“k4.xls”病毒特征：

1.若在“C:\Documents and Settings\（用戶名）\Application Data\Microsoft\Excel\XLSTART”（不同機子目錄有差異）中發(fā)現(xiàn)“k4.xls”文件,，則中了病毒,。

2.“……\Microsoft\Excel\XLSTART”中的“k4.xls”文件并不是最初的病毒文件，是你電腦中某個文件中了病毒后,，另存到“……\Microsoft\Excel\XLSTART”目錄的一個副本,，只是將名稱變更為“k4.xls”而已。

3.若 excel 宏安全性設(shè)置為中,，打開未寫宏代碼的文件,，提示啟用宏，則中了病毒

4.“k4.xls”病毒會修改注冊表,，將工程對象設(shè)置為允許訪問,安全級設(shè)置為低(對所有用戶/當(dāng)前用戶),，且用戶無法通過EXCEL更改

5.感染“k4.xls”病毒后，使用了 excle 的 workbookOpen 事件,，任一EXCEL文件在“打開”時,，將被感染病毒代碼；自動在新工程中添加引用 Microsoft Visual Basic for Applications Extensibility 5.3,，便于對工程對象進行操作（wb.VBProject.References.AddFromGuid Guid:="{0002E157-0000-0000-C000-000000000046}", Major:=5, Minor:=3）,。

6.最近被感染的文件將會另存到“……\Microsoft\Excel\XLSTART”目錄中，新的文件名為“k4.xls”

7.病毒首先寫入一個 ToDOLE 病毒模塊,，然后刪除 ThisWorkbook 中的所有代碼,，再向 ThisWorkbook 寫入病毒代碼（若你原來的  ThisWorkbook  中有有用的代碼，此時將會完全洗白）

8.病毒會新建一個4.0宏表并隱藏,，并向其他工作表添加 "Auto_Activate" 隱藏名稱,，指向4.0宏表的 "=Macro1!$A$2"，不啟用宏將無法打開工作簿

9.病毒會硬盤其他位置寫入文件：D:\Collected_Address:frag1.txt，  D:\Collected_Address:frag2.txt,，   Environ("Temp") & "\ToDole.bas    ,，D:\Collected_Address\log.txt， E:\sorce\*.*,  E:\KK\*.*

10若你安裝了 OUTLOOK 軟件,，病毒會將染毒文件通過  OUTLOOK 發(fā)給10個已有的聯(lián)系人,，每10分鐘發(fā)送一次（安裝了 OUTLOOK 可要特別注意了）

一個最重要的情況是：
當(dāng)禁用事件之后（Application.EnableEvents = False），選擇“啟用宏”再打開任何帶毒的xls文件,，都將不再交叉感染（除非你在異想不到的地方用 Application.EnableEvents = True 啟用了事件）

病毒代碼分析文件（新手請謹(jǐn)慎操作）,，k4.xls殺毒程序均已上傳！,！



殺毒聲明：

一,、以下病毒文件將會刪除：
1. Application.StartupPath & "\k4.xls"
2. "D:\Collected_Address:frag1.txt"
3. "D:\Collected_Address:frag2.txt"
4. Environ("Temp") & "\ToDole.bas"
5. "D:\Collected_Address\log.txt"

二、以下病毒目錄將會刪除：（若這些目錄中有你需要的文件,，請先備份）
1."E:\sorce"
2."E:\KK"

三、XLS文件中若存在以下名稱的模塊,、或代碼,，將被刪除：
1.模塊 ToDOLE
2.當(dāng)模塊 ToDOLE 存在時，刪除ThisWorkbook中的代碼
若ToDOLE模塊存在,，則ThisWorkbook中的代碼一定是病毒（病毒寫入ToDOLE模塊的同時,，會先刪除ThisWorkbook中的代碼，然后再向ThisWorkbook寫入病毒代碼,，所以別以為是我無緣無故刪除了你ThisWorkbook中的代碼喲）

四,、工作簿中若存在名為 Macro1 的宏表，且該表 A4 單元格滿足條件  
           Left(sht.Range("A4").FormulaR1C1, 16) = "=ALERT(""禁用宏,，關(guān)閉 " & Chr(10)   
And     Right(sht.Range("A4").FormulaR1C1, 25) = Chr(10) & "Please Enable Macro!"",3)"
  則該宏表將被刪除

五,、將重新設(shè)置宏安全性為“中”，并取消 “信任對 VBA 項目的訪問” 勾選,！
      若你希望用戶可以手動設(shè)置安全等級,，請打開注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Office\（excel版本號）\Excel\Security\Level  然后刪除 Level 鍵值（詳情見 http://club./thread-905505-4-1.html  31樓）

工程密碼為：123




另：常有人問我關(guān)于宏安全性設(shè)置的問題，
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\(Excel版本號)\Excel\Security\AccessVBOM   是設(shè)置“所有”用戶的“信任對 VBA 項目的訪問”選項 （1為允許訪問）      
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\(Excel版本號)\Excel\Security\Level        是設(shè)置“所有”用戶的宏安全等級（1為低,，2為中,，3為高，4為非常高）

HKEY_CURRENT_USER\Software\Microsoft\Office\(Excel版本號)\Excel\Security\AccessVBOM    是設(shè)置“當(dāng)前”用戶的“信任對 VBA 項目的訪問”選項 （1為允許訪問）  
HKEY_CURRENT_USER\Software\Microsoft\Office\(Excel版本號)\Excel\Security\Level         是設(shè)置“當(dāng)前”用戶的宏安全等級（1為低,，2為中,，3為高，4為非常高）
         
“所有”管“當(dāng)前”,，“老總”管“員工”

可以使用“Office宏安全性設(shè)置1.2(以Excel為標(biāo)準(zhǔn)).rar”這個附件進行修改
該附件注意事項:
      一般來說,Excel,、Word、Access是同時安裝的，也就是說這三個軟件的版本號是一致的,。
      本軟件是以“Excel的版本號”為基準(zhǔn)來設(shè)置Excel,、Word、Access的安全等級,。
      如果你Word,、Access的版本號與Excel的版本號不相同，則本軟件對Word,、Access的修改將無效,。
      比如：你的Excel是Excel2000，而Word,、Access是Word2003,、Access2003（一般是不會這樣安裝
OFFICE的），則本軟件對Excel2000的修改有效,，對Word2003,、、Access2003的修改無效,。