上游充通大学 宏病毒的特点 SHANGHAI JIAO TONG UNIVERSITY ©传播极快 ©制作、变种方便 ©破坏可能性极大 多平台交叉感染 ©地域性问题 信息安全王程学院
信息安全工程学院 宏病毒的特点 传播极快 制作、变种方便 破坏可能性极大 多平台交叉感染 地域性问题
上游充通大兽 宏病毒的共性 SHANGHAI JIAO TONG UNIVERSITY 宏病毒会感染DOC文档文件和DOT模板文件。 ©打开时激活,通过Normala模板传播。 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 ©病毒宏中必然含有对文档读写操作的宏指令。 信息安全工程学院
信息安全工程学院 宏病毒的共性 宏病毒会感染DOC文档文件和DOT模板文件。 打开时激活,通过Normal模板传播。 通过AutoOpen,AutoClose,AutoNew和 AutoExit等自动宏获得控制权。 病毒宏中必然含有对文档读写操作的宏指令
上游充通大兽 宏病毒的作用机制 SHANGHAI JIAO TONG UNIVERSITY 模板在建立整个文档中所 起的作用是作为一个基类。 类别 宏名 运行条件 新文档继承模板的属性 自动宏 AutoExec 启动Word或加载全局模板时 (包括宏、菜单、格式 AutoNew 每次创建新文档时 等)。 AutoOpen 每次打开已存在的文档时 编制宏病毒要用到的宏如 AutoClose 在关闭文档时 右表 AutoExit 在退出Word或卸载全局模板 时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件 信息安全工程学院
信息安全工程学院 宏病毒的作用机制 模板在建立整个文档中所 起的作用是作为一个基类。 新文档继承模板的属性 (包括宏、菜单、格式 等)。 编制宏病毒要用到的宏如 右表 类别 宏 名 运行条件 自动宏 AutoExec 启动Word或加载全局模板时 AutoNew 每次创建新文档时 AutoOpen 每次打开已存在的文档时 AutoClose 在关闭文档时 AutoExit 在退出Word或卸载全局模板 时 标准宏 FileSave 保存文件 FileSaveAs 改名另存为文件 FilePrint 打印文件 FileOpen 打开文件
上游充通大学 SHANGHAI JIAO TONG UNIVERSITY Word宏病毒感染过程 编制语言VBA\WordBasic等 ©环境:VBE 打开被感 把宏加载到 宏病毒将自 新建(打开) 染的文档 内存 运行自动宏 己复制到全 局模板 的文档被感染 信息安全工程学院
信息安全工程学院 Word宏病毒感染过程 编制语言VBA\WordBasic等 环境:VBE
上游充通大学 经典宏病毒-美丽莎Melissa SHANGHAI JIAO TONG UNIVERSITY 利用微软的Word宏和Outlook发送载有80个色情 文学网址的列表 国 它可感染Word97或Word2000,是一种Word宏病 毒 当用户打开一个受到感染的Word97或Word 2000文件时,病毒会自动通过被感染者的 Outlook的通讯录,给前50个地址发出带有 W97 M MELISSA病毒的电子邮件。 信息安全王程学院
信息安全工程学院 经典宏病毒-美丽莎 Melissa 利用微软的Word宏和Outlook发送载有80个色情 文学网址的列表 它可感染Word 97或Word 2000,是一种Word宏病 毒 当用户打开一个受到感染的Word 97或Word 2000文件时,病毒会自动通过被感染者的 Outlook的通讯录,给前50个地址发出带有 W97M_MELISSA病毒的电子邮件