文字的力量，揭秘古老而又神秘的宏病毒。。。

簡直嚇

死人了。

。

。

先來說說什麼是宏病毒吧，要說宏病毒的話，得先從我們每天都離不開的辦公軟體office開始說起。

如果評選世界上最善良的文件，麻瓜君覺得Word文檔以及Excel表格應該榜上有名。

應該不會有人把「.doc」以及「.xlsx」文件和黑客手中的殺人利器聯繫起來吧。

要說到宏病毒的起源，要從很早說起了，當病毒的先驅者們醉心於他們高超的彙編語言技術和成果時，可能不會想到後繼者能以更加簡單的手法製造影響力更大的病毒。

Word宏病毒就是其中最具有代表性的範例之一。

其實坦率的來講宏病毒的出現並非出乎人們的意料，早在80年代後期，那個電腦不是很普及的年代，就有所謂的專家預言過。

那個時候，有些熊孩子學生就用某些應用程式的宏語言編寫病毒。

然而，宏病毒與普通病毒不同的是它不感染.EXE或.COM文件，只感染文檔文件。

宏病毒就像自然界中令人恐懼的龍捲風，對人們正常使用計算機進行學習和工作帶來了不可估量的影響。

。

。

。

在中國1996年12月13日，在北京跟深圳發現了一種被稱為「TaiwanNo.1」的病毒，一例來自於Internet的下載文件，另一例來自某醫院的一項合作協議書。

在一個專門研究醫學病毒的捍衛人體健康的機構發現被計算機病毒侵襲的事件，這還真是一個悲傷的故事。

還是帶有一點戲劇性的。

當時發現這種病毒的時候，感覺命運似乎剎那間就即將被別人掌握了。

。

。

到了後來Internet電子郵件已日益成為病毒的攜帶者，當你們在Internet上用Email收看郵件時，是否想到，你們可能會受到計算機病毒的威脅。

一般一個純粹的電子郵件內容沒有病毒，但其附加的文件極可能帶有病毒。

附加文件的病毒擴散首先需要運行它。

舉個例子來說：您收到了一個附加有用Word編輯的文件，這個Word文件被病毒感染了，當您運行該附加文件時，計算機就會受到病毒的威脅。

那麼什麼是宏呢？，簡單來說就是一些命令組織在一起，其中的一個單獨命令可以完成一個特定任務。

MicrosoftWord中對宏定義為：「宏就是能組織到一起作為一獨立的命令使用的一系列word命令，它能使日常工作變得更容易」。

Word使用宏語言Word_Basic將宏作為一系列指令來編寫。

要想搞清楚宏病毒的來龍去脈，必須了解Word宏的知識及wordBasic編程技術。

Wo_rd宏病毒是一些製作病毒的專業人員利用MicrosoftWord的開放性即word中提供的WordBASIC編程接口，專門製作的一個或多個具有病毒特點的宏的集合，這種病毒宏的集合影響到計算機使用，並能通過.DOC文檔及.DOT模板進行自我複製及傳播。

不過，由於當時的技術的限制，當時的「宏病毒」並不能造成毀滅性的影響。

。

。

如今20多年過去了，它又回來了。

。

。

現在的攻擊手段不是單純的郵件發送跟傳輸文件了，黑客通過簡單的社會工程學手段（如果不了解可以點擊閱讀原文，了解一下社工庫），分析出你的背景資料，然後根據你的職業或愛好有針對性地向你發送一封郵件。

。

你們一看郵件主題感覺非常親切，自然就會點擊查看，當你點擊之後，呵呵，恭喜你，你已中招。

。

。

可能你們覺得很不可思議對不對？我們先來看看新聞吧。

。

。

（烏克蘭某電力公司高管收到的文件，如果點擊同意，就會陷入黑客構建的木馬陷阱之中）

從2015年開始，利用Word文檔傳播木馬的方法就在「重量級黑客」中重新流行。

屢次攻擊中國通信企業的黑客組織「暗黑客棧」，常用的攻擊方法就是向企業高管發送一封電子郵件，附件中攜帶一個Word或Excel文件。

一旦打開這個文件，系統會提示需要加載「宏」才能繼續閱讀。

一旦選擇加載，則會從黑客指定的伺服器下載木馬，竊取電腦上的機密信息。

攻擊烏克蘭電網造成一百多萬人口陷入停電的神秘黑客，同樣被發現向電廠的管理者發送電子郵件，裡面攜帶了一個Excel附件。

同樣的道理，點擊加載宏之後，就會允許黑客在電腦上植入木馬，從而被徹底控制。

（在攻擊原理上，Word和Excel是一樣的。

）

上面的這個是鬧的比較大的了，都是黑客針對特定的組織發起的攻擊。

不過這種攻擊方式正在迅速對準像我們一樣的麻瓜，攻擊的方式也更多樣化起來，還真是與時俱進。

。

。

（黑客彈出的勒索消息，包括付款的方式和步驟）

黑客會通過簡單的社會工程學手段，分析出你的背景資料，然後根據你們的工作以及愛好對你們針對性地向你們發送一封你們幾乎會不假思索點開的郵件。

比如，黑客會給喜愛汽車的人發送「XXX汽車展覽的邀請」；會給計算機愛好者發送「新產品促銷信息」。

下面肯定是電影情節了。

。

。

跟前幾天文章里無敵艦隊勒索網際網路公司一樣。

。

。

（麻瓜君前幾天的文章，有興趣可以看看）

這種勒索手段聽上去很陌生。

但是最近一個月，德國、荷蘭、美國的數十萬用戶已經被敲詐，而且受害電腦正在以每小時4000台的速度增加。

黑客一般會向受害者索要0.5-2個比特幣。

聽起來這個數額並不大，但如果換算成人民幣的話，相當於1500-5000塊。

聽說前幾天比特幣跟人民幣的兌換匯率又增加到4200:1咯。

。

。

（有關「勒索」的信息在google上查詢的頻率激增，可見德國和南非的受害者最多）

當然，這樣子勒索軟體並不會讓你的電腦癱瘓，如果你願意格式化硬碟，重裝電腦作業系統的話，黑客其實也拿你沒有任何辦法。

不過，需要提醒瓜友注意的是，這個木馬會自動探測用戶的雲備份帳戶，如果用戶文件在雲上有備份，黑客們會同時把雲端的文件也進行加密。

如果遭到了勒索，保險起見，選擇重裝之前還是要先檢查一下雲上的文件是否被篡改。

雖然根據網上可以查詢的資料顯示，目前還沒有中國用戶遭到這款木馬勒索的消息，不過根據這個病毒傳播的速度，我們大天朝瓜友想要完全置身事外似乎不太可能。

先安利一下宏病毒傳播途徑吧，

主要有：

1，軟盤交流染毒文檔文件；

2，硬碟染毒，處理的文檔文件必將染毒；

3，光碟攜帶宏病毒；

4，Internet上下載染毒文檔文件；

5，BBS交流染毒文檔文件；

6，電子郵件的附件夾帶病毒。

然後在安利一下如果在確定中招的情況下如何清除。

。

。

如果確信你的文件和系統已不幸感染了宏病毒。

毫無疑問，應該停下手邊的其它工作，爭取徹底清除宏病毒。

一般可採取以下兩個步驟：

1、進入「工具|宏」，查看模板Normal.dot，若發現有Filesave、Filesaveas等文件操作宏或類似AAAZAO、AAAZFS怪名字的宏，說明系統確實感染了宏病毒，刪除這些來歷不明的宏。

對以Auto×××命名的，若不是用戶自己命名的自動宏，則說明文明感染了宏病毒，刪除它們。

若是用戶自己創建的自動宏，可以打開它，看是否與原來創建時的內容一樣，如果存在被改變處，說明你編制的自動宏已經宏病毒修改這時應該將自動宏修改為原來編制的內容。

在最糟的情況下，如果分不清那些是宏病毒，為安全起見，可刪除所有來路不明的宏，甚至是用戶自己創建的宏。

因為即便刪錯了，也不會對Word文檔內容產生任何影響，僅僅是少了「宏功能」。

如果需要，還可以重新編制。

2、即使在「工具|宏」刪除了所有的病毒宏，並不意味著你可以高枕無憂了。

因為病毒原體還在文本中，只不過暫時不活動了，也許還會死灰復燃。

為了徹底消除宏病毒，再時入「文件|新建」，選擇「模板」，正常情況下，可以在「文件模板」處見到「Normal.dot」，如果沒有，說明文檔模板文件Normal.dot已被病毒修改了。

這時用你手邊原來備份的Normal.dot覆蓋當前的Normal.dot；或你沒有備份，則刪掉然毒Normal.dot，重新進入Word，在「模板」里，重置默認字體等選項後退出Word，系統就會自動創建一個乾淨的Normal.dot。

再進入Word，再打開原來的文本，並新建另一個空文檔，這時新建文檔是乾淨的；將原文件的全部內容拷貝到新文件中，關閉感染宏病毒的文本，然後再將新文本保存為原文件名存儲。

這樣，宏病毒就感染徹底清除了，原文件也恢復了原樣，可以放心大膽地編輯、修改、存儲了。

雖然上述方法對大部分宏病毒可徹底清除，但是「道高一尺，魔高一丈」，有些智能點數比較高的宏病毒，會事先防範，讓宏編輯功能失效，進入「工具|宏」的時候，看不到病毒的名字，因此，也就無法刪除它們。

對付這「狡猾」的宏病毒，可選用殺宏病毒的專門軟體如KV300、VAV、瑞星等進行殺除。

並注意檢查出文件可能感染病毒後，首先對文件備份，然後再執行清除命令，以免意情況下殺掉病毒的同時改變原文件的內容。

雖然目前上針對宏病毒的方法很多，但是對於清除來說多多少少都會有些後遺症，所以對於陌生的Word文檔，還是要多加小心。

畢竟，文字的力量是巨大的。

。

。

▼

若要轉載麻瓜君的文章

記得請署名噢...

投稿郵箱：

[email protected]

關注公眾號

magua12138

更多內容請登錄：

www.magua12138.com