【正文】 能性。 因為，文檔資料的攜帶性極高，如果宏亦隨著文檔而被分派到不同的工作平臺，只要能被執(zhí)行，它也就類似于計算機(jī)病毒的傳染過程。不過這種形式的傳染有原始碼被公開的特點(diǎn)，而且正因為原始碼是公開的，這種計算機(jī)病毒的一切行為便無所遁形了。 Word的工作模式是只要一載入文檔，就先執(zhí)行起始的宏，接著載入資料內(nèi)容，這個創(chuàng)意本來很好，因為隨著資料不同需要有不同的宏工作。可是事實上，很少人會對宏產(chǎn)生興趣，因為宏的編寫相當(dāng)于學(xué)習(xí)一套程序語言，盡管它的語法被撰寫得很簡單，可是大多數(shù)的人，一方面不知情不了解，一方面雖知如此，卻寧愿多花幾秒重復(fù)幾個動作。 因此， Word便為大眾事先定義一個共用的范本文檔（ ）， 里面包含了基本的宏。只要一啟動 Word， 就會自動運(yùn)行 。類似的電子表格軟件 Excel也支持宏，但它的范本文件是 。 這樣做，等于是為宏病毒大開方便之門，只要撰寫了有問題的宏，再去感染這個共用范本（ ），那么只要一執(zhí)行 Word， 這個受感染的共用范本即被載入，計算機(jī)病毒便隨之傳播到之后所編輯的文檔中去。當(dāng)然這只是宏病毒傳播的一個基本途徑，一些更厲害的宏病毒還有其他的途徑傳播。 Word宏病毒通過 .DOC文檔及 .DOT模板進(jìn)行自我復(fù)制及傳播，而計算機(jī)文檔是交流最廣的文件類型。 鑒于宏病毒用 Word Basic語言編寫， Word Basic語言提供了許多系統(tǒng)低層調(diào)用。如直接使用 DOS系統(tǒng)命令，調(diào)用 WindowsAPI， 調(diào)用 .DDE、 .DLL等。這些操作均可能對系統(tǒng)造成直接威脅，而Word在指令安全性、完整性上檢測能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒 Nuclearr就是破壞操作系統(tǒng)的典型一例。 模板的不兼容使英文 Word中的病毒模板在同一版本的中文 Word中打不開而自動失效，反之亦然。同時高版本的 Word文檔在低版本的 Word下是打不開的，這就是為什么宏病毒在我國內(nèi)地發(fā)現(xiàn)較少的原因?！芭_灣 1號”是在我國臺灣中文 Word下做的，其模板與大陸中文 Word兼容，因此在我國傳播很快。 2. 宏病毒特征 (1) 宏病毒會感染 .DOC文檔和 .DOT模板文件。被它感染的 .DOC文檔屬性必然會被改為模板而不是文檔，而用戶在另存文檔時，就無法將該文檔轉(zhuǎn)換為任何其它形式，而只能用模板方式存盤。這一點(diǎn)在多種文本編輯器需要轉(zhuǎn)換文檔時便不能實現(xiàn)。 (2) 宏病毒的傳染通常是 Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復(fù)制到 Word通用 (Normal)模板中，以后在打開或關(guān)閉文件時宏病毒就會把病毒復(fù)制到該文件中。 (3) 多數(shù)宏病毒包含 AutoOpen、 AutoClose、AutoNew和 AutoExit等自動宏，通過這些自動宏病毒取得文檔 (模板 )操作權(quán)。 有些宏病毒通過這些自動宏控制文件操作。 (4) 宏病毒中總是含有對文檔讀寫操作的宏命令。 (5) 宏病毒在 .DOC文檔、 .DOT模板中以 .BFF（ Binary File Format） 格式存放，這是一種加密壓縮格式，每個 Word版本格式可能不兼容。 宏病毒的防治和清除方法 1. 使用選項“ Prompt to Save Normal Template” Prompt to Save Normal Template 是 Word 里面的一個選項。用戶可以在 Tools/Option 下的 Save 選項中進(jìn)行設(shè)置。這也是在 Concept 出現(xiàn)后 Microsoft 所建議的方法之一。 但其局限性是僅在退出 Word 時才作出提示。在使用 Word 的進(jìn)程中，如果文檔被感染，用戶還是一無所知。 如果病毒的傳播沒有通過感染 或者病毒關(guān)閉了這一選項，用戶還是以為平安無事的話，后果不堪設(shè)想。通過 Word 設(shè)置的選項是很容易被關(guān)閉的，很多病毒已經(jīng)具備了這樣的功能設(shè)置。 2. 別通過 shift 鍵來禁止運(yùn)行自動宏 在打開文檔時按下 Shift鍵可使文檔在打開時沒有執(zhí)行任何自動宏。這樣可以防止宏病毒使用AutoOpen宏來傳播。同樣，在退出時按下 Shift鍵， AutoClose宏也不會被執(zhí)行。 這樣做的確可以有效地防止使用自動宏來傳播的宏病毒加入系統(tǒng)。你必須在打開 Word的時候一直按著 Shift鍵，必須確保一手按著 Shift鍵，另一手雙擊 Word圖標(biāo)。 Shift鍵必須在整個 Word啟動過程一直按著，如果過早松手，自動宏便會被執(zhí)行。另外，這對使用其他宏來傳播的宏病毒是無效的。 3. 查看宏代碼并刪除 宏和文本是相隔開的，正常情況下你是不可能看見宏代碼的。正確地用 Word工具選項來查看宏代碼的方法是使用 Organizer來查看文檔中的宏。這可以通過在 File/Templates/Organizer或者Format/Style/Organizer來進(jìn)行。 要查看文檔中的宏而不激活它們，必須先退出，然后在沒有打開任何文件的情況下重新打開 Word。 如果你懷疑 Startup目錄下其他模板可能被感染，你需要重新命名在 Startup目錄中的所有文件，使它們不是 doc或者 dot格式，這樣 Word便可以在一種新的環(huán)境下啟動。 在啟動 Word后，進(jìn)入 Organizer并選擇 Macros按鈕，按一下按鈕 Close Files使其轉(zhuǎn)變?yōu)?Open Files。 點(diǎn)擊 Open Files得到瀏覽框可以選擇查看的目標(biāo)。如果有宏存在的話，它們會被列在框內(nèi)。 如果宏使用了 Executeonly屬性，你只能看到宏的名稱而不能看到其他代碼。這才是比較安全的查看宏的方法。但病毒還是可以通過刪除Files/Template來隱藏其存在。 4. 使用 DisableAutoMacros宏 這是一個“以宏治宏”的方法，通過DisableAutoMacros宏指令來禁止使用自動宏。如果啟用了這一功能，在 Word使用過程中不會自動執(zhí)行任何自動宏。 選擇 Tools/Macros在 Macro中，輸入 Autoexec然后點(diǎn)擊 Create輸入 DisableAutoMacros指令。 Sub MAIN DisableAutoMacros 1 End Sub 退出編輯狀態(tài)并存儲結(jié)果。 這種方法禁止使用自動宏的執(zhí)行，它比使用 Shift鍵更為有效，但還是只能用于限制使用自動宏的宏病毒，而對那些不依賴于自動宏來傳播的宏病毒是無效的。 5. 使用 Office 97的報警設(shè)置 在 Microsoft隨后推出的 Word Word 97版本中，在 Tools/Option... General中增加了十種新的宏病毒的檢測方法。這一提示框告知用戶要打開的文件中是否有宏的存在。如果遇到這樣的文件，用戶便會給予幾種選擇：停止、繼續(xù)或不啟用宏而繼續(xù)。對一般用戶而言，這一選項的確很有用，它可以起到一定的預(yù)防作用。 6. 設(shè)置 一般的 DOS系統(tǒng)調(diào)用在文件設(shè)置了只讀屬性時拒絕寫入或更改操作。因此，在理論上來說，如果，病毒將不能改變它們。 宏病毒必須改變 ，這是其特點(diǎn)或弱點(diǎn)之一。很多業(yè)界專家和宏病毒的作者的看法完全相反。他們認(rèn)為宏病毒感染文件并不需要感染 ， 如果同時打開幾份文檔，而其中之一有宏病毒，那么宏病毒便可以感染其他的文檔，盡管這樣的傳播途徑?jīng)]有直接感染 。宏病毒完全可以繞過這一障礙，比如說在 便可以改變這一屬性。另外這一方法對那些經(jīng)常使用宏，經(jīng)常改變 效的。 7. 在 Tools/Option下的 Save選項的 ReadOnly Remended的另一項是設(shè)置密碼保護(hù)： WriteReservation Password。 如果選擇了這一項，在每次打開 Word時，將會要求用戶輸入密碼，否則作為只讀來打開文檔。相對于設(shè)置只讀屬性來說，這一方法更加有效?？梢越o那些有時需要改變 ， 有時又不需要改變的用戶提供了一種選擇。而當(dāng)你需要改變 ，剛好又遇上宏病毒，它是不會報警的。同時，如果宏病毒不通過感染 ，它是無法知道的。 盡管我們在前面介紹了種種反宏病毒的方法，但是對大多數(shù)人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。當(dāng)前，處理宏病毒的反病毒軟件主要分為兩類：常規(guī)反病毒掃描器和基于Word或者 Excel宏的專門處理宏病毒的反病毒軟件。兩類軟件各有自己的優(yōu)勢，一般說來，前者的適應(yīng)能力強(qiáng)于后者。因為基于 Word或者 Excel的反病毒軟件只能適應(yīng)于特定版本的 Office應(yīng)用系統(tǒng)，換了另一種語言的版本可能就無能為力了。而且，在應(yīng)用系統(tǒng)頻頻升級的今天，升級后的版本對現(xiàn)有軟件是否兼容是難以預(yù)料的。 網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的特點(diǎn) 計算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸會把病毒傳染到所共享的機(jī)器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機(jī)病毒更大的危害。對于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設(shè)想。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要了。 Inter的飛速發(fā)展給反病毒工作帶來了新的挑戰(zhàn)。Inter上有眾多的軟件供下載，有大量的數(shù)據(jù)交換，這給病毒的大范圍傳播提供了可能。 Inter衍生出一些新一代病毒，即 Java及 ActiveX病毒。它不需要寄主程序，因為因特網(wǎng)就是帶著它們到處肆虐的寄主。它不需要停留在硬盤中且可以與傳統(tǒng)病毒混雜在一起，不被人們察覺。更厲害的是它們可以跨操作平臺，一旦遭受感染，便毀壞所有操作系統(tǒng)。網(wǎng)絡(luò)病毒一旦突破網(wǎng)絡(luò)安全系統(tǒng)，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個網(wǎng)絡(luò)上感染、再生，就會使網(wǎng)絡(luò)系統(tǒng)資源遭到破壞。 病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤，再由服務(wù)器的共享目錄傳播到其他工作站。但病毒傳染方式比較復(fù)雜，傳播速度比較快。 在網(wǎng)絡(luò)中病毒則可以通過網(wǎng)絡(luò)通信機(jī)制，借助高速電纜進(jìn)行迅速擴(kuò)散。由于病毒在網(wǎng)絡(luò)中傳染速度非?？?，故其傳染范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有電纜，還能通過遠(yuǎn)程工作站將病毒在瞬間內(nèi)傳播到千里之外，且清除難度大。網(wǎng)絡(luò)中只要有一臺工作站未消毒干凈就可使整個網(wǎng)絡(luò)全部被病毒感染，甚至剛剛完成消毒的一臺工作站也有可能被網(wǎng)上另一臺工作站的帶病毒程序所傳染。因此，僅對工作站進(jìn)行殺毒處理并不能徹底解決問題。網(wǎng)絡(luò)上的病毒將直接影響網(wǎng)絡(luò)的工作，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年工作毀于一旦。網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被消除，其潛在危險仍然巨大。病毒在網(wǎng)上被消除后，85%的網(wǎng)絡(luò)在 30天內(nèi)會再次被感染。 病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn) 大多數(shù)公司使用的局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其他可執(zhí)行文件。用戶在工作站上執(zhí)行內(nèi)存駐留文件帶毒，當(dāng)訪問服務(wù)器上的可執(zhí)行文件時進(jìn)行感染。 因為文件和目錄級保護(hù)只在文件服務(wù)器中出現(xiàn)，而不在工作站中出現(xiàn)，所以可執(zhí)行文件病毒無法破壞基于網(wǎng)絡(luò)的文件保護(hù)。然而，一般文件服務(wù)器中的許多文件并沒得到保護(hù)，而且，非常容易成為感染的有效目標(biāo)。除此之外，管理員可能會感染服務(wù)器上的一些或所有文件。 如果一個標(biāo)準(zhǔn)的 病毒感染會發(fā)生什么呢 在一個用戶登錄到網(wǎng)絡(luò)上之后，他就會啟動病毒，并且感染在其工作站上使用的每一個程序。他還會感染在文件服務(wù)器上使用的、他有寫訪問權(quán)限的每一個程序。文件服務(wù)器作為可執(zhí)行文件病毒的載體，病毒感染的程序可能駐留在網(wǎng)絡(luò)中，但是除非這些病毒經(jīng)過特別設(shè)計與網(wǎng)絡(luò)軟件集成在一起，否則他們只能從客戶的機(jī)器上被激活。 使用網(wǎng)絡(luò)的另一種方式是對等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫入每個連接的工作站上本地硬盤中的文件。因此，每個工作站都可以有效地成為另一個工作站的客戶和服務(wù)器。而且，端到端網(wǎng)絡(luò)的安全性很可能比專門維護(hù)的文件服務(wù)器的安全性更差。 這些特點(diǎn)使得端到端網(wǎng)絡(luò)對基于文件的病毒的攻擊尤其敏感。如果一臺已感染病毒的計算機(jī)可以執(zhí)行另一臺計算機(jī)中的文件，那么這臺感染病毒計算機(jī)中的活動的、內(nèi)存駐留病毒能夠立即感染另一臺計算機(jī)硬盤上的可執(zhí)行文件。 文件病毒可以通過 Inter毫無困難地發(fā)送。而可執(zhí)行文件病毒不能通過 Inter在遠(yuǎn)程站點(diǎn)感染文件。此時 Inter是文件病毒的載體。 引導(dǎo)病毒在網(wǎng)絡(luò)服務(wù)器上的表現(xiàn)：如果網(wǎng)絡(luò)服務(wù)器計算機(jī)實際上是從一塊感染的軟盤上引導(dǎo)的，那么網(wǎng)絡(luò)服務(wù)器就可能被引導(dǎo)病毒感染。假如網(wǎng)絡(luò)服務(wù)器計算機(jī)被感染，引導(dǎo)記錄病毒就無法感染連接到服務(wù)器的客戶機(jī)。即使一臺客戶機(jī)被引導(dǎo)病毒感染，它也不能感染網(wǎng)絡(luò)服務(wù)器。 盡管當(dāng)前的文件服務(wù)器體系結(jié)構(gòu)容許客戶機(jī)從服務(wù)器存取文件，卻不容許客戶機(jī)在服務(wù)器上執(zhí)行直接的、扇區(qū)級操作。其結(jié)果是，引導(dǎo)病毒不能利用端到端網(wǎng)絡(luò)傳播，連接到 Inter上的一臺計算機(jī)不能對另一臺連接到 Inter的計算機(jī)進(jìn)行扇區(qū)級操作，結(jié)果引導(dǎo)病毒就無法通過 Inter傳播。 專攻網(wǎng)絡(luò)的 GPI病毒 GPI病毒意指 Get Password I， 是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)一類病毒，是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破 Novell網(wǎng)