電腦病毒:宏病毒
計(jì)算機(jī)病毒,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。下面是學(xué)習(xí)啦小編收集整理的電腦病毒:宏病毒,希望對(duì)大家有幫助~~
電腦病毒:宏病毒
宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔,其中的宏就會(huì)被執(zhí)行,于是宏病毒就會(huì)被激活,轉(zhuǎn)移到計(jì)算機(jī)上,并駐留在Normal模板上。從此以后,所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。
基本概念編輯如果某個(gè)文檔中包含了宏病毒,我們稱此文檔感染了宏病毒;如果WORD系統(tǒng)中的模板包含了宏病毒,我們稱WORD系統(tǒng)感染了宏病毒。
來(lái)源雖然OFFICE97/Word97無(wú)法掃描軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動(dòng)器上的宏病毒。但當(dāng)打開一個(gè)含有可能攜帶病毒的宏的文檔時(shí),它能夠顯示宏警告信息。并且在2013年后的殺毒軟件已支持宏病毒掃描。這樣就可選擇打開文檔時(shí)是否要包含宏,如果希望文檔包含要用到的宏(例如,單位所用的定貨窗體),打開文檔時(shí)就包含宏。如果您并不希望在文檔中包含宏,或者不了解文檔的確切來(lái)源。例如,文檔是作為電子郵件的附件收到的,或是來(lái)自網(wǎng)絡(luò)或不安全的 Internet節(jié)點(diǎn)。在這種情況下,為了防止可能發(fā)生的病毒傳染,打開文檔過程中出現(xiàn)宏警告提示時(shí)最好選擇“取消宏”。OFFICE97軟件包安裝后,系統(tǒng)中包含有關(guān)于宏病毒防護(hù)的選項(xiàng),其默認(rèn)狀態(tài)是允許“宏病毒保護(hù)”復(fù)選框。如果愿意,您可以終止系統(tǒng)對(duì)文檔宏病毒的檢查。當(dāng)Word顯示宏病毒警告信息時(shí),清除“在打開帶有宏或自定義內(nèi)容的文檔時(shí)提問”復(fù)選框?;蛘哧P(guān)閉宏檢查:?jiǎn)螕?ldquo;工具”菜單中的“選項(xiàng)”命令,再單擊“常規(guī)”選項(xiàng)卡,然后清除“宏病毒保護(hù)”復(fù)選框。不過建議您不要取消宏病毒防護(hù)功能,否則您會(huì)失去這道防護(hù)宏病毒的天然屏障。上世紀(jì)90年代的宏病毒主要感染文件有 word、Excel 的文檔。并且會(huì)駐留在Normal面板上據(jù)統(tǒng)計(jì),通過Internet傳播的不同類型的病毒數(shù)量如下:DOS型: 10000至11000種Windows型:12種Macintosh型:35種宏病毒: 200余種Unix型: 6種其中10000-11000種DOS型病毒能感染所有DOS、Windows95平臺(tái)的計(jì)算機(jī)(但不感染Macintosh計(jì)算機(jī));但200余種宏病毒中的大部分能感染所有計(jì)算機(jī),包括PC機(jī)和Macintosh機(jī)。所謂宏,就是一些命令組織在一起,作為一個(gè)單獨(dú)命令完成一個(gè)特定任務(wù)(如Word中的宏命令)。
判斷方法雖然不是所有包含宏的文檔都包含了宏病毒,但當(dāng)有下列情況之一時(shí),您可以百分之百地?cái)喽腛FFICE文檔或OFFICE系統(tǒng)中有宏病毒:1、在打開“宏病毒防護(hù)功能”的情況下,當(dāng)您打開一個(gè)您自己寫的文檔時(shí),系統(tǒng)會(huì)彈出相應(yīng)的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文檔已經(jīng)感染了宏病毒。2、同樣是在打開“宏病毒防護(hù)功能”的情況下,您的OFFICE文檔中一系列的文件都在打開時(shí)給出宏警告。由于在一般情況下我們很少使用到宏,所以當(dāng)您看到成串的文檔有宏警告時(shí),可以肯定這些文檔中有宏病毒。3、如果軟件中關(guān)于宏病毒防護(hù)選項(xiàng)啟用后,不能在下次開機(jī)時(shí)依然保存。WORD97中提供了對(duì)宏病毒的防護(hù)功能,它可以在“工具/選項(xiàng)/常規(guī)”中進(jìn)行設(shè)定。但有些宏病毒為了對(duì)付OFFICE97中提供的宏警告功能,它在感染系統(tǒng)(這通常只有在您關(guān)閉了宏病毒防護(hù)選項(xiàng)或者出現(xiàn)宏警告后您不留神選取了“啟用宏”才有可能)后,會(huì)在您每次退出 OFFICE時(shí)自動(dòng)屏蔽掉宏病毒防護(hù)選項(xiàng)。因此您一旦發(fā)現(xiàn):您的機(jī)器中設(shè)置的宏病毒防護(hù)功能選項(xiàng)無(wú)法在兩次啟動(dòng)WORD之間保持有效,則您的系統(tǒng)一定已經(jīng)感染了宏病毒。也就是說一系列WORD模板、特別是normal.dot 已經(jīng)被感染。鑒于絕大多數(shù)人都不需要或者不會(huì)使用“宏”這個(gè)功能,我們可以得出一個(gè)相當(dāng)重要的結(jié)論:如果您的OFFICE文檔在打開時(shí),系統(tǒng)給出一個(gè)宏病毒警告框,那么您應(yīng)該對(duì)這個(gè)文檔保持高度警惕,它已被感染的幾率極大。注意:簡(jiǎn)單地刪除被宏病毒感染的文檔并不能清除OFFICE系統(tǒng)中的宏病毒!
防治清除1、首選方法:用最新版的反病毒軟件清除宏病毒。使用反病毒軟件是一種高效、安全和方便的清除方法,也是一般計(jì)算機(jī)用戶的首選方法。但是宏病毒并不象某些廠商或麻痹大意的人那樣認(rèn)為的有所謂“廣譜”的查殺軟件,這方面的突出例子就是ETHAN宏病毒。ETHAN宏病毒相當(dāng)隱蔽,比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒軟件(應(yīng)該算比較新的版本了)都無(wú)法查出它。此外這個(gè)宏病毒能夠悄悄取消WORD中宏病毒防護(hù)選項(xiàng),并且某些情況下會(huì)把被感染的文檔置為只讀屬性,從而更好地保存了自己。
宏病毒原理因此,對(duì)付宏病毒應(yīng)該和對(duì)付其它種類的病毒一樣,也要盡量使用最新版的查殺病毒軟件。無(wú)論你使用的是何種反病毒軟件,及時(shí)升級(jí)是非常重要的。比如雖然KV300 Z+版不能查殺ETHAN宏病毒,但最新推出的KV300 Z++已經(jīng)可以查殺它。2、應(yīng)急處理方法:用寫字板或WORD 6.0文檔作為清除宏病毒的橋梁。如果您的WORD系統(tǒng)沒有感染宏病毒,但需要打開某個(gè)外來(lái)的、已查出感染有宏病毒的文檔,而手頭現(xiàn)有的反病毒軟件又無(wú)法查殺它們,那么您可以試驗(yàn)用下面的方法來(lái)查殺文檔中的宏病毒:打開這個(gè)包含了宏病毒的文檔(當(dāng)然是啟用WORD中的“宏病毒防護(hù)”功能并在宏警告出現(xiàn)時(shí)選擇“取消宏”),然后在“文件”菜單中選擇“另存為”,將此文檔改存成寫字板(RTF)格式或WORD6.0格式。在上述方法中,存成寫字板格式是利用RTF文檔格式?jīng)]有宏,存成 WORD 6.0格式則是利用了WORD97文檔在轉(zhuǎn)換成WORD6.0格式時(shí)會(huì)失去宏的特點(diǎn)。寫字板所用的rtf格式適用于文檔中的內(nèi)容限于文字和圖片的情況下,如果文檔內(nèi)容中除了文字、圖片外還有圖形或表格,那么按 WORD6.0格式保存一般不會(huì)失去這些內(nèi)容。存盤后應(yīng)該檢查一下文檔的完整性,如果文檔內(nèi)容沒有任何丟失,并且在重新打開此文檔時(shí)不再出現(xiàn)宏警告則大功告成。危害編輯主要在以下方面:一、宏病毒的主要破壞WORD宏病毒的破壞在兩方面:1.對(duì)WORD運(yùn)行的破壞是:不能正常打印;封閉
宏病毒(配圖)或改變文件存儲(chǔ)路徑;將文件改名;亂復(fù)制文件;封閉有關(guān)菜單;文件無(wú)法正常編輯。如Taiwan No.l Macro病毒每月13日發(fā)作,所有編寫工作無(wú)法進(jìn)行。2.對(duì)系統(tǒng)的破壞是:Word Basic語(yǔ)言能夠調(diào)用系統(tǒng)命令,造成破壞。二、宏病毒隱蔽性強(qiáng),傳播迅速,危害嚴(yán)重,難以防治與感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隱蔽性強(qiáng),傳播迅速,危害嚴(yán)重,難以防治等特點(diǎn)。1.宏病毒隱蔽性強(qiáng)由于人們忽視了在傳遞一個(gè)文檔時(shí)也會(huì)有傳播病毒的機(jī)會(huì)。2.宏病毒傳播迅速因?yàn)檗k公數(shù)據(jù)的交流要比拷貝.EXE文件更加經(jīng)常和頻繁,如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話,那么這一招對(duì)Word病毒將束手無(wú)策。3.危害嚴(yán)重因?yàn)镸icrosoft Word幾乎已經(jīng)成為全世界辦公文檔的事實(shí)工業(yè)標(biāo)準(zhǔn),其影響是全球范圍的,在中國(guó)也絕不例外。Word文件的交換是目前辦公數(shù)據(jù)交流和傳送的最通常的方式之一,其涉及面比盜版軟件的傳播要大得多,傳播速度則更加有過之而無(wú)不及。據(jù)報(bào)道,70%-80%的中國(guó)計(jì)算機(jī)用戶已經(jīng)不再單純使用MSDOS作為唯一的操作環(huán)境,看VCD和使用Word成為用戶使用Windows應(yīng)用程序的榜首。無(wú)數(shù)的DOC文件從上級(jí)機(jī)關(guān)金字塔般地傳播到基層, 基層又上報(bào)到上級(jí)機(jī)關(guān),從各個(gè)單位的辦公室到工作者的家庭,到出版部門的計(jì)算機(jī)系統(tǒng)。于是,便存在這樣一種可能,當(dāng)成千上萬(wàn)的x86計(jì)算機(jī)系統(tǒng)在傳播和復(fù)制這些數(shù)據(jù)以及文檔文件的同時(shí),也在忠實(shí)地傳播和復(fù)制這些病毒。由于該病毒能跨越多種平臺(tái),并且針對(duì)數(shù)據(jù)文檔進(jìn)行破壞,因此具有極大的危害性,該病毒在公司通過內(nèi)聯(lián)網(wǎng)相互進(jìn)行文檔傳送時(shí),迅速蔓延,往往很快就能使公司的機(jī)器全部染上病毒。4.難以防治由于宏病毒利用了Word的文檔機(jī)制進(jìn)行傳播,所以它和以往的病毒防治方法不同。一般情況下,人們大多注意可執(zhí)行文件(.COM、.EXE)的病毒感染情況,而Word宏病毒寄生于Word的文檔中,而且人們一般都要對(duì)文檔文件進(jìn)行備份,因此病毒可以隱藏很長(zhǎng)一段時(shí)間。起源編輯宏病毒起源 當(dāng)病毒的先驅(qū)者們醉心于他們高超的匯編語(yǔ)言技術(shù)和成果時(shí),可能不會(huì)想到后繼者能以更加簡(jiǎn)單的手法制造影響力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。其實(shí)宏病毒的出現(xiàn)并非出乎人們的意料,早在80年代后期就有專家預(yù)言過。那時(shí),有些學(xué)生就用某些應(yīng)用程序的宏語(yǔ)言編寫病毒。然而,宏病毒與普通病毒不同,它不感染.EXE或.COM文件,而只感染文檔文件。宏病毒就像自然界中令人恐懼的龍卷風(fēng),對(duì)人們正常使用計(jì)算機(jī)進(jìn)行學(xué)習(xí)和工作帶來(lái)了不可估量的影響,同時(shí)也造成了社會(huì)財(cái)富的巨大浪費(fèi)。1996年12月13日,一種被稱為“TaiwanNo.1”的病毒同時(shí)在北京和深圳被發(fā)現(xiàn),一例來(lái)自于Internet的下載文件,另一例來(lái)自某醫(yī)院的一項(xiàng)合作協(xié)議書。在一個(gè)專門研究醫(yī)學(xué)病毒的捍衛(wèi)人體健康的機(jī)構(gòu)發(fā)現(xiàn)被計(jì)算機(jī)病毒侵襲的事件,可真是有些戲劇性的效果。凡是經(jīng)歷過小球病毒發(fā)作的人都能體味這樣一種恐慌的感覺,恐慌的根源就是您對(duì)
宏病毒病毒本身尚一無(wú)所知時(shí),感覺命運(yùn)似乎剎那間就即將被別人掌握了。Internet電子郵件已日益成為病毒的攜帶者。當(dāng)您在Internet上用Email收看郵件時(shí),是否想到,您可能會(huì)受到計(jì)算機(jī)病毒的威脅。一般一個(gè)純粹的電子郵件內(nèi)容沒有病毒,但其附加的文件極可能帶有病毒。附加文件的病毒擴(kuò)散首先需要運(yùn)行它。舉個(gè)例子來(lái)說:您收到了一個(gè)附加有用Word編輯的文件,這個(gè)Word文件被病毒感染了,當(dāng)您運(yùn)行該附加文件時(shí),計(jì)算機(jī)就會(huì)受到病毒的威脅。所謂宏,就是一些命令組織在一起,作為一個(gè)單獨(dú)命令完成一個(gè)特定任務(wù)。MicrosoftWord中對(duì)宏定義為:“宏就是能組織到一起作為一獨(dú)立的命令使用的一系列word命令,它能使日常工作變得更容易”。Word使用宏語(yǔ)言Word_Basic將宏作為一系列指令來(lái)編寫。要想搞清楚宏病毒的來(lái)龍去脈,必須了解Word宏的知識(shí)及wordBasic編程技術(shù)。Wo_rd宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開放性即word中提供的WordBASIC編程接口,專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合,這種病毒宏的集合影響到計(jì)算機(jī)使用,并能通過.DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播。
特點(diǎn)編輯宏病毒是針對(duì)微軟公司的文字處理軟件Word編寫的一種病毒。微軟公司的文字處理軟件是最為流行的編輯軟件,并且跨越了多種系統(tǒng)平臺(tái),宏病毒充分利用了這一點(diǎn)得到恣意傳播。宏病毒作為一種新型病毒有其特性與共性。
特性(1)傳播極快Word宏病毒通過.DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播,而計(jì)算機(jī)文檔是交流最廣的文件類型。人們大多重視保護(hù)自己計(jì)算機(jī)的引導(dǎo)部分和可執(zhí)行文件不被病毒感染
宏病毒,而對(duì)外來(lái)的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳播帶來(lái)很多便利。特別是Internet網(wǎng)絡(luò)的普及,Email的大量應(yīng)用更為Word宏病毒傳播鋪平道路。根據(jù)國(guó)外較保守的統(tǒng)計(jì),宏病毒的感染率高達(dá)40%以上,即在現(xiàn)實(shí)生活中每發(fā)現(xiàn)100個(gè)病毒,其中就有40多個(gè)宏病毒,而國(guó)際上普通病毒種類已達(dá)12000多種。(2)制作、變種方便以往病毒是以二進(jìn)制的計(jì)算機(jī)機(jī)器碼形式出現(xiàn),而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語(yǔ)言WordBasic形式出現(xiàn),所以編寫和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種,其變種與日俱增,追究其原因還是Word的開放性所致。Word病毒都是用WordBasic語(yǔ)言所寫成,大部分Word病毒宏并沒有使用Word提供的Execute-Only處理函數(shù)處理,它們?nèi)蕴幱诳纱蜷_閱讀修改狀態(tài)。所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當(dāng)然會(huì)有“不法之徒”利用掌握的Basic語(yǔ)句簡(jiǎn)單知識(shí)把其中病毒激活條件和破壞條件加以改變,立即就生產(chǎn)出了一種新的宏病毒,甚至比原病毒的危害更加嚴(yán)重。(3)破壞可能性極大鑒于宏病毒用WordBasic語(yǔ)言編寫,WordBasic語(yǔ)言提供了許多系統(tǒng)級(jí)底層調(diào)用,如直接使用DOS系統(tǒng)命令,調(diào)用WindowsAPI,調(diào)用DDE或DLL等。這些操作均可能對(duì)系統(tǒng)直接構(gòu)成威脅,而Word在指令安全性、完整性上檢測(cè)能力很弱,破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒Nuclear就是破壞操作系統(tǒng)的典型一例。(4)多平臺(tái)交叉感染宏病毒沖破了以往病毒在單一平臺(tái)上傳播的局限,當(dāng)WORD、EXCEL這類著名應(yīng)用軟件在不同平臺(tái)(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上運(yùn)行時(shí),會(huì)被宏病毒交叉感染。
共性宏病毒具有一些共性:1,以往病毒只感染程序,不感染數(shù)據(jù)文件,而宏病毒專門感染數(shù)據(jù)文件,徹底改變了人們的“數(shù)據(jù)文件不會(huì)傳播病毒”的錯(cuò)誤認(rèn)識(shí)。宏病毒會(huì)感染.DOC文檔文件和.DOT模板文件。被它感染的.DOC文檔屬性必然會(huì)被改為模板而不是文檔,但不一定修改文件的擴(kuò)展名。而用戶在另存文檔時(shí),就無(wú)法將該文檔轉(zhuǎn)換為任何其他方式,而只能用模板方式存盤。這一點(diǎn)在多種文本編輯器需轉(zhuǎn)換文檔時(shí)是絕對(duì)不允許的。2,染毒文檔無(wú)法使用“另存為(SaveAs)”修改路徑以保存到另外的磁盤/子目錄中。3,病毒宏的傳染通常是Word在打開一個(gè)帶宏病毒的文檔或模板時(shí),激活了病毒宏,病毒宏將自身復(fù)制至Word的通用(Normal)模板中,以后在打開或關(guān)閉文件時(shí)病毒宏就會(huì)把病毒復(fù)制到該文件中。4,大多數(shù)宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自動(dòng)宏。只有這樣,宏病毒才能獲得文檔(模板)操作控制權(quán)。有些宏病毒還通過FileNew,F(xiàn)ileOpen,F(xiàn)ileSave,F(xiàn)ileSaveAs,F(xiàn)ileExit等宏控制文件的操作。5,病毒宏中必然含有對(duì)文檔讀寫操作的宏指令。6,宏病毒在.DOC文檔、.DOT模板中是以BFF(BinaryFileFormat)格式存放,這是一種加密壓縮格式,每種Word版本格式可能不兼容。
分析編輯宏病毒傳播途徑主要有:1,軟盤交流染毒文檔文件;2,硬盤染毒,處理的文檔文件必將染毒;3,光盤攜帶宏病毒;4,Internet上下載染毒文檔文件;5,BBS交流染毒文檔文件;6,電子郵件的附件夾帶病毒。兩支宏病毒分析1,Nuclear宏病毒這是一個(gè)對(duì)操作系統(tǒng)文件和打印輸出有破壞功能的宏病毒。這個(gè)宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload這些宏是只執(zhí)行(Execute-only)宏。Nuclear宏病毒造成的破壞現(xiàn)象為:(1)打開一個(gè)染毒文檔并打印的時(shí)候,它會(huì)在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”,這個(gè)現(xiàn)象是在每分鐘的55秒~60秒之間操作打印時(shí)發(fā)生。(2)如果在每天17:00~18:00之間打開一個(gè)染毒文檔,Nuclear病毒會(huì)將PH33R病毒傳染到計(jì)算機(jī)上,這是個(gè)駐留型病毒。(3)在每年的4月5日,該病毒會(huì)將計(jì)算機(jī)上IO.SYS和MSDOS.SYS文件清零,并且刪除C盤根目錄上的COMMAND. COM文件。一旦病毒發(fā)作,MSDOS就不可能被引導(dǎo),計(jì)算機(jī)將陷入癱瘓。2,臺(tái)灣一號(hào)病毒臺(tái)灣一號(hào)病毒會(huì)在每月的13日影響您正常使用Word文檔和編輯器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen這些宏是可被編輯宏。在病毒宏中含有如下的語(yǔ)句:IfDay(Now())=13Then...這條語(yǔ)句與13日有關(guān)。臺(tái)灣一號(hào)病毒造成的危害是:在每月13日,若用戶使用Word打開一個(gè)帶毒的文檔(模板)時(shí),病毒會(huì)被激發(fā)。激發(fā)時(shí)的現(xiàn)象是:在屏幕正中央彈出一個(gè)對(duì)話框,該對(duì)話框提示用戶做一個(gè)心算題,如做錯(cuò),它將會(huì)無(wú)限制地打開文件,直至Word內(nèi)存不夠,Word出錯(cuò)為止;如心算題做對(duì),會(huì)提示用戶“什么是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用戶:“如何預(yù)防巨集病毒?”,回答是“不要看我”。
作用機(jī)制編輯Word宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開放性即Word中提供的WordBASIC編程接口,制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏,它能通過.DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播。宏病毒與以往
宏病毒的計(jì)算機(jī)病毒不同,它是感染微軟Word文檔文件.DOC和模板文件.DOT等的一種專向病毒。宏病毒與以往攻擊DOS和Windows文件的病毒機(jī)理完全不一樣,它以VB(WORDBASIC)高級(jí)語(yǔ)言的方式直接混雜在文件中,并加以傳播,不感染程序文件,只感染文檔文件。也許有人會(huì)問:MicrosoftWordforWindows所生成的.DOC文件難道不是數(shù)據(jù)文件嗎?回答既是肯定的又是否定的。.DOC文件是一個(gè)代碼和數(shù)據(jù)的綜合體。雖然這些代碼不能直接運(yùn)行在x86的CPU上,但是可以由Word解釋執(zhí)行操作,因此他們的結(jié)果是一樣的。宏病毒是針對(duì)微軟公司的字處理軟件Word編寫的一種病毒。微軟公司的字處理軟件是最為流行的編輯軟件,并且跨越了多種系統(tǒng)平臺(tái),宏病毒充分利用了這一點(diǎn)得到恣意傳播。 Word的文件建立是通過模板來(lái)創(chuàng)建的,模板是為了形成最終文檔而提供的特殊文檔,模板可以包括以下幾個(gè)元素:菜單、宏、格式(如備忘錄等)。模板是文本、圖形和格式編排的藍(lán)圖,對(duì)于某一類型的所有文檔來(lái)說,文本、圖像和格式編排都是類似的。Word提供了幾種常見文檔類型的模板,如備忘錄、報(bào)告和商務(wù)信件。您可以直接使用模板來(lái)創(chuàng)建新文檔,或者加以修改,也可以創(chuàng)建自己的模板。一般情況下,Word自動(dòng)將新文檔基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整個(gè)文檔中所起的作用,作為基類,文檔繼承模板的屬性,包括宏、菜單、格式等。WORD處理文檔需要同時(shí)進(jìn)行各種不同的動(dòng)作,如打開文件、關(guān)閉文件、讀取數(shù)據(jù)資料以及儲(chǔ)存和打印等等。每一種動(dòng)作其實(shí)都對(duì)應(yīng)著特定的宏命令,如存文件與FileSave相對(duì)應(yīng)、改名存文件對(duì)應(yīng)著FileSaveAS、打印則對(duì)應(yīng)著Fil_ePrint等。WORD打開文件時(shí),它首先要檢查是否有AutoOpen宏存在,假如有這樣的宏,WORD就啟動(dòng)它,除非在此之前系統(tǒng)已經(jīng)被“取消宏(DisableAutoMacros)”命令設(shè)置成宏無(wú)效。當(dāng)然,如果AutoClose宏存在,則系統(tǒng)在關(guān)閉一個(gè)文件時(shí),會(huì)自動(dòng)執(zhí)行它。
預(yù)防編輯Microsoft公司的Word字處理軟件因其功能強(qiáng)大,使用方便等諸多優(yōu)點(diǎn)受到廣大使用者的青睞,版本從2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不斷升級(jí)。Word的推廣使用,確實(shí)為文本處理工作帶來(lái)了極大的便利,但隨之而來(lái)的宏病毒也平添了不少煩腦。宏病毒困擾著用Word處理的文本,輕則文本不能正常存儲(chǔ),重則變成亂碼,甚至磁盤被格式化,使許多普通用戶談“宏”變色。實(shí)際上,在了解了Word宏病毒的編制、發(fā)作過程之后,即使是普通的電腦用戶,不借助任何殺毒軟件,也可以較好地對(duì)其進(jìn)行防治。Word宏病毒是一種用專門的Basic語(yǔ)言即WordBasic編寫的程序。與其它計(jì)算機(jī)病毒一樣,它能對(duì)用戶系統(tǒng)中的可執(zhí)行文件和數(shù)據(jù)、文本類文件造成破壞。Word中提供由用戶編制宏這一功能是為了讓用戶能夠用簡(jiǎn)單的程序,簡(jiǎn)化一些經(jīng)常重復(fù)性的操作,與DOS中的批處理文件類似。Word宏的編制技術(shù),與其它復(fù)雜的編程技術(shù)相比,要求很低很容易編制,這就為心懷惡意的計(jì)算機(jī)用戶提供了一種簡(jiǎn)單高效的制造病毒手段。但也正因其編制簡(jiǎn)單,使宏病毒的防治遠(yuǎn)較那些用復(fù)雜的編程語(yǔ)言編制的病毒容易得多。下面就談在日常用Word處理文本時(shí),如何預(yù)防和消除宏病毒。防止“病從口入”是對(duì)付所有病毒的指導(dǎo)思想,同樣對(duì)付宏病毒的重點(diǎn)也應(yīng)該放在對(duì)其預(yù)防上。Word宏病毒的觸發(fā)條件是在啟動(dòng)或調(diào)用Word文檔時(shí),自動(dòng)觸發(fā)執(zhí)行,因此,只要不打開被感染的文本,宏病毒是不會(huì)傳播的。如果打開了帶毒的文本,其它沒打開的文本不會(huì)被感染;即使是打開了其它文本,只要不存盤,也不會(huì)感染到硬盤中的文本。Word本身不帶病毒,即初次進(jìn)入Word環(huán)境時(shí)沒有病毒,一旦在其中打開帶宏病毒的文件,病毒就會(huì)留在Word環(huán)境中,如果這時(shí)打開其它文件,這些文件就會(huì)被感染;更嚴(yán)重的是,關(guān)閉Word時(shí)的環(huán)境就帶上了宏病毒,而這時(shí)處理的所有文檔都將感染上宏病毒。
入侵宏病毒入侵有兩條路徑,一是E-mail,二是軟盤,其共同特點(diǎn)是只能通過word格式(文件后綴為dos或rtf)傳播。只要不用word格式存盤,而用txt格式,宏病毒就無(wú)從存活了。因此,為了防止宏病毒通過軟盤流傳,在交換軟盤時(shí),可要求對(duì)方用TXT格式傳交文件,或者先用Window提供的書寫器(對(duì)window3.X而言),或?qū)懽职?對(duì)Window而言)打開外來(lái)的word文檔,將其先轉(zhuǎn)換成書器或?qū)懽职甯袷降奈募⒉槐4婧?,再用word調(diào)用。因?yàn)闀鴮懫骰驅(qū)懽职迨遣徽{(diào)用也不記錄和保存任何Word宏的,文檔經(jīng)此轉(zhuǎn)換,所有附帶其上的宏都將丟失,當(dāng)然,這樣做將使該Word文檔中所有的排版格式一并丟失。
判斷如果必須保留原有的文檔排版格式,可以有以下幾種方式預(yù)防或判斷是否有宏病毒。1、為了防止病毒的侵入,用戶在新安裝了Word后,可打開一個(gè)新模板,將Word的工作環(huán)境按你的使用習(xí)慣進(jìn)行設(shè)置,并將你需要使用的宏一次編制好,做完后,保存為Normal.dot。新的Normal.dot按你的需要設(shè)置并絕對(duì)沒有宏病毒,將這份干凈的Normal.dot備份。在遇到有宏病毒或懷疑感染了宏病毒的時(shí)候,用備份的Normal.dot覆蓋當(dāng)前的Normal.dot模塊。另外,為了防止病毒蔓延,可將你新設(shè)置的Normal.dot文件的屬性設(shè)置成“只讀”,以后當(dāng)退出Word環(huán)境時(shí),如果出現(xiàn)自動(dòng)修改“Normal.dot”的對(duì)話框,而你并沒有錄制新的宏,說明有宏病毒,此時(shí)選擇“否”,以保持Word環(huán)境的干凈。2、在調(diào)用Word文檔時(shí)先禁止所有以Auto開頭的宏的執(zhí)行(因?yàn)橐话愫瓴《局荒苡?ldquo;Auto×××”命名)。這樣能保證用戶在安全啟動(dòng)Word文檔后,再時(shí)行必要的病毒檢查。對(duì)于使用Word97版本的用戶,Word97已經(jīng)提供此項(xiàng)功能,將其激活或開即可。方法是點(diǎn)擊“工具|選項(xiàng)”,然后單擊“常規(guī)”,選擇“宏病毒防護(hù)”,使其有效,這樣,當(dāng)前打開的Word文檔所使用模板就有了防止“自動(dòng)宏”(以Auto開頭命名)執(zhí)行的功能。當(dāng)以后使用這個(gè)模板的文檔時(shí),如果打開的文檔帶有“自動(dòng)宏”,并詢問用戶是否執(zhí)行這些宏,這進(jìn)選擇“取消宏”進(jìn)入Word并打開文檔,再進(jìn)一步對(duì)文檔進(jìn)行“宏”檢查。對(duì)使用Word97以前版本的用戶,需要自行編制一個(gè)名為AutoExec的。將AutoExec宏保存在一個(gè)另外命名的Word模板中,比如AE.dot,當(dāng)要使用外來(lái)的Word文檔時(shí),將AE.dot模板該名為Normal.dot(備份原來(lái)的Normal.dot),宏AutoExec執(zhí)行時(shí),將關(guān)閉其它所有動(dòng)執(zhí)行的Word宏。如果不使用外來(lái)文檔,可以將原來(lái)備份的Normal.dot模板再該名拷貝回來(lái)。
清除步驟如果確信你的文件和系統(tǒng)已不幸感染了宏病毒。毫無(wú)疑問,應(yīng)該停下手邊的其它工作,爭(zhēng)取徹底清除宏病毒。一般可采取以下兩個(gè)步驟:1、進(jìn)入“工具|宏”,查看模板Normal.dot,若發(fā)現(xiàn)有Filesave、Filesaveas等文件操作宏或類似AAAZAO、AAAZFS怪名字的宏,說明系統(tǒng)確實(shí)感染了宏病毒,刪除這些來(lái)歷不明的宏。對(duì)以Auto×××命名的,若不是用戶自己命名的自動(dòng)宏,則說明文明感染了宏病毒,刪除它們。若是用戶自己創(chuàng)建的自動(dòng)宏,可以打開它,看是否與原來(lái)創(chuàng)建時(shí)的內(nèi)容一樣,如果存在被改變處,說明你編制的自動(dòng)宏已經(jīng)宏病毒修改這時(shí)應(yīng)該將自動(dòng)宏修改為原來(lái)編制的內(nèi)容。在最糟的情況下,如果分不清那些是宏病毒,為安全起見,可刪除所有來(lái)路不明的宏,甚至是用戶自己創(chuàng)建的宏。因?yàn)榧幢銊h錯(cuò)了,也不會(huì)對(duì)Word文檔內(nèi)容產(chǎn)生任何影響,僅僅是少了“宏功能”。如果需要,還可以重新編制。2、即使在“工具|宏”刪除了所有的病毒宏,并不意味著你可以高枕無(wú)憂了。因?yàn)椴《驹w還在文本中,只不過暫時(shí)不活動(dòng)了,也許還會(huì)死灰復(fù)燃。為了徹底消除宏病毒,再時(shí)入“文件|新建”,選擇“模板”,正常情況下,可以在“文件模板”處見到“Normal.dot”,如果沒有,說明文檔模板文件Normal.dot已被病毒修改了。這時(shí)用你手邊原來(lái)備份的Normal.dot覆蓋當(dāng)前的Normal.dot;或你沒有備份,則刪掉然毒Normal.dot,重新進(jìn)入Word,在“模板”里,重置默認(rèn)字體等選項(xiàng)后退出Word,系統(tǒng)就會(huì)自動(dòng)創(chuàng)建一個(gè)干凈的Normal.dot。再進(jìn)入Word,再打開原來(lái)的文本,并新建另一個(gè)空文檔,這時(shí)新建文檔是干凈的;將原文件的全部?jī)?nèi)容拷貝到新文件中,關(guān)閉感染宏病毒的文本,然后再將新文本保存為原文件名存儲(chǔ)。這樣,宏病毒就感染徹底清除了,原文件也恢復(fù)了原樣,可以放心大膽地編輯、修改、存儲(chǔ)了。雖然上述方法對(duì)大部分宏病毒可徹底清除,但是“道高一尺,魔高一丈”,有些智能點(diǎn)數(shù)比較高的宏病毒,會(huì)事先防范,讓宏編輯功能失效,進(jìn)入“工具|宏”的時(shí)候,看不到病毒的名字,因此,也就無(wú)法刪除它們。對(duì)付這“狡猾”的宏病毒,可選用殺宏病毒的專門軟件如KV300、VAV、瑞星等進(jìn)行殺除。并注意檢查出文件可能感染病毒后,首先對(duì)文件備份,然后再執(zhí)行清除命令,以免意情況下殺掉病毒的同時(shí)改變?cè)募膬?nèi)容。以上是關(guān)于宏病毒的預(yù)防和殺除??傊?,首先要保證文檔環(huán)境無(wú)病毒,即Normal.dot文檔模板是干凈的;其次是要預(yù)防在Word里打開的文本攜有病毒;最后,發(fā)現(xiàn)了宏病毒后,要采取行之有效的措施,保證文檔環(huán)境、文檔本身恢復(fù)到無(wú)病毒狀態(tài)。
清除后遺癥編輯宏病毒“后遺癥”的清除以“臺(tái)灣一號(hào)”為代表的專門感染W(wǎng)ORD文檔的新型病毒——宏病毒侵入計(jì)算機(jī)。許多人的染毒文檔在殺毒之后(或手工,或殺毒軟件),依然是以一種模板形式存盤。這樣就導(dǎo)致“另存為”命令失效,即此文件已不能轉(zhuǎn)換為別的文件格式(如TXT)。其實(shí)這就是宏病毒留下的“后遺癥”,應(yīng)該把它清除干凈。下面就談?wù)勅绾吻宄@種“后遺癥”。DOC文件被宏病毒感染后,它的屬性必然會(huì)被改為模板,而不是文檔(盡管形式上其擴(kuò)展名仍是DOC)。此時(shí)可按下述步驟進(jìn)行處理:1,將該文件打開。2,選擇全部?jī)?nèi)容,復(fù)制到剪貼板。3,關(guān)閉此文件。4,新建一個(gè)DOC文件(此前應(yīng)保證Normal模板干凈)。5,粘貼剪貼板上的內(nèi)容。6,另存為原文件名(將原來(lái)模板屬性的文件覆蓋)。完成后,該文檔的“另存為”命令可以正常使用了,宏病毒的“后遺癥”清除完畢。照此法處理所有曾經(jīng)染毒的文檔。最后想說一句,清除宏病毒時(shí),若染毒文檔太多,手工方法將非常繁瑣,亦可以使用殺毒軟件來(lái)清除。
電腦病毒:宏病毒相關(guān)文章:
7.宏病毒的危害