利用Excel插件做宏病毒监控V2.93(For_2003~2010)

baomaboy · 发表于 2012-4-13 12:26

momo911 发表于 2012-4-13 10:36
谢谢lz，最近办公室宏病毒肆虐，多亏了lz的工具，请问不注册有什么影响吗?
下面是我的机器码

不注册对功能没有任何影响，只是会显示试用版和修改用户名称。
给你一个注册文件双击导入注册表就可以了，谢谢回复。

sienalee · 发表于 2012-4-14 16:36

太好了！虽然我搞不懂原理，但我下了安装以后，excel就好了~~感谢LZ无私分享

dacn0313 · 发表于 2012-4-17 22:52

谢谢楼主造福大家,另向楼主求助,单位机器现打开某些WORD或EXCEL,就会在TEMP文件夹下自动生成BK_*.TMP这样的文件,进程进马上增加BK_*.TMP同名进程,启动项增加blackice.exe启动项,有时进程时会增加blackice.exe进程,进程还会增加名为EXCEL.EXE和WORD.EXE进程,而且会增多,提示保存框等,如何才能彻底解决和防止再次感染,希望楼主指点.

baomaboy · 发表于 2012-4-17 23:13

dacn0313 发表于 2012-4-17 22:52
谢谢楼主造福大家,另向楼主求助,单位机器现打开某些WORD或EXCEL,就会在TEMP文件夹下自动生成BK_*.TMP这样的 ...

如你所说现象此病毒已不仅仅是感染excel了，同时把手伸向操作系统了，劫持系统启动项。
需要病毒样本才能了解病毒感染和运行的原理，比如病毒的原始状态是exe文件感染excel还是excel文件夹带exe文件感染系统的。

dacn0313 · 发表于 2012-4-18 10:33

上传一个感染文件，你看看。

baomaboy · 发表于 2012-4-18 13:42

本帖最后由 baomaboy 于 2012-4-18 13:59 编辑

dacn0313 发表于 2012-4-18 10:33
上传一个感染文件，你看看。

1.楼层95上传的文件不完整，会弹出错误提示，看过后发现是由于宏代码部分丢失造成的。
2.根据仅存的有限代码只能释放出一个伪装成文件夹图标的blackice.exe病毒(rar文件密码000，解压后扩展名改exe即可，请勿尝试打开，危险！)
3.释放出的blackice.exe会被金山报毒并删除。
4.由于上传的感染文件宏代码不完整，因此除了释放blackice.exe无法获得更多的病毒动作，dacn0313 可以考虑重新选择一个完整的感染例子上传。
5.由于blackice.exe是编译型文件，即使获得了文件也无法了解详细的病毒破坏动作。
6.excel属于应用级软件，而blackice.exe劫持系统启动项开机即运行，二者权限相反了，blackice.exe删excel易如反掌，excel删blackice.exe就难了，因此需要杀毒软件等驱动级的软件来完成这个任务了，本插件只能处理excel权限小范围内的动作。

最后谢谢 dacn0313 提供的例子，无论是好程序还是病毒我们都可以由其代码中学到东西。