StartUp宏病毒,是我从公司里看到的。危害性不大,它不会删除你任何资料,但讨厌的一点就是一直自我繁殖,让你的文件很大,而且任何Excel一打开都会传染。不熟悉Excel的人,可能不知道自己是否中毒。可以根据此操作查看(Excel 2003为例):工具——宏——Visual Basic编辑器,打开后如果发现有“StartUp.xls”工作簿,或模块中有“StartUp*”之类的模块,或工作表中多了很多“*0000”和“*XXXX”之类的表(而且都是隐藏的,前台是无法看到的),那就恭喜你了。
因为是宏病毒,所以一般情况下,我们把宏安全性设为高就可以把它拒之门外。但Excel太强大了,有了宏可以帮我们快速地解决很多疑难杂症,我是把她设为低安全性的。在我们公司,有些电脑上的杀毒软件更新了变得很犀利,能识别此病毒,还一刀就把它给剁了,不管你愿意否。有一次就把我的周报给干掉了,资料都没了。这样还不如让我养着它好了。
此宏病毒代码是可见的,就在那些模块内,主要通过auto_open来达到自动执行的目的。经过分析它的代码,发现它的工作机理如下:
1、首先判断病毒是否在启动模板文件夹XLSTART中,如果不是,则复制一份“StartUp.xls”到那,每次打开Excel便会先打开此文件;
2、切换工作表时,如果没有感染,将被感染;
3、如果使用Alt+F11进入VB编辑器,它会把感染的文件删除,并关闭“StartUp.xls”文件(这就是为什么上面不用快捷键进入);
4、返回前台工作表时,又将打开“StartUp.xls”文件,并感染活动工作簿;
5、(从代码中,至今都没搞懂它是怎么复制那么多的,纠结中……。希望有高手指导)。
知道了它的工作机理及现象,查杀它就好办多了,一句话“你怎么建,我就怎么杀”。
(专杀工具,请到此下载或联系我)
经过了一段时间的改善,最终较好的实现了专杀功能。由于代码经过简单修改,便可变成巨大危害的宏病毒,因此不公开代码(都是双刃刀啊。学习的话可以联系我)。下面介绍本小专杀工具:
一、保证工具名称为“Killstartup.xls”;
二、很抱歉地告诉您,2012-3-20之后将无法使用此工具;
三、安全性为低是最基本的。把“可靠运行商”的“信任对于Visual Basic项目的访问”勾上,解锁你的VBE(如果有密码的话);
四、所有“StartUp*”的模块,深度隐藏的“*000000”和“*XXXXXX”工作表都将视为病毒,一律杀;
五、没有病毒,会提醒是否保存下来,以便日后自动杀毒;
六、自动杀毒与手动杀毒的区别为:自动杀毒在文件打开前查杀一次,打开后再查杀一次;自动杀毒在没病毒时不会打扰您工作。
PS:里面用的都是Chinglish,英语很差,欢迎各位指导,指正。
//*************************以下在2012/06/13添加*********************************************************************
已更新软件,把使用期限给删除,可以永久使用。并作了些其他修改
扫一扫
1499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
