宏病毒及其防治方法探析
摘要：宏病毒的出现对办公软件的安全使用带来了极大的威胁，故文章在深入研究宏病毒作用机制的基础上，从发现病毒、清除病毒以及预防病毒三个方面对其防治方法进行了探析，以供参考。

关键词：宏病毒作用机制防治方法
前言：微软公司的microsoft word 几乎已经成为目前全世界办公文档的事实工业标准，而宏病毒就是是针对的字处理软件word 编写的一种病毒，其种类达数百种，危害日甚一日，感染率高达40%以上，已成为威胁计算机信息系统安全的主要因素。

因此，对其作用机制进行深入研究，制定切实有效的防治方法，从而最大限度地降低病毒带来的危害是十分必要的。

1.宏病毒的作用机制
word 的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素: 菜单、宏、格式( 如备忘录等)。

word 处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。

每一种动作其实都对应着特定的宏命令。

通常，word 宏病毒至少会包含一个以上的自动宏( 如autoopen、autoclose、autoexec、autoexit和autonew 等) ，或者是一个以上的标准宏，如fileopen、filesaveas等。

如果某个.doc 文件感染了这类word 宏病毒，则当word 运行这类自动宏时，实际上就是运行了病毒代码。

一旦病毒宏侵入word 系统，它就会替
代原有的正常宏，如fileopen、filesave、filesaveas 和fileprint 等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。

当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。

宏病毒主要寄生于autoopen、autoclose 和autonew 3 个宏中，其引导、传染、表现或破坏均通过宏指令来完成的。

宏指令是用宏语言word basic 编写的，宏语言提供了许多系统级底层功能调用，因此，宏病毒利用宏语言实现其传染、表现或破坏的目的。

目前，几乎所有已知的宏病毒都沿用了相同的作用机理，即如果word 系统在读取一个染毒文件时遭受感染，则其后所有新创建的doc 文件都会被感染。

word 宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。

同时，由于word 允许对宏本身进行加密操作，因此有许多宏病毒是经过加密处理的，不经过特殊处理是无法进行编辑或观察的，这也是很多宏病毒无法手工杀除的主要原因。

2.宏病毒防治方法
2.1 发现word 宏病毒
尽管宏病毒的破坏性较大，而且具有一定的隐蔽性，采用常规的文件型病毒判定方法不能判断宏病毒的存在。

但根据宏病毒的传染机制，不难看出宏病毒传染中的特点。

所以通过以下方法可简单地判断某文档是否感染了宏病毒。

（1）在使用的word 中打开宏菜单，点中normal 模板，若发
现有autoopen、autonew、autoclose 等自动宏以及filesave、filesaveas、fileexit 等文件操作宏或一些怪名字的宏，如aaazao、payload 等，而自己又没有加载特殊模板，这就极可能是病毒在作祟了，因为大多数normal 模板中是不包含上述宏的。

（2）如发现打开一个文档，它未经任何改动，立即提示存盘操作，也有可能是word 带有病毒。

（3）打开以.doc 为后缀的文件在另存菜单中只能以模板方式存盘，而此时通用模板中含有宏，也有可能是word 有病毒。

2.2 清除word 宏病毒
清除宏病毒有两种方法，即手工清除和用杀毒工具清除：
（1）手工清除宏病毒
手工清除宏病毒步骤:①打开宏菜单，在通用模板中删除您认为是病毒的宏；②打开带有病毒宏的文档(模板) ，然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏；③保存清洁文档；④对剩余文件重复步骤①～③。

手工清除宏病毒有一定难度，而且不彻底，最好还是用杀毒软件清除安全可靠。

（2）用杀毒工具自动清除宏病毒
用杀毒工具自动清除宏病毒是理想的解决办法。

目前反病毒软件都具有对已知宏病毒杀除的功能，而且有的软件还能对未知病毒报警。

2.3 预防宏病毒
从宏病毒的特性和传播途径看，预防宏病毒的方法应从以下方面入手:
（1）对于已染病毒的文件首先应将normal .dot 中的自动宏清除( autoopen、auto-close、autonew) ，然后将normal .dot 置成只读方式。

（2）对于其他已染毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。

（3）平时使用时要加强预防。

对来历不明的宏最好予以删除。

如果发现后缀为.doc的文件变成模板时，则可怀疑其已染宏病毒，其主要表现是在saveas 文档时，选择文件类型的框变为灰色。

（4）在打开文件时，按住sh ift 键可以阻止自动宏的运行。

例如，当您用含有autonew宏的模板新建一个文档时，在“新建”对话框(“文件”菜单) 中单击“确定”按钮时按住shift 键，就可以阻止autonew 宏的执行。

您要按住shift 键直到新文档显示在窗口中。

在可以触发自动宏的宏中，您可以用disable auto macros 阻止运行自动宏。

（5）安装反病毒软件，启用实时反病毒功能，检查外来病毒包括int ernet、bbs 病毒对系统的入侵。

只有检查后，方可使用。

参考文献：
[1]王素芳.《word宏病毒简析》.科技信息（科学教研）,2008
[2]梁玲.《宏病毒感染过程及防范措施研究》.科技情报开发与经济,2009
[3]高永仁.《预防和清除宏病毒的方法》.网络安全技术与应用,2007
[4]孙领弟,马彦芬.《word宏病毒的产生和清除方法》.河北工程技术高等专科学校学报,2002
[5]刘兴权.《关于word宏病毒的分析与防治》.山西电子技术,2001。