宏病毒

病毒預防

Microsoft公司的Word字處理軟體因其功能強大，使用方便等諸多優點受到廣大使用者的青睞，版本從2．0、5．0、6．0直7．0（Word95）、8．0（Word97），不斷升級。Word的推廣使用，確實為文本處理工作帶來了極大的便利，但隨之而來的宏病毒也平添了不少煩腦。宏病毒困擾著用Word處理的文本，輕則文本不能正常存儲，重則變成亂碼，甚至磁碟被格式化，使許多普通用戶談“宏”變色。實際上，在了解了Word宏病毒的編制、發作過程之後，即使是普通的電腦用戶，不藉助任何防毒軟體，也可以較好地對其進行防治。

Word宏病毒是一種用專門的Basic語言即WordBasic編寫的程式。與其它計算機病毒一樣，它能對用戶系統中的執行檔和數據、文本類檔案造成破壞。Word中提供由用戶編制宏這一功能是為了讓用戶能夠用簡單的程式，簡化一些經常重複性的操作，與DOS中的批處理檔案類似。Word宏的編制技術，與其它複雜的編程技術相比，要求很低很容易編制，這就為心懷惡意的計算機用戶提供了一種簡單高效的製造病毒手段。但也正因其編制簡單，使宏病毒的防治遠較那些用複雜的程式語言編制的病毒容易得多。

下面就談在日常用Word處理文本時，如何預防和消除宏病毒。防止“病從口入”是對付所有病毒的指導思想，同樣對付宏病毒的重點也應該放在對其預防上。Word宏病毒的觸發條件是在啟動或調用Word文檔時，自動觸發執行，因此，只要不打開被感染的文本，宏病毒是不會傳播的。如果打開了帶毒的文本，其它沒打開的文本不會被感染；即使是打開了其它文本，只要不存檔，也不會感染到硬碟中的文本。Word本身不帶病毒，即初次進入Word環境時沒有病毒，一旦在其中打開帶宏病毒的檔案，病毒就會留在Word環境中，如果這時打開其它檔案，這些檔案就會被感染；更嚴重的是，關閉Word時的環境就帶上了宏病毒，而這時處理的所有文檔都將感染上宏病毒。

入侵

宏病毒入侵有兩條路徑，一是E-mail，二是軟碟，其共同特點是只能通過word格式（檔案後綴為dos或rtf）傳播。只要不用word格式存檔，而用txt格式，宏病毒就無從存活了。因此，為了防止宏病毒通過軟碟流傳，在交換軟碟時，可要求對方用TXT格式傳交檔案，或者先用Window提供的書寫器（對window3．X而言），或寫字板（對Window而言）打開外來的word文檔，將其先轉換成書器或寫字板格式的檔案並不保存後，再用word調用。因為書寫器或寫字板是不調用也不記錄和保存任何Word宏的，文檔經此轉換，所有附帶其上的宏都將丟失，當然，這樣做將使該Word文檔中所有的排版格式一併丟失。

判斷

如果必須保留原有的文檔排版格式，可以有以下幾種方式預防或判斷是否有宏病毒。

1、為了防止病毒的侵入，用戶在新安裝了Word後，可打開一個新模板，將Word的工作環境按你的使用習慣進行設定，並將你需要使用的宏一次編制好，做完後，保存為Normal.dot。新的Normal.dot按你的需要設定並絕對沒有宏病毒，將這份乾淨的Normal.dot備份。在遇到有宏病毒或懷疑感染了宏病毒的時候，用備份的Normal.dot復蓋當前的Normal.dot模組。另外，為了防止病毒蔓延，可將你新設定的Normal.dot檔案的屬性設定成“唯讀”，以後當退出Word環境時，如果出現自動修改“Normal.dot”的對話框，而你並沒有錄製新的宏，說明有宏病毒，此時選擇“否”，以保持Word環境的乾淨。

2、在調用Word文檔時先禁止所有以Auto開頭的宏的執行（因為一般宏病毒只能用“Auto×××”命名）。這樣能保證用戶在安全啟動Word文檔後，再時行必要的病毒檢查。對於使用Word97版本的用戶，Word97已經提供此項功能，將其激活或開即可。方法是點擊“工具|選項”，然後單擊“常規”，選擇“宏病毒防護”，使其有效，這樣，當前打開的Word文檔所使用模板就有了防止“自動宏”（以Auto開頭命名）執行的功能。當以後使用這個模板的文檔時，如果打開的文檔帶有“自動宏”，並詢問用戶是否執行這些宏，這進選擇“取消宏”進入Word並打開文檔，再進一步對文檔進行“宏”檢查。對使用Word97以前版本的用戶，需要自行編制一個名為AutoExec的。將AutoExec宏保存在一個另外命名的Word模板中，比如AE.dot，當要使用外來的Word文檔時，將AE.dot模板該名為Normal.dot（備份原來的Normal.dot），宏AutoExec執行時，將關閉其它所有動執行的Word宏。如果不使用外來文檔，可以將原來備份的Normal.dot模板再該名拷貝回來。

清除步驟

如果確信你的檔案和系統已不幸感染了宏病毒。毫無疑問，應該停下手邊的其它工作，爭取徹底清除宏病毒。一般可採取以下兩個步驟：

1、進入“工具|宏”，查看模板Normal.dot，若發現有Filesave、Filesaveas等檔案操作宏或類似AAAZAO、AAAZFS怪名字的宏，說明系統確實感染了宏病毒，刪除這些來歷不明的宏。對以Auto×××命名的，若不是用戶自己命名的自動宏，則說明文明感染了宏病毒，刪除它們。若是用戶自己創建的自動宏，可以打開它，看是否與原來創建時的內容一樣，如果存在被改變處，說明你編制的自動宏已經宏病毒修改這時應該將自動宏修改為原來編制的內容。在最糟的情況下，如果分不清那些是宏病毒，為安全起見，可刪除所有來路不明的宏，甚至是用戶自己創建的宏。因為即便刪錯了，也不會對Word文檔內容產生任何影響，僅僅是少了“宏功能”。如果需要，還可以重新編制。

2、即使在“工具|宏”刪除了所有的病毒宏，並不意味著你可以高枕無憂了。因為病毒原體還在文本中，只不過暫時不活動了，也許還會死灰復燃。為了徹底消除宏病毒，再時入“檔案|新建”，選擇“模板”，正常情況下，可以在“檔案模板”處見到“Normal.dot”，如果沒有，說明文檔模板檔案Normal.dot已被病毒修改了。這時用你手邊原來備份的Normal.dot復蓋當前的Normal.dot；或你沒有備份，則刪掉然毒Normal.dot，重新進入Word，在“模板”里，重置默認字型等選項後退出Word，系統就會自動創建一個乾淨的Normal.dot。再進入Word，再打開原來的文本，並新建另一個空文檔，這時新建文檔是乾淨的；將原檔案的全部內容拷貝到新檔案中，關閉感染宏病毒的文本，然後再將新文本保存為原檔案名稱存儲。這樣，宏病毒就感染徹底清除了，原檔案也恢復了原樣，可以放心大膽地編輯、修改、存儲了。

雖然上述方法對大部分宏病毒可徹底清除，但是“道高一尺，魔高一丈”，有些智慧型點數比較高的宏病毒，會事先防範，讓宏編輯功能失效，進入“工具|宏”的時候，看不到病毒的名字，因此，也就無法刪除它們。對付這“狡猾”的宏病毒，可選用殺宏病毒的專門軟體如KV300、VAV、瑞星等進行殺除。並注意檢查出檔案可能感染病毒後，首先對檔案備份，然後再執行清除命令，以免意情況下殺掉病毒的同時改變原檔案的內容。

以上是關於宏病毒的預防和殺除。總之，首先要保證文檔環境無病毒，即Normal.dot文檔模板是乾淨的；其次是要預防在Word里打開的文本攜有病毒；最後，發現了宏病毒後，要採取行之有效的措施，保證文檔環境、文檔本身恢復到無病毒狀態。

相關詞條