最近公司內在流傳Excel 病毒信,搞到集團內烽煙四起,到處都有災情。我記得我的Mail Server 有裝防毒軟體呀,為什麼沒把病毒擋下來呢?原來ClamAV 檢測不出Excel 這個巨集病毒...
引用至 工作鳥情緒 的Facebook
查了一下資料,發現原來這病毒,己經非常久了,在大陸叫做 “宏” 病毒,我們這叫巨集病毒。
主要的傳染方式,是中毒的 Excel 文件,在自動執行目錄XLSTART,先把自己寫進去,然後再感染其它未中毒的Excel 文件。
當你把這份感染的Excel 文件,轉寄給其它人時,這份文件,一樣會把自己寫到XLSTART 目錄,再去感染其它未中毒的文件。
發作時的症狀,會讓Excel畫面一直不停閃爍,文件無法操作,造成使用者困擾。另外,當業務把Excel資料寄給客戶時,被客戶退信,會造成我這個鳥MIS 臉上無光...
有鑑於此,這個問題一定要好好的來處理一下。
先了解一下,為什麼我們的User 會中毒呢? 主要是在使用者端的電腦,目前都沒安裝防毒軟體。因為大部份的User都已經使用Ncomputing 了,沒有實體主機,而存取的硬碟,都屬於Samba 檔案系統,在檔案系統上有裝防毒軟體,如果有病毒檔案存入,馬上就會被移除。
再來,任何文件的傳遞基本上都透過Email Server,而Email Server 上也有裝防毒軟體,所以如果有病毒檔案傳遞,也會馬上被擋下來。
在小瑞這個看似天衣無縫的規劃下,居然還是有病毒鑽了進來 >_
小瑞的處理方式如下:
已經中毒的電腦,先手動清除病毒:
- 進入該User 的帳號下,直接把 XLSTART 下的自動執行巨集刪除
通常的位置在 C:\documents and settings\user\Application data\Microsoft\excel\XLSTART 這個目錄,各windows 版本有些不同,基本上我的使用者統一使用Windows 2003,比較好處理。
- 移除 User 對這個目錄寫的權限移除,防止User 打開中毒的檔案後,又自動寫入這個目錄中。
- 使用User 的帳號登入系統
此時打開Excel,調高巨集的安全性,至少要在中的等級。Path -> Excel -> 工具 -> 巨集 -> 安全性
下次打開文件時,如果該文件有巨集,會詢問你要不要執行。
- 接著由User 自行去清除中毒的文件
當User 打開Excel 文件時,如果有跳出視窗詢問是否執行巨集,回答-停用巨集。
- 打開 visual Basic
Excel -> 工具 -> 巨集 -> visual Basic編輯器
進入後,在模組下,如果有StartUp 模組,表示中毒了,游標點住該模組,按右鍵,移除 StartUp ,移除前是否匯出?當然不要呀.
.
- 將此檔存檔後,即完成清毒的動作。
以上是治標的動作,清除病毒,同時不讓病毒再感染 XLSTART,接著要處理Email Server 端,防止病毒的傳遞。
- Clamav 無法檢測出巨集病毒,改用冰島一家軟體公司開發的 f-prot 這套軟體,home user 版本目前是免費的。
- 軟體下載路徑 http://www.f-prot.com/download/home_user/
看你是 32 bit OS 還是 64 bit OS,小瑞裝的是 64 bit CentOS 5 所以下載64 bit 程式。cd /opt
wget http://files.f-prot.com/files/unix-trial/fp-Linux.x86.64-ws.tar.gz
tar –zxvf fp-Linux.x86.64-ws.tar.gz
cd f-prot
./install-f-prot.pl基本上都照預設值即可安裝成功
- 修改amavisd 設定檔
cd /etc/amavisd/
vi amavisd.conf在設定檔中修改
$final_virus_destiny = D_REJECT; #改為退回, 讓寄件者知道中毒在 @av_scanners = ( 段中加入如下設定
[‘FRISK F-Prot Antivirus’, ‘fpscan’,
‘–scanlevel=2 –archive=5 –verbose=1 {}’, [0],
qr/Found virus/,
qr/\[Found virus\] \/ ],同時把 ClamAV Mark 掉,改用F-Prot,基本上F-prot 可以常駐在記憶體中,在掃毒時,以daemon 方式呼叫。但免費版只支援 command line,所以在 av_scanners 中的語法,改為以command line 方式掃毒。
試著寄出一封病毒信,結果真的被擋下來了。
Mail Server 端處理OK, 至於Samba 端也可以改用 f-prot,因為samba 有支援vscan-fprotd.so,但懶得改了,仍然使用vscan-clamav.so 處理檔案伺服器端的問題,反正User 也傳不出去,也無法再感染,就不理它了。
經過這一番整治,總算把這個困擾已久的巨集病毒搞定,趕快上來鳥blog 上發表一下,提供給有類似問題的朋友參考。
