近日,微软公司发布公告,确认Word 2002/2003存在未知漏洞。在微软公司推出相关补丁之前,用户只要使用正常方式打开含有病毒代码的文档。系统就有可能植入木马,导致Windows被黑客控制等严重后果。本文介绍有关这一漏洞背景、预防措施及其根源等知识:
1.恶意文档出笼
利用Word未知漏洞编写的木马已经出笼。它会导致Word 2002/2003发生缓冲区溢出,执行包含在文档中的恶意代码,将名为Win32.Hack.Ginwui.a(W32/Ginwui.A.dr、Backdoor.Ginwui或W32/Ginwui.A)的病毒植入系统,有可能发生Windows被黑客控制的严重后果。例如黑客执行任意外部命令,监视和记录用户的键盘操作,窥视用户的Windows操作界面等等。不过这个恶意文档只能攻击Word 2002/2003,虽然它会导致Word 2000崩溃,但是无法将病毒程序植入Windows。目前,微软公司并没有透漏该漏洞的具体细节,但是确认了该漏洞以及含病毒恶意文档的存在,并提出了安全更新推出之前的病毒预防建议。
与其他计算机病毒及蠕虫病毒不同,上述病毒程序不是通过自身复制等方式传播,而是伪装成正常或让人感兴趣的电子邮件附件,可以有选择的对用户发起攻击。只要作为附件的Word文档含有恶意代码,就在用户打开DOC附件感染病毒。系统染毒的最明显特征是Word崩溃,要求用户重新打开DOC文件,之后这个新的空白DOC文档会不断打开。通过对恶意DOC文档的分析,目前怀疑该恶意Word文档来自我国。主要依据有以下几点:一是DOC文档内部结构的数据显示,制作者的位置处于远东地区,而且语言ID为0x0804(即简体中文);二是文档的文本流中包含UNICODE编码的中文字样:“报告:测试文件构造情况:写入偏移:0x2a36”,三是恶意DOC文档中病毒程序包含GB2312编码的简体中文词语;四是用户的系统一旦植入了病毒程序后,将会被来自3322.org的黑客控制,而3322.org是国内的一个域名服务网站。但是上述推断并未得到微软公司官方的证实,仅仅是某些反病毒机构的一家之言。
2.抵挡恶意文档
由于触发Word文档中的病毒程序需要一定条件,它无法在用户阅读电子邮件时植入病毒,也不能在用户打开网页时感染操作系统。因此它的危害性相对来说还是比较低的,用户只要采取以下措施,就可以抵挡文档中的恶意代码危害。
抵挡恶意文档的第一个措施是避免下载并打开含有病毒的文档,对来自未经请求用户的邮件附件保持高度警惕,避免从网站上下载用途不明的DOC文档。在微软公司推出安全更新补丁之前,如果必须打开有安全隐患的DOC文档,可以使用Word 2003文档查看器Word Viewer 2003(http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=95e24c87-8732-48d5-8689-ab826e7b8fdf&u=http://download.microsoft.com/download/8/2/e/82e16622-7fee-4c10-b9a2-07591b8320df/wdviewer.exe)。也可以在Word 2003安全模式下打开文档,方法是单击“开始”菜单中的“运行”打开对话框,输入“Winword.exe /safe”单击“确定”即可进入Word 2003安全模式。然后单击“打开”在对话框中找到要打开的文档,选中之后单击“打开”在安全模式下操作文档了。为方便起见,近一时期可以在桌面上建立Word 2002/2003的快捷方式:用鼠标右击桌面,选择快捷菜单中的“新建/快捷方式”。单击对话框中的“浏览”按钮,在对话框中找到winword.exe,将“/safe”(不带引号)附加到文件名末尾。单击“下一步”将快捷方式命名为“Word安全模式”,之后就可以使用Word安全模式打开文档了。
抵挡恶意文档的第二个措施是将杀毒软件升级到最新病毒库,以便查杀恶意DOC文档及其释放的后门程序,具体方法就不在这里赘述了。
抵挡恶意文档的第三个措施是禁止Outlook将Word作为电子邮件编辑器,避免在回复邮件等场合打开恶意文档。禁用这一功能的操作方法是:打开Outlook 2002/2003,单击“工具”菜单下的“选项”命令,打开如图1所示的“邮件格式”选项卡。清除“使用 Microsoft Word 编辑电子邮件”和“使用 Microsoft Word 阅读RTF电子邮件”复选框,最后退出Outlook 2002/2003重新启动电脑即可。
