发信人: emil()
整理人: (2000-02-02 01:38:17), 站内信件
|
病毒名称:O97M.Tristate 别名: O97M.Triplicate 发作时间:无 长度: 一个VBA5模块 感染症状:修改基本模板 发作症状:无 病毒类型:交叉感染型宏病毒 操作平台:Windows 9x 感染对象:MS Word 97, MS Excel 97和MS PowerPoint 97文档 病毒性质:良性 病毒介绍:首先简单介绍一下这个病毒。O97M.Tristate是一个新型的 交叉感染型宏病毒,在全世界范围内都有发现,该病毒感染 MS Word97文档、MS Excel97数据表、MS PowerPoint97幻灯 片文件,该病毒比较奇特的是当打开某一类型的被感染文件 时(如打开Word97文档),它除了感染该类型的文件外,还 会自动感染其他类型的的文件,这就是该病毒的可怕之处, 幸运的是该病毒没有其他破坏程序,除了被感染的模板被破 坏之外别无它恙(但这些模板是无法修复的了,下面有详细 介绍)。该病毒感染各类文件的机理不尽相同,下面将做详 细介绍: 假设打开一个被感染的Word97文档: 与W97M.Class类似,该病毒并不像常见的宏病毒那样加 入一个Visual Basic Application (VBA)模块,而是在默认 VBA模块"ThisDocument"加入病毒代码,当关闭Word文档时, 该病毒程序便被激活。 交叉感染Excel文件:如果在Excel启动路径中(通常在 XLSTART目录下)没有"BOOK1. "文件,它就会关闭Excel的 宏病毒防护功能,然后在Excel启动路径中建立一个带毒的 "BOOK1. "文件。 交叉感染PowerPoint文件:如果在"Blank Presentation .POT" PowerPoint模板(通常在TEMPLATES目录下)中没有 "Triplicate"模块,它就会关闭PowerPoint的宏病毒防护功 能,然后就会在"Blank Presentation.POT"中加入病毒模块 "Triplicate",并增加一个适用于所有幻灯片文件的基本 AutoShape对象,病毒模块就“连接”到这个AutoShape对象。 如果必要,该病毒还会重新感染Word文档。如果文档的 "ThisDocument"并非病毒预期的那样,它就会以它自身的病 毒代码替换掉"ThisDocument"模块中的内容,这样就造成了 用户的"ThisDocument"模块无法被修复。 假设打开一个被感染的Excel97数据表: 与上面所说的类似,病毒并没有新增一个VBA模块,而 是将自身的病毒代码加到默认模块"ThisWorkbook"中,当被 感染的电子表格不在活动状态(即不在编辑状态或打开另一 个电子表格时),病毒程序便被激活。 交叉感染Word文档:如果在Excel启动路径中(通常在 XLSTART目录下)没有"BOOK1. "文件,它就会关闭Excel和 PowerPoint的宏病毒防护功能,并把Word Normal模板(通 常是的Normal.dot)"ThisDocument"模块全部替换为病毒代 码,这是不可恢复的。 交叉感染PowerPoint文件:与上述的交叉感染Power- Point文件相同,在这里就不再赘述。 如果必要,该病毒还会重新感染Excel文件。如果活动 的电子表格的的"ThisWorkbook"不是病毒所预期的那样,病 毒就会在"ThisWorkbook"模块中。 假设打开一个被感染的PowerPoint文件: 对于PowerPoint文件,该病毒会增加一个名为"Tripli- cate"模块,并且有可能在幻灯片播放的时候激活病毒程序。 交叉感染Word和Excel文件方法与上述相同,不再赘述。 如果必要,该病毒会重新感染PowerPoint文件。如果在 Excel启动路径中没有"BOOK1. "文件,在"Blank Presenta- tion.POT" PowerPoint模板中也没有"Triplicate"模块的话, 它就会在"Blank Presentation.POT"中加入病毒模块"Trip- licate",并增加一个适用于所有幻灯片文件的基本AutoSh- ape对象,病毒模块就“连接”到这个AutoShape对象。该病 毒并不直接感染PowerPoint幻灯片,而是感染"Blank Pres- entation.POT"模板,一旦该模板被感染,所有新的基于 "Blank Presentation"模板的PowerPoint幻灯片都会感染上 有毒的模块和AutoShape。 备注: 由于病毒用病毒码替换了摸板的内容,所以即使清除了 病毒,"Normal.dot", "Blank Presentation"都需要重写了。 而且检测病毒的时候最好选上“检测所有的文件”。
-- 为您解答各种病毒疑难问题,报道最新的病毒资讯! 《电脑报》病毒论坛 http://bbs.cpcw.com/forum/virus/index.html Email: [email protected] Oicq:201604
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.144.222]
|
|