W97M/Ethan.A——Word宏病毒又来了
李瀛寰
W97M/Ethan.A是一种寄生型宏病毒,由一个宏组成,其代码长度约为50行,能够感染Word系统中的文档和模板。在感染过程中,W97M/Ethan.A使用一种特殊的算法,从自己的源文件向宿主文件传送病毒代码,在源文件中存放的是以VBA代码形式存放的病毒程序。一旦感染成功,W97M/Ethan.A会删除自身的有关文件,隐藏踪迹,并将感染所有访问过的Word文件。
在被感染的Word文件中,大概有三成几率的文件属性会被病毒更改,其标题会被改为“Ethan
Frome”,而作者会被改为“EW/LN/CB”。如果发现上述特征,则说明此文档已被W97M/Ethan.A宏病毒感染。
对已感染的文档进行操作,可能会出现以下问题:
☆在存储文档时,无法以Word文档格式存储,而只能存储为Word模板格式。
☆在打开文档时,Word系统会向用户询问文档的开启密码,否则无法访问该文件。
☆在清除了宏病毒之后,仍然看不到Word系统中的某些选单,它们可能已被宏病毒删除。
目前,NAI的AVERT(反病毒紧急响应小组)已经研究出了检测和清除W97M/Ethan.A的有效方法,并已将有关数据加入了所有VirusScan产品的反病毒引擎之中,用户只要使用其3.21或更高版本,就能够有效地抵御W97M/Ethan.A的侵害。