试卷泄密已经不是新闻了，近年来最轰动的偷题事件恐怕就是去年的大学英语四级考试的漏题事件。尽管一位老师承认此事是他犯下的，但对于作弊一事还是不得不防。

　　据悉，8月18日，北京金山毒霸反毒中心在网上截获了一种与木马程序相连的宏病毒，通过工作人员对该病毒的机理分析，最终发现这是一种利用微软办公软件Excel进行传播的宏病毒，该病毒利用了Excel 的一个程序漏洞，从而绕过Microsoft Office 安全机制，将安全级别设置为高的情况下，仍能顺利运行。该病毒已被命名为“试卷大盗”(Formula.Ex-cel97.Counter)。顾名思义，窃取试卷是它的唯一目的。现已查出这个病毒还是正宗的中国制造。就此，记者采访到了金山毒霸的市场经理刘金光先生。

　　宏病毒和木马程序

　　宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

　　说起木马程序，恐怕是人人都熟识的。早些时候它在QQ和MSN上泛滥，记者也曾经遇到过，被传染的机子发出的QQ消息后面都有一个程序要你打开，打开以后就被传染了，一个接一个，虽然没有什么其他的损失，却是“传染”了不少机子。对它专业的叫法是特洛伊木马病毒，也叫黑客程序或后门病毒。一般此种病毒分成服务器端和客户端两部分，如果计算机网络中服务器端被此程序感染，别人可通过网络其它计算机任意控制此计算机，并获得重要文件。

　　刘经理介绍说，就如《特洛伊》电影中所演的那样，这个程序就像被装进了一个木马，先进入计算机的“城门”，然后“木马”打开，病毒就“居住”在电脑中了，再和黑客们的机子相连，里应外合就可以很方便地从被感染的机子里偷取他们想要得到的资料。

　　剖析“试卷大盗”

　　“试卷大盗”的工作原理是万变不离其宗。刘经理为记者提供了一份金山公司的技术分析资料。资料中显示该病毒共有五大罪状。

　　其一，病毒运行后会复制自身到Word 的模板文件和Excel 的启动加载中，从而造成Word/Excel 的双重感染。模板名称分别为：normal.dot 和norma1.xlm。

　　其二，在Word 文档的标题、第一和第二段落中查找“试卷”和“试题”字符，如果存在，将文件以“XAB01234”保存（X是固定的开头，后面字符为十六近制符号），并设置密码。然后上传到作者的FTP服务器上。

　　其三，病毒感染后会在C:\ 盘根目录下生成c:\excel.tx(病毒源代码)t、asd.txt(ping 目标地址的结果日志)、setflag.exe、sendto.exe、internet.exe(三个相配合的木马、隐藏文件)、cab.cab(病毒包，含所有的木马和模板)。这些文件在运行中可能会被删除。

　　其四，修改注册表，使隐藏文件真正隐藏，即使在操作系统的设置中打开“显示所有的文件和文件夹”也无济于事。

　　其五，修改注册表，删除系统启动项的输入法程序(internat.exe)，改为病毒(internet.exe)随系统进行启动。

　　可见，这五大罪状之后，黑客就可以轻而易举地将考题盗走。