電腦宏病毒
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。下面由學習啦小編帶你走進宏病毒中!讓你充分的了解宏病毒!謝謝!
宏病毒:
一旦打開這樣的文檔,其中的宏就會被執(zhí)行,于是宏病毒就會被激活,轉(zhuǎn)移到計算機上,并駐留在Normal模板上。從此以后,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉(zhuǎn)移到他的計算機上。如果某個文檔中包含了宏病毒,我們稱此文檔感染了宏病毒;如果WORD系統(tǒng)中的模板包含了宏病毒,我們稱WORD系統(tǒng)感染了宏病毒。
來源
雖然OFFICE97/Word97無法掃描軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動器上的宏病毒。但當打開一個含有可能攜帶病毒的宏的文檔時,它能夠顯示宏警告信息。并且在2013年后的殺毒軟件已支持宏病毒掃描。
這樣就可選擇打開文檔時是否要包含宏,如果希望文檔包含要用到的宏(例如,單位所用的定貨窗體),打開文檔時就包含宏。
如果您并不希望在文檔中包含宏,或者不了解文檔的確切來源。例如,文檔是作為電子郵件的附件收到的,或是來自網(wǎng)絡(luò)或不安全的 Internet節(jié)點。在這種情況下,為了防止可能發(fā)生的病毒傳染,打開文檔過程中出現(xiàn)宏警告提示時最好選擇“取消宏”。
OFFICE97軟件包安裝后,系統(tǒng)中包含有關(guān)于宏病毒防護的選項,其默認狀態(tài)是允許“宏病毒保護”復(fù)選框。如果愿意,您可以終止系統(tǒng)對文檔宏病毒的檢查。當Word顯示宏病毒警告信息時,清除“在打開帶有宏或自定義內(nèi)容的文檔時提問”復(fù)選框?;蛘哧P(guān)閉宏檢查:單擊“工具”菜單中的“選項”命令,再單擊“常規(guī)”選項卡,然后清除“宏病毒保護”復(fù)選框。
不過我強烈建議您不要取消宏病毒防護功能,否則您會失去這道防護宏病毒的天然屏障。
上世紀90年代的宏病毒主要感染文件有 word、Excel 的文檔。并且會駐留在Normal面板上
據(jù)統(tǒng)計,通過Internet傳播的不同類型的病毒數(shù)量如下:
DOS型: 10000至11000種
Windows型:12種
Macintosh型:35種 宏病毒: 200余種
Unix型: 6種
其中10000-11000種DOS型病毒能感染所有DOS、Windows95平臺的計算機(但不感染Macintosh計算機);但200余種宏病毒中的大部分能感染所有計算機,包括PC機和Macintosh機。所謂宏,就是一些命令組織在一起,作為一個單獨命令完成一個特定任務(wù)(如Word中的宏命令)。
2判斷方法編輯
雖然不是所有包含宏的文檔都包含了宏病毒,但當有下列情況之一時,您可以百分之百地斷定您的OFFICE文檔或OFFICE系統(tǒng)中有宏病毒:
1、在打開“宏病毒防護功能”的情況下,當您打開一個您自己寫的文檔時,系統(tǒng)會會彈出相應(yīng)的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文檔已經(jīng)感染了宏病毒。
2、同樣是在打開“宏病毒防護功能”的情況下,您的OFFICE文檔中一系列的文件都在打開時給出宏警告。由于在一般情況下我們很少使用到宏,所以當您看到成串的文檔有宏警告時,可以肯定這些文檔中有宏病毒。
3、如果軟件中關(guān)于宏病毒防護選項啟用后,不能在下次開機時依然保存。WORD97中提供了對宏病毒的防護功能,它可以在“工具/選項/常規(guī)”中進行設(shè)定。但有些宏病毒為了對付OFFICE97中提供的宏警告功能,它在感染系統(tǒng)(這通常只有在您關(guān)閉了宏病毒防護選項或者出現(xiàn)宏警告后您不留神選取了“啟用宏”才有可能)后,會在您每次退出 OFFICE時自動屏蔽掉宏病毒防護選項。因此您一旦發(fā)現(xiàn):您的機器中設(shè)置的宏病毒防護功能選項無法在兩次啟動WORD之間保持有效,則您的系統(tǒng)一定已經(jīng)感染了宏病毒。也就是說一系列WORD模板、特別是normal.dot 已經(jīng)被感染。
鑒于絕大多數(shù)人都不需要或者不會使用“宏”這個功能,我們可以得出一個相當重要的結(jié)論:如果您的OFFICE文檔在打開時,系統(tǒng)給出一個宏病毒警告框,那么您應(yīng)該對這個文檔保持高度警惕,它已被感染的幾率極大。注意:簡單地刪除被宏病毒感染的文檔并不能清除OFFICE系統(tǒng)中的宏病毒![1]
3防治清除編輯
宏病毒原理1、首選方法:用最新版的反病毒軟件清除宏病毒。使用反病毒軟件是一種高效、安全和方便的清除方法,也是一般計算機用戶的首選方法。但是宏病毒并不象某些廠商或麻痹大意的人那樣認為的有所謂“廣譜”的查殺軟件,這方面的突出例子就是ETHAN宏病毒。
ETHAN宏病毒相當隱蔽,比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒軟件(應(yīng)該算比較新的版本了)都無法查出它。此外這個宏病毒能夠悄悄取消WORD中宏病毒防護選項,并且某些情況下會把被感染的文檔置為只讀屬性,從而更好地保存了自己。因此,對付宏病毒應(yīng)該和對付其它種類的病毒一樣,也要盡量使用最新版的查殺病毒軟件。無論你使用的是何種反病毒軟件,及時升級是非常重要的。比如雖然KV300 Z+版不能查殺ETHAN宏病毒,但最新推出的KV300 Z++已經(jīng)可以查殺它。
2、應(yīng)急處理方法:用寫字板或WORD 6.0文檔作為清除宏病毒的橋梁。如果您的WORD系統(tǒng)沒有感染宏病毒,但需要打開某個外來的、已查出感染有宏病毒的文檔,而手頭現(xiàn)有的反病毒軟件又無法查殺它們,那么您可以試驗用下面的方法來查殺文檔中的宏病毒:打開這個包含了宏病毒的文檔(當然是啟用WORD中的“宏病毒防護”功能并在宏警告出現(xiàn)時選擇“取消宏”),然后在“文件”菜單中選擇“另存為”,將此文檔改存成寫字板(RTF)格式或WORD6.0格式。
在上述方法中,存成寫字板格式是利用RTF文檔格式?jīng)]有宏,存成 WORD 6.0格式則是利用了WORD97文檔在轉(zhuǎn)換成WORD6.0格式時會失去宏的特點。寫字板所用的rtf格式適用于文檔中的內(nèi)容限于文字和圖片的情況下,如果文檔內(nèi)容中除了文字、圖片外還有圖形或表格,那么按 WORD6.0格式保存一般不會失去這些內(nèi)容。
存盤后應(yīng)該檢查一下文檔的完整性,如果文檔內(nèi)容沒有任何丟失,并且在重新打開此文檔時不再出現(xiàn)宏警告則大功告成。
4病毒危害編輯
掃描宏病毒主要在以下方面:
一、宏病毒的主要破壞
WORD宏病毒的破壞在兩方面:
1.對WORD運行的破壞是:不能正常打印;封閉或改變文件存儲路徑;將文件改名;亂復(fù)制文件;封閉有關(guān)菜單;
文件無法正常編輯。如Taiwan No.l Macro病毒每月13日發(fā)作,所有編寫工作無法進行。
2.對系統(tǒng)的破壞是:Word Basic語言能夠調(diào)用系統(tǒng)命令,造成破壞。
二、宏病毒隱蔽性強,傳播迅速,危害嚴重,難以防治
與感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隱蔽性強,傳播迅速,危害嚴重,難以防治等特點。
1.宏病毒隱蔽性強
由于人們忽視了在傳遞一個文檔時也會有傳播病毒的機會。
2.宏病毒傳播迅速
因為辦公數(shù)據(jù)的交流要比拷貝.EXE文件更加經(jīng)常和頻繁,如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話,那么這一招對Word病毒將束手無策。
3.危害嚴重[2]
因為Microsoft Word幾乎已經(jīng)成為全世界辦公文檔的事實工業(yè)標準,其影響是全球范圍的,在中國也絕不例外。Word文件的交換是目前辦公數(shù)據(jù)交流和傳送的最通常的方式之一,其涉及面比盜版軟件的傳播要大得多,傳播速度則更加有過之而無不及。據(jù)報道,70%-80%的中國計算機用戶已經(jīng)不再單純使用MSDOS作為唯一的操作環(huán)境,看VCD和使用Word成為用戶使用Windows應(yīng)用程序的榜首。無數(shù)的DOC文件從上級機關(guān)金字塔般地傳播到基層, 基層又上報到上級機關(guān),從各個單位的辦公室到工作者的家庭,到出版部門的計算機系統(tǒng)。于是,便存在這樣一種可能,當成千上萬的x86計算機系統(tǒng)在傳播和復(fù)制這些數(shù)據(jù)以及文檔文件的同時,也在忠實地傳播和復(fù)制這些病毒。
由于該病毒能跨越多種平臺,并且針對數(shù)據(jù)文檔進行破壞,因此具有極大的危害性,該病毒在公司通過內(nèi)聯(lián)網(wǎng)相互進行文檔傳送時,迅速蔓延,往往很快就能使公司的機器全部染上病毒。
4.難以防治
由于宏病毒利用了Word的文檔機制進行傳播,所以它和以往的病毒防治方法不同。一般情況下,人們大多注意可執(zhí)行文件(.COM、.EXE)的病毒感染情況,而Word宏病毒寄生于Word的文檔中,而且人們一般都要對文檔文件進行備份,因此病毒可以隱藏很長一段時間。
5病毒起源編輯
掃描宏病毒宏病毒起源 當病毒的先驅(qū)者們醉心于他們高超的匯編語言技術(shù)和成果時,可能不會想到后繼者能以更加簡單的手法制造影響力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。
其實宏病毒的出現(xiàn)并非出乎人們的意料,早在80年代后期就有專家預(yù)言過。那時,有些學生就用某些應(yīng)用程序的宏語言編寫病毒。然而,宏病毒與普通病毒不同,它不感染.EXE或.COM文件,而只感染文檔文件。宏病毒就像自然界中令人恐懼的龍卷風,對人們正常使用計算機進行學習和工作帶來了不可估量的影響,同時也造成了社會財富的巨大浪費。
1996年12月13日,一種被稱為“TaiwanNo.1”的病毒同時在北京和深圳被發(fā)現(xiàn),一例來自于Internet的下載文件,另一例來自某醫(yī)院的一項合作協(xié)議書。在一個專門研究醫(yī)學病毒的捍衛(wèi)人體健康的機構(gòu)發(fā)現(xiàn)被計算機病毒侵襲的事件,可真是有些戲劇性的效果。凡是經(jīng)歷過小球病毒發(fā)作的人都能體味這樣一種恐慌的感覺,恐慌的根源就是您對病毒本身尚一無所知時,感覺命運似乎剎那間就即將被別人掌握了。Internet電子郵件已日益成為病毒的攜帶者。當您在Internet上用Email收看郵件時,是否想到,您可能會受到計算機病毒的威脅。一般一個純粹的電子郵件內(nèi)容沒有病毒,但其附加的文件極可能帶有病毒。附加文件的病毒擴散首先需要運行它。舉個例子來說:您收到了一個附加有用Word編輯的文件,這個Word文件被病毒感染了,當您運行該附加文件時,計算機就會受到病毒的威脅。
所謂宏,就是一些命令組織在一起,作為一個單獨命令完成一個特定任務(wù)。MicrosoftWord中對宏定義為:“宏就是能組織到一起作為一獨立的命令使用的一系列word命令,它能使日常工作變得更容易”。Word使用宏語言WordB_asic將宏作為一系列指令來編寫。要想搞清楚宏病毒的來龍去脈,必須了解Word宏的知識及wordBasic編程技術(shù)。Wo_rd宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開放性即word中提供的WordBASIC編程接口,專門制作的一個或多個具有病毒特點的宏的集合,這種病毒宏的集合影響到計算機使用,并能通過.DOC文檔及.DOT模板進行自我復(fù)制及傳播。
6病毒特點編輯
宏病毒是針對微軟公司的文字處理軟件Word編寫的一種病毒。微軟公司的文字處理軟件是最為流行的編輯軟件,并且跨越了多種系統(tǒng)平臺,宏病毒充分利用了這一點得到恣意傳播。宏病毒作為一種新型病毒有其特性與共性。
特性
(1)傳播極快
Word宏病毒通過.DOC文檔及.DOT模板進行自我復(fù)制及傳播,而計算機文檔是交流最廣的文件類型。人們大多重視保護自己計算機的引導部分和可執(zhí)行文件不被病毒感染,而對外來的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳播帶來很多便利。特別是Internet網(wǎng)絡(luò)的普及,Email的大量應(yīng)用更為Word宏病毒傳播鋪平道路。根據(jù)國外較保守的統(tǒng)計,宏病毒的感染率高達40%以上,即在現(xiàn)實生活中每發(fā)現(xiàn)100個病毒,其中就有40多個宏病毒,而國際上普通病毒種類已達12000多種。
(2)制作、變種方便
以往病毒是以二進制的計算機機器碼形式出現(xiàn),而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言WordBasic形式出現(xiàn),所以編寫和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種,其變種與日俱增,追究其原因還是Word的開放性所致。Word病毒都是用WordBasic語言所寫成,大部分Word病毒宏并沒有使用Word提供的Execute-Only處理函數(shù)處理,它們?nèi)蕴幱诳纱蜷_閱讀修改狀態(tài)。所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當然會有“不法之徒”利用掌握的Basic語句簡單知識把其中病毒激活條件和破壞條件加以改變,立即就生產(chǎn)出了一種新的宏病毒,甚至比原病毒的危害更加嚴重。
(3)破壞可能性極大
鑒于宏病毒用WordBasic語言編寫,WordBasic語言提供了許多系統(tǒng)級底層調(diào)用,如直接使用DOS系統(tǒng)命令,調(diào)用WindowsAPI,調(diào)用DDE或DLL等。這些操作均可能對系統(tǒng)直接構(gòu)成威脅,而Word在指令安全性、完整性上檢測能力很弱,破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒Nuclear就是破壞操作系統(tǒng)的典型一例。
(4)多平臺交叉感染
宏病毒沖破了以往病毒在單一平臺上傳播的局限,當WORDJXCEL這類著名應(yīng)用軟件在不同平臺(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上運行時,會被宏病毒交叉感染。
共性
宏病毒具有一些共性:
1,以往病毒只感染程序,不感染數(shù)據(jù)文件,而宏病毒專門感染數(shù)據(jù)文件,徹底改變了人們的“數(shù)據(jù)文件不會傳播病毒”的錯誤認識。宏病毒會感染.DOC文檔文件和.DOT模板文件。被它感染的.DOC文檔屬性必然會被改為模板而不是文檔,但不一定修改文件的擴展名。而用戶在另存文檔時,就無法將該文檔轉(zhuǎn)換為任何其他方式,而只能用模板方式存盤。這一點在多種文本編輯器需轉(zhuǎn)換文檔時是絕對不允許的。
2,染毒文檔無法使用“另存為(SaveAs)”修改路徑以保存到另外的磁盤/子目錄中。
3,病毒宏的傳染通常是Word在打開一個帶宏病毒的文檔或模板時,激活了病毒宏,病毒宏將自身復(fù)制至Word的通用(Normal)模板中,以后在打開或關(guān)閉文件時病毒宏就會把病毒復(fù)制到該文件中。
4,大多數(shù)宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自動宏。只有這樣,宏病毒才能獲得文檔(模板)操作控制權(quán)。有些宏病毒還通過FileNew,F(xiàn)ileOpen,F(xiàn)ileSave,F(xiàn)ileSaveAs,F(xiàn)ileExit等宏控制文件的操作。
5,病毒宏中必然含有對文檔讀寫操作的宏指令。
6,宏病毒在.DOC文檔、.DOT模板中是以BFF(BinaryFileFormat)格式存放,這是一種加密壓縮格式,每種Word版本格式可能不兼容。
看了此文電腦宏病毒的人還看了:
電腦宏病毒
上一篇:電腦腳本病毒
下一篇:計算機宏病毒的共性和特性