时, 便会传染至其它文件。一些Word 宏病有发病条件("trigger routine"), 当特定的条件成立时(如每个月13日), 就会造成破坏。
传统的防毒技术不再具有足够能力对抗Word 宏病毒。旧有的防毒技术是对已知的Word宏病毒码逐一比对, 再找出特定的方法加以清除。明显地, 这种技术若单独使用,不再具有效率和任何效果。举例来说, 目前已找到一些所谓"宏病毒产生器(Word macro virus generation engines)"。凡是有这类产生器的人皆能轻易地建立Word 宏病毒。只要选择"payload"(所希望造成的破坏)和"Infect"(感染方式), 您将会立刻得到一只Word宏病毒。在此情况下, 若依然只着重在"侦测率"或"清除率"此类的事, 是毫无意义的, 因为Word 宏病毒产生地太快了,使得逐一比对的方式不能发挥其功效。另外, 有些防毒方式采用一个宏来侦测及清除宏病毒, 这也是极危险的作法。因为有些宏病毒会覆盖掉此一"防毒宏", 使其丧失功能, 或甚至感染"防毒宏"使其成为病毒。 所以, 使用者真正需要的是一种可以避免所有已知和未知Word 宏病毒的解决方案。最迅速有效的方法, 应该是分析Word宏病毒的行为,然后研发出一套完全防毒的解决方案。Macro Trap正是根据此一理念而设计的第一套完整解决方案。
Macro Trap包含两个部分:扫描引擎(Scan Engine)和清除引擎(Clean Engine)。扫描引擎使用OLE的技术来分析Word文件中宏指令的行为。若宏有恶意的行为, 扫描引擎将会立刻抓住它, 然后再交给清除引擎来处理, 清除引擎将开始进行清除工作。除了清除宏病毒之外, 清除引擎会将中毒的Word文件档案储存回.DOC格式。图3 为说明扫描引擎和清除引擎执行之过程。Macro Trap 和其它防止宏病毒的技术不同, 它会在Microsoft Word启动之前,进行防毒工作, 不须开启Word文件档案即可进行病毒检查。使用Macro Trap将可知道哪些Word文件档案曾经受到感染, 并会在启动Microsoft Word之前, 进行清毒动作。最重要的是, 使用者在Microsoft Word中编辑文件时, 将不再恐惧所编辑的文件是否已受到Word宏病毒的侵入。趋势科技的防毒软体, 如PC-cillin 个人电脑防毒软体和ScanMail 电子邮件伺服器防毒软体已经整合此一新技术, 提供您更安心、更完整的防毒解决方案。
宏病毒主要是利用软体本身所提供的宏能力来设计病毒,所以凡是具有撰写宏能力的软体都有宏病毒存在的可能,如Word、Excel、Amipro都相继传出危害,在台湾最有名的例子是Taiwan NO.1 。
|
| |
如何知道自己的文件是否感染 Word 宏病毒?
病毒医生:由于宏病毒通常都有潜伏期所以不容易察觉, 最简单的检查办法就是当您开启文件后, 再选择“另存新档”, 若您在“另存新档”对话方块中还能选择其他的档案格式表示您的文件绝对是乾净的, 若您的文件格式被设定为“范本文件”且不能更改, 表示已经感染宏病毒了(不过若您的文件本来就是一个范本文件, 这个判断方法就不算了) 。
|
| |
使用 Word 时忽然遇到宏病毒发作时该怎么办?
由于某些宏病毒在发作时可能会要求您输入一些答案, 如果您答错了, 磁碟的资料可能因此而遭到删除, 所以当宏病毒发作时, 您最好立刻强迫结束Word, 并利用扫毒程式进行整个磁碟的扫描及解毒之后, 再使用Word。
|
| |
当使用 Internet 连线或传输档案的过程可能感染病毒吗?
病毒程式必须被“执行”才会感染或破坏资料, 而传输档案只会把档案存到您的硬碟中, 只要您不去执行它是不会有事的, 所以您不需要担心上Internet 会感染病毒, 但要记住一点, 任何从Internet 下载的档案最好都先以防毒软体扫毒之后再执行会比较安全。
|
| |
如果我不自订宏,只是单纯在 Word 中编辑文件也会感染宏病毒吗?
Yes。
|
| |
