近幾年惡意軟件泛濫,使得計算機用戶的安全防范意識逐步增強。由于大部分惡意程序都是可執行文件,所以用戶對于可執行文件,例如.exe、.com以及.scr等文件,警惕性比較高,不會輕易打開。但是,其它格式的文件就一定安全嗎?答案是否定的。因為一些惡意程序甚至能夠利用Office文檔進行傳播。
卡巴斯基實驗室最近截獲到一種名為Virus MSExcelLarouxja的Excel宏病毒,會感染微軟Office軟件的Excel文檔,并通過Excel文件進行傳播。被該病毒感染的Excel文檔會包含以下幾個宏:
|
auto_open宏會在感染的Excel文檔被打開時將含有病毒的工作簿拷貝為文件%AppData% \Microsoft\Excel\XLSTART\StartUp.xls。由于Excel在打開文檔時都會先打開%AppData% \Microsoft\Excel\XLSTART\路徑下的Excel文檔,這樣每次打開Excel文檔時病毒都會被執行。之后auto_open宏還會執行cop宏并接管Excel中與宏操作有關的ALT+F8和ALT+F11鍵,這樣當用戶想要查看、編輯宏時,病毒會執行其escape宏,清除自身痕跡。cop宏會將病毒工作簿插入到新打開的Excel文件中,這樣就實現了對新打開的Excel文檔的感染。escape宏會在用戶按下ALT+F8和ALT+F11鍵時禁用對宏的報警并將病毒工作簿刪除,使用戶無法察覺病毒的存在。back宏也會判斷用戶按鍵以判斷是否執行escape宏,定時執行cop宏感染文件,還會再打開% AppData%\Microsoft\Excel\XLSTART\StartUp.xls,確保總是能夠有效感染。
可以看出,該病毒的傳染性很強,而且感染后用戶很難察覺。目前,卡巴斯基所有產品均可以對該病毒進行查殺。用戶只需保持反病毒數據庫更新即可有效攔截該惡意程序。卡巴斯基實驗室同時提醒廣大網友,計算機一定要安裝反病毒安全軟件。對于來源不明的文件,一定不要輕易打開,以免感染惡意程序造成損失。
原文鏈接:http://tech.ccidnet.com/art/1099/20120803/4127227_1.html
