Phát hiện và thông báo VIRUS MACRO

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
Gửi các thành viên,

Có rất nhiều loại virus, chúng ta cũng đã có nhiều phần mềm diệt virus hữu hiệu của các hãng như: Symantec, Diffender, Bkav,.... Một trong những loại virus gây hại trực tiếp cho người dùng Excel nói riêng và các ứng dụng Office nói dung là loại virus macro. Bản chất của virus macro là các mã lệnh người ta viết bằng ngôn ngữ Macro4 trong chính file dữ liệu thuộc ứng dụng MS Office (chủ yếu là trên Excel), nó được nhân bản cho các file khác.

Sự gây hại của loại virus macro có thể là:
+ Tăng dung lượng file
+ Làm thay đổi độ chính xác tính toán (trong Excel)
+ Giảm tốc độ đọc và ghi dữ liệu lên đĩa
+ Thay đổi dữ liệu
+....

Các phần mềm diệt virus hiện nay đều có thể diệt được khi chúng ta đặt tùy chọn (Options) là "Diệt macro" - "All Macros"/BKAV. Nếu bạn chỉ sử dụng file dữ liệu thuần túy không có VBA thì có thể dùng BKAV hay các công cụ khác, nhưng trong ổ đĩa của bạn có những ứng dụng, addin được viết riêng thì các công cụ diệt virus nói trên cũng diệt luôn của bạn.

Mặc dù loại virus macro có ít nhưng vì sự nguy hại của có, tôi mong chúng ta khi phát hiện hoặc thấy hiện tượng bất thường trên các file dữ liệu hãy thông báo ngay cho GPE tại topic này để cùng phòng ngừa và tìm cách diệt chúng.
 

anhtuan1066

Thành viên gạo cội
Tham gia ngày
10 Tháng ba 2007
Bài viết
5,814
Được thích
6,857
Điểm
860
Tuổi
54
Nơi ở
Biên Hòa, Đồng Nai
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao
 

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
anhtuan1066 đã viết:
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao
Theo suy luận về khả năng ngôn ngữ Macro, em nghĩ chắc chắn là làm được như vậy.
 

anhtuan1066

Thành viên gạo cội
Tham gia ngày
10 Tháng ba 2007
Bài viết
5,814
Được thích
6,857
Điểm
860
Tuổi
54
Nơi ở
Biên Hòa, Đồng Nai
Tôi thì đã gặp, và file này cũng nhiểm virus.. có điều là tôi ko dám xác định những object dc tạo ra lung tung ấy có phải là do virus làm ko?
Tôi cũng đã xử lý giống như bạn nói, nhưng bằng tay.. hi.. hi.. Trước tiên là dời object mình sang 1 sheet khác.. quay lại sheet củ, dùng lệnh goto đễ select object và delete.. Cuối cùng la copy object của mình vào vị trí củ...
Ha.. ha.. công việc thì ko khó, chỉ tê ở chổ mở file thôi... file tôi gặp chỉ có 30M thôi mà mở lên đã muốn xỉu rồi...
Mong rằng bạn Tuân cố gắng nghiên cứu thêm và trợ giúp anh em trong việc này.. Vụ virus thấy trên diển đàn người ta hỏi nhiều quá, nhưng có khi hướng dẩn làm bằng tay thì các bạn chưa thông thạo lại ko làm dc...
Chân thành cảm ơn!
ANH TUẤN
 

Mr Okebab

Ngon Ngất Ngây
Thành viên đã mất
Tham gia ngày
6 Tháng tám 2006
Bài viết
3,262
Được thích
3,768
Điểm
0
Tuổi
44
anhtuan1066 đã viết:
Cho hỏi: Có con virus nào có khả năng copy object rồi chỉnh cho object nhỏ lại vừa đũ đễ ta ko nhìn thấy và paste hàng loạt vào khắp nơi trên bảng tính ko?
Nếu con macro này nó làm dc chuyện như vậy thì file sẽ tăng dung lượng lên khũng khiếp.. vài chục đến hàng trăm MB là chuyện thường...
Tôi đã từng gặp file tương tự nhưng ko dám khẳng định là do virus làm nên hỏi ý kiến bà con xem sao
Vậy thì phải làm mấy dòng code kiểm tra xem nếu 1 sheet có số object >50 (VD vậy), hoặc có 1 số Object có kích thước quá nhỏ thì phải thông báo ngay hoặc xóa nó đi.
Còn code thế nào thì . . . em chưa biết--=0

Thân!
 

Mr Okebab

Ngon Ngất Ngây
Thành viên đã mất
Tham gia ngày
6 Tháng tám 2006
Bài viết
3,262
Được thích
3,768
Điểm
0
Tuổi
44
anhtuan1066 đã viết:
Cho hỏi thêm 1 câu nữa: Tôi giã sử rằng các bạn cố gắng và mở dc file.. các bạn biết chắc chắn trong file có Object, nhưng khi dùng lệnh Goto đễ tìm thì lại nhận dc thông báo: "No Objects found"...
Có khi nào như thế ko?
Theo em biết thì các Object được tạo bởi Tools Box của Visual Basic chỉ được chọn khi ở chế độ Design Mode.

Thân!
 

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
Tặng các bạn PM "VirusMacroWarning" - Tự động cảnh báo "Virus Macro" trong MS Excel

VirusMacroWarning là công cụ tự động cảnh báo "Virus Macro" trong MS Excel.

Trình tự thực hiện cài đặt và gỡ bỏ:
+ Bạn hãy truy cập WINDOWS bằng Account có quyền Admin
+ Tắt MS Excel
+ Chạy file VirusMacroWarning.exe để cài đặt
+ Để gỡ bỏ chạy file "UnInstall" trong Start\All Programs\VirusMacroWarning​

Cơ chế hoạt động:

+ Phát hiện và thông báo các file chạy tự động cùng Excel

Theo cơ chế hoạt động của virus macro, các file làm lây lan thường được chạy ngay ban đầu khi Excel khởi động.

VirusMacroWarning phát hiện và thông báo cho người dùng xử lý, có thể chuyển sang nơi khác hoặc xóa đi.

+ Tự động kiểm tra khi mở file trong file Excel (workbook) có các sheet macro. Cơ chế viết virus macro, các mã lệnh được lập trong một sheet có kiểu macro, ví dụ như loại virus "Virus.MSExcel.Yagnuul.d" được viết trong sheet macro có tên "Helpme".​


Hệ thống kiểm tra virus macro, nếu phát hiện có "hiện tượng" sẽ thông báo cho người dùng để quyết định xóa những sheet được nghi là virus.

Hiện nay có nhiều phần mềm nổi tiếng về diệt virus như Symantec, BitDefender, McAfee,Bkav, D32,...
Trong các file dữ liệu của hệ Office (đặc biệt là Excel) cho phép người dùng lập trình (viết các macro) trong file, với cơ chết viết virus macro cách thức cũng gần như vậy. Khi dùng các PM diệt virus nói trên, nếu lựa chọn chế độ "diệt virus macro" nhiều khi các PM có sự nhầm lẫn diệt luôn cả những file có macro"chuẩn" của bạn.

Chức năng chính của VirusMacroWarning là cảnh báo tất cả các tình huống có liên quan đến cơ chế hoạt động của loại virus macro, thông báo và để người dùng quyết định và xử lý chúng một cách chính xác nhất.

Download v1.0.4
 
Lần chỉnh sửa cuối:

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
Xin gưỉ các bạn VirusMacroWarning v1.0.4 - phiên bản mơí nhất.

Theo phiên bản cũ (v1.0.3), nếu HĐH WINDOWS cho phép truy cập nhiều User Accounts (nhiều người truy cập với các quyền) thì chương trình không kiểm tra được tính tự động chạy của các file theo đường dẫn riêng của từng User trong EXCEL.
Phiên bản mơí v1.0.4 đã bổ sung thêm khả năng phát hiện mà v1.0.3 bỏ sót.

Các bạn có thể download theo đường link tại trang đầu của topic này.
 

tuanh1979

Thành viên chính thức
Tham gia ngày
7 Tháng bảy 2007
Bài viết
57
Được thích
0
Điểm
668
Tuổi
41
Máy mình bị nhiễm con virut WX97Marco.N. Khi mình quét bang bkav thì bị mất tất cả code, form, macro chỉ còn lại mỗi sheet. Bực ghê gớm, bao nhiêu công làm mà mât toi tất cả, chương trình của bạn khi diệt có làm mất code.. đi k
 

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
tuanh1979 đã viết:
Máy mình bị nhiễm con virut WX97Marco.N. Khi mình quét bang bkav thì bị mất tất cả code, form, macro chỉ còn lại mỗi sheet. Bực ghê gớm, bao nhiêu công làm mà mât toi tất cả, chương trình của bạn khi diệt có làm mất code.. đi k
Chắc chắn là không bạn à. Chương trình thông báo nhưng hiện tượng "bất thường", thông báo cho người dùng quyết định diệt hay không.
 

PhanTuHuong

VBA & VB.NET for Excel & AutoCad
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
6,950
Được thích
23,811
Điểm
1,860
Nơi ở
Hà Nội
Tuân ơi, làm thế nào mà phân biệt được virus và macro? đến BKAV và D32 hiện nay còn đang chịu.
 

ngochoan2006

Thành viên mới
Tham gia ngày
26 Tháng chín 2007
Bài viết
48
Được thích
1
Điểm
665
Phần mềm của anh rất hay nhưng khi em dùng để diệt con Bantengi thì không được vì nó gặp lỗi sau :
Tên Sheet của nó là " ~ "
nên trong quá trình truy xuất anh xóa nó sẽ thông báo lỗi ( Lưu lý là trước và sau ~ có khoảng trắng ).
A check lại xem nhé !
 

anhtuan1066

Thành viên gạo cội
Tham gia ngày
10 Tháng ba 2007
Bài viết
5,814
Được thích
6,857
Điểm
860
Tuổi
54
Nơi ở
Biên Hòa, Đồng Nai
DotNhan đã viết:
Chào bạn;
Nếu có thể vui lòng nén file có virus macro 4 và gửi cho tôi được không. Tôi đang nghiên cứu về thứ virus này, xem bài viết trên
http://www.giaiphapexcel.com/forum/showthread.php?t=6915 bạn thử quét được không.
Chúc tất cả thành viên trên diễn đàn sức khoẻ và thành công.
Tôi nghĩ việc phát hiện ra name rác và sheet ẩn ko hề khó khăn gì... Tôi làm bằng tay trong 30 giây cũng xong.. thế nhưng có 1 loại virus nó tạo ra hàng loạt các Object trên bảng tính khiến cho 1 file từ vài chục KB có thể tăng lên thành vài chục MB...
Vậy chương trình của bạn có phát hiện ra chuyện này ko? Tôi e rằng khó nhai.. vì làm sao biết dc Object nào là của ta, còn cái nào do virus tạo ra...?
 

Aderbayor

Thành viên mới
Tham gia ngày
16 Tháng một 2008
Bài viết
2
Được thích
0
Điểm
0
Tuổi
36
- Toi gap con virut tren excel, no luôn tự động tạo ra một book1 khi toi mở bất kì một file excel nào. Dùng rất nhiều phần mềm như Bidefender, sysmantec, AVG, Karpersky, BKAV vẫn không diệt được.
 

cao mạnh sơn

Tôi đồng ý
Tham gia ngày
26 Tháng mười một 2007
Bài viết
558
Được thích
565
Điểm
860
Tuổi
48
Anh Tuân à,tôi thấy những name như file gửi kèm nhưng không xóa được,đã thực hiện theo hướng dẫn nhưng không được.Anh xem nhé.
 

File đính kèm

anhtuan1066

Thành viên gạo cội
Tham gia ngày
10 Tháng ba 2007
Bài viết
5,814
Được thích
6,857
Điểm
860
Tuổi
54
Nơi ở
Biên Hòa, Đồng Nai

dohuuthuc

Thành viên thường trực
Tham gia ngày
18 Tháng tám 2008
Bài viết
201
Được thích
524
Điểm
0
Tôi đã tải chương trình của anh Tuan VNUNI và cài vào máy chạy thử thấy xuất hiện cảnh báo ngay- rất tuyệt !!. Tuy nhiên khi cài các chương trình kế toán bằng excell được tải về từ trang GPE thì thấy xuất hiện thông báo 1 loạt các name bị lỗi - chọn "xóa hết" thì sau đó vào các chương trình đều bị báo lỗi , không chọn xóa thì không yên tâm.
 

Nguyễn Duy Tuân

Nghị Hách
Thành viên danh dự
Tham gia ngày
13 Tháng sáu 2006
Bài viết
4,365
Được thích
9,875
Điểm
860
Nơi ở
Hà Nội
Tôi đã tải chương trình của anh Tuan VNUNI và cài vào máy chạy thử thấy xuất hiện cảnh báo ngay- rất tuyệt !!. Tuy nhiên khi cài các chương trình kế toán bằng excell được tải về từ trang GPE thì thấy xuất hiện thông báo 1 loạt các name bị lỗi - chọn "xóa hết" thì sau đó vào các chương trình đều bị báo lỗi , không chọn xóa thì không yên tâm.
Một số chương trình tạo ra các name để liên kết. VMW kiểm tra các nguồn liên kết nếu không tồn tại thì sẽ thông báo cho người dùng. Trước khi xóa, chương trình có tạo một bản dự phòng, bạn có thể khôi phục lại.
 
Top Bottom