宏病毒是什么21

　　宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。

　　虽然OFFICE97/Word97无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。

　　这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档时就包含宏。

　　如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择“取消宏”。

　　OFFICE97软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许“宏病毒保护”复选框。如果愿意，您可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除“在打开带有宏或自定义内容的文档时提问”复选框。或者关闭宏检查：单击“工具”菜单中的“选项”命令，再单击“常规”选项卡，然后清除“宏病毒保护”复选框。

　　不过我强烈建议您不要取消宏病毒防护功能，否则您会失去这道防护宏病毒的天然屏障。

　　二、宏病毒的判断方法

　　虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：

　　1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。

　　2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。

　　3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot已经被感染。

　　鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。注意：简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！

　　三、宏病毒的防治和清除

　　1、首选方法：用最新版的反病毒软件清除宏病毒。使用反病毒软件是一种高效、安全和方便的清除方法，也是一般计算机用户的首选方法。但是宏病毒并不象某些厂商或麻痹大意的人那样认为的有所谓“广谱”的查杀软件，这方面的突出例子就是ETHAN宏病毒。

　　ETHAN宏病毒相当隐蔽，比如您使用KV300Z+、RAVV9.0(11)、KILL85.03等反病毒软件（应该算比较新的版本了）都无法查出它。此外这个宏病毒能够悄悄取消WORD中宏病毒防护选项，并且某些情况下会把被感染的文档置为只读属性，从而更好地保存了自己。

　　因此，对付宏病毒应该和对付其它种类的病毒一样，也要尽量使用最新版的查杀病毒软件。无论你使用的是何种反病毒软件，及时升级是非常重要的。比如虽然KV300Z+版不能查杀ETHAN宏病毒，但最新推出的KV300Z++已经可以查杀它。

　　2、应急处理方法：用写字板或WORD6.0文档作为清除宏病毒的桥梁。如果您的WORD系统没有感染宏病毒，但需要打开某个外来的、已查出感染有宏病毒的文档，而手头现有的反病毒软件又无法查杀它们，那么您可以试验用下面的方法来查杀文档中的宏病毒：打开这个包含了宏病毒的文档（当然是启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”），然后在“文件”菜单中选择“另存为”，将此文档改存成写字板（RTF）格式或WORD6.0格式。

　　在上述方法中，存成写字板格式是利用RTF文档格式没有宏，存成WORD6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况下，如果文档内容中除了文字、图片外还有图形或表格，那么按WORD6.0格式保存一般不会失去这些内容。

　　存盘后应该检查一下文档的完整性，如果文档内容没有任何丢失，并且在重新打开此文档时不再出现宏警告则大功告成。

　　什么是宏病毒

　　宏，译自英文单词Macro。宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

　　OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板（Normal．dot），里面包含了基本的宏。只要一启动Word，就会自动运行Normal．dot文件。如果在Word中重复进行某项工作，可用宏使其自动执行。Word提供了两种创建宏的方法：宏录制器和VisualBasic编辑器。宏将一系列的Word命令和指令组合在一起，形成一个命令，以实现任务执行的自动化。在默认的情况下，Word将宏存贮在Normal模板中，以便所有的Word文档均能使用，这一特点几乎为所有的宏病毒所利用。

　　如果撰写了有问题的宏，感染了通用模板（Normal．dot），那么只要一执行Word，这个受感染的通用模板便会传播到之后所编辑的文档中去，如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　这就是我们日常所说的寄存在文档或模板的宏中的计算机宏病毒。

　　一般宏病毒具有传播极快，制作、变种方便，破坏可能性极大，宏病毒的兼容性不高等特点，目前的杀毒软件都能有效的防治和清除宏病毒。

　　宏病毒是什么？

　　一、宏病毒的主要破坏

　　WORD宏病毒的破坏在两方面：

　　1．对WORD运行的破坏是：不能正常打印；封闭宏病毒

　　或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。如TaiwanNo.lMacro病毒每月13日发作，所有编写工作无法进行。

　　2．对系统的破坏是：WordBasic语言能够调用系统命令，造成破坏。

　　二、宏病毒隐蔽性强，传播迅速，危害严重，难以防治

　　与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。

　　1．宏病毒隐蔽性强由于人们忽视了在传递一个文档时也会有传播病毒的机会。

　　2．宏病毒传播迅速因为办公数据的交流要比拷贝.EXE文件更加经常和频繁，如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话，那么这一招对Word病毒将束手元策。3．危害严重因为MicrosoftWord几乎已经成为目前全世界办公文档的事实工业标准，其影响是全球范围的，在中国也绝不例外。Word文件的交换是目前办公数据交流和传送的最通常的方式之一，其涉及面比盗版软件的传播要大得多，传播速度则更加有过之而元不及。据报道，70％-80％的中国计算机用户已经不再单纯使用MSDOS作为唯一的操作环境，看VCD和使用Word成为用户使用Windows应用程序的榜首。无数的DOC文件从上级机关金字塔般地传播到基层，基层又上报到上级机关，从各个单位的办公室到工作者的家庭，到出版部门的计算机系统。于是，便存在这样一种可能，当成千上万的x86计算机系统在传播和复制这些数据以及文档文件的同时，也在忠实地传播和复制这些病毒。由于该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒在公司通过内联网相互进行文档传送时，迅速蔓延，往往很快就能使公司的机器全部染上病毒。

　　4．难以防治由于宏病毒利用了Word的文档机制进行传播，所以它和以往的病毒防治方法不同。一般情况下，人们大多注意可执行文件（.COM、.EXE）的病毒感染情况，而Word宏病毒寄生于Word的文档中，而且人们一般都要对文档文件进行备份，因此病毒可以隐藏很长一段时间。

　　宏病毒是什么,在电子表格中怎么样清除？？

　　宏是Word里一个非常有用的工具，但也是Word的安全漏洞之一。有一些恶意的人利用宏制造宏病毒，给别人带来麻烦。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　1宏病毒

　　宏病毒已经成为发展最快和传播最迅速的病毒。美国国际计算机安全协会ICSA的《ICSA1998病毒流行调查报告》表明宏病毒独占1998年十大病毒感染事件的72%，在十大病毒中占了五席交椅：WM/Concept、WM/Cap、WM/Wazzu、WM/Npad和XM/Laroux。根据DataFellow公司每天特征码升级的F-Macro所检测到的宏病毒数目，至1998年12月达到了3,332个，而在1997年12月才是1,821个，增长率为83.0%。而且F-Macro并不能检测到所有宏病毒。在1998年12月出现了WordClassObject的宏病毒，是由VicodinES编写的。

　　1.1宏病毒

　　许多应用程序都允许在用户的数据库中包含一些宏，随着应用软件的进步，宏语言的功能也越来越强大，其中微软的WordVisualBasicforApplication（VBA）已经成为应用软件宏语言的标准。利用宏语言，可以实现几乎所有的操作，还可以实现一些应用软件原来没有的功能。每个模板或数据文件中，都可以包含宏命令。

　　有不少应用软件允许用户利用宏修改软件菜单的功能，并可以将某一个宏加入到菜单中或设置成自动运行的命令。利用这个功能，宏就可以修改软件本身的功能，从而将软件本身修改为病毒传播的源泉。

　　宏病毒就是利用WordVBA进行编写的一些宏，这些宏可以自动运行，干扰用户工作，轻则降低工作效率，重则破坏文件，使用户遭受巨大损失。

　　一旦打开含有宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　宏病毒成为传播最快的病毒，其原因有三个：第一，现在用户几乎对可执行文件病毒和引导区病毒已经有了比较一致的认识，对这些病毒的防治都有一定的经验，许多公司、企业对可执行文件和磁盘的交换都有严格的规定。但对宏病毒的危害还没有足够的认识，而现在主要的工作就是交换数字文件，因此使宏病毒得到迅速传播。第二，现在的查病毒、防病毒软件主要是针对可执行文件和磁盘引导区设计的，一般都假定数据文件中不会存在病毒，而人们相信查病毒软件的结论，从而使隐藏在数据文件中的病毒成为漏网之鱼。第三，CD-ROM和Interenet使病毒的传播速度大大加快。

　　如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果Word系统中的模板包含了宏病毒，我们称Word系统感染了宏病毒。

　　Word2000无法扫描软盘、硬盘或网络驱动器上的宏病毒（要得到这种保护，需要购买和安装专门的防病毒软件）。但当打开一个含有可能携带病毒的宏的文档时，它能够显示宏警告信息。这样就可选择打开文档时是否要包含宏，如果希望文档包含要用到的宏（例如，单位所用的定货窗体），打开文档时就包含宏。如果您并不希望在文档中包含宏，或者不了解文档的确切来源。例如，文档是作为电子邮件的附件收到的，或是来自网络或不安全的Internet节点。在这种情况下，为了防止可能发生的病毒传染，打开文档过程中出现宏警告提示时最好选择【取消宏】。

　　Word软件包安装后，系统中包含有关于宏病毒防护的选项，其默认状态是允许【宏病毒保护】复选框。如果愿意，可以终止系统对文档宏病毒的检查。当Word显示宏病毒警告信息时，清除【在打开带有宏或自定义内容的文档时提问】复选框。或者关闭宏检查：单击【工具】菜单中的【宏】命令，再从级联菜单中选择【安全性】命令，出现【安全性】对话框，选择【安全级】选项卡，将安全级别设为【无】。不过一般建议用户不要取消宏病毒防护功能，否则会失去这道防护宏病毒的天然屏障。

　　1.2宏病毒示例

　　为了更好地理解宏病毒，我们仔细分析一下宏病毒W97M/Ethan.A。

　　下面是该病毒的代码。

　　PrivateSubDocument_Close（）

　　OnErrorResumeNext

　　s=ActiveDocument.Saved

　　Application.EnableCancelKey=Not-1

　　WithOptions:.ConfirmConversions=0:.VirusProtection

　　=0:.SaveNormalPrompt=0:EndWith

　　Randomize

　　IfDir（c:\ethan.___,6）=Then

　　Openc:\ethan.___ForOutputAs#1