本節(jié)介紹幾種常見(jiàn)的宏病毒。
13.2.1 Concept 病毒(又稱(chēng)Prank)
當(dāng)?shù)谝淮伟l(fā)現(xiàn)Word 感染該病毒時(shí),會(huì)出現(xiàn)一個(gè)對(duì)話框,對(duì)話框 中的文本只有一個(gè)“1”,按鈕也只有一個(gè)“OK”鍵(在中文環(huán)境中為“確定”鍵)。病毒加載之后,就會(huì)修改【文件】菜單的【保存】 命令所代表的宏,然后在每次保存文件的時(shí)候,就會(huì)將病毒保存到 文件中。
受此病毒感染后,所編輯的文檔只能按模板格式保存。Concept 病毒不會(huì)造成文件數(shù)據(jù)丟失。其癥狀是Word 的Normal 模板中會(huì)出 現(xiàn)兩個(gè)名字為AAAZAO 和AAAZFS 的宏命令,如圖13-1 所示。另外還 有一個(gè)PayLoad 宏,該宏只包含一句話“這足以證明我的觀點(diǎn) (That’s enough to prove my point.)”,而不做其他事情。
病毒 src="/xueyuan/UploadFiles_3425/200508/200581704056121.gif"> 雖然Concept 在這個(gè)宏里面沒(méi)有包含任何內(nèi)容,但是任何一個(gè)對(duì) 宏有一定了解的人都可以修改這個(gè)宏,做一些可怕的事情,例如刪除某些文件,修改磁盤(pán)上的一些關(guān)鍵參數(shù)或生成另外的一個(gè)更可怕 的病毒。因此,雖然可以認(rèn)為Concept 是良性病毒,但是必須注意, 它隨時(shí)都可以變成惡性病毒(這也是其他病毒發(fā)展的必然過(guò)程)。
13.2.2 Nuclear 病毒
該病毒會(huì)對(duì)文檔打印功能造成破壞,并會(huì)破壞MS-DOS 系統(tǒng)文件。 感染該病毒后,Word 的Normal 模板將出現(xiàn)以下宏命令:AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad,如圖13-2 所示。
病毒 src="/xueyuan/UploadFiles_3425/200508/200581704057978.gif">
Nuclear 宏病毒可能造成以下危害:
(1)如果在任何時(shí)間的55~57 秒之間操作文件,病毒會(huì)在打印的文檔上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC (停止法國(guó)在太平洋的所有核試驗(yàn))”這句話。
(2)如果在下午5 點(diǎn)~6 點(diǎn)(系統(tǒng)時(shí)間)打開(kāi)感染了Nuclear 病 毒的文件,這臺(tái)計(jì)算機(jī)將被PH33R 病毒感染,PH33R 病毒會(huì)產(chǎn)生一個(gè) DOS 駐留程序。
(3)每年4 月5 日,Nuclear 病毒會(huì)將計(jì)算機(jī)中的IO.SYS 和 MSDOS.SYS 兩個(gè)文件的長(zhǎng)度置為零,并刪除COMMOND.COM 文件,使 DOS 無(wú)法啟動(dòng)。
13.2.3 DMV 病毒
該病毒與Concept 病毒類(lèi)似,使Word 中的【另存為】命令無(wú)效
13.2.4 宏病毒的一些變種
從第一個(gè)宏病毒Concept 誕生到1998 年底,Word 宏病毒已經(jīng)出 現(xiàn)了幾千個(gè)變種,其中不少是惡性病毒,但是萬(wàn)變不離其宗,所有 的病毒都需要在宏里面增加一個(gè)名字為“AutoLoad”的宏,下面介 紹一些另外常見(jiàn)的宏病毒。
1. Alliance
感染.DOC 和.DOT 文件,僅在每月的2、7、11 和12 日感染和復(fù)制,并且屏幕顯示一個(gè)信息窗,提示用戶(hù)已感染病毒。
2. Boom
感染德文板的MS Word 軟件的.DOC 和NORMAL.DOT 文件,每年的 3 月13 日13 時(shí)13 分13 秒發(fā)作,發(fā)作時(shí)胡亂更改菜單,顯示政治笑 話。
3. Clock:DE
感染德文板的MS Word 軟件,在每月的1、2、13、21 和27 日, 每個(gè)整點(diǎn)過(guò)后的5 分鐘發(fā)作,發(fā)作時(shí)將文件打開(kāi)和存取功能交替顛 倒,并產(chǎn)生混亂。
4. Concept.F
基于Concept 病毒原型的宏病毒,病毒經(jīng)過(guò)自身加密,在每月的 16 日發(fā)作,發(fā)作時(shí)分別用“,”、“e”和“not”替換文本中所有 的“.”、“a”和“and”,并且屏幕顯示一個(gè)信息窗,提示用戶(hù)已 感染病毒
5. Concept.L
感染.DOC 和.DOT 文件,每月的17 日發(fā)作,發(fā)作時(shí)將刪除“C:” 根目錄下的有關(guān)文件,并且屏幕顯示一個(gè)信息窗,提示用戶(hù)已感染 病毒。
6. Helper
感染.DOC 和.DOT 文件,在每月的10 日發(fā)作,發(fā)作時(shí)所有經(jīng)過(guò)打 開(kāi)和創(chuàng)建操作后關(guān)閉的文件將被設(shè)置一個(gè)加密口令。
7. Kompu
該病毒是一個(gè)使用了加密、隱性技術(shù)的宏病毒。感染.DOC 和.DOT 文件,在每月的6 日和8 日發(fā)作。發(fā)作時(shí)在屏幕上顯示一個(gè)信息窗, 提示用戶(hù)輸入口令,用戶(hù)必須輸入“KOMM”以關(guān)閉此窗口,否則, 病毒將通過(guò)打印機(jī)打印出混亂的信息。
8. MDMA.A
每月的1 日發(fā)作,可感染多種操作系統(tǒng)(Windows、Windows 95、 Macintosh 和Windows NT),在Windows 3.x 下發(fā)作時(shí),會(huì)在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的惡意指令,后果嚴(yán)重。
9. MDMA.C
上述病毒的一個(gè)變種,每月的20 日后的任何一天都可能發(fā)作, 可感染W(wǎng)indows、Windows 95 和Windows NT,設(shè)置密碼口令,刪除 C:\Windows\system\*.CPL 文件。
10. Nuclear.B
有三種可能的發(fā)作方式:
(1)4 月5 日,刪除Command.com 文件。
(2)17~18 日使用,釋放一個(gè)DOS 的可執(zhí)行文件病毒PH33R.1332。
(3)在某時(shí)某分的54~59 秒間打印文件時(shí),將會(huì)加入下面一行 文字:“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC(停 止法國(guó)在太平洋的所有核試驗(yàn))”。
11. Phardera
發(fā)作時(shí)屏幕顯示一個(gè)信息窗,干擾用戶(hù)正常工作,同時(shí)從【工期】 菜單中刪除【宏】和【自定義】命令,阻礙用戶(hù)手工殺毒。
12. Saver:DE
德文版宏病毒,4 月21 日發(fā)作。
13. Taiwan.Theatre
雙字節(jié)宏病毒,每月的1 日發(fā)作,破壞系統(tǒng)硬盤(pán)數(shù)據(jù)。
14. TW-No.1(臺(tái)灣1 號(hào))
每月的13 日發(fā)作,發(fā)作時(shí)在屏幕上顯示一個(gè)窗口,要求用戶(hù)做4 位數(shù)連乘,若做錯(cuò),將連續(xù)打開(kāi)窗口,讓用戶(hù)繼續(xù)做題,由于系統(tǒng) 資源不斷消耗,系統(tǒng)運(yùn)行速度將越來(lái)越慢。