【正文】 能性。 因?yàn)椋臋n資料的攜帶性極高，如果宏亦隨著文檔而被分派到不同的工作平臺(tái)，只要能被執(zhí)行，它也就類似于計(jì)算機(jī)病毒的傳染過(guò)程。不過(guò)這種形式的傳染有原始碼被公開的特點(diǎn)，而且正因?yàn)樵即a是公開的，這種計(jì)算機(jī)病毒的一切行為便無(wú)所遁形了。 Word的工作模式是只要一載入文檔，就先執(zhí)行起始的宏，接著載入資料內(nèi)容，這個(gè)創(chuàng)意本來(lái)很好，因?yàn)殡S著資料不同需要有不同的宏工作?？墒鞘聦?shí)上，很少人會(huì)對(duì)宏產(chǎn)生興趣，因?yàn)楹甑木帉懴喈?dāng)于學(xué)習(xí)一套程序語(yǔ)言，盡管它的語(yǔ)法被撰寫得很簡(jiǎn)單，可是大多數(shù)的人，一方面不知情不了解，一方面雖知如此，卻寧愿多花幾秒重復(fù)幾個(gè)動(dòng)作。 因此， Word便為大眾事先定義一個(gè)共用的范本文檔（ ）， 里面包含了基本的宏。只要一啟動(dòng) Word， 就會(huì)自動(dòng)運(yùn)行 。類似的電子表格軟件 Excel也支持宏，但它的范本文件是 。 這樣做，等于是為宏病毒大開方便之門，只要撰寫了有問(wèn)題的宏，再去感染這個(gè)共用范本（ ），那么只要一執(zhí)行 Word， 這個(gè)受感染的共用范本即被載入，計(jì)算機(jī)病毒便隨之傳播到之后所編輯的文檔中去。當(dāng)然這只是宏病毒傳播的一個(gè)基本途徑，一些更厲害的宏病毒還有其他的途徑傳播。 Word宏病毒通過(guò) .DOC文檔及 .DOT模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類型。 鑒于宏病毒用 Word Basic語(yǔ)言編寫， Word Basic語(yǔ)言提供了許多系統(tǒng)低層調(diào)用。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。這些操作均可能對(duì)系統(tǒng)造成直接威脅，而Word在指令安全性、完整性上檢測(cè)能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒 Nuclearr就是破壞操作系統(tǒng)的典型一例。 模板的不兼容使英文 Word中的病毒模板在同一版本的中文 Word中打不開而自動(dòng)失效，反之亦然。同時(shí)高版本的 Word文檔在低版本的 Word下是打不開的，這就是為什么宏病毒在我國(guó)內(nèi)地發(fā)現(xiàn)較少的原因?！芭_(tái)灣 1號(hào)”是在我國(guó)臺(tái)灣中文 Word下做的，其模板與大陸中文 Word兼容，因此在我國(guó)傳播很快。 2. 宏病毒特征 (1) 宏病毒會(huì)感染 .DOC文檔和 .DOT模板文件。被它感染的 .DOC文檔屬性必然會(huì)被改為模板而不是文檔，而用戶在另存文檔時(shí)，就無(wú)法將該文檔轉(zhuǎn)換為任何其它形式，而只能用模板方式存盤。這一點(diǎn)在多種文本編輯器需要轉(zhuǎn)換文檔時(shí)便不能實(shí)現(xiàn)。 (2) 宏病毒的傳染通常是 Word在打開一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。病毒宏將自身復(fù)制到 Word通用 (Normal)模板中，以后在打開或關(guān)閉文件時(shí)宏病毒就會(huì)把病毒復(fù)制到該文件中。 (3) 多數(shù)宏病毒包含 AutoOpen、 AutoClose、AutoNew和 AutoExit等自動(dòng)宏，通過(guò)這些自動(dòng)宏病毒取得文檔 (模板 )操作權(quán)。 有些宏病毒通過(guò)這些自動(dòng)宏控制文件操作。 (4) 宏病毒中總是含有對(duì)文檔讀寫操作的宏命令。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個(gè) Word版本格式可能不兼容。 宏病毒的防治和清除方法 1. 使用選項(xiàng)“ Prompt to Save Normal Template” Prompt to Save Normal Template 是 Word 里面的一個(gè)選項(xiàng)。用戶可以在 Tools/Option 下的 Save 選項(xiàng)中進(jìn)行設(shè)置。這也是在 Concept 出現(xiàn)后 Microsoft 所建議的方法之一。 但其局限性是僅在退出 Word 時(shí)才作出提示。在使用 Word 的進(jìn)程中，如果文檔被感染，用戶還是一無(wú)所知。 如果病毒的傳播沒有通過(guò)感染 或者病毒關(guān)閉了這一選項(xiàng)，用戶還是以為平安無(wú)事的話，后果不堪設(shè)想。通過(guò) Word 設(shè)置的選項(xiàng)是很容易被關(guān)閉的，很多病毒已經(jīng)具備了這樣的功能設(shè)置。 2. 別通過(guò) shift 鍵來(lái)禁止運(yùn)行自動(dòng)宏 在打開文檔時(shí)按下 Shift鍵可使文檔在打開時(shí)沒有執(zhí)行任何自動(dòng)宏。這樣可以防止宏病毒使用AutoOpen宏來(lái)傳播。同樣，在退出時(shí)按下 Shift鍵， AutoClose宏也不會(huì)被執(zhí)行。 這樣做的確可以有效地防止使用自動(dòng)宏來(lái)傳播的宏病毒加入系統(tǒng)。你必須在打開 Word的時(shí)候一直按著 Shift鍵，必須確保一手按著 Shift鍵，另一手雙擊 Word圖標(biāo)。 Shift鍵必須在整個(gè) Word啟動(dòng)過(guò)程一直按著，如果過(guò)早松手，自動(dòng)宏便會(huì)被執(zhí)行。另外，這對(duì)使用其他宏來(lái)傳播的宏病毒是無(wú)效的。 3. 查看宏代碼并刪除 宏和文本是相隔開的，正常情況下你是不可能看見宏代碼的。正確地用 Word工具選項(xiàng)來(lái)查看宏代碼的方法是使用 Organizer來(lái)查看文檔中的宏。這可以通過(guò)在 File/Templates/Organizer或者Format/Style/Organizer來(lái)進(jìn)行。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒有打開任何文件的情況下重新打開 Word。 如果你懷疑 Startup目錄下其他模板可能被感染，你需要重新命名在 Startup目錄中的所有文件，使它們不是 doc或者 dot格式，這樣 Word便可以在一種新的環(huán)境下啟動(dòng)。 在啟動(dòng) Word后，進(jìn)入 Organizer并選擇 Macros按鈕，按一下按鈕 Close Files使其轉(zhuǎn)變?yōu)?Open Files。 點(diǎn)擊 Open Files得到瀏覽框可以選擇查看的目標(biāo)。如果有宏存在的話，它們會(huì)被列在框內(nèi)。 如果宏使用了 Executeonly屬性，你只能看到宏的名稱而不能看到其他代碼。這才是比較安全的查看宏的方法。但病毒還是可以通過(guò)刪除Files/Template來(lái)隱藏其存在。 4. 使用 DisableAutoMacros宏 這是一個(gè)“以宏治宏”的方法，通過(guò)DisableAutoMacros宏指令來(lái)禁止使用自動(dòng)宏。如果啟用了這一功能，在 Word使用過(guò)程中不會(huì)自動(dòng)執(zhí)行任何自動(dòng)宏。 選擇 Tools/Macros在 Macro中，輸入 Autoexec然后點(diǎn)擊 Create輸入 DisableAutoMacros指令。 Sub MAIN DisableAutoMacros 1 End Sub 退出編輯狀態(tài)并存儲(chǔ)結(jié)果。 這種方法禁止使用自動(dòng)宏的執(zhí)行，它比使用 Shift鍵更為有效，但還是只能用于限制使用自動(dòng)宏的宏病毒，而對(duì)那些不依賴于自動(dòng)宏來(lái)傳播的宏病毒是無(wú)效的。 5. 使用 Office 97的報(bào)警設(shè)置 在 Microsoft隨后推出的 Word Word 97版本中，在 Tools/Option... General中增加了十種新的宏病毒的檢測(cè)方法。這一提示框告知用戶要打開的文件中是否有宏的存在。如果遇到這樣的文件，用戶便會(huì)給予幾種選擇：停止、繼續(xù)或不啟用宏而繼續(xù)。對(duì)一般用戶而言，這一選項(xiàng)的確很有用，它可以起到一定的預(yù)防作用。 6. 設(shè)置 一般的 DOS系統(tǒng)調(diào)用在文件設(shè)置了只讀屬性時(shí)拒絕寫入或更改操作。因此，在理論上來(lái)說(shuō)，如果，病毒將不能改變它們。 宏病毒必須改變 ，這是其特點(diǎn)或弱點(diǎn)之一。很多業(yè)界專家和宏病毒的作者的看法完全相反。他們認(rèn)為宏病毒感染文件并不需要感染 ， 如果同時(shí)打開幾份文檔，而其中之一有宏病毒，那么宏病毒便可以感染其他的文檔，盡管這樣的傳播途徑?jīng)]有直接感染 。宏病毒完全可以繞過(guò)這一障礙，比如說(shuō)在 便可以改變這一屬性。另外這一方法對(duì)那些經(jīng)常使用宏，經(jīng)常改變 效的。 7. 在 Tools/Option下的 Save選項(xiàng)的 ReadOnly Remended的另一項(xiàng)是設(shè)置密碼保護(hù)： WriteReservation Password。 如果選擇了這一項(xiàng)，在每次打開 Word時(shí)，將會(huì)要求用戶輸入密碼，否則作為只讀來(lái)打開文檔。相對(duì)于設(shè)置只讀屬性來(lái)說(shuō)，這一方法更加有效?？梢越o那些有時(shí)需要改變 ， 有時(shí)又不需要改變的用戶提供了一種選擇。而當(dāng)你需要改變 ，剛好又遇上宏病毒，它是不會(huì)報(bào)警的。同時(shí)，如果宏病毒不通過(guò)感染 ，它是無(wú)法知道的。 盡管我們?cè)谇懊娼榻B了種種反宏病毒的方法，但是對(duì)大多數(shù)人來(lái)說(shuō)，反宏病毒主要的還是依賴于各種反宏病毒軟件。當(dāng)前，處理宏病毒的反病毒軟件主要分為兩類：常規(guī)反病毒掃描器和基于Word或者 Excel宏的專門處理宏病毒的反病毒軟件。兩類軟件各有自己的優(yōu)勢(shì)，一般說(shuō)來(lái)，前者的適應(yīng)能力強(qiáng)于后者。因?yàn)榛?Word或者 Excel的反病毒軟件只能適應(yīng)于特定版本的 Office應(yīng)用系統(tǒng)，換了另一種語(yǔ)言的版本可能就無(wú)能為力了。而且，在應(yīng)用系統(tǒng)頻頻升級(jí)的今天，升級(jí)后的版本對(duì)現(xiàn)有軟件是否兼容是難以預(yù)料的。 網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的特點(diǎn) 計(jì)算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會(huì)把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。對(duì)于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 Inter的飛速發(fā)展給反病毒工作帶來(lái)了新的挑戰(zhàn)。Inter上有眾多的軟件供下載，有大量的數(shù)據(jù)交換，這給病毒的大范圍傳播提供了可能。 Inter衍生出一些新一代病毒，即 Java及 ActiveX病毒。它不需要寄主程序，因?yàn)橐蛱鼐W(wǎng)就是帶著它們到處肆虐的寄主。它不需要停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起，不被人們察覺。更厲害的是它們可以跨操作平臺(tái)，一旦遭受感染，便毀壞所有操作系統(tǒng)。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染、再生，就會(huì)使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過(guò)工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其他工作站。但病毒傳染方式比較復(fù)雜，傳播速度比較快。 在網(wǎng)絡(luò)中病毒則可以通過(guò)網(wǎng)絡(luò)通信機(jī)制，借助高速電纜進(jìn)行迅速擴(kuò)散。由于病毒在網(wǎng)絡(luò)中傳染速度非?？?，故其傳染范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有電纜，還能通過(guò)遠(yuǎn)程工作站將病毒在瞬間內(nèi)傳播到千里之外，且清除難度大。網(wǎng)絡(luò)中只要有一臺(tái)工作站未消毒干凈就可使整個(gè)網(wǎng)絡(luò)全部被病毒感染，甚至剛剛完成消毒的一臺(tái)工作站也有可能被網(wǎng)上另一臺(tái)工作站的帶病毒程序所傳染。因此，僅對(duì)工作站進(jìn)行殺毒處理并不能徹底解決問(wèn)題。網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年工作毀于一旦。網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被消除，其潛在危險(xiǎn)仍然巨大。病毒在網(wǎng)上被消除后，85%的網(wǎng)絡(luò)在 30天內(nèi)會(huì)再次被感染。 病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用的局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個(gè)帶毒操作文件，這種病毒就會(huì)感染網(wǎng)絡(luò)上其他可執(zhí)行文件。用戶在工作站上執(zhí)行內(nèi)存駐留文件帶毒，當(dāng)訪問(wèn)服務(wù)器上的可執(zhí)行文件時(shí)進(jìn)行感染。 因?yàn)槲募湍夸浖?jí)保護(hù)只在文件服務(wù)器中出現(xiàn)，而不在工作站中出現(xiàn)，所以可執(zhí)行文件病毒無(wú)法破壞基于網(wǎng)絡(luò)的文件保護(hù)。然而，一般文件服務(wù)器中的許多文件并沒得到保護(hù)，而且，非常容易成為感染的有效目標(biāo)。除此之外，管理員可能會(huì)感染服務(wù)器上的一些或所有文件。 如果一個(gè)標(biāo)準(zhǔn)的 病毒感染會(huì)發(fā)生什么呢 在一個(gè)用戶登錄到網(wǎng)絡(luò)上之后，他就會(huì)啟動(dòng)病毒，并且感染在其工作站上使用的每一個(gè)程序。他還會(huì)感染在文件服務(wù)器上使用的、他有寫訪問(wèn)權(quán)限的每一個(gè)程序。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過(guò)特別設(shè)計(jì)與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機(jī)器上被激活。 使用網(wǎng)絡(luò)的另一種方式是對(duì)等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫入每個(gè)連接的工作站上本地硬盤中的文件。因此，每個(gè)工作站都可以有效地成為另一個(gè)工作站的客戶和服務(wù)器。而且，端到端網(wǎng)絡(luò)的安全性很可能比專門維護(hù)的文件服務(wù)器的安全性更差。 這些特點(diǎn)使得端到端網(wǎng)絡(luò)對(duì)基于文件的病毒的攻擊尤其敏感。如果一臺(tái)已感染病毒的計(jì)算機(jī)可以執(zhí)行另一臺(tái)計(jì)算機(jī)中的文件，那么這臺(tái)感染病毒計(jì)算機(jī)中的活動(dòng)的、內(nèi)存駐留病毒能夠立即感染另一臺(tái)計(jì)算機(jī)硬盤上的可執(zhí)行文件。 文件病毒可以通過(guò) Inter毫無(wú)困難地發(fā)送。而可執(zhí)行文件病毒不能通過(guò) Inter在遠(yuǎn)程站點(diǎn)感染文件。此時(shí) Inter是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)實(shí)際上是從一塊感染的軟盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。假如網(wǎng)絡(luò)服務(wù)器計(jì)算機(jī)被感染，引導(dǎo)記錄病毒就無(wú)法感染連接到服務(wù)器的客戶機(jī)。即使一臺(tái)客戶機(jī)被引導(dǎo)病毒感染，它也不能感染網(wǎng)絡(luò)服務(wù)器。 盡管當(dāng)前的文件服務(wù)器體系結(jié)構(gòu)容許客戶機(jī)從服務(wù)器存取文件，卻不容許客戶機(jī)在服務(wù)器上執(zhí)行直接的、扇區(qū)級(jí)操作。其結(jié)果是，引導(dǎo)病毒不能利用端到端網(wǎng)絡(luò)傳播，連接到 Inter上的一臺(tái)計(jì)算機(jī)不能對(duì)另一臺(tái)連接到 Inter的計(jì)算機(jī)進(jìn)行扇區(qū)級(jí)操作，結(jié)果引導(dǎo)病毒就無(wú)法通過(guò) Inter傳播。 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)