精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>O97M.Tristate病毒资料(一个新型的交叉

主题:O97M.Tristate病毒资料(一个新型的交叉
发信人: emil()
整理人: (2000-02-02 01:38:17), 站内信件
病毒名称:O97M.Tristate
别名:    O97M.Triplicate
发作时间:无
长度:    一个VBA5模块
感染症状:修改基本模板
发作症状:无
病毒类型:交叉感染型宏病毒
操作平台:Windows 9x
感染对象:MS Word 97, MS Excel 97和MS PowerPoint 97文档
病毒性质:良性
病毒介绍:首先简单介绍一下这个病毒。O97M.Tristate是一个新型的
          交叉感染型宏病毒,在全世界范围内都有发现,该病毒感染
          MS Word97文档、MS Excel97数据表、MS PowerPoint97幻灯
          片文件,该病毒比较奇特的是当打开某一类型的被感染文件
          时(如打开Word97文档),它除了感染该类型的文件外,还
          会自动感染其他类型的的文件,这就是该病毒的可怕之处,
          幸运的是该病毒没有其他破坏程序,除了被感染的模板被破
          坏之外别无它恙(但这些模板是无法修复的了,下面有详细
          介绍)。该病毒感染各类文件的机理不尽相同,下面将做详
          细介绍:
              假设打开一个被感染的Word97文档:
              与W97M.Class类似,该病毒并不像常见的宏病毒那样加
          入一个Visual Basic Application (VBA)模块,而是在默认
          VBA模块"ThisDocument"加入病毒代码,当关闭Word文档时,
          该病毒程序便被激活。
              交叉感染Excel文件:如果在Excel启动路径中(通常在
          XLSTART目录下)没有"BOOK1. "文件,它就会关闭Excel的
          宏病毒防护功能,然后在Excel启动路径中建立一个带毒的
          "BOOK1. "文件。
              交叉感染PowerPoint文件:如果在"Blank Presentation
          .POT" PowerPoint模板(通常在TEMPLATES目录下)中没有
          "Triplicate"模块,它就会关闭PowerPoint的宏病毒防护功
          能,然后就会在"Blank Presentation.POT"中加入病毒模块
          "Triplicate",并增加一个适用于所有幻灯片文件的基本
          AutoShape对象,病毒模块就“连接”到这个AutoShape对象。
              如果必要,该病毒还会重新感染Word文档。如果文档的
          "ThisDocument"并非病毒预期的那样,它就会以它自身的病
          毒代码替换掉"ThisDocument"模块中的内容,这样就造成了
          用户的"ThisDocument"模块无法被修复。
              假设打开一个被感染的Excel97数据表:
              与上面所说的类似,病毒并没有新增一个VBA模块,而
          是将自身的病毒代码加到默认模块"ThisWorkbook"中,当被
          感染的电子表格不在活动状态(即不在编辑状态或打开另一
          个电子表格时),病毒程序便被激活。
              交叉感染Word文档:如果在Excel启动路径中(通常在
          XLSTART目录下)没有"BOOK1. "文件,它就会关闭Excel和
          PowerPoint的宏病毒防护功能,并把Word Normal模板(通
          常是的Normal.dot)"ThisDocument"模块全部替换为病毒代
          码,这是不可恢复的。
              交叉感染PowerPoint文件:与上述的交叉感染Power-
          Point文件相同,在这里就不再赘述。
              如果必要,该病毒还会重新感染Excel文件。如果活动
          的电子表格的的"ThisWorkbook"不是病毒所预期的那样,病
          毒就会在"ThisWorkbook"模块中。
              假设打开一个被感染的PowerPoint文件:
              对于PowerPoint文件,该病毒会增加一个名为"Tripli-
          cate"模块,并且有可能在幻灯片播放的时候激活病毒程序。
              交叉感染Word和Excel文件方法与上述相同,不再赘述。
              如果必要,该病毒会重新感染PowerPoint文件。如果在
          Excel启动路径中没有"BOOK1. "文件,在"Blank Presenta-
          tion.POT" PowerPoint模板中也没有"Triplicate"模块的话,
          它就会在"Blank Presentation.POT"中加入病毒模块"Trip-
          licate",并增加一个适用于所有幻灯片文件的基本AutoSh-
          ape对象,病毒模块就“连接”到这个AutoShape对象。该病
          毒并不直接感染PowerPoint幻灯片,而是感染"Blank Pres-
          entation.POT"模板,一旦该模板被感染,所有新的基于
          "Blank Presentation"模板的PowerPoint幻灯片都会感染上
          有毒的模块和AutoShape。
备注:        由于病毒用病毒码替换了摸板的内容,所以即使清除了
          病毒,"Normal.dot", "Blank Presentation"都需要重写了。
          而且检测病毒的时候最好选上“检测所有的文件”。

--
为您解答各种病毒疑难问题,报道最新的病毒资讯!
《电脑报》病毒论坛
http://bbs.cpcw.com/forum/virus/index.html
Email: [email protected]
Oicq:201604


※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.144.222]
[关闭][返回]