|
|
本帖最后由 xq1234 于 2012-9-20 23:56 编辑
“k4.xls”病毒特征:
1.若在“C:\Documents and Settings\(用户名)\Application Data\Microsoft\Excel\XLSTART”(不同机子目录有差异)中发现“k4.xls”文件,则中了病毒。
2.“……\Microsoft\Excel\XLSTART”中的“k4.xls”文件并不是最初的病毒文件,是你电脑中某个文件中了病毒后,另存到“……\Microsoft\Excel\XLSTART”目录的一个副本,只是将名称变更为“k4.xls”而已。
3.若 excel 宏安全性设置为中,打开未写宏代码的文件,提示启用宏,则中了病毒
4.“k4.xls”病毒会修改注册表,将工程对象设置为允许访问,安全级设置为低(对所有用户/当前用户),且用户无法通过EXCEL更改
5.感染“k4.xls”病毒后,使用了 excle 的 workbookOpen 事件,任一EXCEL文件在“打开”时,将被感染病毒代码;自动在新工程中添加引用 Microsoft Visual Basic for Applications Extensibility 5.3,便于对工程对象进行操作(wb.VBProject.References.AddFromGuid Guid:="{0002E157-0000-0000-C000-000000000046}", Major:=5, Minor:=3)。
6.最近被感染的文件将会另存到“……\Microsoft\Excel\XLSTART”目录中,新的文件名为“k4.xls”
7.病毒首先写入一个 ToDOLE 病毒模块,然后删除 ThisWorkbook 中的所有代码,再向 ThisWorkbook 写入病毒代码(若你原来的 ThisWorkbook 中有有用的代码,此时将会完全洗白)
8.病毒会新建一个4.0宏表并隐藏,并向其他工作表添加 "Auto_Activate" 隐藏名称,指向4.0宏表的 "=Macro1!$A$2",不启用宏将无法打开工作簿
9.病毒会硬盘其他位置写入文件:D:\Collected_Address:frag1.txt, D:\Collected_Address:frag2.txt, Environ("Temp") & "\ToDole.bas ,D:\Collected_Address\log.txt, E:\sorce\*.*, E:\KK\*.*
10若你安装了 OUTLOOK 软件,病毒会将染毒文件通过 OUTLOOK 发给10个已有的联系人,每10分钟发送一次(安装了 OUTLOOK 可要特别注意了)
一个最重要的情况是:
当禁用事件之后(Application.EnableEvents = False),选择“启用宏”再打开任何带毒的xls文件,都将不再交叉感染(除非你在异想不到的地方用 Application.EnableEvents = True 启用了事件)
病毒代码分析文件(新手请谨慎操作),k4.xls杀毒程序均已上传!!
杀毒声明:
一、以下病毒文件将会删除:
1. Application.StartupPath & "\k4.xls"
2. "D:\Collected_Address:frag1.txt"
3. "D:\Collected_Address:frag2.txt"
4. Environ("Temp") & "\ToDole.bas"
5. "D:\Collected_Address\log.txt"
二、以下病毒目录将会删除:(若这些目录中有你需要的文件,请先备份)
1."E:\sorce"
2."E:\KK"
三、XLS文件中若存在以下名称的模块、或代码,将被删除:
1.模块 ToDOLE
2.当模块 ToDOLE 存在时,删除ThisWorkbook中的代码
若ToDOLE模块存在,则ThisWorkbook中的代码一定是病毒(病毒写入ToDOLE模块的同时,会先删除ThisWorkbook中的代码,然后再向ThisWorkbook写入病毒代码,所以别以为是我无缘无故删除了你ThisWorkbook中的代码哟)
四、工作簿中若存在名为 Macro1 的宏表,且该表 A4 单元格满足条件
Left(sht.Range("A4").FormulaR1C1, 16) = "=ALERT(""禁用宏,关闭 " & Chr(10)
And Right(sht.Range("A4").FormulaR1C1, 25) = Chr(10) & "Please Enable Macro!"",3)"
则该宏表将被删除
五、将重新设置宏安全性为“中”,并取消 “信任对 VBA 项目的访问” 勾选!
若你希望用户可以手动设置安全等级,请打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Office\(excel版本号)\Excel\Security\Level 然后删除 Level 键值(详情见 http://club.excelhome.net/thread-905505-4-1.html 31楼)
工程密码为:123
另:常有人问我关于宏安全性设置的问题,
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\(Excel版本号)\Excel\Security\AccessVBOM 是设置“所有”用户的“信任对 VBA 项目的访问”选项 (1为允许访问)
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\(Excel版本号)\Excel\Security\Level 是设置“所有”用户的宏安全等级(1为低,2为中,3为高,4为非常高)
HKEY_CURRENT_USER\Software\Microsoft\Office\(Excel版本号)\Excel\Security\AccessVBOM 是设置“当前”用户的“信任对 VBA 项目的访问”选项 (1为允许访问)
HKEY_CURRENT_USER\Software\Microsoft\Office\(Excel版本号)\Excel\Security\Level 是设置“当前”用户的宏安全等级(1为低,2为中,3为高,4为非常高)
“所有”管“当前”,“老总”管“员工”
可以使用“Office宏安全性设置1.2(以Excel为标准).rar”这个附件进行修改
该附件注意事项:
一般来说,Excel、Word、Access是同时安装的,也就是说这三个软件的版本号是一致的。
本软件是以“Excel的版本号”为基准来设置Excel、Word、Access的安全等级。
如果你Word、Access的版本号与Excel的版本号不相同,则本软件对Word、Access的修改将无效。
比如:你的Excel是Excel2000,而Word、Access是Word2003、Access2003(一般是不会这样安装
OFFICE的),则本软件对Excel2000的修改有效,对Word2003、、Access2003的修改无效。
|
评分
-
10
查看全部评分
-
|
[复制链接]
沪公网安备 31011702000001号 沪ICP备11019229号-2
发表于 2012-8-13 01:36
楼主