宏病毒

宏病毒
是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。


什么是宏病毒

宏病毒是一些别有用心的人，利用Microsoft Office的开放性，即Word中提供的VBA编程接口，专门制作的一个或多个具有病毒特点的宏的集合。其特点是传播极快、制作变种方便、破坏性极大。

大多数宏病毒中含有自动宏或对文档读写操作的宏指令，以BFF（Binary File Format）的加密压缩格式存放在.doc或.dot文件中，每种Word版本格式可能不兼容。

目前发现的几种主要宏病毒有：Wazzu、Concept、13号病毒、Nuclear、July.killer(又名“七月杀手”)。

宏病毒是通过DOC文档及DOT模板进行自我复制及传播。DOC文件被宏病毒感染后，它的属性必然会被改为模板，而不是文档 (尽管形式上其扩展名仍是DOC)。一旦打开这样的文件，宏病毒就会被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒。

查杀宏病毒

因为每个版本的Word BFF格式不完全一样，所以宏病毒在不同版本的Word中被压缩的格式和存放的位置都不同，所以，用杀毒软件杀除宏病毒，关键是杀毒后要能正确、安全地恢复文件参数。

笔者目前使用的是KV300杀毒软件，它的解毒方法有两种。

方法1：在Windows环境下执行kvw3000.exe，任选一可能存在宏病毒的子目录进行查杀。KV300在查出病毒后，为了安全起见，先将其扩展名改为.kv，然后再将原文件中的病毒杀除。

方法2：在DOS环境下，用干净的Windows 98系统软盘引导机器，运行KV300，出现主菜单后，按下可能存在宏病毒的盘符键，就会对宏病毒自动清除，精确地恢复了文件的参数，文件可正常地打开。



当你遇到来历不明的word文档提示有宏存在时,先用杀毒软件查杀一下,不可贸然打开,千万千万,切记切记


一、宏病毒的原理

病毒WORD/EXCEL宏病毒的特性较为相似，因此我们仅以WORD宏病毒为例，说明宏病毒的作用、传染以及发作的机理和特性。

宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。目前在可被宏病毒感染的系统中，以微软的Word、Excel居多。

二、宏病毒的作用机制

以Word为例，一旦病毒宏侵入WORD，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会纂夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有病毒宏（包括自动宏）复制到该文档中。被转换成模板格式后的染毒文件无法转存为任何其它格式。含有自动宏的宏病毒染毒文档，当被其它电脑的WORD系统打开时，便会自动感染该电脑。例如，如果病毒捕获并修改了FileOpen,那么，它将感染每一个被打开的WORD文件 。目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果WORD系统在读取一个染毒文件时遭受感染，则其后所有新创建的DOC文件都会被感染。

三、宏病毒的主要类型

有些宏病毒对用户进行骚扰，但不破坏系统，比如说有一种宏病毒在每月的13日发作时显示出一5个数字连乘的心算数学题。有些宏病毒或使打印中途中断或打印出混乱信息，如Nuclear、Kompu等属此类。有些宏病毒将文档中的部分字符、文本进行替换。但也有些宏病毒极具破坏性，如MDMA.A，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。此病毒在不同的Windows平台上有不同的破坏性表现，轻则删除帮助文件，重则删除硬盘中的所有文件。另外还有一种双栖复合型宏病毒，发作可使计算机瘫痪。

四、宏病毒的预防与清除

1、预防

①将常用的Word模板文件改为只读属性，可防止Word系统被感染；DOS下的autoexec.bat和config .sys文件最好也都设为只读属性文件。

②因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的，所以只要将自动执行宏功能禁止掉，即使有宏病毒存在，但无法被激活，也无法发作传染、破坏，这样就起到了防毒的效果。可以使用下面命令行来使所有自动宏无效：winword.exe/mDisableAutoMacros

2、清除

①手工：以Word为例，选取“工具”菜单中“宏”一项，进入“管理器”，选取标题为“宏”的一页，在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除即可。

②使用专业杀毒软件：目前杀毒软件公司都具备清除宏病毒的能力，当然也只能对已知的宏病毒进行检查和清除, 对于新出现的病毒或病毒的变种则可能不能正常地清除，或者将会破坏文件的完整性，此时还是手工清理为妙。


本节介绍几种常见的宏病毒。
13.2.1 Concept 病毒（又称Prank）
当第一次发现Word 感染该病毒时，会出现一个对话框，对话框中的文本只有一个“1”，按钮也只有一个“OK”键（在中文环境中为“确定”键）。病毒加载之后，就会修改【文件】菜单的【保存】命令所代表的宏，然后在每次保存文件的时候，就会将病毒保存到文件中。
受此病毒感染后，所编辑的文档只能按模板格式保存。Concept 病毒不会造成文件数据丢失。其症状是Word 的Normal 模板中会出现两个名字为AAAZAO 和AAAZFS 的宏命令，如图13-1 所示。另外还有一个PayLoad 宏，该宏只包含一句话“这足以证明我的观点（That’s enough to prove my point.）”，而不做其他事情。
虽然Concept 在这个宏里面没有包含任何内容，但是任何一个对宏有一定了解的人都可以修改这个宏，做一些可怕的事情，例如删除某些文件，修改磁盘上的一些关键参数或生成另外的一个更可怕的病毒。因此，虽然可以认为Concept 是良性病毒，但是必须注意，它随时都可以变成恶性病毒（这也是其他病毒发展的必然过程）。

13.2.2 Nuclear 病毒
该病毒会对文档打印功能造成破坏，并会破坏MS-DOS 系统文件。感染该病毒后，Word 的Normal 模板将出现以下宏命令：AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad，如图13-2 所示。

Nuclear 宏病毒可能造成以下危害：
（1）如果在任何时间的55~57 秒之间操作文件，病毒会在打印的文档上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC （停止法国在太平洋的所有核试验）”这句话。
（2）如果在下午5 点~6 点（系统时间）打开感染了Nuclear 病毒的文件，这台计算机将被PH33R 病毒感染，PH33R 病毒会产生一个 DOS 驻留程序。
（3）每年4 月5 日，Nuclear 病毒会将计算机中的IO.SYS 和 MSDOS.SYS 两个文件的长度置为零，并删除COMMOND.COM 文件，使 DOS 无法启动。

13.2.3 DMV 病毒
该病毒与Concept 病毒类似，使Word 中的【另存为】命令无效

13.2.4 宏病毒的一些变种
从第一个宏病毒Concept 诞生到1998 年底，Word 宏病毒已经出现了几千个变种，其中不少是恶性病毒，但是万变不离其宗，所有的病毒都需要在宏里面增加一个名字为“AutoLoad”的宏，下面介绍一些另外常见的宏病毒。
1. Alliance
感染.DOC 和.DOT 文件，仅在每月的2、7、11 和12 日感染和复制，并且屏幕显示一个信息窗，提示用户已感染病毒。
2. Boom
感染德文板的MS Word 软件的.DOC 和NORMAL.DOT 文件，每年的 3 月13 日13 时13 分13 秒发作，发作时胡乱更改菜单，显示政治笑话。
3. Clock：DE
感染德文板的MS Word 软件，在每月的1、2、13、21 和27 日，每个整点过后的5 分钟发作，发作时将文件打开和存取功能交替颠倒，并产生混乱。
4. Concept.F
基于Concept 病毒原型的宏病毒，病毒经过自身加密，在每月的 16 日发作，发作时分别用“，”、“e”和“not”替换文本中所有的“.”、“a”和“and”，并且屏幕显示一个信息窗，提示用户已感染病毒。
5. Concept.L
感染.DOC 和.DOT 文件，每月的17 日发作，发作时将删除“C：” 根目录下的有关文件，并且屏幕显示一个信息窗，提示用户已感染病毒。
6. Helper
感染.DOC 和.DOT 文件，在每月的10 日发作，发作时所有经过打开和创建操作后关闭的文件将被设置一个加密口令。
7. Kompu
该病毒是一个使用了加密、隐性技术的宏病毒。感染.DOC 和.DOT 文件，在每月的6 日和8 日发作。发作时在屏幕上显示一个信息窗，提示用户输入口令，用户必须输入“KOMM”以关闭此窗口，否则，病毒将通过打印机打印出混乱的信息。
8. MDMA.A
每月的1 日发作，可感染多种操作系统（Windows、Windows 95、 Macintosh 和Windows NT），在Windows 3.x 下发作时，会在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的恶意指令，后果严重。
9. MDMA.C
上述病毒的一个变种，每月的20 日后的任何一天都可能发作，可感染Windows、Windows 95 和Windows NT，设置密码口令，删除 C:\Windows\system\*.CPL 文件。
10. Nuclear.B
有三种可能的发作方式：
（1）4 月5 日，删除Command.com 文件。
（2）17~18 日使用，释放一个DOS 的可执行文件病毒PH33R.1332。
（3）在某时某分的54~59 秒间打印文件时，将会加入下面一行文字：“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC（停止法国在太平洋的所有核试验）”。
11. Phardera
发作时屏幕显示一个信息窗，干扰用户正常工作，同时从【工期】菜单中删除【宏】和【自定义】命令，阻碍用户手工杀毒。
12. Saver:DE
德文版宏病毒，4 月21 日发作。
13. Taiwan.Theatre
双字节宏病毒，每月的1 日发作，破坏系统硬盘数据。
14. TW-No.1（台湾1 号）
每月的13 日发作，发作时在屏幕上显示一个窗口，要求用户做4 位数连乘，若做错，将连续打开窗口，让用户继续做题，由于系统资源不断消耗，系统运行速度将越来越慢。