宏病毒--计算机病毒.docVIP

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。Word宏病毒揭密 MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。” Word使用宏语言WordBasic将宏作为一系列指令来编写。 要想搞清楚宏病毒的来龙去脉，必须了解Word宏的知识及WordBasic编程技术。 Word宏病毒是一些制作病毒的专业人员利用MICROSOFTWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传播。 宏病毒的特点 1、传播极快 Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及，E-mail 的大量应用更为Word宏病毒传播铺平道路。 2、制作、变种方便 Word使用宏语言WordBasic来编写宏指令。宏病毒同样用WordBasic来编写。 目前，世界上的宏病毒原型已有几十种，其变种与日骤增，追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute—Only处理函数处理，它们仍处于可打开阅读修改状态。 所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。 3、破坏可能性极大 鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE、DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒 Nuclear就是破坏操作系统的典型一例。 宏病毒的兼容性 Word模板（TEMPLATE）是开发Word应用程序的唯一方法。病毒宏也不例外。 模板的不兼容使英文Word中的病毒模板在同一版本中文Word中打不开而自动失效，反之亦然，同时高版本的Word7.0的文档在低版本的 Word6.0下是打不开的，这就是为什么宏病毒在中国大陆发现较少的原因。然而，中文Word7.0可以打开英文Word6.0中的宏。所以在 Word7.0大量普及后，必然会使许多在英文Word中制作的宏病毒泛滥。“台湾1号”是在台湾中文Word下做的，其模板与大陆中文Word兼容，在大陆中传播很快。 宏病毒的共性： 1、宏病毒会感染DOC文档文件和DOT模板文件 被它感染的DOC文档属性必然会被改为模板而不是文档，而用户在另存文档时，就无法将该文档转换为任何其它方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。 2、病毒宏的传染 通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，病毒宏将自身复制至Word的通用（Normal）模板中，以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。 3、大多数宏病毒中含有AutoOpen，AutoClose，AutoNew和AutoExit等自动宏 只有这样，宏病毒才能获得文档（模板）操作控制权。 有些宏病毒还通过FileNew，FileOpen，FileSave，FileSaveAs，FileExit等宏控制文件的操作。 4、病毒宏中必然含有对文档读写操作的宏指令 5、宏病毒在DOC文档、DOT模板中是以BFF（BinaryFileFormat）格式存放 这是一种加密压缩格式，每种Word版本格式可能不兼容。二、Word现毒的表现 例1：Nuclear宏病毒 这是一个对操作系统文件和打印输出有破坏功能的宏病毒。 这个宏病毒中包含以下病毒宏： AutoExec AutoOpen DropSuriv FileExit FilePrint Fil