版权归原作者所有,如有侵权,请联系我们

[科普中国]-宏病毒

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

基本概念如果某个文档中包含了宏病毒,我们称此文档感染了宏病毒;如果WORD系统中的模板包含了宏病毒,我们称WORD系统感染了宏病毒。

来源虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒。但当打开一个含有可能携带病毒的宏的文档时,它能够显示宏警告信息。并且在2013年后的杀毒软件已支持宏病毒扫描。

这样就可选择打开文档时是否要包含宏,如果希望文档包含要用到的宏(例如,单位所用的定货窗体),打开文档时就包含宏。

如果您并不希望在文档中包含宏,或者不了解文档的确切来源。例如,文档是作为电子邮件的附件收到的,或是来自网络或不安全的 Internet节点。在这种情况下,为了防止可能发生的病毒传染,打开文档过程中出现宏警告提示时最好选择“取消宏”。

OFFICE97软件包安装后,系统中包含有关于宏病毒防护的选项,其默认状态是允许“宏病毒保护”复选框。如果愿意,您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时,清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查:单击“工具”菜单中的“选项”命令,再单击“常规”选项卡,然后清除“宏病毒保护”复选框。

不过建议您不要取消宏病毒防护功能,否则您会失去这道防护宏病毒的天然屏障。

上世纪90年代的宏病毒主要感染文件有 word、Excel 的文档。并且会驻留在Normal面板上

据统计,通过Internet传播的不同类型的病毒数量如下:

DOS型: 10000至11000种

Windows型:12种

Macintosh型:35种

宏病毒: 200余种

Unix型: 6种

其中10000-11000种DOS型病毒能感染所有DOS、Windows95平台的计算机(但不感染Macintosh计算机);但200余种宏病毒中的大部分能感染所有计算机,包括PC机和Macintosh机。所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务(如Word中的宏命令)。

判断方法虽然不是所有包含宏的文档都包含了宏病毒,但当有下列情况之一时,您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒:

1、在打开“宏病毒防护功能”的情况下,当您打开一个您自己写的文档时,系统会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用,那么您可以完全肯定您的文档已经感染了宏病毒。

2、同样是在打开“宏病毒防护功能”的情况下,您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏,所以当您看到成串的文档有宏警告时,可以肯定这些文档中有宏病毒。

3、如果软件中关于宏病毒防护选项启用后,不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能,它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能,它在感染系统(这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能)后,会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效,则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot 已经被感染。

鉴于绝大多数人都不需要或者不会使用“宏”这个功能,我们可以得出一个相当重要的结论:如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大。注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!

防治清除1、首选方法:用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法,也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件,这方面的突出例子就是ETHAN宏病毒。

ETHAN宏病毒相当隐蔽,比如您使用KV300 Z+、RAV V9.0(11)、 KILL 85.03等反病毒软件(应该算比较新的版本了)都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项,并且某些情况下会把被感染的文档置为只读属性,从而更好地保存了自己。因此,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件,及时升级是非常重要的。比如虽然KV300 Z+版不能查杀ETHAN宏病毒,但最新推出的KV300 Z++已经可以查杀它。

2、应急处理方法:用写字板或WORD 6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒,但需要打开某个外来的、已查出感染有宏病毒的文档,而手头现有的反病毒软件又无法查杀它们,那么您可以试验用下面的方法来查杀文档中的宏病毒:打开这个包含了宏病毒的文档(当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”),然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。

在上述方法中,存成写字板格式是利用RTF文档格式没有宏,存成 WORD 6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下,如果文档内容中除了文字、图片外还有图形或表格,那么按 WORD6.0格式保存一般不会失去这些内容。

存盘后应该检查一下文档的完整性,如果文档内容没有任何丢失,并且在重新打开此文档时不再出现宏警告则大功告成。

危害主要在以下方面:

一、宏病毒的主要破坏

WORD宏病毒的破坏在两方面:

1.对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单;

文件无法正常编辑。如Taiwan No.l Macro病毒每月13日发作,所有编写工作无法进行。

2.对系统的破坏是:Word Basic语言能够调用系统命令,造成破坏。

二、宏病毒隐蔽性强,传播迅速,危害严重,难以防治

与感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以防治等特点。

1.宏病毒隐蔽性强

由于人们忽视了在传递一个文档时也会有传播病毒的机会。

2.宏病毒传播迅速

因为办公数据的交流要比拷贝.EXE文件更加经常和频繁,如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话,那么这一招对Word病毒将束手无策。

3.危害严重

因为Microsoft Word几乎已经成为全世界办公文档的事实工业标准,其影响是全球范围的,在中国也绝不例外。Word文件的交换是目前办公数据交流和传送的最通常的方式之一,其涉及面比盗版软件的传播要大得多,传播速度则更加有过之而无不及。据报道,70%-80%的中国计算机用户已经不再单纯使用MSDOS作为唯一的操作环境,看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基层, 基层又上报到上级机关,从各个单位的办公室到工作者的家庭,到出版部门的计算机系统。于是,便存在这样一种可能,当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时,也在忠实地传播和复制这些病毒。

由于该病毒能跨越多种平台,并且针对数据文档进行破坏,因此具有极大的危害性,该病毒在公司通过内联网相互进行文档传送时,迅速蔓延,往往很快就能使公司的机器全部染上病毒。

4.难以防治

由于宏病毒利用了Word的文档机制进行传播,所以它和以往的病毒防治方法不同。一般情况下,人们大多注意可执行文件(.COM、.EXE)的病毒感染情况,而Word宏病毒寄生于Word的文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。

起源宏病毒起源 当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。

其实宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。然而,宏病毒与普通病毒不同,它不感染.EXE或.COM文件,而只感染文档文件。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。

1996年12月13日,一种被称为“TaiwanNo.1”的病毒同时在北京和深圳被发现,一例来自于Internet的下载文件,另一例来自某医院的一项合作协议书。在一个专门研究医学病毒的捍卫人体健康的机构发现被计算机病毒侵袭的事件,可真是有些戏剧性的效果。凡是经历过小球病毒发作的人都能体味这样一种恐慌的感觉,恐慌的根源就是您对病毒本身尚一无所知时,感觉命运似乎刹那间就即将被别人掌握了。Internet电子邮件已日益成为病毒的携带者。当您在Internet上用Email收看邮件时,是否想到,您可能会受到计算机病毒的威胁。一般一个纯粹的电子邮件内容没有病毒,但其附加的文件极可能带有病毒。附加文件的病毒扩散首先需要运行它。举个例子来说:您收到了一个附加有用Word编辑的文件,这个Word文件被病毒感染了,当您运行该附加文件时,计算机就会受到病毒的威胁。

所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务。MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Word_Basic将宏作为一系列指令来编写。要想搞清楚宏病毒的来龙去脉,必须了解Word宏的知识及wordBasic编程技术。Wo_rd宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即word中提供的WordBASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。1

特点宏病毒是针对微软公司的文字处理软件Word编写的一种病毒。微软公司的文字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特性与共性。

特性(1)传播极快

Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染

,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。特别是Internet网络的普及,Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就有40多个宏病毒,而国际上普通病毒种类已达12000多种。

(2)制作、变种方便

以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。

(3)破坏可能性极大

鉴于宏病毒用WordBasic语言编写,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用WindowsAPI,调用DDE或DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。

(4)多平台交叉感染

宏病毒冲破了以往病毒在单一平台上传播的局限,当WORD、EXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时,会被宏病毒交叉感染。

共性宏病毒具有一些共性:

1,以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了人们的“数据文件不会传播病毒”的错误认识。宏病毒会感染.DOC文档文件和.DOT模板文件。被它感染的.DOC文档属性必然会被改为模板而不是文档,但不一定修改文件的扩展名。而用户在另存文档时,就无法将该文档转换为任何其他方式,而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。

2,染毒文档无法使用“另存为(SaveAs)”修改路径以保存到另外的磁盘/子目录中。

3,病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏将自身复制至Word的通用(Normal)模板中,以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。

4,大多数宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自动宏。只有这样,宏病毒才能获得文档(模板)操作控制权。有些宏病毒还通过FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件的操作。

5,病毒宏中必然含有对文档读写操作的宏指令。

6,宏病毒在.DOC文档、.DOT模板中是以BFF(BinaryFileFormat)格式存放,这是一种加密压缩格式,每种Word版本格式可能不兼容。2

分析宏病毒传播途径主要有:

1,软盘交流染毒文档文件;

2,硬盘染毒,处理的文档文件必将染毒;

3,光盘携带宏病毒;

4,Internet上下载染毒文档文件;

5,BBS交流染毒文档文件;

6,电子邮件的附件夹带病毒。

两支宏病毒分析

1,Nuclear宏病毒

这是一个对操作系统文件和打印输出有破坏功能的宏病毒。这个宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload这些宏是只执行(Execute-only)宏。

Nuclear宏病毒造成的破坏现象为:

(1)打开一个染毒文档并打印的时候,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTING

INTHEPACIFIC!”,这个现象是在每分钟的55秒~60秒之间操作打印时发生。

(2)如果在每天17:00~18:00之间打开一个染毒文档,Nuclear病毒会将PH33R病毒传染到计算机上,这是个驻留型病毒。

(3)在每年的4月5日,该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND. COM文件。一旦病毒发作,MSDOS就不可能被引导,计算机将陷入瘫痪。

2,台湾一号病毒

台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen这些宏是可被编辑宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。台湾一号病毒造成的危害是:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发。激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至Word内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。2

作用机制Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口,制作的一个或多个具有病毒特点的宏,它能通过.DOC文档及.DOT模板进行自我复制及传播。宏病毒与以往

的计算机病毒不同,它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样,它以VB(WORDBASIC)高级语言的方式直接混杂在文件中,并加以传播,不感染程序文件,只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上,但是可以由Word解释执行操作,因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。 Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。

Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加

以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,WORD就启动它,除非在此之前系统已经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然,如果AutoClose宏存在,则系统在关闭一个文件时,会自动执行它。

预防Microsoft公司的Word字处理软件因其功能强大,使用方便等诸多优点受到广大使用者的青睐,版本从2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不断升级。Word的推广使用,确实为文本处理工作带来了极大的便利,但随之而来的宏病毒也平添了不少烦脑。宏病毒困扰着用Word处理的文本,轻则文本不能正常存储,重则变成乱码,甚至磁盘被格式化,使许多普通用户谈“宏”变色。实际上,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防治。

Word宏病毒是一种用专门的Basic语言即WordBasic编写的程序。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据、文本类文件造成破坏。Word中提供由用户编制宏这一功能是为了让用户能够用简单的程序,简化一些经常重复性的操作,与DOS中的批处理文件类似。Word宏的编制技术,与其它复杂的编程技术相比,要求很低很容易编制,这就为心怀恶意的计算机用户提供了一种简单高效的制造病毒手段。但也正因其编制简单,使宏病毒的防治远较那些用复杂的编程语言编制的病毒容易得多。

下面就谈在日常用Word处理文本时,如何预防和消除宏病毒。防止“病从口入”是对付所有病毒的指导思想,同样对付宏病毒的重点也应该放在对其预防上。Word宏病毒的触发条件是在启动或调用Word文档时,自动触发执行,因此,只要不打开被感染的文本,宏病毒是不会传播的。如果打开了带毒的文本,其它没打开的文本不会被感染;即使是打开了其它文本,只要不存盘,也不会感染到硬盘中的文本。Word本身不带病毒,即初次进入Word环境时没有病毒,一旦在其中打开带宏病毒的文件,病毒就会留在Word环境中,如果这时打开其它文件,这些文件就会被感染;更严重的是,关闭Word时的环境就带上了宏病毒,而这时处理的所有文档都将感染上宏病毒。

入侵宏病毒入侵有两条路径,一是E-mail,二是软盘,其共同特点是只能通过word格式(文件后缀为dos或rtf)传播。只要不用word格式存盘,而用txt格式,宏病毒就无从存活了。因此,为了防止宏病毒通过软盘流传,在交换软盘时,可要求对方用TXT格式传交文件,或者先用Window提供的书写器(对window3.X而言),或写字板(对Window而言)打开外来的word文档,将其先转换成书器或写字板格式的文件并不保存后,再用word调用。因为书写器或写字板是不调用也不记录和保存任何Word宏的,文档经此转换,所有附带其上的宏都将丢失,当然,这样做将使该Word文档中所有的排版格式一并丢失。

判断如果必须保留原有的文档排版格式,可以有以下几种方式预防或判断是否有宏病毒。

1、为了防止病毒的侵入,用户在新安装了Word后,可打开一个新模板,将Word的工作环境按你的使用习惯进行设置,并将你需要使用的宏一次编制好,做完后,保存为Normal.dot。新的Normal.dot按你的需要设置并绝对没有宏病毒,将这份干净的Normal.dot备份。在遇到有宏病毒或怀疑感染了宏病毒的时候,用备份的Normal.dot覆盖当前的Normal.dot模块。另外,为了防止病毒蔓延,可将你新设置的Normal.dot文件的属性设置成“只读”,以后当退出Word环境时,如果出现自动修改“Normal.dot”的对话框,而你并没有录制新的宏,说明有宏病毒,此时选择“否”,以保持Word环境的干净。

2、在调用Word文档时先禁止所有以Auto开头的宏的执行(因为一般宏病毒只能用“Auto×××”命名)。这样能保证用户在安全启动Word文档后,再时行必要的病毒检查。对于使用Word97版本的用户,Word97已经提供此项功能,将其激活或开即可。方法是点击“工具|选项”,然后单击“常规”,选择“宏病毒防护”,使其有效,这样,当前打开的Word文档所使用模板就有了防止“自动宏”(以Auto开头命名)执行的功能。当以后使用这个模板的文档时,如果打开的文档带有“自动宏”,并询问用户是否执行这些宏,这进选择“取消宏”进入Word并打开文档,再进一步对文档进行“宏”检查。对使用Word97以前版本的用户,需要自行编制一个名为AutoExec的。将AutoExec宏保存在一个另外命名的Word模板中,比如AE.dot,当要使用外来的Word文档时,将AE.dot模板该名为Normal.dot(备份原来的Normal.dot),宏AutoExec执行时,将关闭其它所有动执行的Word宏。如果不使用外来文档,可以将原来备份的Normal.dot模板再该名拷贝回来。

清除步骤如果确信你的文件和系统已不幸感染了宏病毒。毫无疑问,应该停下手边的其它工作,争取彻底清除宏病毒。一般可采取以下两个步骤:

1、进入“工具|宏”,查看模板Normal.dot,若发现有Filesave、Filesaveas等文件操作宏或类似AAAZAO、AAAZFS怪名字的宏,说明系统确实感染了宏病毒,删除这些来历不明的宏。对以Auto×××命名的,若不是用户自己命名的自动宏,则说明文明感染了宏病毒,删除它们。若是用户自己创建的自动宏,可以打开它,看是否与原来创建时的内容一样,如果存在被改变处,说明你编制的自动宏已经宏病毒修改这时应该将自动宏修改为原来编制的内容。在最糟的情况下,如果分不清那些是宏病毒,为安全起见,可删除所有来路不明的宏,甚至是用户自己创建的宏。因为即便删错了,也不会对Word文档内容产生任何影响,仅仅是少了“宏功能”。如果需要,还可以重新编制。

2、即使在“工具|宏”删除了所有的病毒宏,并不意味着你可以高枕无忧了。因为病毒原体还在文本中,只不过暂时不活动了,也许还会死灰复燃。为了彻底消除宏病毒,再时入“文件|新建”,选择“模板”,正常情况下,可以在“文件模板”处见到“Normal.dot”,如果没有,说明文档模板文件Normal.dot已被病毒修改了。这时用你手边原来备份的Normal.dot覆盖当前的Normal.dot;或你没有备份,则删掉然毒Normal.dot,重新进入Word,在“模板”里,重置默认字体等选项后退出Word,系统就会自动创建一个干净的Normal.dot。再进入Word,再打开原来的文本,并新建另一个空文档,这时新建文档是干净的;将原文件的全部内容拷贝到新文件中,关闭感染宏病毒的文本,然后再将新文本保存为原文件名存储。这样,宏病毒就感染彻底清除了,原文件也恢复了原样,可以放心大胆地编辑、修改、存储了。

虽然上述方法对大部分宏病毒可彻底清除,但是“道高一尺,魔高一丈”,有些智能点数比较高的宏病毒,会事先防范,让宏编辑功能失效,进入“工具|宏”的时候,看不到病毒的名字,因此,也就无法删除它们。对付这“狡猾”的宏病毒,可选用杀宏病毒的专门软件如KV300、VAV、瑞星等进行杀除。并注意检查出文件可能感染病毒后,首先对文件备份,然后再执行清除命令,以免意情况下杀掉病毒的同时改变原文件的内容。

以上是关于宏病毒的预防和杀除。总之,首先要保证文档环境无病毒,即Normal.dot文档模板是干净的;其次是要预防在Word里打开的文本携有病毒;最后,发现了宏病毒后,要采取行之有效的措施,保证文档环境、文档本身恢复到无病毒状态。1

清除后遗症宏病毒“后遗症”的清除

以“台湾一号”为代表的专门感染WORD文档的新型病毒——宏病毒侵入计算机。许多人的染毒文档在杀毒之后(或手工,或杀毒软件),依然是以一种模板形式存盘。这样就导致“另存为”命令失效,即此文件已不能转换为别的文件格式(如TXT)。其实这就是宏病毒留下的“后遗症”,应该把它清除干净。下面就谈谈如何清除这种“后遗症”。

DOC文件被宏病毒感染后,它的属性必然会被改为模板,而不是文档(尽管形式上其扩展名仍是DOC)。此时可按下述步骤进行处理:

1,将该文件打开。2,选择全部内容,复制到剪贴板。3,关闭此文件。4,新建一个DOC文件(此前应保证Normal模板干净)。5,粘贴剪贴板上的内容。6,另存为原文件名(将原来模板属性的文件覆盖)。

完成后,该文档的“另存为”命令可以正常使用了,宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的文档。最后想说一句,清除宏病毒时,若染毒文档太多,手工方法将非常繁琐,亦可以使用杀毒软件来清除。2

本词条内容贡献者为:

李航 - 副教授 - 西南大学