OFFICE宏病毒這邊風景獨好！

HG

宏病毒：风景这边独好

在ICSA报告中，宏病毒一支独秀，再次高踞首位。独占10大病毒感染事件的72%，在 10大病毒中占了5席交椅：WM/Concept、WM/Cap、WM/Wazzu、WM/Npad和XM/Laroux。
宏病毒在98年的发展可谓五花八门，全面开花，在各个领域都出现了突破，甚至宏病毒WorldCup 98还籍世界杯之机，在媒体上风光了一回。根据DataFellow公司每天特征码升级的F-Macro所检测宏病毒数目，至12月3日本文脱稿时达到了3,332个，而在97年12月31日才是1,821个，增长率为45.35%。在笔者写《宏病毒演义》（《电脑》98年9-12期）一文时，对近100个98年出现的宏病毒曾作过一次测试（11月），F-Macro只达到了68.85%的检测率。
98年1月，印尼NoMercy组织的Foxz编写了第一个Excel宏病毒创作机Nomercy Excel Generator。3月，Diffusion组织的Jerk1N在新闻组上推出了首个Access 97宏病毒AccessiV。
Access没有使用模板，也很少人交换数据库文件，即使病毒作者本身也承认Access病毒难以扩散。但Access病毒的出现给业界出了新的难题：如何检测和消除数据库中的病毒而不影响数据的完整性。故在Access宏病毒出现了很长一段时间，业界才推出相应的对策。但至今，大部分的反病毒产品仍不具备检测Access病毒的能力。
至年底为止，已有 7 个Access宏病毒存在。还出现了由Ultras编写的第一个Access病毒创造机Access Macro Generator。
Codebreakers组织的VicodinES编写了第一个感染Word Class Object的宏病毒Class，此类病毒已成了98年宏病毒创作的一个趋势。
98年以前，Word宏病毒只能感染Word文档，Excel宏病毒也不能跨越工作表格范围。这使得某些反病毒软件可基于Word或者Excel宏来检测宏病毒。但在98年4月，一切都发生了改变。VicodinES编写的宏病毒Cross。可分别感染以及交叉感染Access 97数据库和Word 97文档，成为首个跨应用程序（Access/Word）感染的宏病毒。
Cross是世界上最大的宏病毒，结构非常复杂，编写也并非很成功，但对那些只基于应用程序宏的反病毒软件带来了新的问题：我们能彻底消灭这些“狡兔三窟”的宏病毒吗？
另一个跨应用程序感染宏病毒－第一个感染Excel/Word的宏病毒Strange Days是由29A的Reptile所编写。之后，又出现了另一个感染Excel/Word的宏病毒Shiver。情况看来会越来越复杂。
宏病毒是Microsoft的宏产物，“解铃还需系铃人”，要全面、彻底解决宏病毒问题，恐怕少了Microsoft会比较困难。不过，Microsoft的前期努力，无论是Scanprot还是Office 97的预警系统似乎都未能达到理想的效果。在97年底推出的Office 97 Service Release 1（SR1）修正版中，Microsoft悄悄地修改了部分代码，令传统的宏指令OrganizerCopy和MacroCopy无法将宏病毒复制出去，抑制了大部分宏病毒在SR1下的传播。此事Microsoft秘而不宣，在任何文档上都找不到有关描述，Microsoft也拒绝对此新功能发布任何声明。不过好景不长，ALT -F11编写的宏病毒Groovie在98年突破了这一限制。Groovie具有SR-1兼容性，同时不需要依赖Normal.dot来进行传播。真可谓“道高一尺，魔高一丈”。
98年还发现了首个以Excel 4的Formula编写的宏病毒Paix。首个可利用Agent将自己发送到新闻组的宏病毒PolyPoster等等。最新的地下情报是法国宏病毒作者ZeMacroKiller98编写了宏病毒Bios Killer，病毒可调用一段VB代码来破坏BIOS，如果这情况属实，那么下一步的发展将不容乐观。
另外还有几则来自病毒作者VX的消息，供大家享玩：一是上面谈到的如日中天的病毒作者Jerk1N和VicodinES相继宣布退出病毒界。二是世界最大的病毒收藏站点Cicatix Station宣布不再放置病毒，有意思的是，作者称是受到多方来自病毒界而非反病毒业界的批评而导致产生这样的念头。[em18]

HG

防治Access宏病毒
『金山毒霸整理』         2001年11月09日 11:31:31

　　本文介绍利用Access的安全特性及良好习惯防治Access宏病毒的技巧。

　　防病毒通用技巧

　　保持防病毒软件随时更新非常重要。新病毒每天出现，防病毒厂商也通过网络、BBS等载体不断推出最新的病毒资料库和软件，所以一个重视安全的用户，应当保证一个合适的频率不断更新自己的防病毒软件，不与不可靠的人或系统共享数据库，不从网络上下载或使用来历不明的Access数据库，是有效防治Access病毒的方法。

　　微软未来的解决方案

　　熟悉Word 97、Excel 97的用户都知道，在打开一个含有宏的文档或工作簿时，Word和Excel都会提示：“该文件中包含宏，是否运行宏”。这是因为在95版的软件中开始大量出现宏病毒，所以在97版中增加了这一报警功能。Access病毒以前一直没有出现过，Access 97中就没有提供这一功能，微软将在新版Access中提供这一功能。

　　使用Access安全特性预防病毒

　　数据库安全有两个选项：数据库密码保护、用户级安全性。

　　1．数据库密码保护

　　可给数据库加上密码，步骤如下：

　　（1）以独占方式打开数据库。

　　（2）在“工具”选单中选择“安全”，然后选择“设置数据库密码”。

　　（3）输入并校验密码。

　　此后，要打开数据库，必须输入正确的密码。而病毒要想感染一个加了密码保护的数据库，Access的安全特性就会提示用户输入密码，警觉的用户此时就会察觉这是异常操作，在口令输入对话框中选择“取消”就不会打开数据库，从而防止了病毒感染。

　　2．用户级安全性

　　使用用户级安全性可给不同组的用户赋予不同的权限。操作方法如下：

　　（1）使用“工作组管理员”程序创建并连接一个工作组文件。该程序一般位于\Program Files\Microsoft Office目录中，快捷方式名为“MS Access Workgroup Administrator”。

　　（2）新建一个用户，把该用户加到管理员组中。

　　（3）从管理员组中移去管理员账号。

　　（4）给新建的管理员组中的用户分配密码，强制他登录时必须使用密码。

　　（5）重启Access，以这个新管理员用户身份登录。

　　（6）运行“用户级安全性向导”，新建一个数据库，并把所有的对象都拷贝到新数据库中。

　　现在，你就拥有了一个具有安全防护的数据库。可以通过安全对话框向其中增加用户和组，分配适当的权限。此后，如果从网络上下载了可能含毒的数据库，可以使用默认工作组文件打开这个数据库，即使真的有毒，含毒数据库中的病毒也没有足够的权限感染加了安全防护的数据库。