Word宏病毒認(rèn)識及防治策略

病毒是針對微軟公司的字處理軟件Word編寫的一種病毒。微軟公司的字處理軟件是目前最為流行的編輯軟件。由于宏病毒利用了Word的文檔機制進(jìn)行傳播，它和以往的病防治方法不同，一般情況下，人們大多注意可執(zhí)行文件的病毒感染情況，而Word宏病毒寄生于Word的文檔中，而且人們一般都要對文檔文件進(jìn)行備份，因此病毒可以隱藏很長一段時間。病毒能跨越多種平臺，并且針對數(shù)據(jù)文檔進(jìn)行破壞，因此具有極大的危害性，該病毒通過互聯(lián)網(wǎng)相互進(jìn)行文檔傳送時，迅速漫延，不到一周時間使機器全部染上病毒。

一、Word工作原理

Word是一個功能很強大的字處理軟件，流行于各種平臺上，它不僅和Windows其它軟件有著天然的密切聯(lián)系，而且它的文檔機制是基于面向?qū)ο蟮奈臋n機制建立的。它提供了強大的Word Basic的編程能力，可以支持DEE等多種Windows的機制。

Word還提供強大的功能——宏，宏是能組織到一起作為一獨立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word使用宏語言Word Basic。

Word啟動時，自動加載Start up下模板及Normal.dot模板，以及它們所包含的宏?？梢詾楹曛付ㄌ厥獾拿Q，使其變?yōu)樽詣雍?。Word可以識別以下名稱的自動宏。

宏 名 運行條件

AutoExec 啟動Word時

AutoNew 每次新建文檔時

AutoOpen 每次打開已有文檔時

AutoClose 每次關(guān)閉文檔時

AutoExit 退出Word時

宏病毒是一種特殊的宏。它修改了這些自動宏，并附在

文檔中進(jìn)行傳播，下面通過對一個宏病毒說明其傳染方式。

二、宏病毒的表現(xiàn)

目前發(fā)現(xiàn)的幾種主要宏病毒有：Waiiu、Concept、13號病毒（又稱“臺灣1號”病毒）。13號病毒運行在中文Word上，其發(fā)作時間為每月13號，用戶打開文件時出一道四則運算題，往往這道題必須經(jīng)過本機的Word Basic運算才能做對，而用計算器，或其它機器均有可能產(chǎn)生錯誤；如果答對，則進(jìn)行宏病毒的問答，如“我是宏病毒，如何預(yù)防我，”答案是“不要看我?！比绻幸粋€地方答錯，則創(chuàng)建20個文檔，并不斷截取硬盤和內(nèi)存空間，直至系統(tǒng)癱瘓。如全部答對，系統(tǒng)才能進(jìn)入正確。

Waiiu、Concept主要運行于西文Word環(huán)境中。Waiiu病毒在正常的Word文件中加入Waiiu字符，并將格式打亂，從而損壞用戶的文件。Concept病毒也采用同樣的方式，在正常文件中加入其特征字符，從而影響用戶的正常工作。

宏病毒的傳染一般通過以下方式來進(jìn)行的：首先，宏病毒主要寄生在以下3個宏中：AutoOpen、AutoNew、AutoClose。帶病毒文檔一般是將文檔置成模板類型的文件，當(dāng)文件打開時，將寄生存在這3個宏中的病毒傳染給Normal.dot公用模板，再由公用模板傳染給所有正常的文檔。

三、Word宏病毒的預(yù)防和清除

從以上宏病毒的特性可以看出，宏病毒主要是利用自動宏（AutoOpen、AutoNew、AutoClose）以及Normal.dot公用模板來進(jìn)行傳播的，因此清除和預(yù)防宏病毒的方法也應(yīng)從這兩方面人手：

1、對于已染病毒的文件首先將Normal.dot中的自動宏清除（AutoOpen、AutoNew、AutoClose）；然后將Normal.dot置成只讀方式。

2、對于其它已染毒的文件均應(yīng)將自動宏消除，這樣就可以達(dá)到清除病毒的目的。

3、平時使用時要加強預(yù)防，對來歷不明的宏最好予以刪除；如果發(fā)現(xiàn)后綴為.DOC的文件變成模板時，則可懷疑其它已染宏病毒，其主要表現(xiàn)是在選擇文件類型的框變?yōu)榛疑?/p>

4、在打開文件時，按住Shift可以阻止自動宏的運行，用Disable AutoMacros阻止運行自動宏。

另外，還有一個有趣的現(xiàn)象，就是中英文Word中的宏病毒有時并不兼容，英文Word中的宏病毒可能在中文Word中無法運行和傳染。