§ 概要

最近一周以来，江民公司反病毒中心监测到，一种Excel宏病毒X97/MThree小范围流行。该病毒会偷取包含“试卷”、“试题”字样的Word文档，并发送给病毒作者。针对该病毒，KV2004早已于8月13日升级病毒库，用户正常升级即可查杀。

该宏病毒通过Excel文档传播。病毒由一个名为“(m1)_(m2)_(m3)”的隐藏表单和一个宏模块组成。宏模块执行时，会从“(m1)_(m2)_(m3)”表单获取数据，生成一个名为cab.cab临时文件c:\\（72606字节）。cab.cab中包含5个病毒文件，该文件中包含有五大模块：FTP上传模块、Excel病毒模板、Word病毒模板 、发送到软盘”拦截模块 、病毒程序setflag.exe。

病毒用病毒模板替换Excel和Word的正常模板文件。这样，用户在之后编辑的任何Excel和Word文档都会染毒。

该宏病毒还会修改“发送到à软盘”链接，使之指向病毒程序sendto.exe。如果用户在染毒后执行“发送到软盘”操作，病毒会把软盘上文件名以字母‘X’开头的DOC文档偷偷复制到硬盘上。以后会把这些窃取的文档发送给病毒作者。

病毒会在用户关闭Word文档时检查当前文档的开始2段中是否包含“试卷”、“试题”字样。一旦发现，会将文档加密保存一份复本。

病毒会修改注册表启动项，这样系统每次启动时，病毒程序internet.exe都会执行。该程序运行时，会连接FTP站点172.23.**.110，并把窃取的文档上传给病毒作者。

对于该病毒，江民公司提醒广大用户，不要点击来源不明的Excel文档，并将Office的宏安全级别设置为“高”（工具菜单à宏à安全性），即可有效避免被X97/MThree病毒感染。江民公司于8月13日已经升级了病毒库，请您立即升级到8月13日病毒库，即可全面查杀X97/MThree宏病毒及其exe程序组件，保护您的系统不受其侵害。

对于该病毒疑与前不久发生的英语四级题泄露案有关的传闻，有业界人士认为，该病毒不可能与此案有关，该病毒显然是新病毒，而四级题泄露案是在6月份就已发生，前后相隔时间太长。

§ 相关条目

网站 网址 网络 计算机 软件 硬件

• 晏纯虎烈士
• 晏纯轩烈士
• 晏维贵烈士
• 晏维雄烈士
• 晏良遂
• 晏荣生烈士
• 晏蒲英烈士
• 晏裘
• 晏贵林烈士
• 晏赏
• 晏辉吾烈士
• 晏达山烈士
• 晏道刚
• 晏邦木烈士
• 晏阳初
• 晏阳初(1890～1990)
• 晏阳初乡村建设学院
• 晏阳民烈士
• 晏阳镇
• 晏阴
• 晏雪开烈士
• 晏食
• 晏驾
• 晏鸿亮
• 晒书