瑞星卡卡安全论坛

概述： XF.Gydhex 屬於Excel巨集病毒，會感染所有開啟的工作表。

說明：
當 XF.Gydhexx 執行時，會產生下列動作：
1.建立下列檔案：
　　%UserProfile%\Application Data\Microsoft\Office\Microsoft Assistant VBA.XLA
2.建立下列登錄機xxx：
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\
　　Security\"AccessVBOM" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\
　　Security\"DontTrustInstalledFiles" = "0"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\
　　Security\"Level" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\
　　Options\"OPEN" = "%UserProfile%\Application Data\Microsoft\
　　Office\Microsoft Assistant VBA.XLA"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　Policies\System\"DisableRegistryTools" = "1"
3.當Excel啟用時執行病毒。
4.透過加入含有病毒巨集的隱藏sheetMacroXXX工作表，感染所有Excel文件。
5.巨集使用下列密xxx保護：
　　gydhx41

解決方案：
1.暫時關閉系統還原功能 (Windows Me/XP)
　　系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
　　系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
　　系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
　　中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
　　關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁：
　　關閉Windows Me還原功能
　　關閉Windows XP還原功能
2.更新病毒定義檔
　　至所使用防毒軟體之公司網站下載最新的病毒定義檔
　　賽門鐵克
　　趨勢科技
3.執行全系統掃描
　　(a)執行防毒軟體，並設定為執行全系統掃描
　　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟
　　(註1)如果沒有防毒軟體，可以到以下網站線上掃毒：
　　http://www.kaspersky.com.tw/virusscanner/#
　　http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
　　http://housecall.trendmicro.com/
　　(註2)如果防毒軟體無法刪除病毒，則需重新啟動至安全模式，
　　　 依防毒軟體指示刪除病毒，再進行下一步驟。
　　(註3)如果出現檔案遺失的訊息，在完全移除病毒後便不會再出現，請點選「確定」略過訊息。
　　(註4)如何開啟安全模式請參考。
　　http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
　　/2001052409420406?OpenDocument&src=sec_doc_nam
　　(c)如果掃描出任何病毒，請刪除病毒
　　(註)假如防毒產品無法移除受感染的檔案，請以安全模式開啟，並再次執行掃毒程序，
　　移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
　　(Warning messages)，因為此時威脅仍未完全解除，可忽略此警訊點選OK，
　　指令完全移除後，重新開機便不會再出現警訊，警告訊息呈現如下列所示：
　　Title: [FILE PATH]
　　Message body: Windows cannot find [FILE NAME].
　　Make sure you typed the name correctly, and then try again.
　　To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value)：
　　(a)滑鼠左鍵點選 開始\執行
　　(b)鍵入 regedit
　　(c)滑鼠左鍵點選 確定
　　(d)刪除下列登錄項目(
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\Security\"AccessVBOM" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\Security\
　　"DontTrustInstalledFiles" = "0"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\Security\"Level" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Office\[VERSION]\Excel\Options\"OPEN"
　　= "%UserProfile%\Application Data\Microsoft\Office\Microsoft Assistant VBA.XLA"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
　　"DisableRegistryTools" = "1"
　　(e)離開登錄檔編輯器


上面的病毒介绍和方法只能解决新建和未感染的文档不被感染，但中间已经做的资料就没办法使用了，一旦开启又会中招，哪位有好的解决方案啊？

附件: excel病毒.rar

(b)鍵入 regedit


　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
　　"DisableRegistryTools" = "1"