按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
2) 在自定义对话框的左边下拉列表中寻找并点击“宏”选项,见图 4 。
3) 把对话框右边的宏使用鼠标拖到 Word 的快捷图标栏上,即可完成宏快捷图标的创建。
3) 宏快捷图标的更改。在自定义对话框打开(否则,不能更改按钮图标)的同时,在宏快捷
图标上单击鼠标右键,弹出下拉菜单后点击“更改按钮图标”项,出现系统提供的多个按
钮图标供选择。
4) 宏快捷图标的删除。在自定义对话框打开(否则,不能更改按钮图标)的同时,在宏快捷
图标上单击鼠标右键,弹出下拉菜单后点击“删除”项,即可把不需要的宏快捷图标删除
掉。
5、Word 宏病毒清除技术
2 月 13 日,本是国家政府机关和大型企事业单位春节后刚刚上班的日子。谁都没有料到会
有一种计算机病毒向他们袭来,这就是“台湾 1 号”宏病毒,因为这天是 13 日,该病毒于96
年 12 月 13 日首次在大陆被发现。
受宏病毒感染的用户有个共同特点就是他们是大量使用 Word 文档处理器的国家机关。如
果说 Concept 病毒引出了 word 宏病毒的概念,“台湾 1 号”便引来了 Word 宏病毒的发作,引
来了人们对 Word 宏病毒的重视。
5。1Word 宏病毒揭密
MicrosoftWord 中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列Word
命令,它能使日常工作变得更容易。”
Word 使用宏语言 WordBasic 将宏作为一系列指令来编写。
要想搞清楚宏病毒的来龙去脉,必须了解 Word 宏的知识及 WordBasic 编程技术。(关于这
点请参阅《MicrosoftWord 开发工具》一书)
Word 宏病毒是一些制作病毒的专业人员利用 MICROSOFTWord 的开放性即 Word 中提供
的WordBASIC 编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集
合影响到计算机使用,并能通过 DOC 文档及 DOT 模板进行自我复制及传播。
★宏病毒的特点
(一) 传播极快
Word 宏病毒通过 DOC 文档及 DOT 模板进行自我复制及传播,而计算机文档是交流最广
的文件类型。多年来,人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,
而对外来的文档文件基本是直接浏览使用,这给 Word 宏病毒传播带来很多便利。特别是
Internet 网络的普及,E…mail 的大量应用更为Word 宏病毒传播铺平道路。
(二) 制作、变种方便
Word 使用宏语言 WordBasic 来编写宏指令。宏病毒同样用 WordBasic 来编写。
783
…………………………………………………………Page 784……………………………………………………………
目前,世界上的宏病毒原型已有几十种,其变种与日骤增,追究其原因还是Word 的开放
性所致。现在的 Word 病毒都是用 WordBasic 语言所写成,大部分 Word 病毒宏并没有使用 Word
提供的 Execute—Only 处理函数处理,它们仍处于可打开阅读修改状态。
所有用户在 Word 工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不
法之徒”利用掌握的 Basic 语句把其中病毒激活条件和破坏条件加以改变,立即就生产出了一
种新的宏病毒,甚至比原病毒的危害更加严重。
(三) 破坏可能性极大
鉴于宏病毒用 WordBasic 语言编写,WordBasic 语言提供了许多系统级底层调用,如直接
使用 DOS 系统命令,调用 WindowsAPI ,调用DDE 、DLL 等。这些操作均可能对系统直接构
成威胁,而 Word 在指令安全性完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病
毒 Nuclear 就是破坏操作系统的典型一例。
★宏病毒的兼容性
Word 模板(TEMPLATE )是开发Word 应用程序的唯一方法。病毒宏也不例外。
模板的不兼容使英文 Word 中的病毒模板在同一版本中文 Word 中打不开而自动失效,反
之亦然,同时高版本的 Word7。0 的文档在低版本的Word6。0 下是打不开的,这就是为什么宏病
毒在中国大陆发现较少的原因。然而,中文 Word7。0 可以打开英文 Word6。0 中的宏。所以在
Word7。0 大量普及后,必然会使许多在英文 Word 中制作的宏病毒泛滥。“台湾 1 号”是在台湾
中文Word 下做的,其模板与大陆中文 Word 兼容,在大陆中传播很快。
★宏病毒的共性:
1) 宏病毒会感染 DOC 文档文件和 DOT 模板文件。
2) 被它感染的 DOC 文档属性必然会被改为模板而不是文档,而用户在另存文档时,就无法
将该文档转换为任何其它方式,而只能用模板方式存盘。这一点在多种文本编辑器需转换
文档时是绝对不允许的。
3) 病毒宏的传染通常是 Word 在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏
将自身复制至 Word 的通用(Normal )模板中,以后在打开或关闭文件时病毒宏就会把病
毒复制到该文件中。
4) 大多数宏病毒中含有 AutoOpen ,AutoClose ,AutoNew 和 AutoExit 等自动宏。只有这样,
宏病毒才能获得文档(模板)操作控制权。 有些宏病毒还通过 FileNew ,FileOpen ,FileSave ,
FileSaveAs ,FileExit 等宏控制文件的操作。
5) 病毒宏中必然含有对文档读写操作的宏指令。
6) 宏病毒在 DOC 文档、DOT 模板中是以 BFF (BinaryFileFormat )格式存放,这是一种加密
压缩格式,每种 Word 版本格式可能不兼容。
5。2Word 现毒的表现
★例 1Nuclear 宏病毒:
这是一个对操作系统文件和打印输出有破坏功能的宏病毒。
这个宏病毒中包含以下病毒宏:
AutoExec
AutoOpen
DropSuriv
FileExit
FilePrint
FilePrintDefault
784
…………………………………………………………Page 785……………………………………………………………
FileSaveAs
InsertPayload
Payload
这些宏是只执行(Execute…only )宏。
Nuclear 宏病毒造成的破坏现象为:
1) 打 开 一 个 染 毒 文 档 并 打 印 的 时 侯 , 它 会 在 您 打 印 的 最 后 一 段 加 上
“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC! ”,这个现象是在每分钟的 55
秒—60 秒之间操作打印时发生。
2) 如果在每天 17:00—18:00 之间打开一个染毒文档,Nuclear 病毒会将 PH33R 病毒传染
到计算机上,这是个驻留型病毒。
3) 在每年的四月五日,该病毒会将计算机上 IO。SYS ,MSDOS。SYS 文件清零,并且删除 C
盘根目录上的 MAND。 文件。一旦病毒发作,MS -DOS 就不可能被引导,计算
机将陷入瘫痪。
★例 2 台湾一号病毒:
台湾一号病毒会在每月的 13 日影响您正常使用Word 文档和编辑器。它包含以下病毒宏:
AutoClose
AutoNew
AutoOpen
这些宏是可被编辑宏。
在病毒宏中含有如下的语句:
IfDay(Now())=13Then。。。
这条语句与 13 日有关。
台湾一号病毒造成的危害是:在每月 13 日,若用户使用Word 打开一个带毒的文档(模板)
时,病毒会被激发,激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一
个心算题,如做错,它将会无限制地打开文件,直至 Word 内存不够,Word 出错为止;如心
算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,再提示
用户:“如何预防巨集病毒?”,回答是“不要看我”。
5。3Word 宏病毒发现及清除:
根据宏病毒的传染机制,不难看出宏病毒传染中的特点,所以发现宏病毒可以通过以下步
聚进行:
1) 在自己使用的Word 中打开工具中的宏菜单,点中通用(Normal )模板,若发现有“AutoOpen ”
等自动宏,“FileSave ”等文件操作宏或一些怪名字的宏,而自己又没有加载特殊模板,这
就有可能有病毒了。因为大多数用户的通用(Normal )模板中是没有宏的。
2) 如发现打开一个文档,它未经任何改动,立即就有存盘操作,也有可能是 Word 带有病毒。
3) 打开以 DOC 为后缀的文件在另存菜单中只能以模板方式
存盘而此时通用模板中含有宏,也有可能是 Word 有病毒。
手工清除宏病毒的方法:
1) 打开宏菜单,在通用模板中删除您认为是病毒的宏。
2) 打开带有病毒宏的文档(模板),然后打开宏菜单,在
3) 通用模板和病毒文件名模板中删除您认为是病毒的宏。
4) 保存清洁文档。
特别值得注意的是氏成本 Word 模板中的病毒在更高版本的 Word 中才能被发现并清除,
785
…………………………………………………………Page 786……………………………………………………………
英文版 Word 模板中的病毒还可仍在相应或更高的中文版 Word 中被发现并清除。
手工清除病毒总是比较烦琐而且不要靠,用杀毒工具自动清除宏病毒是理想的解决办法,
方法有两种:
1) 用 WordBasic 语言以 Word 模板方式编制杀毒工具,在 Word 环境中杀毒。
2) 根据 WordBFF 格式,在 Word 环境外解剖病毒文档(模板),去掉病毒宏。
方法 1 因为在 Word 环境中杀毒,所以杀毒准确,兼容性好。而方法 2 由于各个版本的
WordBFF 格式都不完全兼容,每次 Word 升级它也必须跟着升级,兼容性不好。
目前有些DOS 杀毒软件不是采用 WordBFF 格式去解剖病毒文档(模板),而是简单化的
把病毒文档(模板)中的某些