Phát hiện và thông báo VIRUS MACRO

Liên hệ QC

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia
13/6/06
Bài viết
4,649
Được thích
10,138
Giới tính
Nam
Nghề nghiệp
Giáo viên, CEO tại Bluesofts
Gửi các thành viên,

Có rất nhiều loại virus, chúng ta cũng đã có nhiều phần mềm diệt virus hữu hiệu của các hãng như: Symantec, Diffender, Bkav,.... Một trong những loại virus gây hại trực tiếp cho người dùng Excel nói riêng và các ứng dụng Office nói dung là loại virus macro. Bản chất của virus macro là các mã lệnh người ta viết bằng ngôn ngữ Macro4 trong chính file dữ liệu thuộc ứng dụng MS Office (chủ yếu là trên Excel), nó được nhân bản cho các file khác.

Sự gây hại của loại virus macro có thể là:
+ Tăng dung lượng file
+ Làm thay đổi độ chính xác tính toán (trong Excel)
+ Giảm tốc độ đọc và ghi dữ liệu lên đĩa
+ Thay đổi dữ liệu
+....

Các phần mềm diệt virus hiện nay đều có thể diệt được khi chúng ta đặt tùy chọn (Options) là "Diệt macro" - "All Macros"/BKAV. Nếu bạn chỉ sử dụng file dữ liệu thuần túy không có VBA thì có thể dùng BKAV hay các công cụ khác, nhưng trong ổ đĩa của bạn có những ứng dụng, addin được viết riêng thì các công cụ diệt virus nói trên cũng diệt luôn của bạn.

Mặc dù loại virus macro có ít nhưng vì sự nguy hại của có, tôi mong chúng ta khi phát hiện hoặc thấy hiện tượng bất thường trên các file dữ liệu hãy thông báo ngay cho GPE tại topic này để cùng phòng ngừa và tìm cách diệt chúng.
 
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao
 
anhtuan1066 đã viết:
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao

Theo suy luận về khả năng ngôn ngữ Macro, em nghĩ chắc chắn là làm được như vậy.
 
Tôi thì đã gặp, và file này cũng nhiểm virus.. có điều là tôi ko dám xác định những object dc tạo ra lung tung ấy có phải là do virus làm ko?
Tôi cũng đã xử lý giống như bạn nói, nhưng bằng tay.. hi.. hi.. Trước tiên là dời object mình sang 1 sheet khác.. quay lại sheet củ, dùng lệnh goto đễ select object và delete.. Cuối cùng la copy object của mình vào vị trí củ...
Ha.. ha.. công việc thì ko khó, chỉ tê ở chổ mở file thôi... file tôi gặp chỉ có 30M thôi mà mở lên đã muốn xỉu rồi...
Mong rằng bạn Tuân cố gắng nghiên cứu thêm và trợ giúp anh em trong việc này.. Vụ virus thấy trên diển đàn người ta hỏi nhiều quá, nhưng có khi hướng dẩn làm bằng tay thì các bạn chưa thông thạo lại ko làm dc...
Chân thành cảm ơn!
ANH TUẤN
 
anhtuan1066 đã viết:
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao

Vậy thì phải làm mấy dòng code kiểm tra xem nếu 1 sheet có số object >50 (VD vậy), hoặc có 1 số Object có kích thước quá nhỏ thì phải thông báo ngay hoặc xóa nó đi.
Còn code thế nào thì . . . em chưa biết--=0

Thân!
 
anhtuan1066 đã viết:
Cho hỏi thêm 1 câu nữa: Tôi giã sử rằng các bạn cố gắng và mở dc file.. các bạn biết chắc chắn trong file có Object, nhưng khi dùng lệnh Goto đễ tìm thì lại nhận dc thông báo: "No Objects found"...
Có khi nào như thế ko?

Theo em biết thì các Object được tạo bởi Tools Box của Visual Basic chỉ được chọn khi ở chế độ Design Mode.

Thân!
 
Tặng các bạn PM "VirusMacroWarning" - Tự động cảnh báo "Virus Macro" trong MS Excel

VirusMacroWarning là công cụ tự động cảnh báo "Virus Macro" trong MS Excel.

Trình tự thực hiện cài đặt và gỡ bỏ:
+ Bạn hãy truy cập WINDOWS bằng Account có quyền Admin
+ Tắt MS Excel
+ Chạy file VirusMacroWarning.exe để cài đặt
+ Để gỡ bỏ chạy file "UnInstall" trong Start\All Programs\VirusMacroWarning​

Cơ chế hoạt động:

+ Phát hiện và thông báo các file chạy tự động cùng Excel
FilesWarning.jpg

Theo cơ chế hoạt động của virus macro, các file làm lây lan thường được chạy ngay ban đầu khi Excel khởi động.

VirusMacroWarning phát hiện và thông báo cho người dùng xử lý, có thể chuyển sang nơi khác hoặc xóa đi.

+ Tự động kiểm tra khi mở file trong file Excel (workbook) có các sheet macro. Cơ chế viết virus macro, các mã lệnh được lập trong một sheet có kiểu macro, ví dụ như loại virus "Virus.MSExcel.Yagnuul.d" được viết trong sheet macro có tên "Helpme".​

MacroSheetWarning.jpg

Hệ thống kiểm tra virus macro, nếu phát hiện có "hiện tượng" sẽ thông báo cho người dùng để quyết định xóa những sheet được nghi là virus.

Hiện nay có nhiều phần mềm nổi tiếng về diệt virus như Symantec, BitDefender, McAfee,Bkav, D32,...
Trong các file dữ liệu của hệ Office (đặc biệt là Excel) cho phép người dùng lập trình (viết các macro) trong file, với cơ chết viết virus macro cách thức cũng gần như vậy. Khi dùng các PM diệt virus nói trên, nếu lựa chọn chế độ "diệt virus macro" nhiều khi các PM có sự nhầm lẫn diệt luôn cả những file có macro"chuẩn" của bạn.

Chức năng chính của VirusMacroWarning là cảnh báo tất cả các tình huống có liên quan đến cơ chế hoạt động của loại virus macro, thông báo và để người dùng quyết định và xử lý chúng một cách chính xác nhất.

Download v1.0.4
 
Lần chỉnh sửa cuối:
Xin gưỉ các bạn VirusMacroWarning v1.0.4 - phiên bản mơí nhất.

Theo phiên bản cũ (v1.0.3), nếu HĐH WINDOWS cho phép truy cập nhiều User Accounts (nhiều người truy cập với các quyền) thì chương trình không kiểm tra được tính tự động chạy của các file theo đường dẫn riêng của từng User trong EXCEL.
Phiên bản mơí v1.0.4 đã bổ sung thêm khả năng phát hiện mà v1.0.3 bỏ sót.

Các bạn có thể download theo đường link tại trang đầu của topic này.
 
Máy mình bị nhiễm con virut WX97Marco.N. Khi mình quét bang bkav thì bị mất tất cả code, form, macro chỉ còn lại mỗi sheet. Bực ghê gớm, bao nhiêu công làm mà mât toi tất cả, chương trình của bạn khi diệt có làm mất code.. đi k
 
tuanh1979 đã viết:
Máy mình bị nhiễm con virut WX97Marco.N. Khi mình quét bang bkav thì bị mất tất cả code, form, macro chỉ còn lại mỗi sheet. Bực ghê gớm, bao nhiêu công làm mà mât toi tất cả, chương trình của bạn khi diệt có làm mất code.. đi k

Chắc chắn là không bạn à. Chương trình thông báo nhưng hiện tượng "bất thường", thông báo cho người dùng quyết định diệt hay không.
 
Tuân ơi, làm thế nào mà phân biệt được virus và macro? đến BKAV và D32 hiện nay còn đang chịu.
 
Phần mềm của anh rất hay nhưng khi em dùng để diệt con Bantengi thì không được vì nó gặp lỗi sau :
Tên Sheet của nó là " ~ "
nên trong quá trình truy xuất anh xóa nó sẽ thông báo lỗi ( Lưu lý là trước và sau ~ có khoảng trắng ).
A check lại xem nhé !
 
Chào bạn;
Nếu có thể vui lòng nén file có virus macro 4 và gửi cho tôi được không. Tôi đang nghiên cứu về thứ virus này, xem bài viết trên
http://www.giaiphapexcel.com/forum/showthread.php?t=6915 bạn thử quét được không.
Chúc tất cả thành viên trên diễn đàn sức khoẻ và thành công.
 
DotNhan đã viết:
Chào bạn;
Nếu có thể vui lòng nén file có virus macro 4 và gửi cho tôi được không. Tôi đang nghiên cứu về thứ virus này, xem bài viết trên
http://www.giaiphapexcel.com/forum/showthread.php?t=6915 bạn thử quét được không.
Chúc tất cả thành viên trên diễn đàn sức khoẻ và thành công.
Tôi nghĩ việc phát hiện ra name rác và sheet ẩn ko hề khó khăn gì... Tôi làm bằng tay trong 30 giây cũng xong.. thế nhưng có 1 loại virus nó tạo ra hàng loạt các Object trên bảng tính khiến cho 1 file từ vài chục KB có thể tăng lên thành vài chục MB...
Vậy chương trình của bạn có phát hiện ra chuyện này ko? Tôi e rằng khó nhai.. vì làm sao biết dc Object nào là của ta, còn cái nào do virus tạo ra...?
 
- Toi gap con virut tren excel, no luôn tự động tạo ra một book1 khi toi mở bất kì một file excel nào. Dùng rất nhiều phần mềm như Bidefender, sysmantec, AVG, Karpersky, BKAV vẫn không diệt được.
 
Anh Tuân à,tôi thấy những name như file gửi kèm nhưng không xóa được,đã thực hiện theo hướng dẫn nhưng không được.Anh xem nhé.
 

File đính kèm

  • NAME.xls
    82.5 KB · Đọc: 42
Tôi đã tải chương trình của anh Tuan VNUNI và cài vào máy chạy thử thấy xuất hiện cảnh báo ngay- rất tuyệt !!. Tuy nhiên khi cài các chương trình kế toán bằng excell được tải về từ trang GPE thì thấy xuất hiện thông báo 1 loạt các name bị lỗi - chọn "xóa hết" thì sau đó vào các chương trình đều bị báo lỗi , không chọn xóa thì không yên tâm.
 
Tôi đã tải chương trình của anh Tuan VNUNI và cài vào máy chạy thử thấy xuất hiện cảnh báo ngay- rất tuyệt !!. Tuy nhiên khi cài các chương trình kế toán bằng excell được tải về từ trang GPE thì thấy xuất hiện thông báo 1 loạt các name bị lỗi - chọn "xóa hết" thì sau đó vào các chương trình đều bị báo lỗi , không chọn xóa thì không yên tâm.

Một số chương trình tạo ra các name để liên kết. VMW kiểm tra các nguồn liên kết nếu không tồn tại thì sẽ thông báo cho người dùng. Trước khi xóa, chương trình có tạo một bản dự phòng, bạn có thể khôi phục lại.
 
Web KT
Back
Top Bottom