遭遇Excel的巨集病毒
朋友的一臺電腦,開啟任何Excel(Office2003版本)都會彈出兩個Excel文件,一個是希望開啟的文件,另一個是:startup.xls
看startup.xls的內容,馬上意識到中了病毒了.(看這個startup,貌似是刪除元件用的,也許是病毒作用後的清理?)
開啟希望開啟的正常的那個文件,Alt-F11,看有巨集程式碼,模組名是:Knight
後來發現,下列路徑有下列可疑檔案,將之手工刪除,Excel恢復正常.
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\Excel11.xlb
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\MEMO1.xls
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\startup.xls
後來,在其他電腦上,用McAfee檢查,發現MEMO1.xls確實有問題
----MEMO1.xls有病毒(木馬)----
Workbook X97M/Laroux.kz.gen
----startup.xls的內容----
Sub auto_open()
On Error Resume Next
Application.ScreenUpdating = False
ActiveWindow.Visible = False
n$ = ActiveWorkbook.Name
Workbooks(n$).Close (False)
Application.OnSheetActivate = "StartUp.xls!cop"
End Sub
Sub cop()
On Error Resume Next
Dim VBC As Object
Dim Name As String
Dim delComponent As VBComponent
Name = "StartUp"
For Each book In Workbooks
Set delComponent = book.VBProject.VBComponents(Name)
book.VBProject.VBComponents.Remove delComponent
Next
End Sub
看startup.xls的內容,馬上意識到中了病毒了.(看這個startup,貌似是刪除元件用的,也許是病毒作用後的清理?)
開啟希望開啟的正常的那個文件,Alt-F11,看有巨集程式碼,模組名是:Knight
後來發現,下列路徑有下列可疑檔案,將之手工刪除,Excel恢復正常.
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\Excel11.xlb
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\MEMO1.xls
C:\Documents and Settings\Administrator\Application Data\Microsoft\Excel\XLSTART\startup.xls
後來,在其他電腦上,用McAfee檢查,發現MEMO1.xls確實有問題
----MEMO1.xls有病毒(木馬)----
Workbook X97M/Laroux.kz.gen
----startup.xls的內容----
Sub auto_open()
On Error Resume Next
Application.ScreenUpdating = False
ActiveWindow.Visible = False
n$ = ActiveWorkbook.Name
Workbooks(n$).Close (False)
Application.OnSheetActivate = "StartUp.xls!cop"
End Sub
Sub cop()
On Error Resume Next
Dim VBC As Object
Dim Name As String
Dim delComponent As VBComponent
Name = "StartUp"
For Each book In Workbooks
Set delComponent = book.VBProject.VBComponents(Name)
book.VBProject.VBComponents.Remove delComponent
Next
End Sub
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29512902/viewspace-1151487/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 針對Office巨集病毒的高階檢測
- 當Unix系統遭遇Windows病毒(轉)Windows
- 「Excel技巧」Excel技巧之如何看檔案裡的巨集?Excel
- Excel無法更改巨集安全性Excel
- 遭遇另類無法刪除病毒的處理辦法(轉)
- 國內多家大型企業遭遇GlobeImposter勒索病毒變種襲擊
- 在“How to Save Report To Excel”中遭遇 Automation異常Excel
- Rust 的巨集Rust
- Emotet查殺難度高,深信服SAVE引擎以AI對抗高危巨集病毒AI
- [Office] WPS Excel通過新增巨集實現多張表格合併Excel
- 用2003版的Excel使用“巨集”開啟NMON軟體生產的.nmon檔案Excel
- ABAP巨集的除錯除錯
- EBS遭遇"Java 的早期版本"Java
- 生物病毒和電腦病毒的區別
- c語言巨集的使用C語言
- iOS開發常用的巨集iOS
- Swift 裡的巨集定義Swift
- [心得] CLisp巨集Lisp
- 巨集函式函式
- iOS 通用巨集定義 高效全域性巨集彙總iOS
- 遭遇大量CF型別的enqueue型別ENQ
- VIM編輯器的巨集操作
- ios開發的巨集定義iOS
- 好用的一個object c 巨集Object
- 巨集 ACC_MODE(x) 的理解
- 遭遇ITL死鎖
- 理解C++ 巨集C++
- 技術債務(母雞的遭遇)
- C語言巨集中"#"和"##"的用法C語言
- iOS標頭檔案中如何在巨集裡引用已有的巨集iOS
- NGINX巨集觀手記Nginx
- c/c++巨集指令C++
- C/C++-技巧-巨集C++
- 【jQuery巨集觀總結】jQuery
- ReactiveCocoa常見巨集React
- iOS常用巨集定義iOS
- Oracle GoldenGate: 使用巨集OracleGo
- 伺服器中了勒索病毒,升級後的Malox勒索病毒特徵,勒索病毒解密資料恢復伺服器特徵解密資料恢復