打印本文 关闭窗口 |
自制Word病毒,深入理解恶意宏 |
时间:2006/7/30 11:07:41 |
|
互联网真是陷阱的天堂,这不,小风刚刚上网下载了一个Doc文件,启动Word想打开文档看看,结果自己D盘的一大堆文件不见了,敢情Word文件也能带病毒呀!今天渔歌特意请来无风来为大家做一个简单的Word病毒,以此来让大家了解一下—— 第一步:启动Word 2003(同样适合Word 2000/XP),单击“插入→对象”命令,在弹出的“对象”窗口中单击“对象类型”列表的“包”项,如图1所示,单击“确定”按钮。 启动Word 2003 第二步:在弹出的“对象包装程序”对话框窗口单击“编辑→命令行”菜单,在弹出的“命令行”对话框中输入“regedit”,如图2所示,然后单击“确定”按钮。 编辑→命令行 小提示 如果想更坏一点,试试Format、Deltree命令,不过一切后果自负呀! 第三步:然后在“对象包装程序”窗口中单击“插入图标”按钮,为该命令行选个比较通用的图标(如一个常见的文档图标),然后单击“文件→更新”,可以立刻在Word文件看到显示效果。关闭“对象包装程序”窗口,这时候文档的相关位置出现了一个和相关命令关联的图标。在图标旁边加点鼓动性的文字,尽量让浏览者看到后用鼠标“试试”,如图3所示。 插入图标 第四步:至此,秘密小“病毒”就做成功了,想办法发送出去试试效果吧。当用户双击它时,将会自动打开“注册表编辑器”。 其实这个根本不算是个病毒,要算也只能算最低级的简单“小病毒”。真正的时候,我们可以利用Office中的宏指令(如FileOpen、FileSave、FilePrint等命令)相关联,还内嵌使系统瘫痪、使每一个Word文件感染的代码,并且可以自动保存为模板文件,只要打开染毒的Word文件,随后所有的Word文件都会被感染。 小提示 如果我们在上述的命令行中加上format或者deltree之类的恶意代码,那用户双击后其后果就可想而知了! 第五步:有矛比有盾,如何防范藏在暗里的病毒呢?很简单,禁止Word执行宏指令就可以了。打开Word,单击“工具→宏→安全性”菜单,在弹出的“安全性”窗口中将其安全性设为“高”,如图4所示,从此以后末经系统签署的宏指令将会被Word禁止执行,安全性也就上了一个台阶。 单击“工具→宏→安全性”菜单 小提示 单击“开始→运行”,输入“winword.exe /m DisableAutoMacros”也可将禁止Word的自动宏。 第六步:如果你的电脑已经中了可恶的宏病毒怎么办呢?别着急,一步一步来。单击“工具→宏”菜单,进入宏“管理器”,单击“宏方案项”,在“宏有效范围”下拉列表框中打开要检查的模板文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除。 第七步:然后一定用最新病毒库的杀毒软件对系统进行查杀,将系统内的病毒彻底干掉! 小提示 由于宏病毒的变种千变万化,防范和清除病毒的方法也不断变化,因此大家在了解宏病毒的同时,也要关注除病毒的方法,做好防范工作,不然,DOC病毒还真会黑你没商量呢。 以上方法请勿用于非法破坏活动,仅作参考,以便理解宏的运行原理。 |