衡水信息港

当前位置: 首页 >游戏

企业宏病毒的那些事

来源: 作者: 2019-05-14 23:21:22

宏病毒是一个老生常谈的问题,一提到它大多数的个人用户会想到随着微软对Office版本的不断改良与升级,Word 2007版本以上的个人用户已较少遭受宏病毒的困扰了。但各位不知,貌似离我们很远的宏病毒近期却再度泛滥,深深困扰着企业用户,很多单位因此深陷于宏病毒的泥潭中无法自拔。这一结论是由金山企业云安全中心近期对百万级的企业级应用终端和互联的监测得出的,金山毒霸企业版可完美防护宏病毒。

开门见山,还是要介绍一下今天的主角宏病毒。宏病毒是病毒制造者利用Microsoft Office的开放性,即Office中提供的 BASIC编程接口,专门开发的一个或多个具有病毒特点的宏集合。这种病毒宏的集合会影响到计算机使用,并能通过DOC文档及DOT模板进行自我复制及传播。一旦打开感染宏病毒的文档,其宏就会被履行,宏病毒就会被激活,进一步转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会感染上这类宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

宏病毒的发展大致经过了三个阶段。个阶段为起源与集中爆发阶段,时间为1996年至1999年。1996年,例宏病毒TaiwanNo.1在台湾被发现,该病毒仅用1年的时间就成为了PC年度杀手,1997年3月踢下米开朗基罗病毒,登上毒王宝座,因此,1996年也被称为宏病毒年。第二个阶段为宏病毒变种传播及泛滥阶段,时间为2000年至2005年。随着微软对Office 97以上版本的修正,使大部分基于以前Word版本的宏病毒无法复制,宏病毒的泛滥得以遏制,但是宏病毒变种却开始感染用户的电脑,同时,宏病毒的感染范围由个人用户逐步向企业用户过渡;宏病毒发展的第三个阶段为企业级用户侵扰阶段。时间从2006年一直延续至今。这一阶段,宏病毒对企业的危害开始凸显,宏病毒防护的核心由个人用户向企业用户倾斜。特别是由于企业内中办公文件流转的特殊属性以及统一更换Office办公软件的复杂性,宏病毒在企业内中不断得到传播,防护宏病毒成为了企业防病毒解决方案中举足轻重的课题。

伴随着宏病毒的发展,它的传播特点和危害开始被人们所熟知。根据不同时期的宏病毒危害,大体可以概括出宏病毒的三个主要特点。,隐蔽性强,传播速度快。宏病毒可以隐藏在移动介质和络文件中,一旦被感染,极易造成传播。第二、容易产生变种,防治较难。宏病毒采用了Word Basic编写语言,可以不断更改代码,进而产生新变种。第三、能够跨平台交叉感染,危害严重。宏病毒能逾越多种平台,并且针对关键数据进行破坏,因此具有极大的危害性。

众所周知,宏病毒对于文档有强大的破坏能力,感染宏病毒的PC会出现多种特征,从金山企业云安全中心监测到的以及长期以来实际解决的感染案例中,我们可以将宏病毒的感染特征概括为以下几种:

1、 在文档已开启宏病毒防护功能的情况下,打开文档,系统会弹出正告框。例如,以典型的Dole病毒为例,感染该病毒的Excel文档在被打开时,会出现如下图所示的弹窗,出现该弹窗的原因为:带毒文档被打开时,会检测宏安全等级,若检测的安全等级为高则关闭文件,并提示用户设置安全等级为中,为病毒的正常运行创造环境(宏安全等级中及低才能运行加载宏)。

Dole病毒感染的Excel文档打开后的弹窗

2、 在已经开启宏病毒防护功能的情况下,Office中一系列的文件在打开时给出宏正告。由于在一般情况下用户很少使用到宏,所以当看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。

3、 用Word或Excel打开文件时,出现文档未打开、内存不够、WordBasic Err=514等;保存文件时,强迫将文件按.dot类型存储,或强制在指定目录存放等。

宏病毒在感染了PC中的文档后,会执行一系列的步骤,下面是金山企业云安全中心对某大型银行感染的Dole为例进行的剖析。ToDole是一个通过写入病毒到Excel启动文件夹(打开任意xls文件时都会运行)、利用邮件客户端(仅Outlook)传播的恶意病毒。正常文档被感染后,必须将宏的安全等级设置成低,才能打开文档,其执行过程的下所示:

Dole病毒感染过程

宏病毒对于个人用户的危害已不言而喻,它隐蔽性高、传播快、易变种,使用户无法正常使用办公文档,极易产生文档无法编写、打印机不能使用、文件无法储存等危害。然而,相对于个人用户,企业内中的宏病毒无疑是更巨大的灾难。其危害性通常表现为以下几点:

、宏病毒在内中极易造成传播,防护难度大。办公文件的流转是目前办公数据传送的通常方式之一,无数的办公文件以金字塔般的情势,从上级传播到基层,基层与基层之间又不停地进行互动,这类办公文件的流动忠实地传播和复制着宏病毒,让IT管理员束手无策。

第二、宏病毒能够破坏内中的关键数据,造成内中数据遭受严重破坏并大规模丢失,要进行恢复,难度大,耗费时间长。

第三、宏病毒变种成本低,对系统威胁严重。大多数文档用宏语言Word Basic编写宏指令,而宏病毒一样用Word Basic编写。Word Basic语言提供了多种系统级底层调用,如Dos,调用Windows API,DLL等,这些操作均可能对系统构成直接威胁。而Word、Excel文档在指令安全性以及完整性上的检测功能很弱,因此,破坏系统的指令就很容易被执行,而对于新变种产生的宏病毒,企业必须对全的防护软件进行统一的升级才能及时的防护,但这对于企业中的管理员来说并不是一件简单的事情。

除此之外,内中如果感染了宏病毒还会造成单位的打印机没法正常使用、内装备跨平台交叉感染等危害,因此,防治企业内中的宏病毒在全部企业的防病毒策略中至关重要。

应该如何有效防护宏病毒?金山企业云安全中心建议:

首先,尽量的封堵宏病毒的传播途径,防止病从口入是关键。目前来看,宏病毒传播的途径主要有两个,个是移动介质的传播,包括移动硬盘、光盘等;第二个是络传播,包括邮件传播、络下载、文件传输等。因此,在内中一旦发现了宏病毒感染的文件,管理员必须提醒内中的所有用户要谨慎,移动介质要先进行扫描检查,对于不确定的文档,可以先用写字板或者无宏功能的文档软件打开,再进行相干的操作。

其次,由于宏病毒变种较多,当隔离用户暂时无法使用升级防杀病毒软件查杀新病毒时,可以手动提取文件进行分析查杀。宏病毒主要有加载宏、公式宏两种类型,都是通过Excel的启动函数来执行病毒代码,如遇到宏病毒查杀模块不能查杀或反复查杀的病毒,可以使用相关技术提取病毒样本,交由专业的防病毒技术人员解决:

,金山毒霸络版防病毒解决方案已经在实际的应用中成功部署并能够及时防护内中流行的宏病毒,金山毒霸络版采用国际水平的蓝芯杀毒引擎,全面支持 DOS、Windows、UNIX 等系统下的数十种紧缩格式,自动检测移动介质及PC中的文档紧缩包查毒;支持 ZIP、RAR 等紧缩格式、UPX 加壳文件的包内直接查杀;嵌入协议层的邮件监控,可双向过滤邮件病毒;从源头禁止宏病毒的传播,除此之外,金山毒霸络版的主动升级机制可保证在时间获得病毒库,并自动分发给内所有客户机,防止由于宏病毒变种引发的病毒爆发,因此,用户可使用金山产品有效实现对宏病毒的防护。

痛经为什么不能吃辣的
痛经饮食要注意什么
痛经怎么食物调理

相关推荐