宏病毒是一个老生常谈的问题,一提到它大多数的个人用户会想到随着微软对Office版本的不断改善与升级,Word 2007版本以上的个人用户已经较少遭受宏病毒的困扰了。但各位不知,貌似离我们很远的宏病毒近期却再度泛滥,深深困扰着企业用户,不少单位因此深陷于宏病毒的泥潭中无法自拔。这一结论是由金山企业云安全中心近期对于百万级的企业级应用终端和互联网的监测得出的,金山毒霸企业版可完美防护宏病毒。
开门见山,还是要介绍一下今天的主角—宏病毒。宏病毒是病毒制造者利用Microsoft Office的开放性,即Office中提供的 BASIC编程接口,专门开发的一个或多个具有病毒特点的宏集合。这种病毒宏的集合会影响到计算机使用,并能通过DOC文档及DOT模板进行自我复制及传播。一旦打开感染宏病毒的文档,其宏就会被执行,宏病毒就会被激活,进一步转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
宏病毒的发展大致经过了三个阶段。第一个阶段为起源与集中爆发阶段,时间为1996年至1999年。1996年,第一例宏病毒“TaiwanNo.1”在台湾被发现,该病毒仅用1年的时间就成为了PC年度杀手,1997年3月踢下米开朗基罗病毒,登上毒王宝座,因此,1996年也被称为宏病毒年。第二个阶段为宏病毒变种传播及泛滥阶段,时间为2000年至2005年。随着微软对Office 97以上版本的修正,使大部分基于以前Word版本的宏病毒无法复制,宏病毒的泛滥得以遏制,但是宏病毒变种却开始感染用户的电脑,同时,宏病毒的感染范围由个人用户逐渐向企业用户过渡;宏病毒发展的第三个阶段为企业级用户侵扰阶段。时间从2006年一直延续至今。这一阶段,宏病毒对企业的危害开始凸显,宏病毒防护的核心由个人用户向企业用户倾斜。特别是由于企业内网中办公文件流转的特殊属性以及统一更换Office办公软件的复杂性,宏病毒在企业内网中不断得到传播,防护宏病毒成为了企业防病毒解决方案中举足轻重的课题。
伴随着宏病毒的发展,它的传播特点和危害开始被人们所熟知。依据不同时期的宏病毒危害,大体可以概括出宏病毒的三个主要特点。第一,隐蔽性强,传播速度快。宏病毒可以隐藏在移动介质和网络文件中,一旦被感染,极易造成传播。第二、容易产生变种,防治较难。宏病毒采用了Word Basic编写语言,可以不断更改代码,进而产生新变种。第三、能够跨平台交叉感染,危害严重。宏病毒能跨越多种平台,并且针对关键数据进行破坏,因此具有极大的危害性。
众所周知,宏病毒对于文档有强大的破坏能力,感染宏病毒的PC会出现多种特征,从金山企业云安全中心监测到的以及长期以来实际解决的感染案例中,我们可以将宏病毒的感染特征概括为以下几种:
1、 在文档已开启“宏病毒防护功能”的情况下,打开文档,系统会弹出警告框。例如,以典型的MsExcel.ToDole病毒为例,感染该病毒的Excel文档在被打开时,会出现如下图所示的弹窗,出现该弹窗的原因为:带毒文档被打开时,会检测宏安全等级,若检测的安全等级为高则关闭文件,并提示用户设置安全等级为中,为病毒的正常运行创造环境(宏安全等级中及低才能运行加载宏)。
MsExcel.ToDole病毒感染的Excel文档打开后的弹窗
2、 在已经开启“宏病毒防护功能”的情况下,Office中一系列的文件在打开时给出宏警告。由于在一般情况下用户很少使用到宏,所以当看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。
3、 用Word或Excel打开文件时,出现“文档未打开”、“内存不够”、“WordBasic Err=514”等;保存文件时,强制将文件按“.dot”类型存储,或强制在指定目录存放等。
宏病毒在感染了PC中的文档后,会执行一系列的步骤,下面是金山企业云安全中心对某大型银行感染的MsExcel.ToDole为例进行的剖析。ToDole是一个通过写入病毒到Excel启动文件夹(打开任意xls文件时都会运行)、利用邮件客户端(仅Outlook)传播的恶意病毒。正常文档被感染后,必须将宏的安全等级设置成低,才能打开文档,其执行过程的下所示:
MsExcel.ToDole病毒感染过程
宏病毒对于个人用户的危害已经不言而喻,它隐蔽性高、传播快、易变种,使用户无法正常使用办公文档,极易产生文档无法编写、打印机不能使用、文件无法储存等危害。然而,相对于个人用户,企业内网中的宏病毒无疑是更巨大的灾难。其危害性通常表现为以下几点:
第一、宏病毒在内网中极易造成传播,防护难度大。办公文件的流转是目前办公数据传送的最通常方式之一,无数的办公文件以金字塔般的形式,从上级传播到基层,基层与基层之间又不停地进行互动,这种办公文件的流动忠实地传播和复制着宏病毒,让IT管理员束手无策。
第二、宏病毒能够破坏内网中的关键数据,造成内网中数据遭受严重破坏并大规模丢失,要进行恢复,难度大,耗费时间长。
第三、宏病毒变种成本低,对系统威胁严重。大多数文档用宏语言Word Basic编写宏指令,而宏病毒同样用Word Basic编写。Word Basic语言提供了多种系统级底层调用,如Dos,调用Windows API,DLL等,这些操作均可能对系统构成直接威胁。而Word、Excel文档在指令安全性以及完整性上的检测功能很弱,因此,破坏系统的指令就很容易被执行,而对于新变种产生的宏病毒,企业必须对全网的防护软件进行统一的升级才能及时的防护,但这对于企业中的管理员来讲并不是一件简单的事情。
除此之外,内网中如果感染了宏病毒还会造成单位的打印机无法正常使用、内网设备跨平台交叉感染等危害,因此,防治企业内网中的宏病毒在整个企业的防病毒策略中至关重要。
应该如何有效防护宏病毒?金山企业云安全中心建议:
首先,尽可能的封堵宏病毒的传播途径,防止“病从口入”是关键。目前来看,宏病毒传播的途径主要有两个,第一个是移动介质的传播,包括移动硬盘、光盘等;第二个是网络传播,包括邮件传播、网络下载、文件传输等。因此,在内网中一旦发现了宏病毒感染的文件,管理员必须提醒内网中的所有用户要谨慎,移动介质要先进行扫描检查,对于不确定的文档,可以先用写字板或者无宏功能的文档软件打开,再进行相关的操作。
其次,由于宏病毒变种较多,当隔离网用户暂时无法使用升级防杀病毒软件查杀新病毒时,可以手动提取文件进行分析查杀。宏病毒主要有加载宏、公式宏两种类型,都是通过Excel的启动函数来执行病毒代码,如遇到宏病毒查杀模块不能查杀或反复查杀的病毒,可以使用相关技术提取病毒样本,交由专业的防病毒技术人员解决:
最后,金山毒霸网络版防病毒解决方案已经在实际的应用中成功部署并能够及时防护内网中流行的宏病毒,金山毒霸网络版采用国际领先水平的“蓝芯”杀毒引擎,全面支持 DOS、Windows、UNIX 等系统下的数十种压缩格式,自动检测移动介质及PC中的文档压缩包查毒;支持 ZIP、RAR 等压缩格式、UPX 加壳文件的包内直接查杀;嵌入协议层的邮件监控,可双向过滤邮件病毒;从源头禁止宏病毒的传播,除此之外,金山毒霸网络版的主动升级机制可保证在第一时间获取最新病毒库,并自动分发给网内所有客户机,防止因为宏病毒变种引起的病毒爆发,因此,用户可使用金山产品有效实现对宏病毒的防护。