 |
文件宏病毒急诊室
问:何谓宏病毒,它是如何散播的?中了宏病毒后是否还会感染其他病毒呢?
答:电脑病毒大致上可分为两类: 档案型病毒及开机型病毒。执行档案时, 附着於.EXE或.COM档案中的感染源, 会控制住该系统,然后复制病毒程式於其它档案。开机型病毒附着於磁片开机区或开机时载入记忆体的硬盘磁区, 因此, 病毒会比其它程式先载入记忆体。如此, 这些病毒会监控DOS的中断向量(interrupt), 然后感染其他再插入磁盘机中的磁片。无法被简易的防毒技术侦测出的档案型病毒可分为两类:隐形飞机式病毒(stealth viruses)和覆合型病毒(polymorphic viruses)。隐形飞机式病毒以多变的方法, 拦截DOS中断向量来避免被侦测。覆合型或千面人病毒每次在感染其它档案时, 先修改本身版本, 然后进行复制而产生不同的面貌, 可以躲避目前多数以逐一比对病毒码方式侦测病毒的扫描程式。
在从前, 80%病毒和大多数的病毒感染起因皆是开机型病毒。随着数据机和利用Internet来传输档案愈加普遍, 档案型病毒逐渐成为病毒感染的主要来源。如此演变, 导致新的档案型病毒正不断快速地进行传播, 宏型病毒(Macro-type viruses) 便是最好例子, 每天不断地感染文件和试算表档案。感染Word宏病毒可能有以下几个原因:
1.虽然电脑使用者很少由磁盘来开机或执行程式, 但每天的工作却离不开交换资料档案。
2.WordBasic语言的功能强大, 同时, 建立宏指令是非常容易学习的, 甚至没有撰写程式经验的中学生也可以写出宏病毒。
3.Word 宏病毒不受作业平台的限制(即platform independent); 它们可在所有作业系统上感染Word文件和范本,这些作业系统包括: DOS, Macintosh, Windows 3.x, Windows 95和Windows NT等。
4.经常使用电子邮件的附加档案和下载档案(file download)来交换资料档案, 加速了Word 宏病毒的蔓延。目前, 经由电子邮件或FTP来传送文件非常普遍。
前述所有原因均造成Word 宏病毒之所以高成长的主要因素。
许多应用程式,如Microsoft Word提供宏功能, 而使一些宏指令能作用於范本档案。原本宏设计在於帮助使用者能录制一连串在应用程式中连续的操作动作, 省下很多时间与人力。一旦建立宏之后,使用者不须一一操作每个动作, 即可执行宏来代替一连串的动作。也就是说, 内嵌宏会自动执行一些指令。旧有的应用程式仅支援"共用宏", 亦即使用者的任何档案皆共同使用的宏。现在的宏可以让使用者建立"自用(local)"宏, 并使用宏语言来撰写复杂的宏。宏语言的功能愈来愈强大, 一些宏语言可让程式撰写者开启、复制和删除档案,甚至启动DOS shell来执行如FORMAT等较低阶(lower level)的指令。
宏病毒巧妙地利用宏的强大功能。当Word开启文件档案时, 实际上先开启范本档案(.DOT形式), 以载入所有的文件样式和字型大小, 字体等设定, 接着文件档案才被开启。一般的Word文件并不会存有宏。只有范本档案才可能包含宏。Word 宏病毒通常迫使中毒文件档案以范本形式(.DOT)储存, 亦即存档成.DOT形式。但是文件的附档名保持不变, 仍为.DOC, 所以使用者并不会发现档案已中毒。若范本档案中包含一个名为"AutoOpen"宏, 开启该档案时, 所有在该宏中的动作将一一被执行。Word宏病毒时常藉由AutoExec, AutoNew, AutoClose…..等其它类似的"自动宏(Auto Macros)"来扩散。 宏病毒利用这个方法来将"中毒" (viral)宏加入文件中, 然后将此中毒宏复制到"共用范本"(例如:NORMAL.DOT)。一旦开启该中毒范本时, 便会传染至其它文件。一些Word 宏病毒有发病条件("trigger routine"), 当特定的条件成立时(如每个月13日), 就会造成破坏。
传统的防毒技术不再具有足够能力对抗Word 宏病毒。旧有的防毒技术是对已知的Word宏病毒码逐一比对, 再找出特定的方法加以清除。明显地, 这种技术若单独使用,不再具有效率和任何效果。举例来说, 目前已找到一些所谓“宏病毒产生器(Word macro virus generation engines)”。凡是有这类产生器的人皆能轻易地建立Word 宏病毒。只要选择“payload”(所希望造成的破坏)和“Infect”(感染方式), 您将会立刻得到一只Word宏病毒。在此情况下, 若依然只着重在“侦测率”或“清除率”此类的事, 是毫无意义的, 因为Word 宏病毒产生地太快了,使得逐一比对的方式不能发挥其功效。另外, 有些防毒方式采用一个宏来侦测及清除宏病毒, 这也是极危险的作法。因为有些宏病毒会覆盖掉此一“防毒宏”, 使其丧失功能, 或甚至感染“防毒宏”使其成为病毒。
所以, 使用者真正需要的是一种可以避免所有已知和未知Word 宏病毒的解决方案。最迅速有效的方法, 应该是分析Word宏病毒的行为,然后研发出一套完全防毒的解决方案。Macro Trap正是根据此一理念而设计的第一套完整解决方案。
Macro Trap包含两个部分:扫描引擎(Scan Engine)和清除引擎(Clean Engine)。扫描引擎使用OLE的技术来分析Word文件中宏指令的行为。若宏有恶意的行为, 扫描引擎将会立刻抓住它, 然后再交给清除引擎来处理, 清除引擎将开始进行清除工作。除了清除宏病毒之外, 清除引擎会将中毒的Word文件档案储存回.DOC格式。图3 为说明扫描引擎和清除引擎执行之过程。Macro Trap 和其它防止宏病毒的技术不同, 它会在Microsoft Word启动之前, 进行防毒工作, 不须开启Word文件档案即可进行病毒检查。使用Macro Trap将可知道哪些Word文件档案曾经受到感染, 并会在启动Microsoft Word之前, 进行清毒动作。最重要的是, 使用者在Microsoft Word中编辑文件时, 将不再恐惧所编辑的文件是否已受到Word宏病毒的侵入。趋势科技的防毒软体, 如PC-cillin 和ScanMail将会整合此一新技术, 提供您更安心、更完整的防毒解决方案。
宏病毒主要是利用软体本身所提供的宏能力来设计病毒,所以凡是具有撰写宏能力的软体都有宏病毒存在的可能,如Word、Excel、Amipro都相继传出危害,在台湾最有名的例子是Taiwan NO.1 。
所谓“宏”是指众多指令的集合, 宏通常可以允许使用者自行设计以便能够一次执行连串的指令或动作。它的概念就很类似在DOS 环境下的批次档, 当我们在硬盘的根目录下放一个AUTOEXEC.BAT, 在每次开机时系统便会自动去执行这个档案, 所以我们便可以在AUTOEXEC.BAT 这个批次档中记载开机后所要执行的程式, 如设定路径(PATH), 扫瞄病毒等等, 而类似这样一个以简单的指令来代替许多动作或命令的形式就可以称得上是「宏」了。有的人可能以为宏是Word 才有的专利, 其实宏这个观念在很早以前就已经存在了,只是大家都没注意到而已。还记得几年前家喻户晓的文书处理程式PE2 吗? 虽然说它并不是第一个推出宏观念的软体, 可是在台湾的电脑史上却曾让每个使用过它的人都留下过深刻的印象, PE2 的宏功能在当时可以说是最炙手可热的话题, 几乎每家杂志都报导过各种不同功能的PE2 宏写作技巧, 这些宏技巧也确实让许多的使用者有了更方便的操作方式。而随着宏功能不断的更新及演变, 也就成了各位都耳熟能详的Word 文件宏了。
通常宏都是伴随着主程式启动时一起被载入记忆体中, 以Microsoft Word 为例, 当我们启动Word 之后, Word 内定会替我们载入一个NORMAL.DOT 的〖本档以设定如字型、行距等等相关资讯。在正常的情况下NORMAL.DOT 这个范本档是不含有任何宏在里面的, 可是如果使用者有需要也可以自行录制宏在NORMAL.DOT 中, 等下一次Word 再被启动时使用者就可以使用这个自定的宏了, 而由於这个NORMAL.DOT 范本档是由Word内定 (default) 会自动载入, 所以通常也就成为文件宏病毒下手的主要目标了。
问:如何知道自己的文件是否感染 Word 宏病毒?
答:病毒医生:由於宏病毒通常都有潜伏期所以不容易察觉, 最简单的检查办法就是当您开启文件后, 再选择“另存新档”, 若您在“另存新档”对话方块中还能选择其他的档案格式表示您的文件绝对是乾净的, 若您的文件格式被设定为“范本文件”且不能更改, 表示已经感染宏病毒了(不过若您的文件本来就是一个范本文件, 这个判断方法就不算了) 。
问:使用 Word 时忽然遇到宏病毒发作时该怎么办?
答:病毒医生:由於某些宏病毒在发作时可能会要求您输入一些答案, 如果您答错了, 磁盘的资料可能因此而遭到删除, 所以当宏病毒发作时, 您最好立刻强迫结束Word, 并利用扫毒程式进行整个磁盘的扫描及解毒之后, 再使用Word。
预防针二:不要马上执行 Internet 下载的档案
问:当使用 Internet 连线或传输档案的过程可能感染病毒吗?
答:病毒医生:病毒程式必须被“执行”才会感染或破坏资料, 而传输档案只会把档案存到您的硬盘中, 只要您不去执行它是不会有事的, 所以您不需要担心上Internet 会感染病毒, 但要记住一点, 任何从Internet 下载的档案最好都先以防毒软体扫毒之后再执行会比较安全。
预防针叁:中毒跟会不会使用宏没关系
问:如果我不自订宏,只是单纯在 Word 中编辑文件也会感染宏病毒吗?
答:病毒医生:Yes。宏病毒的感染率可跟会不会使用自订宏一点关系都没有,否则宏病毒不会以星火燎原的速度般感染全球数以千万计的Word使用者。宏病毒是利用您在 Word 下开档、关档等动作的机会来进行感染, 和你会不会写宏或用到宏是毫无关系的, 所以只要您有使用Word, 则所编辑的文件就可能会染感宏病毒。
问:使用来路不明的磁盘会感染文件宏病毒吗 ?
答:使用来路不明的磁盘不但会使你的电脑感染文件宏病毒, 而且有可能感染传统型病毒。如果您开启一个来路不明的文件,而这个档案已经感染了文件宏病毒,这时候你就难逃一劫了。而传统的病毒是利用开机或执行程式的机会来进行感染或破坏, 所以你也可能感染开机型或档案型病毒。
|
