专杀工具范文(精选3篇)
专杀工具 第1篇
关键词:Excel,Book—病毒,宏病毒,专杀程序
1 引言
Excel宏表病毒属于Excel宏病毒,具有一定的危害性、易传染、Excel普通用户难清除等特点。时下正流行的Book1病毒,可认为是Excel宏表病毒的典型代表。通用杀毒软件一般不检查此类病毒或直接隔离、删除染毒Excel数据文件,给用户造成不必要的损失;手工逐文件清除病毒费时、费力,效率与效益低。下文尝试论述以Visual Basic6.0作开发工具,开发主要针对Book1病毒的Excel宏表病毒专杀软件。
2 病毒原理及感染特征
Excel宏表病毒通过在Excel工作簿文件中插入隐藏的Microsoft Excel 4.0宏表,向工作簿中定义若干名称,在宏表中写入若干公式,实现向Excel启动文件夹Xlstart中检查或创建其无扩展名母病毒文件,向新工作簿及所打开工作簿复制宏表病毒。Excel宏表病毒利用Excel启动时自动加载Xlstart启动文件夹中文件、Excel 4.0宏表禁止宏运时不打开含宏表的相应工作簿、Excel名称与公式在工作簿打开后自动运算功能,激发自身运行,实现Excel感染与文件感染及自身传播。
计算机感染Excel宏表病毒后,在Program FilesMicrosoft OfficeOfficeXlstart目录,甚至各Windows用户的Application DataMicrosoftExcelXLSTART目录中,会被创建一个可用Excel打开的无扩展名文件)或扩展名为.xls的文件(Book1病毒均命名为“Book1”)。用户启动Excel或打开Excel文件并禁用宏时,Excel提示“该工作簿中含有一种无法被禁用又无法被签署的宏(Microsoft Excel 4.0版的宏……”。若用户选择不打开工作簿,目标工作簿文件将不被打开。若用户选择启用宏打开工作簿,宏表病毒文件(Book1病毒为“Book1”文件)将被同时打开,宏表病毒自动运行,完成对所打开工作簿文件的感染;用户使用工作表取消隐藏操作或使用VBA代码设置所有工作表Visible属性为True,可看到被隐藏的病毒宏表(Book1病毒为“00000ppy”);在Excel“定义名称”对话框名称列表中,用户可找到若干非自己定义的名称(Book1病毒有43个之多)。对于受感染的Excel文件,用户使用网易邮件服务器发送时,会被告知因邮件含病毒而未被发送。
3 专杀工具设计与实现
3.1 程序功能
Excel宏表病毒专杀程序的核心功能是干净、尽可能无损或微损清理目标计算机及用户Excel文件中的Excel宏表病毒,恢复Excel程序正常运行及用户Excel数据文件的正常使用。从方便用户使用角度,设计Excel宏表病毒专杀程序主要功能如下:
(1)全盘清理:对用户计算机整个硬盘各逻辑分区及插入计算机的各移动磁盘中的所有Excel工作簿文件逐个进行Excel宏表病毒检查与清理。
(2)U盘清理:仅对用户插入计算机的各移动磁盘中的所有Excel工作簿文件逐个进行Excel宏表病毒检查与清理。
(3)目录清理:仅对用户指定的硬盘某一逻辑分区、插入计算机的某一移动磁盘或任一目录中的所有Excel工作簿文件逐个进行Excel宏表病毒检查与清理。
(4)特殊文件隔离:对受损或用户无密码不能打开的Excel工作簿文件,分别移动到专门目录,供用户删除处理,获得密码或文件修复后,使用“目录清理”功能清理。
(5)Excel清理:无论上述哪种清理,均首先清除Excel启动目录中的宏表病毒文件。
3.2 查杀算法
依据Excel宏表病毒感染原理,设计清除算法如下:
(1)清除Programe程序目录中的Excel主病毒文件。
(2)清除各Windows用户目录中的Excel主病毒文件甚至Excel菜单栏与工具栏配置文件。
(3)清除硬盘各分区、移动磁盘或用户指定目录中受感染Excel工作簿文件中的病毒宏表和病毒定义名称,原路径、原名另存文件。
(4)对受损与用户无密码不能打开的Excel工作簿文件,分别移动到专门目录“受损工作簿”与“加密工作簿”。
3.3 程序开发
(1)VB访问Excel程序
VB中调用Excel,需添加对Excel的引用,Excel2003的引用项目为“Microsoft Excel 11.0 Object Library”。模块过程或事件过程中调用Excel打开工作簿前,先定义Excel程序、工作序簿、工作表对象并实例化。调用Excel完成一个染毒文件病毒体清理任务后,应释放定义的Excel程序、工作簿、工作表对象变量。
(2)用户组遍历及主病毒文件清除
使用系统环境变量Environ("System Drive")获取系统盘盘符,使用File System Object对象的Get Folder方法获取各Windows用户文件夹所在的Documents and Settings文件夹。通过For Each……Next循环与Kill语句实现对Windows用户组的遍历,并删除各Windows用户目录中Excel启动文件夹中的病毒文件。
(3)硬盘分区与移动磁盘遍历
对磁盘的遍历,可调用Windows API函数中的Get Logical Drive Strings函数与Get Drive Type函数实现,故需在VB工程声明部分,先声明两函数。Get Logical Drive Strings函数用于获取所有逻辑驱动器的根驱动器路径;Get Drive Type函数用于判断磁盘驱动器的类型。程序只对硬盘(类型值为DRIVE_FIXED)、移动磁盘(类型值为DRIVE_REMOVABLE)进行遍历和病毒清理。遍历通过Do……Loop Until循环实现。
(4)目录及工作簿文件遍历
(5)对目录及工作簿文件的遍历
主要通过Do While……Loop循环、For……Next循环与Sub过程递归调用实现。在Do While……Loop循环中,通过If语句和Get Attr函数,实现对目录中子目录的判断及数量获取;在For……Next循环中,通过递归调用实现对各级子目录中工作簿文件的遍历;在Do While……Loop循环中,调用工作簿文件中病毒体清除过程,实现目录中所有工作簿文件的打开及病毒清理。
(6)工作簿文件中病毒体清除
程序成功打开工作簿文件后,分两步清除病毒体,原路径、原名另存文件即可。首先,对于用户未知的宏表病毒,使用For Each……Next循环遍历Work Sheets集合,将其中的Excel 4.0宏表全部删除(会导致用户的非病毒宏表删除);对于用户已知的Book1病毒,不用遍历,使用Sheets(“00000ppy”).delete删除其病毒宏表“00000ppy”。然后,对于用户未知的宏表病毒,使用For Each……Next循环遍历Excel的Names集合,将其中的名称定义全部删除(会导致用户定义的名称删除);对于用户已知的Book1病,只删除其病毒名称定义43个即可。
4 结语
基于VB的Excel宏表病毒专杀程序,是一款适用、小巧,对染毒Excel文件无损或微损清除宏表病毒体的绿色软件,可作为VB程序设计的教学范例或实训开发项目。
参考文献
[1]STEPHEN BULLEN,等,著.杜茂康,刘友军,等,译.Excel专业开发[M].北京:电子工业出版社,2007.
常见病毒的症状、专杀工具 第2篇
1病毒介绍
该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,从而达到传播的目的
2中毒症状
(1)莫名其妙地死机或重新启动计算机;
(2)IE浏览器不能正常地打开链接;
(3)不能复制粘贴;
(4)有时出现应用程序,比如Word异常;
(5)网络变慢;
(6)最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行
3系统补丁
win中文版 下载
winxp中文版 下载
win中文版 下载
4专杀工具
下载
点击阅读更多学院相关文章>>
分享到 二、恶鹰(Worm.Beagle.U
1病毒介绍
恶鹰”最新变种在最近两天接踵而来,出现了6个变种,变种“M、N”首次采用了加密变形的方法去感染可执行文件,导致系统文件被破坏,出现系统提示错误,其变种“O、R、S、T”:在感染文件的基础上加入了利用微软漏洞传播的新特性,使邮件中的VBS代码自动从受感染的系统中下载并立即执行病毒。
2中毒症状
这些变种都会在系统中开后门,利用P2P软件进行传播。搜索硬盘上的可执行PE文件,采用加密变形的手法感染这些文件,造成系统极不稳定。
“O、R、S、T”还会在系统中打开TCP 81端口,将被感染的系统设置为HTTP服务器,可让其它用户从此端口下载病毒,而使得病毒在发送病毒
电子邮件时,不再需要附件
3系统补丁
www.microsoft.com/technet/security/Bulletin/MS04-004.mspx
4专杀工具
下载
三、网络天空(Worm.Netsky)
1病毒介绍
这些病毒利用系统收信邮件地址,疯狂的乱发病毒邮件大量浪费网络资源,使众多邮件服务器瘫痪,因此让受感染的系统速度变慢
2中毒症状
该病毒又是一个典型的电子邮件类病毒,通过电子邮件快速传播,
病毒会将自身复制到系统中的共享目录中,使用Microsoft Word图标和两个扩展名来迷惑用户
3专杀工具
下载
点击阅读更多学院相关文章>>
分享到 四、诺维格(Worm.Novarg)
1病毒介绍
诺维格”为一种互联网蠕虫,开启Windows Notepad后便随即激活,显示出一些怪异字体。病毒能透过Windows系统自行安装程序,让 远程控制计算机。该病毒能自动复制,并以电子邮件传送给共享名录中的Kazaa用户。用户应实时删除含有下列内容标题的电子邮件
2中毒症状
该病毒发作时会对网址“ sco.com ”进行DoS(拒绝服务式)攻击。病毒攻击时会开启多达64个线程,造程系统变慢或是不稳定,并可大量浪费网络资源。病毒还会将被感染的系统做为代理服务器,监听TCP端口3127-3198
3专杀工具
下载
五、震荡波(Worm.Sasser)
1病毒介绍
该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户。
2中毒症状
可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”
3系统补丁
下载
4专杀工具
下载
上一页 12 3
点击阅读更多学院相关文章>>
专杀工具 第3篇
接到用户举报后,江民反病毒中心立即对用户上报的可疑文件样本进行分析,经分析,导致网络游戏玩家帐号被盗的原因是电脑感染了一名为“落雪”的木马病毒。“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
“落雪”木马也叫“游戏大盗”( trojan/psw.gamepass),由vb 程序语言编写,通过 nspack 3.1 加壳处理(即通常所说的“北斗壳”north star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
病毒运行后,在c盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了windows操作系统执行.com文件的优先级比exe文件高的特性,这样,当用户调用系统配置文件msconfig.exe的时候,一般习惯上输入 msconfig,而这是执行的并不是微软的msconfig.exe程序,而是病毒文件 msconfig.com ,病毒作者的“良苦用心”由此可见,
病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:windowswinlogon.exe,而正常的系统进程路径是c:windowssystem32 winlogon.exe,以此达到迷惑用户的目的。
江民反病毒工程师介绍,除了在c盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在d盘下生成一个自动运行批处理文件,这样即使c盘目录下的病毒文件被清除,当用户打开d盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
针对“落雪”病毒,江民杀毒软件kv系列产品已及时升级,用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒,亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户,也可以下载使用江民“落雪”木马专杀工具进行杀毒,以免遭“落雪”病毒侵害。
江民“落雪”病毒专杀工具下载地址:
/html/download/antivirus_software/virustool/0815183045943.html