試卷大盜病毒是什麼

 　　病毒描述

　　該宏病毒通過Excel文檔傳播。病毒由一個名為“(m1)_(m2)_(m3)”的隱藏表單和一個宏模塊組成。宏模塊執行時，會從“(m1)_(m2)_(m3)”表單獲取數據，生成一個名為cab.cab臨時文件c:(72606字節)。cab.cab中包含5個病毒文件，該文件中包含有五大模塊：FTP上傳模塊、Excel病毒模板、Word病毒模板 、發送到軟盤”攔截模塊 、病毒程序setflag.exe。

　　病毒用病毒模板替換Excel和Word的正常模板文件。這樣，用戶在之後編輯的任何Excel和Word文檔都會染毒。

　　該宏病毒還會修改“發送到à軟盤”鏈接，使之指向病毒程序sendto.exe。如果用戶在染毒後執行“發送到軟盤”操作，病毒會把軟盤上文件名以字母‘X’開頭的DOC文檔偷偷復制到硬盤上。以後會把這些竊取的文檔發送給病毒作者。

　　病毒會在用戶關閉Word文檔時檢查當前文檔的開始2段中是否包含“試卷”、“試題”字樣。一旦發現，會將文檔加密保存一份復本。

　　病毒會修改注冊表啟動項，這樣系統每次啟動時，病毒程序internet.exe都會執行。該程序運行時，會連接FTP站點172.23.**.110，並把竊取的文檔上傳給病毒作者。

　　對於該病毒，江民公司提醒廣大用戶，不要點擊來源不明的Excel文檔，並將Office的宏安全級別設置為“高”(工具菜單à宏à安全性)，即可有效避免被X97/MThree病毒感染。江民公司於8月13日已經升級了病毒庫，請您立即升級到8月13日病毒庫，即可全面查殺X97/MThree宏病毒及其exe程序組件，保護您的系統不受其侵害。

　　殺毒方法

　　針對該病毒，KV2004早已於8月13日升級病毒庫，用戶正常升級即可查殺。