预防和清除宏病毒方法.docVIP

预防和清除宏病毒方法 　　摘要：宏是WORD中避免一再的重复相同的动作而设计出来的一种工具，宏病毒就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。本文首先分析宏病毒的特性，并就如何检测、清除及预防进行了探讨。 　　关键词：宏病毒；WORD；预防；清除 　　Abstract: The macro is a tool designed to avoid repeated the same action in the WORD, and a macro virus is the copy and infectious macro using the software to support macros written. This paper first analyzes the characteristics of macro virus, and discusses on how to detect, removal and prevent it. 　　Key words: macro virus; WORD; prevention; clear 　　 　　中图分类号：TP309.5 文献标识码：A 文章编号：2095-2104（2012） 　　所谓宏病毒，就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。 　　1.宏病毒的工作原理 　　在用W O R D 处??文档时，需要同时进行各种不同的动作，每一种动作其实都对应着特定的宏命令。宏病毒的感染过程和破坏行为与WORD 的文件宏程序的操作密切相关，这些宏程序可能就是宏病毒的插入点。病毒包含在宏中时，只要染毒的文件被打开，病毒的宏程序就可能会被执行，进而取得系统控制权，进行感染和破坏。为了能广泛地传播，宏病毒大都采用感染通用模版NORMAL.DOT 的方法将自己复制到其他文档中去。W O R D启动时总是自动打开通用模版，这就为宏病毒在每次启动WORD 时能够取得系统控制权提供了机会。含有自动宏的染毒文档，当被其他计算机的WORD 打开时，也会自动感染该计算机。宏病毒主要寄生在A U T O O P E N 、A U T O C L O S E 、AUTONEW 三个宏中，其引导、感染、表现或破坏均通过宏指令来完成。 　　2.宏病毒的特征 　　2.1宏病毒会感染.DOC 文档和.DOT 模版文件。被它感染的.DOC 文档属性必然会被改为模版而不是文档，而用户在另存文档时，就无法将该文档转换为任何其他形式，而只能用模版方式存盘。这一点在多种文本编辑器需要转换文档时 　　便不能实现。 　　2.2宏病毒的传染通常是WORD 在打开一个带宏病毒的文档或模版时，激活宏病毒。病毒宏将自身复制到WORD 通用(NORMAL)模版中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 　　2.3多数宏病毒包含A U T O O P E N 、A U T O C L O S E 、AUTONEW 和AUTOEXIT 等自动宏，通过这些自动宏病毒取得文档(模版)操作权。有些宏病毒通过这些自动宏控制文件操作。 　　2.4宏病毒中总是含有对文档读写操作的宏命令。 　　3.宏病毒的检测 　　由于宏病毒的运行特点，它离不开可供其运行的系统软件(WORD，EXCEL 等OFFICE 软件)，所以宏病毒的检测其实非常容易。 　　3.1通用模版中出现宏。大多数宏病毒是通过感染通用模版NORMAL.DOT 进行传播的。当使用“工具/ 宏”菜单命令时，在通用模版上发现有A U T O O P E N 等自动宏、FILESAVE 等标准宏或一些怪名字的宏，而用户又没有使用特殊的宏的时候，用户文档很可能是染上了宏病毒，因为大多数用户的通用模版是没有宏的。 　　3.2无故出现存盘操作。当打开一个WORD 文档，并且文档没有经过任何改动，立刻就有存盘操作。 　　3.3 W O R D 功能混乱，无法使用。一些病毒能够破坏WORD 的运行机制，使文档的打开、关闭、存盘等操作无法正常进行。最常见的是原WORD 文档无法另存为其他格式文件。如WORD 的.DOC 文档文件感染病毒后，属性已发生了变化，只能以模版文件方式存盘。 　　3.4 WORD 菜单命令消失。一些病毒感染系统时，出于隐形或自我保护目的，会关闭WORD 菜单的某些命令，如病毒去掉“工具”菜单中的“宏”和“自定义”命令，阻止手工查杀病毒。 　　3.5 WORD 文档的内容发生变化。例如：文档中加入陌生的信息。 　　4.宏病毒的清除 　　感染了宏病毒后，同样可以用防治计算机病毒的软件来查杀，如果手头上一时没有病毒防治软件的话，对某些感染WORD