2004年08月18日 19:05 金山毒霸信息安全网
8月18日,金山毒霸反病毒实验室应急处理中心率先截获一个利用Excel进行传播的宏病毒,该病毒利用了 Microsoft Excel 的一个程序漏洞,从而绕过Microsoft Office 安全机制,在安全级别设置为高、未有任何提示的情况下运行。
“试卷大盗”(Formula.Excel97.Counter)是一个宏病毒,同时具有木马的危害。它可进行Word/Excel双重感染。如果中毒的机器上存有“试题”的word文档,它便可将该文档设置密码,然后发送到作者的FTP服务器上,从而导致考题外泄。现在正值暑假,所有的重要考试都已经过去,应该暂时不会造成什么影响。就目前为止,金山公司也还未曾接受到与该病毒相关的投诉和求助。尽管如此,这种病毒的潜在社会危害性依然非常恶劣,需要相关教育机构提高警惕。
病毒和木马的结合并不是什么新鲜事,木马的用途细分和专门偷盗也已经很常见,不过之前的木马大多针对网上的虚拟物品财产较多。考试是选拔人才的重要手段,作弊也同样自古便有,但是利用病毒进行作弊、将木马直接用于客观存在的考试试题,该病毒应该是前无仅有的第一例。
众所周知,在 Microsoft Office 97 之后,为了防范宏病毒的传播,微软在 Office 中增加了“安全性”设置,缺省状态下“只允许运行可靠来源签署的宏,未经签署的宏会自动取消”,即使设置为“中”,在打开带有宏的文档时系统也会提示病毒风险。另外,利用一些二进制或专门的复合文档分析工具,也可以直接看出文档中带有宏代码。计数器(Formula.Excel97.Counter)病毒成功地绕过这些限制,文档打开时病毒就会直接被运行,既无安全性提示,也不能中止。从二进制上分析,这些病毒文档也看不到任何常规的宏代码!
已经发现的这个安全漏洞是 Excel 的公式检查漏洞。在 Office 的 VBA 二次开发接口推出之前,Excel 采用了一种叫做宏表(Macro Sheet)的二次开发技术,在一个宏表内开发者可以使用象公式一样的运行代码。为了保持兼容性,Excel 的后续版本(包括 Excel 2003)依然支持这一功能。在 Excel 的二进制结构中,有两个位置记录有宏表的标志,正常情况下这两个标志位保持一致。构造一个特殊的文档,则可以使 Excel 不能检测到宏表从而没有任何提示地运行任意代码。
此外,对于含有宏表的文档,打开时虽然有安全性提示,但却不能中止宏表的运行。利用这一功能的公式病毒由来已久,像 Formula.Excel.Black、Formula.Excel.Sic 等。“试卷大盗”(Formula.Excel97.Counter)正是利用了这一漏洞,从而可以在任意安全级别的计算机上感染。
“试卷大盗”(Formula.Excel97.Counter)的详情如下:
病毒信息
病毒名称:Formula.Excel97.Counter、Macro.Excel97.Counter、Macro.Word97.Counter、 Win32.Troj.Counter
中文名称:试卷大盗
威胁级别:三级
病毒类型:宏病毒/公式病毒/木马
病毒危害
A、病毒运行后会复制自身到 Word 的模板文件和 Excel 的启动加载中,从而造成 Word/Excel 的双重感染。模板名称分别为:normal.dot 和 norma1.xlm。
B、在 Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符,如果存在,将文件以“XAB01234”这样以“X”打头的名称保存,并且以密码“xxxxxxxxxx98765”(此处以“x”隐去详细内容,下同)进行加密。然后上传到“xxx.xx.xx.110”服务器上,可能会导致考试试题泄露。
C、病毒感染后会在 C:\ 盘根目录下生成 c:\excel.tx(病毒源代码)t、asd.txt(ping 目标地址的结果日志)、setflag.exe、sendto.exe、internet.exe(三个相配合的木马、隐藏文件)、cab.cab(病毒包,含所有的木马和模板)。这些文件在运行中可能会被删除。
D、修改注册表,使隐藏文件真正隐藏,即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。
E、修改注册表,删除系统启动项的输入法程序(internat.exe),改为病毒(internet.exe)随系统进行启动。
解决方案
A、请使用金山毒霸2004年8月18日的病毒库可完全处理该病毒;
B、企业级用户请使用金山毒霸网络版来彻底防范该病毒的侵袭;
C、开启金山毒霸病毒防火墙可防止病毒入侵。
安全建议
A、不打开来历不明的邮件和 Office 文档;
B、安装反病毒软件,随时更新病毒库,并保持病毒防火墙处于打开状态。经常使用办公软件时,一定要启动 Office 安全助手。
参考资料:[url]http://www.officefans.net/cdb/viewthread.php?fpage=11&tid=27666[/url] [/quote]
打开EXCEL后,不是出现的是BOOK1而是NORMAL.XLM,新建或打开后才能出现正...
1.启动Microsoft Excel时自动打开某个工作簿 在“Windows 资源管理器”中,将要打开的工作簿复制或移动到C:\\Program Files\\Microsoft Office\\Office10\\XLStart文件夹中。2.试试:工具—选项—常规—忽略其他应用程序前的勾取消
打开EXCEL后,不是出现的是BOOK1而是NORMAL.XLM,解决方法
A、病毒运行后会复制自身到 Word 的模板文件和 Excel 的启动加载中,从而造成 Word\/Excel 的双重感染。模板名称分别为:normal.dot 和 norma1.xlm。B、在 Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符,如果存在,将文件以“XAB01234”这样以“X”打头的名称保存,并且以密码“xxxx...
Excel显示normal.xlm处于锁定状态怎么解决
有可能你两次双击导致。建议打开任务管理器,在进程里找到EXCEL,并结束其,再重新打开。或者重启之后再打开,最好单击右键,再选“打开”。
打开EXCEL时总会有一个normal.xlm出来?请问应该如何解决
2、打开Excel文档后,在无作任何改动情况下,关闭仍然要提示保存。3、在Excel文档中的宏不能正常运行。解决方法:1、升级病毒码至最新;2、如果是Windows ME或者WindowsXP操作系统,在“我的电脑”的“属性”里面把“使用缓存”一项禁用;3、在操作系统的安全模式下运行杀毒软件对整个硬盘进行扫描。(注意:...
打开excel总是出现无法访问“normal.xlm”该文档可能为只读或加密文档...
是你软件里的normal.xlm文件损坏导致的,从别的计算机上查找拷一个过来放到相应的地方应该能解决这个问题,或者重新安装一下office。
打开excel,就出现normal.xlml,用瑞星杀毒(升级最新病毒库)没有发现病...
楼主您好,您可以先把瑞星升级到最新版本,看是否还有问题。如果问题复现,您可以通过软件上的【可疑文件上报】,上传文件到瑞星服务器进行检测确定是否是病毒。如果确认有病毒,后续升级瑞星后就可以正常查杀了,如果不含有病毒,建议您从软件方面入手查找原因。
打开EXCEL表格时出现“运行时错误‘1004’:类worksheet的copy方法...
要删除一个叫“normal.xlm”的文件,具体路径可点击搜索功能进行。XP系统一般在C:\\Documents andSettings\\Administrator\\Application Data\\Microsoft\\Excel\\XLSTART 将此文件内的“normal.xlm”的文件删除后一般即可,如不行,重启系统,再次打开Excel就行了。
求Excel帮忙 ,打开表格总是自动添加如下一个工作表,每次打开都
你这个如果确定你没有自己添加过宏的话那么你的这个就应该是中了宏病毒了 你百度一下宏病毒专杀工具 第一个应该就是,那个是下载 吧里的,评价也很不错,我就用的那个,你杀的时候一定要把所有的excel文件 关闭,因为打开的是扫描不到的,杀可能会费时间 ,但是确实起作用,不杀的话你给别人发的...
excel在打开后自动添加一个module模块
或者,试试以下步骤(由于上面的代码不全,以下步骤不能确保完全清除病毒):①、全盘搜索所有norma1.xlm文件,包括隐藏的、系统文件夹内的,只读的,找到后统统删除!②、把宏安全性设置为高。③、打开工作薄时,禁止运行宏,并检查是否含有同样代码的模块,有则删除模块,并重新保存。想起来了,前些天...
c# winform程序,如何把读取出来的xml标签转换为excel?
方法一:读取出数据后,以普通TXT文件,或者是HTML表格格式输出至TXT文档后,重新命名为.xls格式 如果以纯文本格式写入的话,数据与数据之间要用制表符隔开。优点速度快,格式控制简单,缺点,非标准EXCEL格式,可以用EXCEL打开,但是后续编辑可能出现问题 方法二:在Winfrom程序运行的本地电脑打开EXCEL程序...
