一般来说，一个宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏, 由此进一步感染随后打开和存贮的所有Doc文档。

　　当Word打开一个.doc文件时，先检查里面有没有模板/宏代码, 如果有的话就认为这不是普通的doc文件，而是一个模版文件, 并执行里面的auto类的宏(如果有的话)。

　　 一般染毒后的.doc被打开后，通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马来激活，随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统"永久"控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为.doc 的模板文件；另外，当一定条件满足时，病毒就会干些小小的或者大大的破坏活动。