计算机宏病毒研究与分析

计算机宏病毒研究与 学号: 目 ************* 学 生 *** 指导教师 *** 教授 年 级 *** 级 专 业 计算机 系 别 计算机科学系 大学 ×××年×月 摘要:计算机的宏病毒已经成为困扰计算机运行和发展的一大顽疾，必须要想方设法的 克服宏病毒的危害和困扰。关于宏病毒的问题，本文通过翔实的论述，深入浅出的揭示 了计算机宏和宏病毒的基本概念，介绍了宏病毒的特点和危害，阐释了宏病毒的预防和 清除的方法，并且给出了具体的宏病毒处理的实践案例，希望这可以为更好的预防和查 杀宏病毒作出参考。 关键词:宏病毒;计算机;宏;危害;清除 Abstract: computer (ncsa) has become a troubled computer operation and development of a persistent ailment, must want to ways to overcome (ncsa) harm and obsession. About the problem, this paper (ncsa) informative discussion, pellucid reveals the computer macros and (ncsa), this paper introduces the basic concept of the characteristics and harm, (ncsa) (ncsa) explains the prevention and removal methods are presented, and the specific (ncsa) processing practices, hope it can for better prevention and killing (ncsa) make reference. Keywords: (ncsa); Computers, Macro, Hazards, remove 第一章 计算机宏病毒的概述 1.1计算机宏的定义 宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXEAL都有宏。在下面的讨论中我们以WORD为例。 如果在Word中重复进行某项工作，可用宏使其自动执行。宏是将一系列的Word命令和指令组合在一起，形成一个命令，以实现任务执行的自动化。您可创建并执行一个宏，以替代人工进行一系列费时而重复的 Word操作。 以下是宏的一些典型应用: 加速日常编辑和格式设置 组合多个命令 使对话框中的选项更易于访问 使一系列复杂的任务自动执行 Word提供了两种创建宏的方法:宏录制器和Visual Basic编辑器。 宏录制器可帮助您开始创建宏。Word在Visual Basic for Applications编程语言中把宏录制为一系列的Word命令。 可在Visual Basic编辑器中打开已录制的宏，修改其中的指令。也可用Visual Basic编辑器创建包括Visual Basic指令的非常灵活和强有力的宏。 您可将宏保存到模板或文档中。在默认的情况下，Word将宏存贮在 Normal模板中，以便所有的Word文档均能使用。 1.2计算机宏病毒的定义 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒;如果宏病毒WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。 虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒(要得到这种保护，需要购买和安装专门的防病毒软件)。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏(例如，单位所用的定货窗体)，打开文档时就包含宏。 如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的 Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择“取消宏”。 OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如果愿意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查:单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病毒保护”复选框。 不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然 屏障。上世纪90年代的宏病毒主要感染文件有 word、Excel 的文档。并且会驻留在Normal面板上。 在理解宏病毒之前，应该知道什么是宏。宏，译自英文单词Macro。所谓宏，就是软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。为了方便人们的使用，Word定义出一种文件格式，将文档，以及该文档所需要的宏合在一起放在后缀为(dot的文件之中，这种做法已经不同于以往的软件将资料和宏分开储存的方法。正因为这种是宏亦是资料的文档格式，便产生了宏感染的可能性。因为，文档资料的携带性极高，如果宏亦随着文档而被分派到不同的工作平台，只要能被执行，不也就类似于计算机病毒的传染过程了吗, 1.3计算机宏病毒的发展简单历程 Word宏病毒，是近年来被人们谈论得最多的一种电脑病毒。由于Internet的广泛应用，使得很多宏病毒通过Email的附件，或网络某些不安全节点得以传播，再加上一些杀毒软件广告对此病毒的着力渲染，使得一些普通的用户对该病毒谈之色变。Word宏病毒是一些别有用心的人利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，其特点是传播极快、制作、变种方便、破坏可能性极大。大多数宏病毒中含有自动宏或对文档读写操作的宏指令，以BFF(Binary File Format)的加密压缩格式存放在.DOC或.DOT文件中，每种Word版本格式可能不兼容。目前发现的几种主要病毒有:Wazzu、Concept、13号病毒、Nuclear、July.killer(又名“七月杀手”)。 宏病毒是通过DOC文档及DOT模板进行自我复制及传播。DOC文件被宏病毒感染后，它的属性必然会被改为模板，而不是文档 尽管形式上其扩展名仍是DOC 。一旦打开这样的文件，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒。 因为每个版本的WordBFF格式不完全一样，所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同，目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档(模板)，而是简单化的把病毒文档(模板)中的某些特征串填为了零，给用户一个假象杀掉了病毒，结果很容易将原文档破坏或漏杀病毒。另外若文档正文中包含病毒串描述，也会被错杀。所以杀除宏病毒的关键是杀毒后应正确安全的恢复文件参数，笔者目前使用的是KV300杀毒软件。KV300独有的广谱特性能查杀出已知名和以后出现的绝大多数未知名Word中的宏病毒。KV300的使用是很方便的，其解毒方法有2种: 第一种是在Windows环境下执行KVW3000.EXE，任选一可能存在宏病毒的子目录进行查杀，KV300在查出病毒后，为了安全起见，先将其扩展名改为.KV，然后再将原文件中的病毒杀除。 第二种是在DOS环境下，用干净的Windows98系统软盘引导机器，运行KV300，出现主菜单后，按下可能存在宏病毒的盘符键，KV300就会对宏病毒轻松的自动清楚，恢复word文件的正常状态。KV300杀除宏病毒之后，即精确的恢复了文件的参数，文件可正常的打开，用word打开文件时，也不会再有宏病毒提示。如果KV300杀宏病毒后，一些不完善的杀毒软件再乱误报乱杀，那就很危险了，一旦再杀一遍，有可能使文件再也打不开了。KV300的一大优点就是不会二次误杀其他杀毒软件杀过的文件。 1.4计算机宏病毒的基本特点概述 Word的工作模式是只要一载入文档，就先执行起始的宏，接着载入文档内容，这个创意本来是好的，因为随着文档不同而需要有不同的宏工作。可是事实上，很少人会对宏产生兴趣，因为宏的撰写相当于学习一套程序语言，尽管它的语法很简单，可是大多数的人，一方面不知情，一方面或是知道有宏这么一回事，却依然宁愿多花些时间在重复性的操作上，而懒得使用宏。因此，Word便为大众事先定义一个共用的通用模板(Normal(dot)，里面包含了基本的宏。只要一启动Word，就会自动运行Normal(dot文件。这样做，就等于是为计算机病毒打开了一扇大门，只要撰写了有问题的宏，再去感染这个通用模板(Normal(dot)，那么只要一执行Word，这个受感染的通用模板即会被载入计算机病毒便随之传播到之后所编辑的文档中去。当然，这只是宏病毒传播的一个最基本的途径，还有一些更厉害的宏病毒还可以借助于其他的途径传播。 宏病毒具有如下的特点: (1) 传播极快 Word宏病毒通过(doc文档及(dot模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己计算机的引导区(MBR)和可执行文件不被病毒感染，而对外来的文档文件基本上是直接创览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及E-mail的大量应用更为Word宏病毒传播"拓展"了道路。 (2) 制作、变种方便 Word使用宏语言来编写宏指令。目前，世界上的宏病毒原型已有几十种，其变种与日俱增，究其原因还是Word的开放性所致。大部分Word病毒并没有使用Word提供的Execute,Only函数处理，它们仍可打开、阅读、修改。所有用户在Word的【工具】1【宏】菜单中很方便就可以看到这种宏病毒的全部面目。当然会有"不法之徒"把其中病毒激活条件和破坏条件加以改变，制造出一种新的宏病毒，甚至比原病毒的危害更加严重。 (3) 破坏可能性极大 鉴于宏病毒用VBA(早期使用Word Basic)语言编写，VBA或Word Basic语言提供了许多系统级底层调用。如直接使用DOS系统命令，调用Windows VBA或API，调用DDE、DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。 (4) 宏病毒的兼容性不高 Word模板(Template)是开发Word应用程序的唯一方法，宏病毒也不例外。宏病毒在doc文档、dot模板中以BFF式(Bimary File Format)格式存放，这是一种加密压缩格式，不同的Word版本，格式可能不兼容。 模板的不兼容使英文Word中的病毒模板在同一版本的中文Word中打不开而自动失效，反之亦然。这就是为什么宏病毒在我国内地发现较少的原因。"台湾1号"是在我国台湾中文Word下做的，其模板与祖国大陆中文Word兼容，因此传播很快。 第二章 计算机宏病毒的危害和判断方法 2.1计算机宏病毒的危害主要在以下方面: 2.1.1宏病毒的主要破坏 WORD宏病毒的破坏在两方面: ?(对WORD运行的破坏是:不能正常打印、封闭宏病毒或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单;文件无法正常编辑。如Taiwan No.l Macro 病毒每月13日发作，所有编写工作无法进行。 ?(对系统的破坏是:Word Basic语言能够调用系统命令，造成破坏。 2.1.2宏病毒隐蔽性强，传播迅速，危害严重，难以防治 与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。 ?(宏病毒隐蔽性强由于人们忽视了在传递一个文档时也会有传播病毒的机会。 ?(宏病毒传播迅速 因为办公数据的交流要比拷贝.EXE文件更加经常和频繁，如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话，那么这一招对Word病毒将束手元策。 ?(危害严重 因为Microsoft Word几乎已经成为目前全世界办公文档的事实工业，其影响是全球范围的，在中国也绝不例外。Word文件的交换是目前办公数据交流和传送的最通常的方式之一，其涉及面比盗版软件的传播要大得多，传播速度则更加有过之而元不及。据报道，70,-80,的中国计算机用户已经不再单纯使用MSDOS作为唯一的操作环境，看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基层，基层又上报到上级机关，从各个单位的办公室到工作者的家庭，到出版部门的计算机系统。于是，便存在这样一种可能，当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时，也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒在公司通过内联网相互进行文档传送时，迅速蔓延，往往很快就能使公司的机器全部染上病毒。 ?(难以防治 由于宏病毒利用了Word的文档机制进行传播，所以它和以往的病毒防治方法不同。一般情况下，人们大多注意可行文件(.COM、.EXE)的病毒感染情况，而Word宏病毒寄生于Word的文档中，而且人们一般都要对文档文件进行备份，因此病毒可以隐藏很长一段时间。 2.2计算机宏病毒的判断方法 宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行(主要是微软的办公软件系统，字处理、电子数据表和其他Office程序中)，存在于字处理文档、数据表格、数据库、演示文档等数据文件中，利用宏语言的功能将自己复制并且繁殖到其他数据文档里。 宏病毒在某种系统中能否存在，首先需要这种系统具有足够强大的宏语言，这种宏语言至少要有下面几个功能: ? 一段宏程序可以附着在一个文档文件后面。 ? 宏程序可以从一个文件拷贝到另外一个文件。 ? 存在这样一种机制，宏程序可以不需要用户的干预自动执行。 从微软的字处理软件WORD版本6.0开始，电子数据表软件EXCEL4.0开始，数据文件中就包括了宏语言的功能，早期的宏语言是非常简单的，主要用于用户在字处理软件中的一系列操作，然后进行重放，可以实现的功能有限，但是随着WORD版本97和EXCEL版本97的出现，微软逐渐将所有的宏语言统一到一种通用的语言:适用于应用程序的可视化BASIC语言(VBA)上，编写越来越方便，语言的功能也越来越强大，可以采用完全程序化的方式对文本、数据表进行完整的控制，甚至可以调用操作系统的任意功能，包括格式化硬盘这种操作也能实现了。 在字处理和其他办公软件中包括宏语言的初衷是为了实现办公自动化，包括自动的报表生成，一些固定格式的公文生成等等，比如说打开一个文件实现自动的签名和回复对于公司的公文来说是很重要的功能，使用WORD的宏语言可以很方便的实现。但是这种自动执行的特性也给宏病毒的出现打开了方便之门。 宏病毒存在于文档文件中的形式非常复杂，宏病毒的感染都是通过宏语言本身的功能实现的，比如说增加一个语句、增加一个宏等等，不通过宏语言执行环境(比如说WORD或者EXCEL程序)的功能，直接在二进制的数据文件中加入宏病毒基本上是不可能的。在本书第五章中专门有一节详细叙述了微软办公软件文档的二进制结构，如果你感兴趣的话可以研究那一节的内容。 WORD版本7以后，宏可以以加密的形式存在，宏代码只能被运行而不能被查看，碰到这种加密的宏病毒，采用简单的字符串搜索的方式对查找这类病毒无能为力。 宏病毒还是一种与平台无关的病毒(甚至包括和CPU无关)，任何电脑上如果能够运行和微软字处理软件、电子数据表软件兼容的字处理、电子数据表软件，也就是说可以正确打开和理解WORD文件(包括其中的宏代码)的任何平台都有可能感染宏病毒。 我们下面以WORD宏病毒为例，详细说明宏病毒的感染机制。 使用微软的字处理软件WORD，用户可以进行打开文件、保存文件、打印文件和关闭文件等操作。在进行这些操作的时候，WORD软件会查找指定的“内建宏”:关闭文件之前查找“FileSave”宏，如果存在的话，首先执行这个宏，打印文件之前首先查找“FilePrint”宏，如果存在的话执行这个宏。另外还有一些以“自动”开始的宏，比如说“AutoOpen”、“AutoClose”等，如果这些宏的定义存在的话，打开,关闭文件的时候会自动执行这些宏。在EXCEL环境下同样存在类似的自动执行的宏。 以“文件”开始的预定义宏在不同语言中名字不完全相同(但是对于非西方文字，如中文、日文，名字和英文的宏名字是一样的)。这些宏会在执行特定操作的时候被激发，比如说使用菜单项打开和保存文件等。还有一类宏，是在用户编辑文字的时候，如果输入了指定键或者指定的键的序列，则该类宏会被触发。 攻击微软WORD、EXCEL和其他Office程序的宏病毒，基本上都是采用上面三种方式触发的。如果打开一个被感染宏病毒的文档，WORD(EXCEL或者其他)会首先执行包含在“AutoOpen”宏中的病毒代码，如果宏病毒替换了标准的菜单处理函数，则使用该项菜单的时候会执行宏病毒代码，当然还有另外一种情况，就是敲入指定字符序列的时候会激发相应的病毒代码。 为了避免被杀毒软件检测出来，一些宏病毒使用了和DOS环境下多态病毒类似的方法来隐藏自己。在“自动”开始的宏中，不包括任何感染或者破坏的代码，但是在其中包含了创建新的宏(实际进行感染和破坏的宏)的代码，这样“自动”宏被执行之后， 创建了新的病毒宏在执行，执行完毕之后再删除病毒宏。这样，杀毒软件很难从原始的代码中发现病毒的踪迹。 在WORD或者其他Office程序中，宏分成两种，一种是每个文档中间包含的内嵌的宏，另外一种是属于WORD应用程序，为所有打开的文档共用的宏。任何宏病毒首先都是藏身在一个指定的WORD文件中的，一旦打开了这个WORD文件，宏病毒就被执行了，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有打开的文件都会使用这个宏。当WORD退出的时候，全局宏将被存放在某个全局的模板文件(.DOT文件)中，这个文件的名字通常是“NORMAL.DOT”。如果这个全局宏模板被感染，则WORD再启动的时候会自动的装入宏病毒并且执行。 然后病毒就开始进行实际的感染，有的病毒已经包括了对“FileSave”、“FileOpen”的处理，如果没有则病毒会创建一个新的处理函数替代原来的。这样，一旦用户保存文件，病毒就会被附加在新保存的文件中，一旦用户打开文件，病毒同样会立刻附加在新打开的文件中。还有一种感染速度更快的方法，病毒搜索所有最近打开的文档(宏语言具有这个功能)，然后将它们全部感染。 EXCEL宏病毒除了很少的几点不同以外，和WORD宏病毒非常相似。首先是EXCEL的全局模板文件不是“NORMAL.DOT”，而是放在EXCEL安装目录下的“STARTUP”子目录中的所有EXCEL文件。EXCEL的版本变化非常快，4.0版本和EXCEL95使用的宏完全不一样，但是微软有一个良好的习惯，就是除了很少的例外以外，后来的版本对前一个版本的的支持都比较好，这样做带来的副作用就是，在4.0版本下编写的宏病毒在EXCEL95下仍然能够正常的工作。 ACCESS作为微软办公软件的一员，同样具有强大的宏语言，也就同样有可能被病毒感染。而且ACCESS中间存在自动脚本和自动宏的概念，由于ACCESS数据库处理的需要，软件本身就大量使用了脚本语言的功能，如果清除被病毒感染的文件很可能把正常的脚本也清除，这样会造成数据库文件的损坏。 其他的一些字处理软件，包括AmiPro、IBM的WordPro等，只要具有了足够强大的宏语言就可能包括病毒，由于使用这些字处理软件的人比较少，所以没有严重的病毒感染事件，但是AmiPro和WordPro环境下的病毒都已经被发现过。 有一些简单的办法可以判断一个文件是否被宏病毒感染。首先打开你的WORD，选择菜单:工具(Tools),>宏(Macro)—>宏列表(Macros)，如果发现里面有很多以“Auto”开始的宏，那么你很可能被宏病毒感染了。自从微软的Office97以后，在打开一个Office文档的时候，如果文档中包括了宏，则WORD会弹出下面的警告框:弹出这个警告框并不一定就意味着病毒，因为微软的很多Office自动化功能就是通过宏来实现的。但是在国内使用这些功能的用户很少，所以一些杀毒软件把正常的包含宏的文档中的宏统统去掉(甚至包括Office安装程序中的一些模板文档)，用户反而觉得这种软件好，因为从此不会再有任何警告框出现了。唉，这就是中国用户的典型心理，和前面说的误报率一样，让人哭笑不得。 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒: 1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。 2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的 文档有宏警告时，可以肯定这些文档中有宏病毒。 3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97 /常规”中进行设定。但有些宏病中提供了对宏病毒的防护功能，它可以在“工具/选项 毒为了对付OFFICE97中提供的宏警告功能，它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。 鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒～ 第三章 计算机宏病毒的基本特点和作用机理 3.1宏病毒的基本共性 宏病毒具有一些共性，主要表现在以下方面: 1，以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的错误认识。宏病毒会感染.DOC文档文件和.DOT模板文件。被它感染的.DOC文档属性必然会被改为模板而不是文档，但不一定修改文件的扩展名。而用户在另存文档时，就无法将该文档转换为任何其他方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。 2，染毒文档无法使用“另存为(SaveAs)”修改路径以保存到另外的磁盘/子目录中。 ，病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，3 病毒宏将自身复制至Word的通用(Normal)模板中，以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。 4，大多数宏病毒中含有AutoOpen，AutoClose，AutoNew和AutoExit等自动宏。只有这样，宏病毒才能获得文档(模板)操作控制权。有些宏病毒还通过FileNew，FileOpen，FileSave，FileSaveAs，FileExit等宏控制文件的操作。 5，病毒宏中必然含有对文档读写操作的宏指令。 6，宏病毒在.DOC文档、.DOT模板中是以BFF(BinaryFileFormat)格式存放，这是一种加密压缩格式，每种Word版本格式可能不兼容。 3.2计算机宏病毒的基本特点 宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特点与共性。 1(传播极快 Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染 宏病毒 ，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及，Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计，宏病毒的感染率高达40,以上，即在现实生活中每发现100个病毒，其中就有40多个宏病毒，而国际上普通病毒种类已达12000多种。 2(制作、变种方便 以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现，所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种，其变种与日俱增，追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理，它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。 3(破坏可能性极大 鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE或DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。 4(多平台交叉感染 宏病毒冲破了以往病毒在单一平台上传播的局限，当WORDJXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时，会被宏病毒交叉感染。 3.3宏病毒的作用机理 Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过.DOC文档及.DOT模板进行自我复制及传播。 以Word为例，一旦病毒宏侵入WORD，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会纂夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏(包括自动宏)复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其它格式。含有自动宏的宏病毒染毒文档，当被其它电脑的WORD系统打开时，便会自动感染该电脑。例如，如果病毒捕获并修改了FileOpen,那么，它将感染每一个被打开的WORD文件。目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果WORD系统在读取一个染毒文件时遭受感染，则其后所有新创建的DOC文件都会被感染。 宏病毒与以往宏病毒的计算机病毒不同，它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样，它以VB(WORDBASIC)高级语言的方式直接混杂在文件中，并加以传播，不感染程序文件，只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗,回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上，但是可以由Word解释执行操作，因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。 Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。 Word提供了几种常见文档类型的模板，如备忘录、和商务信件。您可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。一般情况下，Word自动将新文档基于缺省的公用模板(Normal.dot)。可以看出，模板在建立整个文档中所起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令，如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时，它首先要检 查是否有AutoOpen宏存在，假如有这样的宏，WORD就启动它，除非在此之前系统已 经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然，如果AutoClose宏存 在，则系统在关闭一个文件时，会自动执行它。 第四章 计算机宏病毒的防御 4.1宏病毒防御的基本概述 Microsoft公司的Word字处理软件因其功能强大，使用方便等诸多优点受到广大使用者的青睐，版本从2(0、5(0、6(0直7(0(Word95)、8(0(Word97)，不断升级。Word的推广使用，确实为文本处理工作带来了极大的便利，但随之而来的宏病毒也平添了不少烦脑。宏病毒困扰着用Word处理的文本，轻则文本不能正常存储，重则变成乱码，甚至磁盘被格式化，使许多普通用户谈“宏”变色。实际上，在了解了Word宏病毒的编制、发作过程之后，即使是普通的电脑用户，不借助任何杀毒软件，也可以较好地对其进行防治。 Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。与其它计算机病毒一样，它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序，简化一些经常重复性的操作，与DOS中的批处理文件类似。Word宏的编制技术，与其它复杂的编程技术相比，要求很低很容易编制，这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单，使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。 下面就谈在日常用Word处理文本时，如何预防和消除宏病毒。防止“病从口入”是对付所有病毒的指导思想，同样对付宏病毒的重点也应该放在对其预防上。Word宏病毒的触发条件是在启动或调用Word文档时，自动触发执行，因此，只要不打开被感染的文本，宏病毒是不会传播的。如果打开了带毒的文本，其它没打开的文本不会被感染;即使是打开了其它文本，只要不存盘，也不会感染到硬盘中的文本。Word本身不带病毒，即初次进入Word环境时没有病毒，一旦在其中打开带宏病毒的文件，病毒就会留在Word环境中，如果这时打开其它文件，这些文件就会被感染;更严重的是，关闭Word时的环境就带上了宏病毒，而这时处理的所有文档都将感染上宏病毒。 宏病毒入侵有两条路径，一是E-mail，二是软盘，其共同特点是只能通过word格式(文件后缀为dos或rtf)传播。只要不用word格式存盘，而用txt格式，宏病毒就无从存活了。因此，为了防止宏病毒通过软盘流传，在交换软盘时，可要求对方用TXT格式传交文件，或者先用Window提供的书写器(对window3(X而言)，或写字板(对Window而言)打开外来的word文档，将其先转换成书器或写字板格式的文件并不保存后，再用word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的，文 Word文档中所有的排档经此转换，所有附带其上的宏都将丢失，当然，这样做将使该 版格式一并丢失。 如果必须保留原有的文档排版格式，可以有以下几种方式预防或判断是否有宏病毒。 1、为了防止病毒的侵入，用户在新安装了Word后，可打开一个新模板，将Word的工作环境按你的使用习惯进行设置，并将你需要使用的宏一次编制好，做完后，保存为Normal.dot。新的Normal.dot按你的需要设置并绝对没有宏病毒，将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候，用备份的Normal.dot覆盖当前的Normal.dot模块。另外，为了防止病毒蔓延，可将你新设置的Normal.dot文件的属性设置成“只读”，以后当退出Word环境时，如果出现自动修改“Normal.dot”的对话框，而你并没有录制新的宏，说明有宏病毒，此时选择“否”，以保持Word环境的干净。 2、在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒只能用“Auto×××”命名)。这样能保证用户在安全启动Word文档后，再时行必要的病毒检查。对于使用Word97版本的用户，Word97已经提供此项功能，将其激活或开即可。方法是点击“工具|选项”，然后单击“常规”，选择“宏病毒防护”，使其有效，这样，当前打开的Word文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时，如果打开的文档带有“自动宏”，并询问用户是否执行这些宏，这进选择“取消宏”进入Word并打开文档，再进一步对文档进行“宏”检查。对使用Word97以前版本的用户，需要自行编制一个名为AutoExec的。将AutoExec宏保存在一个另外命名的Word模板中，比如AE.dot，当要使用外来的Word文档时，将AE.dot模板该名为Normal.dot(备份原来的Normal.dot)，宏AutoExec执行时，将关闭其它所有动执行的Word宏。如果不使用外来文档，可以将原来备份的Normal.dot模板再该名拷贝回来。 4.2清除宏病毒的途径 如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问，应该停下手边的其它工作，争取彻底清除宏病毒。一般可采取以下两个步骤: 1、进入“工具|宏”，查看模板Normal.dot，若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏，说明系统确实感染了宏病毒，删除这些来历不明的宏。对以Auto×××命名的，若不是用户自己命名的自动宏，则说明文明感染了宏病毒，删除它们。若是用户自己创建的自动宏，可以打开它，看是否与原来创建时的内容一样，如果存在被改变处，说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下，如果分不清那些是宏病毒，为安全起见，可删除所有来路不明的宏，甚至是用户自己创建的宏。因为即便删错了，也不会对Word文档内容产生任何影响，仅仅是少了“宏功能”。如果需要，还可以重新编制。 2、即使在“工具|宏”删除了所有的病毒宏，并不意味着你可以高枕无忧了。因为病毒原体还在文本中，只不过暂时不活动了，也许还会死灰复燃。为了彻底消除宏病毒，再时入“文件|新建”，选择“模板”，正常情况下，可以在“文件模板”处见到“Normal.dot”，如果没有，说明文档模板文件Normal.dot已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot;或你没有备份，则删掉然毒Normal.dot，重新进入Word，在“模板”里，充置默认字体等选项后退出Word，系统就会自动创建一个干净的Normal.dot。再进入Word，再打开原来的文本，并新建另一个空文档，这时新建文档是干净的;将原文件的全部内容拷贝到新文件中，关闭感染宏病毒的文本，然后再将新文本保存为原文件名存储。这样，宏病毒就感染彻底清除了，原文件也恢复了原样，可以放心大胆地编辑、修改、存储了。 虽然上述方法对大部分宏病毒可彻底清除，但是“道高一尺，魔高一丈”，有些智能点数比较高的宏病毒，会事先防范，让宏编辑功能失效，进入“工具|宏”的时候，看不到病毒的名字，因此，也就无法删除它们。对付这“狡猾”的宏病毒，可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。并注意检查出文件可能感染病毒后，首先对文件备份，然后再执行清除命令，以免意情况下杀掉病毒的同时改变原文件的内容。 以上是关于宏病毒的预防和杀除。总之，首先要保证文档环境无病毒，即Normal.dot文档模板是干净的;其次是要预防在Word里打开的文本携有病毒;最扣，发现了宏病毒后，要采取行之有效的措施，保证文档环境、文档本身恢复到无病毒状态。 4.3宏病毒防治的基本方法 Word处理文档的过程需要同时进行不同的动作，如打开文件、关闭文件、读取数据资料以及保存和打印等等。事实上，每一种动作都对应着特定的宏命令。宏病毒正是利用了软件中的这些宏命令进行感染与传播。 宏病毒防治的根本，在于禁止所有宏的执行，但这是不现实的。在实际工作中，我们可根据宏病毒的不同特征，采用一些行之有效的方法来防治宏病毒。 1.根据AUTO宏的自动执行的特点。在打开Word文档时，可通过先禁止所有自动宏的执行，这样能够保证用户在安全启动Word文档后，进行必要的宏病毒检查，从而达到防治宏病毒的目的。在Word 97中，用鼠标勾选“工具—选项—常规—宏病毒防护”，这样Word就有了防止“自动宏”执行的功能。或者在打开Word文档时，按住Shift键，也可达到禁止自动宏的目的。对于使用Word 97以前版本的用户，需要自行编制一个名为Autoexec的宏。这个宏执行时将关闭其它所有自动宏。将Autoexec宏保存到一个另外命名的模板中，如abc.dot。当使用外来的Word文档时，先备份Normal.dot模板，再把abc.dot改名为normal.dot，这时Word也有了防止“自动宏”执行的功能。Autoexec宏可以只包含如下三条语句:Sub Main，DisableAutoMacro,End Sub。 2.当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是Word默认提供而出现的宏。特别是出现一些奇怪名字的宏，如AAAZA0、AAAZFS等，肯定是病毒无疑，将它删除即可。即使删除错了，也不会对Word文档内容产生任何影响，仅仅是少了相应的“宏功能”而已。具体做法是，选择“工具”?“宏”?“删除”。如果需要，可以重新编制。 3.针对宏病毒感染Normal.dot模板的特点，用户在新安装了Word软件后，可打开一个新文档，将Word的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时生成的Normal.dot模板绝对没有宏病毒，可将其备份起来。在遇到有宏病毒感染时，用备份的Normal.dot模板覆盖当前的Normal.dot模板，可以起到消除宏病毒的作用。同样地,把WinwordStartup目录下的Powerup.dot、Prcadin.dot、Symbar.dot也做个备份。这样，至少能保证Word每次启动时处于无毒状态。 4.当使用外来可能有宏病毒的Word文档时，如果没有保留原来文档排版格式的必要，可先使用Windows自带的写字板来打开，将其转换为写字板格式的文件保存后，再用Word调用。因为写字板不调用、不记录、不保存任何宏，文档经此转换，所有附带其上的宏(包括宏病毒)都将丢失。 5.考虑到大部分Word用户使用的是普通的文字处理功能，很少使用宏编程，即对Normal.dot模板很少修改。因此，用户可以选择“工具?选项?保存”页面，选中“提示保存Normal模板”项，这样，一但宏病毒感染了Word文档后用户从Word退出时，Word会提示“更改的内容会影响到公用模板Normal，是否保存这些修改内容,”，这说明Word已感染宏病毒，当然应选择“否”，退出后再采用其它方法杀毒。 4.4宏病毒清除的基本方法 1、首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法，也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件，这方面的突出例子就是ETHAN宏病毒。 ETHAN宏病毒相当隐蔽，比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等 反病毒软件(应该算比较新的版本了)都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项，并且某些情况下会把被感染的文档置为只读属性，从而更好地保存了自己。 因此，对付宏病毒应该和对付其它种类的病毒一样，也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件，及时升级是非常重要的。比如虽然KV300 Z+版不能查杀ETHAN宏病毒，但最新推出的KV300 Z++已经可以查杀它。 2、应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒，但需要打开某个外来的、已查出感染有宏病毒的文档，而手头现有的反病毒软件又无法查杀它们，那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”)，然后在“文件”菜单中选择“另存为”，将此文档改存成写字板(RTF)格式或WORD6.0格式。 在上述方法中，存成写字板格式是利用RTF文档格式没有宏，存成 WORD 6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下，如果文档内容中除了文字、图片外还有图形或表格，那么按 WORD6.0格式保存一般不会失去这些内容。 存盘后应该检查一下文档的完整性，如果文档内容没有任何丢失，并且在重新打开此文档时不再出现宏警告则大功告成。 第五章 详论计算机宏病毒的预防和查杀 近年来，Microsoft公司的Word字处理软件因其功能强大，使用方便等诸多优点受到广大使用者的青睐，版本从2(0、5(0、6(0直7(0(Word95)、8(0(Word97)，不断升级。Word的推广使用，确实为我们的文本处理工作带来了极大的便利，但随之而来的宏病毒也给我们平添了不少烦脑。宏病毒困扰着用Word处理的文本，轻则文本不能正常存储，重则变成乱码，甚至磁盘被格式化，使许多普通用户谈“宏”变色。实际上，在了解了Word宏病毒的编制、发作过程之后，即使是普通的电脑用户，不借助任何杀毒软件，也可以较好地对其进行防治。 Word宏病毒是一种用专门的Basic语言即Word Basic 编写的程序。与其它计算机病毒一样，它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序，简化一些经常重复性的操作，与DOS中的批处理文件类似。Word宏的编制技术，与其它复杂的编程技术相比，要求很低很容易编制，这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单，使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。 下面就谈在日常用Word处理文本时，如何预防和消除宏病毒。 防止“病从口入”是对付所有病毒的指导思想，同样对付宏病毒的重点也应该放在对其预防上。Word宏病毒的触发条件是在启动或调用Word文档时，自动触发执行，因此，只要不打开被感染的文本，宏病毒是不会传播的。如果打开了带毒的文本，其它没打开的文本不会被感染;即使是打开了其它文本，只要不存盘，也不会感染到硬盘中的文本。我们知道，Word本身不带病毒，即初次进入Word环境时没有病毒，一旦在其中打开带宏病毒的文件，病毒就会留在Word环境中，如果这时打开其它文件，这些文件就会被感染;更严重的是，关闭Word时的环境就带上了宏病毒，而这时处理的所有文档都将感染上宏病毒。 宏病毒入侵有两条路径，一是E-mail，二是软盘，其共同特点是只能通过word格式(文件后缀为dos或rtf)传播。只要不用word格式存盘，而用txt格式，宏病毒就无从存活了。因此，为了防止宏病毒通过软盘流传，我们在交换软盘时，可要求对方用TXT格式传交文件，或者先用Window提供的书写器(对window3(X而言)，或写字板(对Window而言) 打开外来的word文档，将其先转换成书器或写字板格式的文件并不保存后，再用word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的，文档经此转换，所有附带其上的宏都将丢失，当然，这样做将使该Word文档中 所有的排版格式一并丢失。 如果必须保留原有的文档排版格式，可以有以下几种方式预防或判断是否有宏病毒。 1、为了防止病毒的侵入，用户在新安装了Word后，可打开一个新模板，将Word的工作环境按你的使用习惯进行设置， 并将你需要使用的宏一次编制好，做完后，保存为Normal.dot。新的Normal.dot按你的需要设置并绝对没有宏病毒，将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候，用备份的Normal.dot覆盖当前的Normal.dot模块。 另外，为了防止病毒蔓延，可将你新设置的Normal.dot文件的属性设置成“只读”，以后当退出Word环境时，如果出现自动修改“Normal.dot”的对话框，而你并没有录制 新的宏，说明有宏病毒，此时选择“否”，以保持Word环境的干净。 2、在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒只能用“Auto×××”命名)。 这样能保证用户在安全启动Word文档后，再时行必要的病毒检查。对于使用Word97版本的用户，Word97已经提供此项功能，将其激活或开即可。方法是点击“工具|选项”，然后单击“常规”，选择“宏病毒防护”，使其有效，这样，当前打开的Word 文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时，如果打开的文档带有“自动宏”，并询问用户是否执行这些宏，这进选择“取消宏”进入Word并打开文档，再进一步对文档进行“宏”检查。 对使用Word97以前版本的用户，需要自行编制一个名为AutoExec的。将AutoExec宏保存在一个另外命名的Word模板中，比如AE.dot，当要使用外来的Word文档时，将AE.dot模板该名为Normal.dot(备份原来的Normal.dot)，宏AutoExec执行时，将关闭其它所有动执行的Word宏。如果不使用外来文档，可以将原来备份的Normal.dot模板再该名拷贝回来。 如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问，应该停下手边的其它工作，争取彻底清除宏病毒。一般可采取以下两个步骤: 1、进入 “工具|宏”，查看模板Normal.dot，若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS 怪名字的宏，说明系统确实感染了宏病毒，删除这些来历不明的宏。对以Auto×××命名的，若不是用户自己命名的自动宏，则说明文明感染了宏病毒，删除它们。若是用户自己创建的自动宏，可以打开它，看是否与原来创建时的内容一样，如果存在被改变处，说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下，如果分不清那些是宏病毒，为安全起见，可删除所有来路不明的宏，甚至是用户自己创建的宏。因为即便删错了，也不会对Word文档内容产生任何影响，仅仅是少了“宏功能”。如果需要，还可以重新编制。 2、即使在“工具|宏”删除了所有的病毒宏，并不意味着你可以高枕无忧了。因为病毒原体还在文本中，只不过暂时不活动了，也许还会死灰复燃。为了彻底消除宏病毒，再时入“文件|新建”，选择“模板”，正常情况下，可以在 “文件模板”处见到“Normal.dot”，如果没有，说明文档模板文件Normal.dot已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot;或 你没有备份，则删掉然毒Normal.dot，重新进入Word，在“模板”里， 充置默认字体等选项后退出Word，系统就会自动创建 一个干净的Normal.dot。再进入Word，再打开原来的文本， 并新建另一个空文档，这时新建文档是干净的;将原文件的全部内容拷贝到新文件中，关闭感染宏病毒的文本，然后再将新文本保存为原文件名存储。这样，宏病毒就感染彻底清除了，原文件也恢复了原样，可以放心大胆地编辑、修改、存储了。 虽然上述方法对大部分宏病毒可彻底清除，但是“道高一尺，魔高一丈”，有些智能点数比较高的宏病毒，会事先防范，让宏编辑功能失效，使我们进入“工具|宏”的时候，看不到病毒的名字，因此，也就无法删除它们。对付这咱 “狡猾”的宏病毒，可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。并注意检查出文件可能感染病毒后，首先对文件备份，然后再执行清除命令，以免意情况下杀掉病毒的同时改变原文件的内容。 以上是关于宏病毒的预防和杀除。总之，首先要保证文档环境无病毒，即Normal.dot文档模板是干净的;其次是要预防在Word里打开的文本携有病毒;最扣，发现了宏病毒后，要采取行之有效的措施，保证文档环境、文档本身恢复到无病毒状态。 第六章 计算机宏病毒处理之案例分析 6.1Access宏病毒的处理方法 保持防病毒软件随时更新非常重要。新病毒每天出现，防病毒厂商也通过网络、BBS等载体不断推出最新的病毒资料库和软件，所以一个重视安全的用户，应当保证一个合适的频率不断更新自己的防病毒软件，不与不可靠的人或系统共享数据库，不从网络上下载或使用来历不明的Access数据库，是有效防治Access病毒的方法。 熟悉Word 97、office/9.shtml@# target=@#_blank@# class=@#article@#>Excel 97的用户都知道，在打开一个含有宏的文档或工作簿时，Word和Excel都会提示:“该文件中包含宏，是否运行宏”。这是因为在95版的软件中开始大量出现宏病毒，所以在97版中增加了这一报警功能。Access病毒以前一直没有出现过，Access 97中就没有提供这一功能，微软将在新版Access中提供这一功能。 使用Access安全特性预防病毒 数据库安全有两个选项:数据库密码保护、用户级安全性。 1(数据库密码保护 可给数据库加上密码，步骤如下: (1)以独占方式打开数据库。 (2)在“工具”选单中选择“安全”，然后选择“设置数据库密码”。 (3)输入并校验密码。 此后，要打开数据库，必须输入正确的密码。而病毒要想感染一个加了密码保护的数据库，Access的安全特性就会提示用户输入密码，警觉的用户此时就会察觉这是异常操作，在口令输入对话框中选择“取消”就不会打开数据库，从而防止了病毒感染。 2(用户级安全性 使用用户级安全性可给不同组的用户赋予不同的权限。操作方法如下: (1)使用“工作组管理员”程序创建并连接一个工作组文件。该程序一般位于\Program Files\Microsoft Office目录中，快捷方式名为“MS Access Workgroup Administrator”。 (2)新建一个用户，把该用户加到管理员组中。 (3)从管理员组中移去管理员账号。 (4)给新建的管理员组中的用户分配密码，强制他登录时必须使用密码。 (5)重启Access，以这个新管理员用户身份登录。 (6)运行“用户级安全性向导”，新建一个数据库，并把所有的对象都拷贝到新数据库中。 现在，你就拥有了一个具有安全防护的数据库。可以通过安全对话框向其中增加用户和组，分配适当的权限。此后，如果从网络上下载了可能含毒的数据库，可以使用默认工作组文件打开这个数据库，即使真的有毒，含毒数据库中的病毒也没有足够的权限感染加了安全防护的数据库。 6.2Word宏病毒的处理 MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。” Word使用宏语言WordBasic将宏作为一系列指令来编写。 要想搞清楚宏病毒的来龙去脉，必须了解Word宏的知识及WordBasic编程技术。 Word宏病毒是一些制作病毒的专业人员利用MICROSOFTWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传播。 根据宏病毒的传染机制，不难看出宏病毒传染中的特点，所以发现宏病毒可以通过以下步聚进行: 1、在自己使用的Word中打开工具中的宏菜单，点中通用(Normal)模板，若发现有“AutoOpen”等自动宏，“FileSave”等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，这就有可能有病毒了。因为大多数用户的通用(Normal)模板中是没有宏的。 2、如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是Word带有病毒。 3、打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板中含有宏，也有可能是Word有病毒。 手工清除宏病毒的方法: 1、打开宏菜单，在通用模板中删除您认为是病毒的宏。 2、打开带有病毒宏的文档(模板)，然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。 3、保存清洁文档。 特别值得注意的是氏成本Word模板中的病毒在更高版本的Word中才能被发现并清除，英文版Word模板中的病毒还可仍在相应或更高的中文版Word中被发现并清除。 手工清除病毒总是比较烦琐而且不要靠，用杀毒工具自动清除宏病毒是理想的解决办法，方法有两种: 方法1:用WordBasic语言以Word模板方式编制杀毒工具，在Word环境中杀毒。 :根据WordBFF格式，在Word环境外解剖病毒文档(模板)，去掉病毒宏。 方法2 方法1因为在Word环境中杀毒，所以杀毒准确，兼容性好。而方法2由于各个版本的WordBFF格式都不完全兼容，每次Word升级它也必须跟着升级，兼容性不好。 目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档(模板)，而是简单化的把病毒文档(模板)中的某些特征串填为了零，给用户一个假象杀掉了病毒，而实际上病毒宏无法被去除，杀毒后的文件长度与带病毒时的长度相等，这种做法有三个缺点: 1、容易将原文档破坏。 2、很容易漏杀病毒。 3、要不断地随着Word版本升级和病毒变化而改变程序。 因为每个版本的WordBFF格式不完全一样，所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同，另外若文档正文中包含病毒串描述，就会被错杀。 6.3计算机宏病毒的后期处理 以“台湾一号”为代表的专门感染WORD文档的新型病毒——宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工，或杀毒软件)，依然是以一种模板形式存盘。这样就导致“另存为”命令失效，即此文件已不能转换为别的文件格式(如TXT)。其实这就是宏病毒留下的“后遗症”，应该把它清除干净。下面就谈谈如何清除这种“后遗症”。 DOC文件被宏病毒感染后，它的属性必然会被改为模板，而不是文档(尽管形式上其扩展名仍是DOC)。此时可按下述步骤进行处理: ，将该文件打开。2，选择全部内容，复制到剪贴板。3，关闭此文件。4，新建一1 个DOC文件(此前应保证Normal模板干净)。5，粘贴剪贴板上的内容。6，另存为原文件名(将原来模板属性的文件覆盖)。 现在，该文档的“另存为”命令可以正常使用了，宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的文档。最后想说一句，清除宏病毒时，若染毒文档太多，手工方法将非常繁琐，杀毒软件又不十分完善(存在杀不干净或误杀的问题)，所以最好采用杀毒软件与手工清除相结合的方式。 参考文献 [1] 胡雪梅,罗杰红. 宏病毒的入侵机制与防治措施[J]. 安徽电子信息职业技术学院学报, 2004, (02) . [2] 吴兵. 宏病毒的机理剖析与信息安全[J]. 西南民族学院学报(自然科学版), 2002, (01) . [3] 李清玲,陈振宇. 宏病毒及其防治[J]. 信阳农业高等专科学校学报, 2003, (04) . [4] 李柳柏. 基于Microsoft Word 97/2000的宏病毒剖析[J]. 微型机与应用, 2002, (12) . [5] 张峰薇,李敬有. Word宏病毒的分析与防治[J]. 齐齐哈尔大学学报, 2001, (03) . 关于宏病毒[J]. 电子与电脑, 2002, (08) . [6] [7] 刘兴权. 关于WORD宏病毒的分析与防治[J]. 山西电子技术, 2001, (05) . [8] 刘落飞. 宏病毒及其防治[J]. 华中电力, 2000, (03) . [9] 叶子. 宏病毒的预防与清除[J]. 网络与信息, 2005, (07) . [10]如何对付宏病毒[J]. 计算机与网络, 2002, (04) . [11] 李媛圆,吴灏,张冲,林东贵. 基于免疫原理的宏病毒防护模型的研究[J]. 计算机工程与应用, 2005, (35) . [12] 胡雪梅,罗杰红. 宏病毒的入侵机制与防治措施[J]. 安徽电子信息职业技术学院学报, 2004, (02) . [13] 李清玲,陈振宇. 宏病毒及其防治[J]. 信阳农业高等专科学校学报, 2003, (04) . [14] 王晶洁,张旭昶. 宏病毒剖析与防治[J]. 黄金学报, 2000, (02) . [15] 宁月. 漫话电脑病毒(六) 宏病毒[J]. 同学少年, 2002, (07) . [16] 叶子. 宏病毒的预防与清除[J]. 网络与信息, 2005, (07) . [17] 王凤英 ,李子臣. 如何防治宏病毒[J]. 家庭电子, 2000, (01) . [18]如何对付宏病毒[J]. 计算机与网络, 2002, (04) . [19] 赵杰,杨玉新. 计算机病毒[J]. 云南大学学报(自然科学版), 2006, (S1) . [20] 郭非. 如何发现和清除宏病毒[J]. 计算机时代, 2000, (04) . [21] 刘兴权. 关于WORD宏病毒的分析与防治[J]. 山西电子技术, 2001, (05) [22] 余小强. 宏病毒演义之赤手屠龙[J]. 电脑, 1998, (11) [23] 高建京. 漫谈宏病毒[J]. 今日电子, 1998, (03) [24] 臧劲松. 漫谈宏病毒[J]. 电脑爱好者, 1998, (12) [25] 吴绪略. 远离宏病毒[J]. 山东电子, 2003, (01) [26] 小娟. 计算机宏病毒的预防与杀除[J]. 农村财务会计, 2003, (03) [27] Word宏病毒完全攻略[J]. 电脑, 2001, (01) [28] 关于宏病毒[J]. 电子与电脑, 2002, (08) [29] 陈晓辉. Word宏病毒的预防和清除[J]. 电脑, 1997, (05) [30] 张秀芝. Word宏病毒的预防与清除[J]. 计算机时代, 2001, (10)