关于宏病毒的原理及其防范技术

1、 宏病毒的基本概念

如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒，如果woro系统中的模板包含了宏病毒，我们称word系统感染了宏病毒。

2、 宏病毒来源

虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒.但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息,并且在2013年后的杀毒软件己支持宏病毒扫描。

这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏

如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的intemet节点,在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”

OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选相。如果愿意,您可以终止系统对文档宏病毒的检查当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框,或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。

不过建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。

上世纪90年代的宏病毒主要感染文件有word、Excel的文档,并且会驻留在Normal.dot面板上

据统计，通过internet传播的不同类型的病毒数量如下：

DOS型：10000至11000种

Windows型：12种

Macintosh型：35种

宏病毒：200余种

Unix型：6种

其中10000-11000种DOS病毒能感染所有DOS、windows95平台的计算机（但不感染macintosh计算机）：但200余种宏病毒中的大部分能感染所有计算机，包括pc机和macintosh机。所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务（如word中的宏命令）。

3、 宏病毒判断方法

虽然虽然不是所有包含宏的文档都包含了宏病毒,但当有下列情况之一时,您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：

1.在打开“宏病毒防护功能”的情况下,当您打开一个您自己写的文档时,系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。

2.同样是在打开“宏病毒防护功能”的情况下,您的OFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。

3.如果软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。OFFICE97中提供了对宏病毒的防护功能,它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后,会在您每次退出时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效, 则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot已经被感染。

鉴于绝大多数人都不需要或者不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框, 那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!

4、 宏病毒防治清除

1.首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。

ETHAN宏病毒相当隐蔽,比如您使用KV300 Z+、RAV V9.0(11)、KILL 85.03等反病毒软件(应该算比较新的版本了)都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项,并且某些情况下会把被感染的文档置为只读属性,从而更好地保存了自己。

宏病毒原理

因此,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件,及时升级是非常重要的。比如虽量KV300 Z+版不能查杀宏病毒,但最新推出的已经可以查杀它。

2.应急处理方法:用写字板或WORD6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。

在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存成WORD6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的RTF格式适用于文档中的内容限于文字和图片的情况下,如果文档内容中除了文字、图片外还有图形或表格,那么按WORD6.0格式保存一般不会失去这些内容。存盘后应该检查一下文档的完整性,如果文档内容没有任何丢失,并且在重新打开此文档时不再出现宏警告则大功告成

5、 宏病毒判断

如果必须保留原有的文档排版格式,可以有以下几种方式预防或判断是否有宏病毒。
1.为了防止病毒的侵入,用户在新安装了Word后,可打开一个新模板,将Word的工作环境按你的使用习惯进行设置,并将你需要使用的宏一次编制好,做完后,保存为Normal.dot。新的按你的需要设置并绝对没有宏病毒,将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候,用备份的Normal.dot覆盖当前的模块。另外,为了防止病毒蔓延,可将你新设置的Normal.dot文件的属性设置成“只读”,以后当退出Word环境时, 如果出现自动修改“Normal.dot”的对话框,而你并没有录制新的宏,说明有宏病毒,此时选择“否”,以保持Wod环境的干净。
2.在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒能用“Auto×××”命名)。这样能保证用户在安全启动Word文档后,再时行必要的病毒检查。对于使用Word97版本的用户,Word97已经提供此项功能,将其激活或开即可。方法是点击“工具|选项”,然后单击“常规”,选择“宏病毒防护”,使其有效,这样,当前打开的Word文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时,如果打开的文档带有“自动宏”,并询问用户是否执行这些宏,这进选择“取消宏”进入Word并打开文档,再进一步对文档进行“宏”检查。对使用Word97以前版本的用户,需要自行编制一个名为的AtuoExec。将AtuoExec宏保存在一个另外命名的Word模板中,比如AE.dot，当要使用外来的Word文档时,将AE.dot模板该名为Normal.dot（备份原来的Normal.dot），宏AtuoExec执行时,将关闭其它所有动执行的Word宏。如果不使用外来文档,可以将原来备份的Normal.dot模板再该名拷贝回来。

6、 宏病毒清除步骤

如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问,应该停下手边的其它工作,争取彻底清除宏病毒。一般可采取以下两个步骤

关于宏病毒的原理及其防范技术

1.入“工具|宏”,查看模板若发现有Normal.dot，若发现有Filesavea Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏,说明系统确实感染了宏病毒, 删除这些来历不明的宏。对以Auto×××命名的,若不是用户自己命名的自动宏则说明文明感染了宏病毒,删除它们。若是用户自己创建的自动宏,可以打开它, 看是否与原来创建时的内容一样,如果存在被改变处,说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下,如果分不清那些是宏病毒,为安全起见,可删除所有来路不明的宏,甚至是用户自己创建的宏。因为即便删错了,也不会对Word文档内容产生任何影响,仅仅是少了“宏功能”。如果需要,还可以重新编制。

2.即使在“工具|宏”删除了所有的病毒宏,并不意味着你可以高枕无忧了。因为病毒原体还在文本中,只不过暂时不活动了,也许还会死灰复燃。为了彻底消除宏病毒,再时入“文件|新建”,选择“模板”,正常情况下,可以在“文件模板”处见到“Normal.dot”,如果没有,说明文档模板文件已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot:或你没有备份,则删掉然毒重新进入在“模板”里,重置默认字体等选项后退出Word,系统就会自动创建一个干净的Normal.dot。再进入Word,再打开原来的文本,并新建另一个空文档,这时新建文档是干净的:将原文件的全部内容拷贝到新文件中,关闭感染宏病毒的文本,然后再将新文本保存为原文件名存储。这样,宏病毒就感染彻底清除了,原文件也恢复了原样,可以放心大胆地编辑、修改、存储了。

虽然上述方法对大部分宏病毒可彻底清除,但是“道高一尺,魔高一丈”,

有些智能点数比较高的宏病毒,会事先防范,让宏编辑功能失效,进入“工具宏”的时候,看不到病毒的名字,因此,也就无法删除它们。对付这“狡猾”的宏病毒,可选用杀宏病毒的专门软件如KV300WV、瑞星等进行杀除。并注意检查出文件可能感染病毒后,首先对文件备份,然后再执行清除命令,以免意情况下杀掉病毒的同时改变原文件的内容。以上是关于宏病毒的预防和杀除。总之,首先要保证文档环境无病毒,即文档模板是干净的:其次是要预防在Word里打开的文本携有病毒:最后,发现了宏病毒后,要采取行之有效的措施,保证文档环境、文档本身恢复到无病毒状态。

7、 宏病毒清除后遗症

宏病毒“后遗症”的清除

以“台湾一号”为代表的专门感染WORD文档的新型病毒---宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工,或杀毒软件),依然是以一种模板形式存盘,这样就导致“另存为”命令失效,即此文件已不能转换为别的文件格式(如TXT),其实这就是宏病毒留下的“后遗症”,应该把它清除干净。下面就谈谈如何清除这种“后遗症

DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档(尽管形式上其扩展名仍是DOC。此时可按下述步骤进行处理

1,将该文件打开。2,选择全部内容,复制到剪贴板。3,关闭此文件。4,

新建一个DOC文件(此前应保证Norml模板干净)。5,粘贴剪贴板上的内容。6,另存为原文件名(将原来模板属性的文件覆盖)。

完成后,该文档的“另存为”命令可以正常使用了,宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的文档。最后想说一句,清除宏病海时,若染毒文档太多,手工方法将非常繁琐,亦可以使用杀毒软件来清除

2．全面封杀网页病毒

学你如何齐点封杀网页病毒学你如何片面封宰网页病毒

在所无的病毒传布的道路外,应用网页流传病毒的迫害非最小的。稍不留心就可能西招。实在,咱们完整能够变被静的查宰替自动的防备,干到防患于已然。

3．屏蔽指定网页

对一些包括歹意代码的网页,在知道其地址的情形上,我们可以将其屏蔽掉启动IE浏览器后,打开“工具”菜单下的“Internet选项”命令,将打开的窗口切换到“内容”选项卡,在“分级审查”中单击“启用”按钮,将打开的“内容审查程序”窗口切换到“许可站点”选项卡,然后在“允许该站点”中输入其地址输入其地址并单击“从不”按钮将其添加到拒绝列表中即可。

4．提高安全级别

提高IE的安全级别来来防范网页病毒。

将前面打开的窗口切换到“安全”选项卡,然后单击“自定义级别”按钮打开“安全设置窗口”,将“Active控件和插件”、“脚本”下的所有选项都尽可能的设为“禁用”,同时将“重置自定义设置”设为“安全级一高”即可将后面关上的窗心切换到“平安”选项卡,而后复击“从定义级别”按钮翻开“危齐设置”窗心,将“ActiveX控件跟拔件”、“手标”高的所无选项,皆尽否能的设替“禁用”,共时将“沉置自定义设置”设替“保险级一高”便否。

5.确保WSH保险

很多网页会利用VBScript编造病毒,它们利用Windows自带的Scripting Host激活运行。对此,我们可以采用卸载系统自带的WSH或将其升级来防范病毒的横行。

如因是Windows 9x体系,这么只有打开“添加/删除程序”项,而后通功修改 Windows组件,把“附件”项中的“Windows Scripting Host ”撤消便可;假如非 windows 2000/xp操坐更加简略,只须要打开件夹选项窗口,然后在“文件类型”选项卡,找到“ VBS VBScript File”选项并将其删除即可。

另外我们也可以通过到微软网站下载安装最新的WSH,那样也可以在一定程度上防止VBScript病毒的运行。

6.禁止远程程注册表服务

通常情形下,我们是不需要程启动远程注册表服务的,由于很多恶意网页病毒是通过修改注册表来达到自己的目的,因而我们可以将该服务封闭。进入把控制面板,在“管理工具”文件中打开“服务”项,而后双击右侧的“Remnote Registry”将其启动类型设为“已禁用”,并单击“停用”按钮即可。

要预防网页病毒对自己的损害,除了做好上面的保护工作外,还必须养成良好的应用习惯,有条件的应该安装防火墙和杀毒硬件,那样也可以在一定程度上阻挡网页脚本程序的运行。

8、 宏病毒的实验方法/步骤

宏病毒的破坏性较大,具有一定的隐藏性,采用常规的病毒判定方法,不能判断宏病毒的存在