概要
最近一周以來,江民公司反病毒中心監測到,一種Excel宏病毒X97/MThree小範圍流行。該病毒會偷取包含“試卷”、“試題”字樣的Word文檔,並傳送給病毒作者。針對該病毒,KV2004早已於8月13日升級病毒庫,用戶正常升級即可查殺。該宏病毒通過Excel文檔傳播。病毒由一個名為“(m1)_(m2)_(m3)”的隱藏表單和一個宏模組組成。宏模組執行時,會從“(m1)_(m2)_(m3)”表單獲取數據,生成一個名為cab.cab臨時檔案c:\(72606位元組)。cab.cab中包含5個病毒檔案,該檔案中包含有五大模組:FTP上傳模組、Excel病毒模板、Word病毒模板 、傳送到軟碟”攔截模組 、病毒程式setflag.exe。
病毒用病毒模板替換Excel和Word的正常模板檔案。這樣,用戶在之後編輯的任何Excel和Word文檔都會染毒。
該宏病毒還會修改“傳送到à軟碟”連結,使之指向病毒程式sendto.exe。如果用戶在染毒後執行“傳送到軟碟”操作,病毒會把軟碟上檔案名稱以字母‘X’開頭的DOC文檔偷偷複製到硬碟上。以後會把這些竊取的文檔傳送給病毒作者。
病毒會在用戶關閉Word文檔時檢查當前文檔的開始2段中是否包含“試卷”、“試題”字樣。一旦發現,會將文檔加密保存一份複本。
病毒會修改註冊表啟動項,這樣系統每次啟動時,病毒程式internet.exe都會執行。該程式運行時,會連線FTP站點172.23.**.110,並把竊取的文檔上傳給病毒作者。
對於該病毒,江民公司提醒廣大用戶,不要點擊來源不明的Excel文檔,並將Office的宏安全級別設定為“高”(工具選單à宏à安全性),即可有效避免被X97/MThree病毒感染。江民公司於8月13日已經升級了病毒庫,請您立即升級到8月13日病毒庫,即可全面查殺X97/MThree宏病毒及其exe程式組件,保護您的系統不受其侵害。
對於該病毒疑與前不久發生的英語四級題泄露案有關的傳聞,有業界人士認為,該病毒不可能與此案有關,該病毒顯然是新病毒,而四級題泄露案是在6月份就已發生,前後相隔時間太長。
