精华区文章阅读

作  家: OrangeGun (Gun&Rose) on board 'Virus'
题  目: 如何手工杀宏病毒
来  源: 哈尔滨紫丁香站
日  期: Fri Sep 19 20:20:00 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: Jun_Fang@bbs.ustc.edu.cn (别扭), 信区: virus
标  题: 如何手工杀宏病毒
发信站: 中国科大BBS站 (Sat Sep 13 15:59:13 1997)
转信站: sjtubbs!sjtunews!ustcnews!ustcbbs

发信人：Jun_Fang(Jun Fang)                      信区名称：Virus[27]
信件提要：WinWord.Concept 宏病毒
原发信站：中国科大BBS站(Mon, 27 May 1996 20:23:02)

这封信我都写了三次了, 真伤心. :-(
一次比一次靠后. :-(

                WinWord.Concept - 一种新病毒

介绍
====

    WinWord.Concept 是一种新类型的病毒，它感染 Microsoft 的 Word 文卷。该
病毒利用 Word 平台很普通的功能，在 Windows、Windows 95 或 Macintosh 中传播。

概述
====

    我们安装了 Word 的同时，也包含了病毒所需要的安全漏洞......

    染毒的文卷包含了一组 WordBasic 的宏(Macro)，其中一个在 Word 载入文卷时
自动执行(漏洞 1)。

    病毒通过把它的宏拷入 Word 宏的全局环境中来感染 Word 环境(使用很有效的
"going resident")。其中有一个宏在 Word 存放一个文卷时自动执行(漏洞2)，并使
得原来无毒的文卷在存放时也被复制上病毒。

    最后，当 Word 退出时，它自动存放改变了的 Word 环境(漏洞3)。这意味着以
后每次起动 Word，病毒都被激活。

检测和清除
==========

    这里有一个发现 WinWord.Concept 病毒的简单方法。当一个染毒的文卷被载入
时，会弹出一个对话框，对话框的标题是 "Microsoft Word"，框中包含一个字符串
"1" 和一个 OK 按钮。注意这仅对 WinWord.Concept 有效，不能当作反宏病毒的通
用工具。

    用 Normal 模板(template)建立一个新文件，选择菜单功能工具/宏(Tools/
Macro)。如果你看到了宏 AAAZAO，AAAZFS，AutoOPEN，PayLoad 和 FileSaveAs，那
么就可能有 WinWord.Concept 病毒。把这几个宏全部删除，就能使当前的 Word 环
境没有此病毒，在缺省情况下，Word 退出时会自动存放修改后的环境。

    对于一个染毒的文卷，如果包含了上述的宏，用上面的办法把它们删除。在清过
病毒后，你不要忘记存放文卷。当你把一各染毒的文卷进行载入、清毒和存放的操作
后，会有三个宏留在你的 Word 环境中。虽然它已不能进行复制，我想在退出 Word
前，你还是乐意把它从 Word 环境中删去，好让环境保持清洁。

预防
====

    Word for Windows 的用户手册中说明：当你在程序管理器中(Program Manager)
双击 Word 图标的同时按下 Shift 键，Word 将会把文卷的自动执行宏关掉。这应该
能有效的阻止 WinWord.Concept 的活动，因为它是依赖与自动执行的特征的，在实
验中却发现这并不起作用。用命令行 "WINWORD.EXE /m" 起动 WinWord 也有相同的
作用，但同样也失败了。

别扭
-
* Origin: 中国科大BBS站 <bbs@ustc.edu.cn>

发信人：Bo_Song(花瓣雨)                         信区名称：Virus[1802]
信件提要：转贴word宏病毒
原发信站：中国科大BBS站(Tue, 13 May 1997 14:24:21)

发信人：brett.bbs@bbs.ahu.ed                    信区名称：私人信件区[49]
信件提要：彻底清除宏病毒(2)(转寄)
原发信站：PBBS EMail Gateway(Tue, 13 May 1997 14:21:43 +0900)

发信人: douglas (鹰), 信区: virus
标  题: 彻底清除宏病毒(2)
发信站: 逍遥津 (Thu May  8 09:53:15 1997)



　　目前的DOS杀毒工具都不能很好的自动杀除宏病毒。华美星际公司这次推出病
毒克星for WORD比较圆满地解决了该问题。如果说Concept 病毒引出了Word 宏病
毒的概念，“台湾1号”便引来了Word 宏病毒的发作，引来了人们对Word 宏病毒
的重视。

WORD宏病毒发现及清除：

　　根据宏病毒的传染机制，不难看出宏病毒传染中的特点。
   所以发现宏病毒可以通过以下步聚进行：

　　1  在自己使用的WORD中打开工具中的宏菜单，点中通用（Normal）模板，若
发现有“AutoOpen”等自动宏，“FileSave”等文件操作宏或一些怪名字的宏，而
自己又没有加载特殊模板，这就有可能有病毒了。因为大多数用户的通用（Normal）
模板中是没有宏的。

　　2  如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是Word
带有病毒。

　　3  打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板
中含有宏，也有可能是Word有病毒。

　　手工清除宏病毒的方法：

　　1  打开宏菜单，在通用模板中删除您认为是病毒的宏。

　　2  打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名
模板中删除您认为是病毒的宏。

　　3  保存清洁文档。

　　4  对剩余文件重复步骤 1－3。

　　特别值得注意的是英文版Word模板中的病毒在英文版Word中或更高版本的中
文版Word才能被发现并清除，反之中文版有相同规律。

　　用杀毒工具自动清除宏病毒是理想的解决办法。

　　方法1       用Word Basic 语言以Word 模板方式编制杀毒工具，在Word 环境中杀
毒。

　　方法2       根据Word BFF格式，在Word环境外解剖病毒文档（模板），去掉病
毒宏。

　　方法1因为在Word 环境中杀毒，所以杀毒准确，兼容性好。而方法2由于各个
版本的Word BFF格式都不完全兼容，每次Word 升级它也必须跟着升级，兼容性不
好。

　　目前有些DOS杀毒软件不是采用Word BFF格式去解剖病毒文档（模板），而是
简单化的把病毒文档（模板）中的某些特征串填为了零，病毒宏无法被去除，杀毒后
的文件长度与带病毒时的长度相等，这种做法有三个缺点：

　　    其一：容易将原文档破坏。

　　    其二：很容易漏杀病毒。

　　    其三：要不断地随着Word版本升级和病毒变化而该变程序。

　　因为每个版本的Word BFF格式不完全一样，所以病毒宏在不同版本的Word中
被压缩的格式和存放的位置都不同，另外若文档正文中包含病毒串描述，就会杀错。
　　

四  全自动清除宏病毒的工具  病毒克星 for WORD (WORDVRV)

　　Word-VRV 是根据国家信息中心的要求，用Word Basic 语言以Word 模板方式
编制的杀毒工具，它在Word 环境中杀毒。

　　Word-VRV 由<WORDVRV.DOT>，<EWORDVRV.DOT>，<README.EXE>
三个文件组成。第一个文件在中文版WORD中使用，第二个文件在英文版WORD中
使用。

　　Word-VRV 是个可自升级的Word 杀毒器，有下列特点：

　　    可在Word有毒环境下自动检测并清除Word模板中的病毒；
　　    自动检测各有效驱动器及路径下的文档（模板）；
　　    有可只检测功能；
　　    发现病毒有提示，报警，产生列表；
　　    可以备份带毒文档（模板）；
　　    提供使用者自己定义结构，清除新的宏病毒。

   Word-VRV可以允许用户自我扩允新的宏病毒特征，其扩充方法为：用文本编辑器，
如：EDIT编辑文件，该文件名为WORDVRV.DAT放在与WORDVRV.DOT同一目
录中。该文件每行内容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:

　　<病毒名>{特征宏名::宏中字串},病毒宏1,病毒宏2,...,病毒宏N,
例如:
　　<Concept>{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,

　　其中{ }中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名
称，::之后的特征字串为编辑该特征宏时，其中可以表示该特征宏中的特点的字符串，
若该特征宏为只执行宏（EXECUTE—ONLY），则{ }中不需要输入两个冒号及其
以后的特征串，即其中内容仅仅为特征宏名，另外特征宏在病毒定义行可以有多个，
但必须分别用{ }组成。
    利用Word-VRV的可扩充性，使用者可杀除所有新的宏病毒。

-
     ☆     ○
 春        几多春秋事         花       ★  ★★    ★
 秋                       瓣        ★★★★★★
 笔        尽在笔中流         雨           ★★
      ★★  ★★
        ★^^    ^^★

※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]

发信人：Max.bbs@bbs.sjtu.edu(小马)              信区名称：Virus[2238]
信件提要：Word 宏病毒的防范
原发信站：饮水思源站(14 Jun 1997 14:28:52)

1. 按住Shift键启动Word，可以绕过AutoExec宏；
2. 给 Normal.dot 加一个用来禁止其它Auto宏的自己的AutoExec宏:
        Sub Main
        DisableAutoMacros 1
        End Sub

-

     ┏━━━━━━━━━━━━┓
     ┃   侠之大者，为国为民   ┃
     ┗━━━━━━━━━━━━┛



※ 来源:·饮水思源站 bbs.sjtu.edu.cn·[FROM: 202.127.23.18]

发信人：Julius.bbs@bbs.sjtu.(子昂)              信区名称：Virus[3403]
信件提要：再谈宏病毒感染後的恢复
原发信站：饮水思源站(28 Aug 1997 22:36:37)

当你祛除了病毒宏，select all, copy,new, paste, save,就可以重新得到
一个干净的和原来一样的DOC文件吗？未必!
如果你的文档中有图文框之类的对象，你会发现paste到新文档中的只是一
部分，其他东东没了！而如果用cut取代copy，其结果是一堆格式编排错乱
的垃圾。
有办法吗？有。
把去了毒的文件复制到OFFICE\template下，当然你也可以在option里设定
一下模板文件的位置，这样可以省去拷贝的麻烦。从菜单里选new（注意，不
能用工具栏上的按钮，那将基于normal模板创建一个新文档），然後选择
那个消过毒的文档作模板创建一个新文档，这时又可以用你所熟悉的SAVE AS
了，而且文档从内容到格式与原来毫无二致。现在你可以放心地删除原来
那个东东，留个干净的克隆足矣。

-
※ 来源:·饮水思源站 bbs.sjtu.edu.cn·[FROM: 202.120.224.4]

--
我们还年轻，我们是单身汉，我们是男人，所以我们很懒。

※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]

Virus 版 (精华区)