如何避免宏病毒的产生？

gyzzkjs

宏病毒到底是什么玩意儿？如何防止？

nxjswt

宏病毒AD
      宏病毒
      一、宏病毒的起源
      　　当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。这些病毒就象自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。
      　　Internet电子邮件已日益成为病毒的携带者：去年12月13日,一种被称为"台湾No.1"的病毒同时在北京和深圳被发现,一例来自于Internet的下载文件,而另一例来自某医院的一项合作协议书。在一个专门研究医学病毒的捍卫人体健康的机构发现被计算机病毒侵袭的事件,可真是有些戏剧性的效果。凡是经历小球发作的人都能体味这样一种恐慌的感觉,恐慌的根源就是你对病毒本身尚一无所知时,感觉命运似乎霎那间就即将被别人掌握了。当你在Internet上用E-mail收看邮件时，是否想到，你可能会受到计算机病毒的威胁。如果你收到一个电子邮件，其主题（Subject）是极具诱惑性的语句，可能它恰恰是在欺骗你。这里，我列出一些较流行的欺骗性语句供你参考，以免上当受骗。如果你收到一个称作“Good
      Times”的消息，不要阅读或下载它，它可能是一个会删除你硬盘上内容的病毒。如果你收到一个E-mail，其主题是“Irina”,不要读，赶快删除。取名为“Penpal
      Greeting”的邮件似乎象一个有关“Penpal”的友好问候信。但它可能带有一种称为“Trojanhorse”的病毒。该病毒通常感染你的硬盘根目录。更可怕的是一旦阅读它，它会自动转发给其E-mail地址在你的邮箱中的任何人。有关欺骗邮件的主题（
      Subject）的详细情况，可到下面站点去查看：http://ciac. unl.gov/ ciac/ CIAC
      Hoaexs.html。也许你认为通过阅读电子邮件不可能感染病毒。但记住，不可忽视任何计算机病毒的存在、破坏、传染。一般，一个纯粹的电子邮件内容没有病毒，但其附加的文件极可能带有病毒。附加文件的病毒扩散首先需要运行它。举个例子来说：你收到了一个附加有用Word编辑的文件，这个Word文件被病毒感染了，当你运行该附加文件时：计算机就会受到病毒的威胁。
      　　据统计，目前透过Internet传播的不同类型的病毒数量如下：
          DOS型： 10000至11000种 Windows型：12种
          Macintosh型：35种 宏病毒： 200余种
          Unix型： 6种
        其中10000-11000种DOS型病毒能感染所有DOS、Windows95平台的计算机（但不感染Macintosh计算机）；但200余种宏病毒中的大部分能感染所有计算机，包括PC机和Macintosh机。所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务（如Word中的宏命令）。
      二、宏病毒的传播原理
      　　也许有人会问:Microsoft Word for
      Windows所生成的DOC文件难道不是数据文件吗?回答是既是肯定的又是否定的。DOC文件是一个代码和数据的综合体。虽然其中这些代码不能直接运行在x86的CPU上,而是一些Word的宏操作命令,但他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是目前最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。
      　　由于宏病毒利用了Word的文档机制进行传播，它和以往的病毒防治方法不同，一般情况下,人们大多注意可执行文件(.com.exe)的病毒感染情况，而Word宏病毒寄生于Word的文档中，而且人们一般都要对文档文件进行备份，因此病毒可以隐藏很长一段时期。
      　　Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。
      　　Word提供了几种常见文档类型的模板，如备忘录、报告和商务信件。你可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。一般情况下，Word自动将新文档基于缺省的公用模板(Normal.dot)。
      　　由此可以看出，模板在建立整个文档中起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。另外，Word还提供强大的功能——宏，宏是能组织到一起作为一独立命令使用的一系列Word命令，它能使日常工作变得更容易。您可以将宏指定到工具栏、菜单或快捷键，所以宏可以像标准Word命令一样方便地使用。Word使用宏语言WordBasic。
      　　在Word启动时，自动加载startup下模板及Normal.dot模板，以及它们所包含的宏。您可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动Word或打开文档，就自动执行具有特殊命名的宏。Word可以识别以下名称的自动宏:
            宏　名运行条件
            AutoExec启动Word时
            AutoNew每次新建文档时
            AutoOpen每次打开已有文档

nxjswt

宏病毒防治方法总结

摘自：《新华网》(2002-08-13)

如果说宏病毒的出现曾经给反病毒软件厂商出了一道难题的话，那么电脑网络特别是因特网的出现在给人们的信息交流带来极大方便的同时，也给计算机病毒、特别是宏病毒的传播提供了空前便利的条件，今天的计算机用户比以往任何时候都更加真实地面对它的威胁。

　　一、宏病毒的一般知识

　　1、什么是宏？

　　宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自化。OFFICE中的WORD和EXEAL都有宏。在下面的讨论中我们以WORD为例。

　　如果在Word中重复进行某项工作，可用宏使其自动执行。宏是将一系列的Word命令和指令组合在一起，形成一个命令，以实现任务执行的自动化。您可创建并执行一个宏，以替代人工进行一系列费时而重复的 Word操作。

　　以下是宏的一些典型应用：

　　 加速日常编辑和格式设置

　　 组合多个命令

　　 使对话框中的选项更易于访问

　　 使一系列复杂的任务自动执行

　　 Word提供了两种创建宏的方法：宏录制器和Visual Basic编辑器。

　　宏录制器可帮助您开始创建宏。Word在Visual Basic for Applications编程语言中把宏录制为一系列的Word命令。

　　可在Visual Basic编辑器中打开已录制的宏，修改其中的指令。也可用Visual Basic编辑器创建包括Visual Basic指令的非常灵活和强有力的宏。

　　您可将宏保存到模板或文档中。在默认的情况下，Word将宏存贮在 Normal模板中，以便所有的Word文档均能使用。注意这一特点几乎为所有的宏病毒所利用。

　　2、什么是宏病毒？

　　宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。

　　虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。

　　这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档时就包含宏。

　　如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的 Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择“取消宏”。

　　OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如果愿意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查：单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病毒保护”复选框。

　　不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然屏障。

　　二、宏病毒的判断方法

　　 虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：
1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。

　　2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。

　　3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。

　　鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简单地删除

穷鬼书生

[em01][em01][em01]