宏病毒是壹種寄存在文檔或模板的宏中的計算機病毒。下面由我帶妳走進宏病毒中!讓妳充分的了解宏病毒!謝謝!
宏病毒:
壹旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存的文檔都會?感染?上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。如果某個文檔中包含了宏病毒,我們稱此文檔感染了宏病毒;如果WORD系統中的模板包含了宏病毒,我們稱WORD系統感染了宏病毒。
來源
雖然OFFICE97/Word97無法掃描軟盤、硬盤或網絡驅動器上的宏病毒。但當打開壹個含有可能攜帶病毒的宏的文檔時,它能夠顯示宏警告信息。並且在2013年後的殺毒軟件已支持宏病毒掃描。
這樣就可選擇打開文檔時是否要包含宏,如果希望文檔包含要用到的宏(例如,單位所用的定貨窗體),打開文檔時就包含宏。
如果您並不希望在文檔中包含宏,或者不了解文檔的確切來源。例如,文檔是作為電子郵件的附件收到的,或是來自網絡或不安全的 Internet節點。在這種情況下,為了防止可能發生的病毒傳染,打開文檔過程中出現宏警告提示時最好選擇?取消宏?。
OFFICE97軟件包安裝後,系統中包含有關於宏病毒防護的選項,其默認狀態是允許?宏病毒保護?復選框。如果願意,您可以終止系統對文檔宏病毒的檢查。當Word顯示宏病毒警告信息時,清除?在打開帶有宏或自定義內容的文檔時提問?復選框。或者關閉宏檢查:單擊?工具?菜單中的?選項?命令,再單擊?常規?選項卡,然後清除?宏病毒保護?復選框。
不過我強烈建議您不要取消宏病毒防護功能,否則您會失去這道防護宏病毒的天然屏障。
上世紀90年代的宏病毒主要感染文件有 word、 Excel 的文檔。並且會駐留在Normal面板上
據統計,通過Internet傳播的不同類型的病毒數量如下:
DOS型: 10000至11000種
Windows型:12種
Macintosh型:35種 宏病毒: 200余種
Unix型: 6種
其中10000-11000種DOS型病毒能感染所有DOS、Windows95平臺的計算機(但不感染Macintosh計算機);但200余種宏病毒中的大部分能感染所有計算機,包括PC機和Macintosh機。所謂宏,就是壹些命令組織在壹起,作為壹個單獨命令完成壹個特定任務(如Word中的宏命令)。
2判斷 方法 編輯
雖然不是所有包含宏的文檔都包含了宏病毒,但當有下列情況之壹時,您可以百分之百地斷定您的OFFICE文檔或OFFICE系統中有宏病毒:
1、在打開?宏病毒防護功能?的情況下,當您打開壹個您自己寫的文檔時,系統會會彈出相應的警告框。而您清楚您並沒有在其中使用宏或並不知道宏到底怎麽用,那麽您可以完全肯定您的文檔已經感染了宏病毒。
2、同樣是在打開?宏病毒防護功能?的情況下,您的OFFICE文檔中壹系列的文件都在打開時給出宏警告。由於在壹般情況下我們很少使用到宏,所以當您看到成串的文檔有宏警告時,可以肯定這些文檔中有宏病毒。
3、如果軟件中關於宏病毒防護選項啟用後,不能在下次開機時依然保存。WORD97中提供了對宏病毒的防護功能,它可以在?工具/選項/常規?中進行設定。但有些宏病毒為了對付OFFICE97中提供的宏警告功能,它在感染系統(這通常只有在您關閉了宏病毒防護選項或者出現宏警告後您不留神選取了?啟用宏?才有可能)後,會在您每次退出 OFFICE時自動屏蔽掉宏病毒防護選項。因此您壹旦發現:您的機器中設置的宏病毒防護功能選項無法在兩次啟動WORD之間保持有效,則您的系統壹定已經感染了宏病毒。也就是說壹系列WORD模板、特別是normal.dot 已經被感染。
鑒於絕大多數人都不需要或者不會使用?宏?這個功能,我們可以得出壹個相當重要的結論:如果您的OFFICE文檔在打開時,系統給出壹個宏病毒警告框,那麽您應該對這個文檔保持高度警惕,它已被感染的幾率極大。註意:簡單地刪除被宏病毒感染的文檔並不能清除OFFICE系統中的宏病毒![1]
3防治清除編輯
宏病毒原理1、首選方法:用最新版的反病毒軟件清除宏病毒。使用反病毒軟件是壹種高效、安全和方便的清除方法,也是壹般計算機用戶的首選方法。但是宏病毒並不象某些廠商或麻痹大意的人那樣認為的有所謂?廣譜?的查殺軟件,這方面的突出例子就是ETHAN宏病毒。
ETHAN宏病毒相當隱蔽,比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒軟件(應該算比較新的版本了)都無法查出它。此外這個宏病毒能夠悄悄取消WORD中宏病毒防護選項,並且某些情況下會把被感染的文檔置為只讀屬性,從而更好地保存了自己。因此,對付宏病毒應該和對付 其它 種類的病毒壹樣,也要盡量使用最新版的查殺病毒軟件。無論妳使用的是何種反病毒軟件,及時升級是非常重要的。比如雖然KV300 Z+版不能查殺ETHAN宏病毒,但最新推出的KV300 Z++已經可以查殺它。
2、應急處理方法:用寫字板或WORD 6.0文檔作為清除宏病毒的橋梁。如果您的WORD系統沒有感染宏病毒,但需要打開某個外來的、已查出感染有宏病毒的文檔,而手頭現有的反病毒軟件又無法查殺它們,那麽您可以試驗用下面的方法來查殺文檔中的宏病毒:打開這個包含了宏病毒的文檔(當然是啟用WORD中的?宏病毒防護?功能並在宏警告出現時選擇?取消宏?),然後在?文件?菜單中選擇?另存為?,將此文檔改存成寫字板(RTF)格式或WORD6.0格式。
在上述方法中,存成寫字板格式是利用RTF文檔格式沒有宏,存成 WORD 6.0格式則是利用了WORD97文檔在轉換成WORD6.0格式時會失去宏的特點。寫字板所用的rtf格式適用於文檔中的內容限於文字和圖片的情況下,如果文檔內容中除了文字、圖片外還有圖形或表格,那麽按 WORD6.0格式保存壹般不會失去這些內容。
存盤後應該檢查壹下文檔的完整性,如果文檔內容沒有任何丟失,並且在重新打開此文檔時不再出現宏警告則大功告成。
4病毒危害編輯
掃描宏病毒主要在以下方面:
壹、宏病毒的主要破壞
WORD宏病毒的破壞在兩方面:
1.對WORD運行的破壞是:不能正常打印;封閉或改變文件存儲路徑;將文件改名;亂復制文件;封閉有關菜單;
文件無法正常編輯。如Taiwan No.l Macro病毒每月13日發作,所有編寫工作無法進行。
2.對系統的破壞是:Word Basic語言能夠調用系統命令,造成破壞。
二、宏病毒隱蔽性強,傳播迅速,危害嚴重,難以防治
與感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隱蔽性強,傳播迅速,危害嚴重,難以防治等特點。
1.宏病毒隱蔽性強
由於人們忽視了在傳遞壹個文檔時也會有傳播病毒的機會。
2.宏病毒傳播迅速
因為辦公數據的交流要比拷貝.EXE文件更加經常和頻繁,如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話,那麽這壹招對Word病毒將束手無策。
3.危害嚴重[2]
因為Microsoft Word幾乎已經成為全世界辦公文檔的事實工業標準,其影響是全球範圍的,在中國也絕不例外。Word文件的交換是目前辦公數據交流和傳送的最通常的方式之壹,其涉及面比盜版軟件的傳播要大得多,傳播速度則更加有過之而無不及。據報道,70%-80%的中國計算機用戶已經不再單純使用MSDOS作為唯壹的操作環境,看VCD和使用Word成為用戶使用Windows應用程序的榜首。無數的DOC文件從上級機關金字塔般地傳播到基層, 基層又上報到上級機關,從各個單位的辦公室到工作者的家庭,到出版部門的計算機系統。於是,便存在這樣壹種可能,當成千上萬的x86計算機系統在傳播和復制這些數據以及文檔文件的同時,也在忠實地傳播和復制這些病毒。
由於該病毒能跨越多種平臺,並且針對數據文檔進行破壞,因此具有極大的危害性,該病毒在公司通過內聯網相互進行文檔傳送時,迅速蔓延,往往很快就能使公司的機器全部染上病毒。
4.難以防治
由於宏病毒利用了Word的文檔機制進行傳播,所以它和以往的病毒防治方法不同。壹般情況下,人們大多註意可執行文件(.COM、.EXE)的病毒感染情況,而Word宏病毒寄生於Word的文檔中,而且人們壹般都要對文檔文件進行備份,因此病毒可以隱藏很長壹段時間。
5病毒起源編輯
掃描宏病毒宏病毒起源 當病毒的先驅者們醉心於他們高超的匯編語言技術和成果時,可能不會想到後繼者能以更加簡單的手法制造影響力更大的病毒。Word宏病毒就是其中最具有代表性的範例之壹。
其實宏病毒的出現並非出乎人們的意料,早在80年代後期就有專家預言過。那時,有些學生就用某些應用程序的宏語言編寫病毒。然而,宏病毒與普通病毒不同,它不感染.EXE或.COM文件,而只感染文檔文件。宏病毒就像自然界中令人恐懼的龍卷風,對人們正常使用計算機進行學習和工作帶來了不可估量的影響,同時也造成了社會財富的巨大浪費。
1996年12月13日,壹種被稱為?TaiwanNo.1?的病毒同時在北京和深圳被發現,壹例來自於Internet的下載文件,另壹例來自某醫院的壹項合作 協議書 。在壹個專門研究醫學病毒的捍衛人體健康的機構發現被計算機病毒侵襲的事件,可真是有些戲劇性的效果。凡是經歷過小球病毒發作的人都能體味這樣壹種恐慌的感覺,恐慌的根源就是您對病毒本身尚壹無所知時,感覺命運似乎剎那間就即將被別人掌握了。Internet電子郵件已日益成為病毒的攜帶者。當您在Internet上用Email收看郵件時,是否想到,您可能會受到計算機病毒的威脅。壹般壹個純粹的電子郵件內容沒有病毒,但其附加的文件極可能帶有病毒。附加文件的病毒擴散首先需要運行它。舉個例子來說:您收到了壹個附加有用Word編輯的文件,這個Word文件被病毒感染了,當您運行該附加文件時,計算機就會受到病毒的威脅。
所謂宏,就是壹些命令組織在壹起,作為壹個單獨命令完成壹個特定任務。MicrosoftWord中對宏定義為:?宏就是能組織到壹起作為壹獨立的命令使用的壹系列word命令,它能使日常工作變得更容易?。Word使用宏語言WordB_asic將宏作為壹系列指令來編寫。要想搞清楚宏病毒的來龍去脈,必須了解Word宏的知識及wordBasic編程技術。Wo_rd宏病毒是壹些制作病毒的專業人員利用MicrosoftWord的開放性即word中提供的WordBASIC編程接口,專門制作的壹個或多個具有病毒特點的宏的集合,這種病毒宏的集合影響到計算機使用,並能通過.DOC文檔及.DOT模板進行自我復制及傳播。
6病毒特點編輯
宏病毒是針對微軟公司的文字處理軟件Word編寫的壹種病毒。微軟公司的文字處理軟件是最為流行的編輯軟件,並且跨越了多種系統平臺,宏病毒充分利用了這壹點得到恣意傳播。宏病毒作為壹種新型病毒有其特性與***性。
特性
(1)傳播極快
Word宏病毒通過.DOC文檔及.DOT模板進行自我復制及傳播,而計算機文檔是交流最廣的文件類型。人們大多重視保護自己計算機的引導部分和可執行文件不被病毒感染,而對外來的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳播帶來很多便利。特別是Internet網絡的普及,Email的大量應用更為Word宏病毒傳播鋪平道路。根據國外較保守的統計,宏病毒的感染率高達40%以上,即在現實生活中每發現100個病毒,其中就有40多個宏病毒,而國際上普通病毒種類已達12000多種。
(2)制作、變種方便
以往病毒是以二進制的計算機機器碼形式出現,而宏病毒則是以人們容易閱讀的源代碼宏語言WordBasic形式出現,所以編寫和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種,其變種與日俱增,追究其原因還是Word的開放性所致。Word病毒都是用WordBasic語言所寫成,大部分Word病毒宏並沒有使用Word提供的Execute-Only處理函數處理,它們仍處於可打開閱讀修改狀態。所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當然會有?不法之徒?利用掌握的Basic語句簡單知識把其中病毒激活條件和破壞條件加以改變,立即就生產出了壹種新的宏病毒,甚至比原病毒的危害更加嚴重。
(3)破壞可能性極大
鑒於宏病毒用WordBasic語言編寫,WordBasic語言提供了許多系統級底層調用,如直接使用DOS系統命令,調用WindowsAPI,調用DDE或DLL等。這些操作均可能對系統直接構成威脅,而Word在指令安全性、完整性上檢測能力很弱,破壞系統的指令很容易被執行。宏病毒Nuclear就是破壞 操作系統 的典型壹例。
(4)多平臺交叉感染
宏病毒沖破了以往病毒在單壹平臺上傳播的局限,當WORDJXCEL這類著名應用軟件在不同平臺(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上運行時,會被宏病毒交叉感染。
***性
宏病毒具有壹些***性:
1,以往病毒只感染程序,不感染數據文件,而宏病毒專門感染數據文件,徹底改變了人們的?數據文件不會傳播病毒?的錯誤認識。宏病毒會感染.DOC文檔文件和.DOT模板文件。被它感染的.DOC文檔屬性必然會被改為模板而不是文檔,但不壹定修改文件的擴展名。而用戶在另存文檔時,就無法將該文檔轉換為任何其他方式,而只能用模板方式存盤。這壹點在多種文本編輯器需轉換文檔時是絕對不允許的。
2,染毒文檔無法使用?另存為(SaveAs)?修改路徑以保存到另外的磁盤/子目錄中。
3,病毒宏的傳染通常是Word在打開壹個帶宏病毒的文檔或模板時,激活了病毒宏,病毒宏將自身復制至Word的通用(Normal)模板中,以後在打開或關閉文件時病毒宏就會把病毒復制到該文件中。
4,大多數宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自動宏。只有這樣,宏病毒才能獲得文檔(模板)操作控制權。有些宏病毒還通過FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件的操作。
5,病毒宏中必然含有對文檔讀寫操作的宏指令。