宏病毒及其防治方法探析

开篇：润墨网以专业的文秘视角，为您筛选了一篇宏病毒及其防治方法探析范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：宏病毒的出现对办公软件的安全使用带来了极大的威胁，故文章在深入研究宏病毒作用机制的基础上，从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析，以供参考。

关键词：宏病毒 作用机制 防治方法

前言：微软公司的Microsoft Word 几乎已经成为目前全世界办公文档的事实工业标准，而宏病毒就是是针对的字处理软件Word 编写的一种病毒，其种类达数百种，危害日甚一日，感染率高达40%以上，已成为威胁计算机信息系统安全的主要因素。因此，对其作用机制进行深入研究，制定切实有效的防治方法，从而最大限度地降低病毒带来的危害是十分必要的。

1.宏病毒的作用机制

Word 的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。WORD 处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令。

通常，WORD 宏病毒至少会包含一个以上的自动宏( 如AutoOpen、AutoClose、AutoExec、AutoExit和AutoNew 等) ，或者是一个以上的标准宏，如FileOpen、FileSaveAs等。如果某个.DOC 文件感染了这类WORD 宏病毒，则当WORD 运行这类自动宏时，实际上就是运行了病毒代码。一旦病毒宏侵入WORD 系统，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs 和FilePrint 等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。

宏病毒主要寄生于AutoOpen、AutoClose 和AutoNew 3 个宏中，其引导、传染、表现或破坏均通过宏指令来完成的。宏指令是用宏语言WORD BASIC 编写的，宏语言提供了许多系统级底层功能调用，因此，宏病毒利用宏语言实现其传染、表现或破坏的目的。

目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果WORD 系统在读取一个染毒文件时遭受感染，则其后所有新创建的DOC 文件都会被感染。WORD 宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。同时，由于WORD 允许对宏本身进行加密操作，因此有许多宏病毒是经过加密处理的，不经过特殊处理是无法进行编辑或观察的，这也是很多宏病毒无法手工杀除的主要原因。

2.宏病毒防治方法

2.1 发现Word 宏病毒

尽管宏病毒的破坏性较大，而且具有一定的隐蔽性，采用常规的文件型病毒判定方法不能判断宏病毒的存在。但根据宏病毒的传染机制，不难看出宏病毒传染中的特点。所以通过以下方法可简单地判断某文档是否感染了宏病毒。

（1）在使用的WORD 中打开宏菜单，点中Normal 模板，若发现有AutoOpen、AutoNew、AutoClose 等自动宏以及FileSave、FileSaveAs、FileExit 等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad 等，而自己又没有加载特殊模板，这就极可能是病毒在作祟了，因为大多数Normal 模板中是不包含上述宏的。

（2）如发现打开一个文档，它未经任何改动，立即提示存盘操作，也有可能是Word 带有病毒。

（3）打开以.DOC 为后缀的文件在另存菜单中只能以模板方式存盘，而此时通用模板中含有宏，也有可能是Word 有病毒。

2.2 清除Word 宏病毒

清除宏病毒有两种方法，即手工清除和用杀毒工具清除：

（1）手工清除宏病毒

手工清除宏病毒步骤:①打开宏菜单，在通用模板中删除您认为是病毒的宏；②打开带有病毒宏的文档(模板) ，然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏；③保存清洁文档；④对剩余文件重复步骤①～③。

手工清除宏病毒有一定难度，而且不彻底，最好还是用杀毒软件清除安全可靠。

（2）用杀毒工具自动清除宏病毒

用杀毒工具自动清除宏病毒是理想的解决办法。目前反病毒软件都具有对已知宏病毒杀除的功能，而且有的软件还能对未知病毒报警。

2.3 预防宏病毒

从宏病毒的特性和传播途径看，预防宏病毒的方法应从以下方面入手:

（1）对于已染病毒的文件首先应将Normal .dot 中的自动宏清除( AutoOpen、Auto-Close、AutoNew) ，然后将Normal .dot 置成只读方式。

（2）对于其他已染毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。

（3）平时使用时要加强预防。对来历不明的宏最好予以删除。如果发现后缀为.DOC的文件变成模板时，则可怀疑其已染宏病毒，其主要表现是在SaveAs 文档时，选择文件类型的框变为灰色。

（4）在打开文件时，按住SH IFT 键可以阻止自动宏的运行。例如，当您用含有AutoNew宏的模板新建一个文档时，在“ 新建”对话框(“文件”菜单) 中单击“确定”按钮时按住SHIFT 键，就可以阻止AutoNew 宏的执行。您要按住SHIFT 键直到新文档显示在窗口中。在可以触发自动宏的宏中，您可以用Disable Auto Macros 阻止运行自动宏。

（5）安装反病毒软件，启用实时反病毒功能，检查外来病毒包括Int ernet、BBS 病毒对系统的入侵。只有检查后，方可使用。

参考文献：

[1]王素芳.《Word宏病毒简析》.科技信息（科学•教研）,2008

[2]梁玲.《宏病毒感染过程及防范措施研究》.科技情报开发与经济,2009

[3]高永仁.《预防和清除宏病毒的方法》.网络安全技术与应用,2007

[4]孙领弟,马彦芬.《Word宏病毒的产生和清除方法》.河北工程技术高等专科学校学报,2002

[5]刘兴权.《关于WORD宏病毒的分析与防治》.山西电子技术,2001