病毒描述

　　該宏病毒通過(guò)Excel文檔傳播。病毒由一個(gè)名為“(m1)_(m2)_(m3)”的隱藏表單和一個(gè)宏模塊組成。宏模塊執(zhí)行時(shí)，會(huì)從“(m1)_(m2)_(m3)”表單獲取數(shù)據(jù)，生成一個(gè)名為cab.cab臨時(shí)文件c:(72606字節(jié))。cab.cab中包含5個(gè)病毒文件，該文件中包含有五大模塊：FTP上傳模塊、Excel病毒模板、Word病毒模板 、發(fā)送到軟盤(pán)”攔截模塊 、病毒程序setflag.exe。

　　病毒用病毒模板替換Excel和Word的正常模板文件。這樣，用戶在之后編輯的任何Excel和Word文檔都會(huì)染毒。

　　該宏病毒還會(huì)修改“發(fā)送到à軟盤(pán)”鏈接，使之指向病毒程序sendto.exe。如果用戶在染毒后執(zhí)行“發(fā)送到軟盤(pán)”操作，病毒會(huì)把軟盤(pán)上文件名以字母‘X’開(kāi)頭的DOC文檔偷偷復(fù)制到硬盤(pán)上。以后會(huì)把這些竊取的文檔發(fā)送給病毒作者。

　　病毒會(huì)在用戶關(guān)閉Word文檔時(shí)檢查當(dāng)前文檔的開(kāi)始2段中是否包含“試卷”、“試題”字樣。一旦發(fā)現(xiàn)，會(huì)將文檔加密保存一份復(fù)本。

　　病毒會(huì)修改注冊(cè)表啟動(dòng)項(xiàng)，這樣系統(tǒng)每次啟動(dòng)時(shí)，病毒程序internet.exe都會(huì)執(zhí)行。該程序運(yùn)行時(shí)，會(huì)連接FTP站點(diǎn)172.23.**.110，并把竊取的文檔上傳給病毒作者。

　　對(duì)于該病毒，江民公司提醒廣大用戶，不要點(diǎn)擊來(lái)源不明的Excel文檔，并將Office的宏安全級(jí)別設(shè)置為“高”(工具菜單à宏à安全性)，即可有效避免被X97/MThree病毒感染。江民公司于8月13日已經(jīng)升級(jí)了病毒庫(kù)，請(qǐng)您立即升級(jí)到8月13日病毒庫(kù)，即可全面查殺X97/MThree宏病毒及其exe程序組件，保護(hù)您的系統(tǒng)不受其侵害。

　　殺毒方法

　　針對(duì)該病毒，KV2004早已于8月13日升級(jí)病毒庫(kù)，用戶正常升級(jí)即可查殺。