一、Word宏病毒揭密

　　MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”

　　Word使用宏语言WordBasic将宏作为一系列指令来编写。

　　要想搞清楚宏病毒的来龙去脉，必须了解Word宏的知识及WordBasic编程技术。（关于这点请参阅《MicrosoftWord开发工具》一书）

　　Word宏病毒是一些制作病毒的专业人员利用MICROSOFTWord的开放性即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传播。

　　　　★宏病毒的特点

　　1 传播极快

　　Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。多年来，人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。特别是Internet网络的普及，E-mail的大量应用更为Word宏病毒传播铺平道路。

　　2 制作、变种方便

　　Word使用宏语言WordBasic来编写宏指令。宏病毒同样用WordBasic来编写。

　　目前，世界上的宏病毒原型已有几十种，其变种与日骤增，追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute—Only处理函数处理，它们仍处于可打开阅读修改状态。

　　所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。

　　3破坏可能性极大鉴于宏病毒用WordBasic语言编写，WordBasic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用WindowsAPI，调用DDE、DLL等。这些操作均可能对系统直接构成威胁，而Word在指令安全性完整性上检测能力很弱，破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。

　　　　★宏病毒的兼容性

　　Word模板（TEMPLATE）是开发Word应用程序的唯一方法。病毒宏也不例外。

　　模板的不兼容使英文Word中的病毒模板在同一版本中文Word中打不开而自动失效，反之亦然，同时高版本的Word7.0的文档在低版本的Word6.0下是打不开的，这就是为什么宏病毒在中国大陆发现较少的原因。然而，中文Word7.0可以打开英文Word6.0中的宏。所以在Word7.0大量普及后，必然会使许多在英文Word中制作的宏病毒泛滥。“台湾1号”是在台湾中文Word下做的，其模板与大陆中文Word兼容，在大陆中传播很快。

　　　　★宏病毒的共性：

　　1宏病毒会感染DOC文档文件和DOT模板文件。

　　被它感染的DOC文档属性必然会被改为模板而不是文档，而用户在另存文档时，就无法将该文档转换为任何其它方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。

　　2病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，病毒宏将自身复制至Word的通用（Normal）模板中，以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。

　　3大多数宏病毒中含有AutoOpen，AutoClose，AutoNew和AutoExit等自动宏。只有这样，宏病毒才能获得文档（模板）操作控制权。

　　有些宏病毒还通过FileNew，FileOpen，FileSave，FileSaveAs，FileExit等宏控制文件的操作。

　　4病毒宏中必然含有对文档读写操作的宏指令。

　　5宏病毒在DOC文档、DOT模板中是以BFF（BinaryFileFormat）格式存放，这是一种加密压缩格式，每种Word版本格式可能不兼容。

　　[iduba_page]二、Word现毒的表现

　　例1Nuclear宏病毒：

　　这是一个对操作系统文件和打印输出有破坏功能的宏病毒。

　　这个宏病毒中包含以下病毒宏：

　　AutoExec

　　AutoOpen

　　DropSuriv

　　FileExit

　　FilePrint

　　FilePrintDefault

　　FileSaveAs

　　InsertPayload

　　Payload

　　这些宏是只执行（Execute-only）宏。

　　Nuclear宏病毒造成的破坏现象为：

　　１打开一个染毒文档并打印的时侯，它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”，这个现象是在每分钟的55秒—60秒之间操作打印时发生。

　　２如果在每天17：00—18：00之间打开一个染毒文档，Nuclear病毒会将PH33R病毒传染到计算机上，这是个驻留型病毒。

　　３在每年的四月五日，该病毒会将计算机上IO.SYS，MSDOS.SYS文件清零，并且删除C盘根目录上的COMMAND.COM文件。一旦病毒发作，MS－DOS就不可能被引导，计算机将陷入瘫痪。

　　例2台湾一号病毒：

　　台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。它包含以下病毒宏：

　　AutoClose

　　AutoNew

　　AutoOpen

　　这些宏是可被编辑宏。

　　在病毒宏中含有如下的语句：

　　IfDay(Now())=13Then...

　　这条