预防和清除宏病毒的方法
开篇:润墨网以专业的文秘视角,为您筛选了一篇预防和清除宏病毒的方法范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:宏是WORD中避免一再的重复相同的动作而设计出来的一种工具,宏病毒就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。本文首先分析宏病毒的特性,并就如何检测、清除及预防进行了探讨。
关键词:宏病毒;WORD;预防;清除
Abstract: The macro is a tool designed to avoid repeated the same action in the WORD, and a macro virus is the copy and infectious macro using the software to support macros written. This paper first analyzes the characteristics of macro virus, and discusses on how to detect, removal and prevent it.
Key words: macro virus; WORD; prevention; clear
中图分类号:TP309.5 文献标识码:A 文章编号:2095-2104(2012)
所谓宏病毒,就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。
1.宏病毒的工作原理
在用W O R D 处理文档时,需要同时进行各种不同的动作,每一种动作其实都对应着特定的宏命令。宏病毒的感染过程和破坏行为与WORD 的文件宏程序的操作密切相关,这些宏程序可能就是宏病毒的插入点。病毒包含在宏中时,只要染毒的文件被打开,病毒的宏程序就可能会被执行,进而取得系统控制权,进行感染和破坏。为了能广泛地传播,宏病毒大都采用感染通用模版NORMAL.DOT 的方法将自己复制到其他文档中去。W O R D启动时总是自动打开通用模版,这就为宏病毒在每次启动WORD 时能够取得系统控制权提供了机会。含有自动宏的染毒文档,当被其他计算机的WORD 打开时,也会自动感染该计算机。宏病毒主要寄生在A U T O O P E N 、A U T O C L O S E 、AUTONEW 三个宏中,其引导、感染、表现或破坏均通过宏指令来完成。
2.宏病毒的特征
2.1宏病毒会感染.DOC 文档和.DOT 模版文件。被它感染的.DOC 文档属性必然会被改为模版而不是文档,而用户在另存文档时,就无法将该文档转换为任何其他形式,而只能用模版方式存盘。这一点在多种文本编辑器需要转换文档时
便不能实现。
2.2宏病毒的传染通常是WORD 在打开一个带宏病毒的文档或模版时,激活宏病毒。病毒宏将自身复制到WORD 通用(NORMAL)模版中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。
2.3多数宏病毒包含A U T O O P E N 、A U T O C L O S E 、AUTONEW 和AUTOEXIT 等自动宏,通过这些自动宏病毒取得文档(模版)操作权。有些宏病毒通过这些自动宏控制文件操作。
2.4宏病毒中总是含有对文档读写操作的宏命令。
3.宏病毒的检测
由于宏病毒的运行特点,它离不开可供其运行的系统软件(WORD,EXCEL 等OFFICE 软件),所以宏病毒的检测其实非常容易。
3.1通用模版中出现宏。大多数宏病毒是通过感染通用模版NORMAL.DOT 进行传播的。当使用“工具/ 宏”菜单命令时,在通用模版上发现有A U T O O P E N 等自动宏、FILESAVE 等标准宏或一些怪名字的宏,而用户又没有使用特殊的宏的时候,用户文档很可能是染上了宏病毒,因为大多数用户的通用模版是没有宏的。
3.2无故出现存盘操作。当打开一个WORD 文档,并且文档没有经过任何改动,立刻就有存盘操作。
3.3 W O R D 功能混乱,无法使用。一些病毒能够破坏WORD 的运行机制,使文档的打开、关闭、存盘等操作无法正常进行。最常见的是原WORD 文档无法另存为其他格式文件。如WORD 的.DOC 文档文件感染病毒后,属性已发生了变化,只能以模版文件方式存盘。
3.4 WORD 菜单命令消失。一些病毒感染系统时,出于隐形或自我保护目的,会关闭WORD 菜单的某些命令,如病毒去掉“工具”菜单中的“宏”和“自定义”命令,阻止手工查杀病毒。
3.5 WORD 文档的内容发生变化。例如:文档中加入陌生的信息。
4.宏病毒的清除
感染了宏病毒后,同样可以用防治计算机病毒的软件来查杀,如果手头上一时没有病毒防治软件的话,对某些感染WORD 文档的病毒也可以通过手工操作的方法来查杀。下面以WORD 97 为例(WORD 2000/XP 的查杀方法大致相同)简单介绍如何进行手工查杀:
首先,必须保证WORD 97 本身是没有感染宏病毒的,也就是WORD 97 安装目录下的STARTUP 目录下的文件和NORMAL.DOT 文件没有被宏病毒感染。
然后打开WORD 97(要直接打开WORD 97,而不是通过双击文档打开),选择“工具”菜单中的“选项”命令。再在“常规”中选中“宏病毒防护”,在“保存”中不选中“快速保存”,单击“确定”按钮。
打开文档,此时系统应该提示是否起用“宏”,选“否”,直接打开文档,再选择“工具”菜单的“宏”子菜单的“宏”命令,将可疑的宏全部删除。然后将文档保存。宏病毒被清除。
5.宏病毒的预防
微软的OFFICE 软件我们经常使用,要防止宏病毒的侵袭,可以采取警觉的措施来手工预防。
5.1根据AUTO 宏的自动执行的特点,在打开WORD 文档时,可通过禁止所有自动宏的执行办法来达到防治宏病毒的目的。
5.2当怀疑系统带有宏病毒时,首先应检查是否存在可疑的宏,也就是一些用户没有编制过、也不是WORD 默认提供而出现的宏,特别是出现一些怪名字的宏,肯定是病毒无疑,将它删除即可。具体做法是,选择“工具”“宏”“删除”。
5.3针对宏病毒感染NORMAL.DOT 模版的特点,用户在新安装了WORD 软件后,可打开一个新文档,将WORD 的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时生成的NORMAL.DOT模版绝对没有宏病毒,可将其备份起来。在遇到有宏病毒感染时,用备份的NORMAL.DOT 模版覆盖当前的NORMAL.DOT 模版,可以起到消除宏病毒的作用。
5.4当使用外来可能有宏病毒的WORD 文档时,如果没有保留原来文档排版格式的必要,可先使用WINDOWS 自带的写字版来打开,将其转换为写字版格式的文件保存后,再用WORD 调用。因为写字版不调用、不记录、不保存任何宏,文档经此转换,所有附带其上的宏(包括宏病毒)都将丢失。
5.5考虑到大部分WORD 用户使用的是普通的文字处理
功能,很少使用宏编程,既对NORMAL.DOT 模版很少修改,
因此,用户可以选择“工具选项保存”页面,选中“提
示保存NORMAL 模版”项,这样,一旦宏病毒感染了WORD
有些宏可能会屏蔽掉“宏”菜单,使得上述方法无法实
施,这时可以采用下面这个方法:
首先保证WORD 97 不受宏病毒的感染,只打开WORD
97 并新建一个空文档,然后在“工具”菜单中选择“选项”命令,在“常规”中选中“宏病毒防护”,在“保存”中选择“提示保存NORMAL 模版”,单击“确定”按钮。接着再启动一个WORD 97 应用程序,然后用新启动的这个WORD 97 打开感染宏病毒的文档,应当也会出现是否启用宏的提示,选“否”,然后选择“编辑”菜单中的“全选”命令,再选择“编辑”菜单中的“复制”命令。最后切换到先前的WORD 97 中,选择“编辑”菜单中的“粘贴”命令,可以发现原来的文档被粘贴到先前WORD 97 新建的文档里。切换回打开带宏病毒文档的WORD 97 中,选择“文件”菜单中的“退出”命令,退出WORD 97,如果提示说是否保存NORMAL.DOT 模版,选“否”。再切换回先打开的WORD 97 中,选择“文件”菜单中的“保存”命令,将文件保存。由于宏病毒不会随剪贴版功能而被复制,所以这种办法也能起到杀灭宏病毒的效果。
6.结束语
随着计算机系统及其互联网的高速发展,计算机安全成为日益突出的问题,而防御异常入侵、防范病毒等都可以从生物免疫机制获得不少启发。研究表明,基于生物免疫系统的计算机安全系统有着很好的防御外来入侵、防范病毒的能力。目前,将人工免疫系统的分布性、动态性、多样性和自适应性应用到计算机安全领域的研究正在不断的创新。这些研究在计算机及其网络安全领域有着广阔的应用前景。