宏病毒

宏病毒

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏病毒就會被執行,也就被激活轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。

基本概念


如果某個文檔中包含了宏病毒,我們稱此文檔感染了宏病毒;如果WORD系統中的模板包含了宏病毒,我們稱WORD系統感染了宏病毒。

來源

雖然OFFICE97/Word97無法掃描軟盤、硬碟或網路驅動器上的宏病毒。但當打開一個含有可能攜帶病毒的宏的文檔時,它能夠顯示宏警告信息。並且在2013年後的殺毒軟體已支持宏病毒掃描。
這樣就可選擇打開文檔時是否要包含宏,如果希望文檔包含要用到的宏(例如,單位所用的定貨窗體),打開文檔時就包含宏。
如果您並不希望在文檔中包含宏,或者不了解文檔的確切來源。例如,文檔是作為電子郵件的附件收到的,或是來自網路或不安全的 Internet節點。在這種情況下,為了防止可能發生的病毒傳染,打開文檔過程中出現宏警告提示時最好選擇“取消宏”。
OFFICE97軟體包安裝后,系統中包含有關於宏病毒防護的選項,其默認狀態是允許“宏病毒保護”複選框。如果願意,您可以終止系統對文檔宏病毒的檢查。當Word顯示宏病毒警告信息時,清除“在打開帶有宏或自定義內容的文檔時提問”複選框。或者關閉宏檢查:單擊“工具”菜單中的“選項”命令,再單擊“常規”選項卡,然後清除“宏病毒保護”複選框。
不過建議您不要取消宏病毒防護功能,否則您會失去這道防護宏病毒的天然屏障。
上世紀90年代的宏病毒主要感染文件有 word、Excel 的文檔。並且會駐留在Normal面板上
據統計,通過Internet傳播的不同類型的病毒數量如下:
DOS型: 10000至11000種
Windows型:12種
Macintosh型:35種
宏病毒: 200餘種
Unix型: 6種
其中10000-11000種DOS型病毒能感染所有DOS、Windows95平台的計算機(但不感染Macintosh計算機);但200餘種宏病毒中的大部分能感染所有計算機,包括PC機和Macintosh機。所謂宏,就是一些命令組織在一起,作為一個單獨命令完成一個特定任務(如Word中的宏命令)。

判斷方法

雖然不是所有包含宏的文檔都包含了宏病毒,但當有下列情況之一時,您可以百分之百地斷定您的OFFICE文檔或OFFICE系統中有宏病毒:
1、在打開“宏病毒防護功能”的情況下,當您打開一個您自己寫的文檔時,系統會彈出相應的警告框。而您清楚您並沒有在其中使用宏或並不知道宏到底怎麼用,那麼您可以完全肯定您的文檔已經感染了宏病毒。
2、同樣是在打開“宏病毒防護功能”的情況下,您的OFFICE文檔中一系列的文件都在打開時給出宏警告。由於在一般情況下我們很少使用到宏,所以當您看到成串的文檔有宏警告時,可以肯定這些文檔中有宏病毒。
3、如果軟體中關於宏病毒防護選項啟用后,不能在下次開機時依然保存。WORD97中提供了對宏病毒的防護功能,它可以在“工具/選項/常規”中進行設定。但有些宏病毒為了對付OFFICE97中提供的宏警告功能,它在感染系統(這通常只有在您關閉了宏病毒防護選項或者出現宏警告后您不留神選取了“啟用宏”才有可能)后,會在您每次退出 OFFICE時自動屏蔽掉宏病毒防護選項。因此您一旦發現:您的機器中設置的宏病毒防護功能選項無法在兩次啟動WORD之間保持有效,則您的系統一定已經感染了宏病毒。也就是說一系列WORD模板、特別是normal.dot 已經被感染。
鑒於絕大多數人都不需要或者不會使用“宏”這個功能,我們可以得出一個相當重要的結論:如果您的OFFICE文檔在打開時,系統給出一個宏病毒警告框,那麼您應該對這個文檔保持高度警惕,它已被感染的幾率極大。注意:簡單地刪除被宏病毒感染的文檔並不能清除OFFICE系統中的宏病毒!

防治清除

宏病毒原理
宏病毒原理
1、首選方法:用最新版的反病毒軟體清除宏病毒。使用反病毒軟體是一種常見的方式。(推薦360)注意⚠️盡量使用最新版的查殺病毒
2、應急處理方法:用寫字板或WORD 6.0文檔作為清除宏病毒的橋樑。如果您的WORD系統沒有感染宏病毒,但需要打開某個外來的、已查出感染有宏病毒的文檔,而手頭現有的反病毒軟體又無法查殺它們,那麼您可以試驗用下面的方法來查殺文檔中的宏病毒:打開這個包含了宏病毒的文檔(當然是啟用WORD中的“宏病毒防護”功能並在宏警告出現時選擇“取消宏”),然後在“文件”菜單中選擇“另存為”,將此文檔改存成寫字板(RTF)格式或WORD6.0格式。
在上述方法中,存成寫字板格式是利用RTF文檔格式沒有宏,存成 WORD 6.0格式則是利用了WORD97文檔在轉換成WORD6.0格式時會失去宏的特點。寫字板所用的rtf格式適用於文檔中的內容限於文字和圖片的情況下,如果文檔內容中除了文字、圖片外還有圖形或表格,那麼按 WORD6.0格式保存一般不會失去這些內容。
存檔后應該檢查一下文檔的完整性,如果文檔內容沒有任何丟失,並且在重新打開此文檔時不再出現宏警告則大功告成。

危害


主要在以下方面:
一、宏病毒的主要破壞
WORD宏病毒的破壞在兩方面:
宏病毒(配圖)
宏病毒(配圖)
1.對WORD運行的破壞是:不能正常列印;封閉或改變文件存儲路徑;將文件改名;亂複製文件;封閉有關菜單;
文件無法正常編輯。如Taiwan No.l Macro病毒每月13日發作,所有編寫工作無法進行。
2.對系統的破壞是:Word Basic語言能夠調用系統命令,造成破壞。
二、宏病毒隱蔽性強,傳播迅速,危害嚴重,難以防治
與感染普通.EXE或.COM文件的病毒相比,Word宏病毒具有隱蔽性強,傳播迅速,危害嚴重,難以防治等特點。
1.宏病毒隱蔽性強
由於人們忽視了在傳遞一個文檔時也會有傳播病毒的機會。
2.宏病毒傳播迅速
因為辦公數據的交流要比拷貝.EXE文件更加經常和頻繁,如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話,那麼這一招對Word病毒將束手無策。
3.危害嚴重
因為Microsoft Word幾乎已經成為全世界辦公文檔的事實工業標準,其影響是全球範圍的,在中國也絕不例外。Word文件的交換是目前辦公數據交流和傳送的最通常的方式之一,其涉及面比盜版軟體的傳播要大得多,傳播速度則更加有過之而無不及。據報道,70%-80%的中國計算機用戶已經不再單純使用MSDOS作為唯一的操作環境,看VCD和使用Word成為用戶使用Windows應用程序的榜首。無數的DOC文件從上級機關金字塔般地傳播到基層,基層又上報到上級機關,從各個單位的辦公室到工作者的家庭,到出版部門的計算機系統。於是,便存在這樣一種可能,當成千上萬的x86計算機系統在傳播和複製這些數據以及文檔文件的同時,也在忠實地傳播和複製這些病毒。
由於該病毒能跨越多種平台,並且針對數據文檔進行破壞,因此具有極大的危害性,該病毒在公司通過內聯網相互進行文檔傳送時,迅速蔓延,往往很快就能使公司的機器全部染上病毒。
4.難以防治
由於宏病毒利用了Word的文檔機制進行傳播,所以它和以往的病毒防治方法不同。一般情況下,人們大多注意可執行文件(.COM、.EXE)的病毒感染情況,而Word宏病毒寄生於Word的文檔中,而且人們一般都要對文檔文件進行備份,因此病毒可以隱藏很長一段時間。

起源


宏病毒起源 當病毒的先驅者們醉心於他們高超的彙編語言技術和成果時,可能不會想到後繼者能以更加簡單的手法製造影響力更大的病毒。Word宏病毒就是其中最具有代表性的範例之一。
其實宏病毒的出現並非出乎人們的意料,早在80年代後期就有專家預言過。那時,有些學生就用某些應用程序的宏語言編寫病毒。然而,宏病毒與普通病毒不同,它不感染.EXE或.COM文件,而只感染文檔文件。宏病毒就像自然界中令人恐懼的龍捲風,對人們正常使用計算機進行學習和工作帶來了不可估量的影響,同時也造成了社會財富的巨大浪費。
1996年12月13日,一種被稱為“TaiwanNo.1”的病毒同時在北京和深圳被發現,一例來自於Internet的下載文件,另一例來自某醫院的一項合作協議書。在一個專門研究醫學病毒的捍衛人體健康的機構發現被計算機病毒侵襲的事件,可真是有些戲劇性的效果。凡是經歷過小球病毒發作的人都能體味這樣一種恐慌的感覺,恐慌的根源就是您對病毒本身尚一無所知時,感覺命運似乎剎那間就即將被別人掌握了。Internet電子郵件已日益成為病毒的攜帶者。當您在Internet上用Email收看郵件時,是否想到,您可能會受到計算機病毒的威脅。一般一個純粹的電子郵件內容沒有病毒,但其附加的文件極可能帶有病毒。附加文件的病毒擴散首先需要運行它。舉個例子來說:您收到了一個附加有用Word編輯的文件,這個Word文件被病毒感染了,當您運行該附加文件時,計算機就會受到病毒的威脅。
所謂宏,就是一些命令組織在一起,作為一個單獨命令完成一個特定任務。MicrosoftWord中對宏定義為:“宏就是能組織到一起作為一獨立的命令使用的一系列word命令,它能使日常工作變得更容易”。Word使用宏語言Word_Basic將宏作為一系列指令來編寫。要想搞清楚宏病毒的來龍去脈,必須了解Word宏的知識及wordBasic編程技術。Wo_rd宏病毒是一些製作病毒的專業人員利用MicrosoftWord的開放性即word中提供的WordBASIC編程介面,專門製作的一個或多個具有病毒特點的宏的集合,這種病毒宏的集合影響到計算機使用,並能通過.DOC文檔及.DOT模板進行自我複製及傳播。

特點


宏病毒是針對微軟公司的文字處理軟體Word編寫的一種病毒。微軟公司的文字處理軟體是最為流行的編輯軟體,並且跨越了多種系統平台,宏病毒充分利用了這一點得到恣意傳播。宏病毒作為一種新型病毒有其特性與共性。

特性

(1)傳播極快
Word宏病毒通過.DOC文檔及.DOT模板進行自我複製及傳播,而計算機文檔是交流最廣的文件類型。人們大多重視保護自己計算機的引導部分和可執行文件不被病毒感染
宏病毒
宏病毒
,而對外來的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳播帶來很多便利。特別是Internet網路的普及,Email的大量應用更為Word宏病毒傳播鋪平道路。根據國外較保守的統計,宏病毒的感染率高達40%以上,即在現實生活中每發現100個病毒,其中就有40多個宏病毒,而國際上普通病毒種類已達12000多種。
(2)製作、變種方便
以往病毒是以二進位的計算機機器碼形式出現,而宏病毒則是以人們容易閱讀的源代碼宏語言WordBasic形式出現,所以編寫和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種,其變種與日俱增,追究其原因還是Word的開放性所致。Word病毒都是用WordBasic語言所寫成,大部分Word病毒宏並沒有使用Word提供的Execute-Only處理函數處理,它們仍處於可打開閱讀修改狀態。所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當然會有“不法之徒”利用掌握的Basic語句簡單知識把其中病毒激活條件和破壞條件加以改變,立即就生產出了一種新的宏病毒,甚至比原病毒的危害更加嚴重。
(3)破壞可能性極大
鑒於宏病毒用WordBasic語言編寫,WordBasic語言提供了許多系統級底層調用,如直接使用DOS系統命令,調用WindowsAPI,調用DDE或DLL等。這些操作均可能對系統直接構成威脅,而Word在指令安全性、完整性上檢測能力很弱,破壞系統的指令很容易被執行。宏病毒Nuclear就是破壞操作系統的典型一例。
(4)多平台交叉感染
宏病毒衝破了以往病毒在單一平台上傳播的局限,當WORD、EXCEL這類著名應用軟體在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上運行時,會被宏病毒交叉感染。

共性

宏病毒具有一些共性:
1,以往病毒只感染程序,不感染數據文件,而宏病毒專門感染數據文件,徹底改變了人們的“數據文件不會傳播病毒”的錯誤認識。宏病毒會感染.DOC文檔文件和.DOT模板文件。被它感染的.DOC文檔屬性必然會被改為模板而不是文檔,但不一定修改文件的擴展名。而用戶在另存文檔時,就無法將該文檔轉換為任何其他方式,而只能用模板方式存檔。這一點在多種文本編輯器需轉換文檔時是絕對不允許的。
2,染毒文檔無法使用“另存為(SaveAs)”修改路徑以保存到另外的磁碟/子目錄中。
3,病毒宏的傳染通常是Word在打開一個帶宏病毒的文檔或模板時,激活了病毒宏,病毒宏將自身複製至Word的通用(Normal)模板中,以後在打開或關閉文件時病毒宏就會把病毒複製到該文件中。
4,大多數宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自動宏。只有這樣,宏病毒才能獲得文檔(模板)操作控制權。有些宏病毒還通過FileNew,FileOpen,FileSave,FileSaveAs,FileExit等宏控制文件的操作。
5,病毒宏中必然含有對文檔讀寫操作的宏指令。
6,宏病毒在.DOC文檔、.DOT模板中是以BFF(BinaryFileFormat)格式存放,這是一種加密壓縮格式,每種Word版本格式可能不兼容。

分析


宏病毒傳播途徑主要有:
1,U盤交流染毒文檔文件;
2,硬碟染毒,處理的文檔文件必將染毒;
3,光碟攜帶宏病毒;
4,Internet上下載染毒文檔文件;
5,BBS交流染毒文檔文件;
6,電子郵件的附件夾帶病毒。
兩支宏病毒分析
1,Nuclear宏病毒
這是一個對操作系統文件和列印輸出有破壞功能的宏病毒。這個宏病毒中包含以下病毒宏:AutoExecAutoOpenDropSurivFileExitFilePrintFilePrintDefaultFileSaveAsInsertPayloadPayload這些宏是只執行(Execute-only)宏。
Nuclear宏病毒造成的破壞現象為:
(1)打開一個染毒文檔並列印的時候,它會在您列印的最後一段加上“STOPALLFRENCHNUCLEARTESTING
INTHEPACIFIC!”,這個現象是在每分鐘的55秒~60秒之間操作列印時發生。
(2)如果在每天17:00~18:00之間打開一個染毒文檔,Nuclear病毒會將PH33R病毒傳染到計算機上,這是個駐留型病毒。
(3)在每年的4月5日,該病毒會將計算機上IO.SYS和MSDOS.SYS文件清零,並且刪除C盤根目錄上的COMMAND. COM文件。一旦病毒發作,MSDOS就不可能被引導,計算機將陷入癱瘓。
2,台灣一號病毒
台灣一號病毒會在每月的13日影響您正常使用Word文檔和編輯器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen這些宏是可被編輯宏。在病毒宏中含有如下的語句:IfDay(Now())=13Then...這條語句與13日有關。台灣一號病毒造成的危害是:在每月13日,若用戶使用Word打開一個帶毒的文檔(模板)時,病毒會被激發。激發時的現象是:在屏幕正中央彈出一個對話框,該對話框提示用戶做一個心算題,如做錯,它將會無限制地打開文件,直至Word內存不夠,Word出錯為止;如心算題做對,會提示用戶“什麼是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用戶:“如何預防巨集病毒?”,回答是“不要看我”。

作用機制


Word宏病毒是一些製作病毒的專業人員利用MicrosoftWord的開放性即Word中提供的WordBASIC編程介面,製作的一個或多個具有病毒特點的宏,它能通過.DOC文檔及.DOT模板進行自我複製及傳播。宏病毒與以往
宏病毒
宏病毒
的計算機病毒不同,它是感染微軟Word文檔文件.DOC和模板文件.DOT等的一種專向病毒。宏病毒與以往攻擊DOS和Windows文件的病毒機理完全不一樣,它以VB(WORDBASIC)高級語言的方式直接混雜在文件中,並加以傳播,不感染程序文件,只感染文檔文件。也許有人會問:MicrosoftWordforWindows所生成的.DOC文件難道不是數據文件嗎?回答既是肯定的又是否定的。.DOC文件是一個代碼和數據的綜合體。雖然這些代碼不能直接運行在x86的CPU上,但是可以由Word解釋執行操作,因此他們的結果是一樣的。宏病毒是針對微軟公司的字處理軟體Word編寫的一種病毒。微軟公司的字處理軟體是最為流行的編輯軟體,並且跨越了多種系統平台,宏病毒充分利用了這一點得到恣意傳播。 Word的文件建立是通過模板來創建的,模板是為了形成最終文檔而提供的特殊文檔,模板可以包括以下幾個元素:菜單、宏、格式(如備忘錄等)。模板是文本、圖形和格式編排的藍圖,對於某一類型的所有文檔來說,文本、圖像和格式編排都是類似的。
Word提供了幾種常見文檔類型的模板,如備忘錄、報告和商務信件。您可以直接使用模板來創建新文檔,或者加
以修改,也可以創建自己的模板。一般情況下,Word自動將新文檔基於預設的公用模板(Normal.dot)。可以看出,模板在建立整個文檔中所起的作用,作為基類,文檔繼承模板的屬性,包括宏、菜單、格式等。WORD處理文檔需要同時進行各種不同的動作,如打開文件、關閉文件、讀取數據資料以及儲存和列印等等。每一種動作其實都對應著特定的宏命令,如存文件與FileSave相對應、改名存文件對應著FileSaveAS、列印則對應著Fil_ePrint等。WORD打開文件時,它首先要檢查是否有AutoOpen宏存在,假如有這樣的宏,WORD就啟動它,除非在此之前系統已經被“取消宏(DisableAutoMacros)”命令設置成宏無效。當然,如果AutoClose宏存在,則系統在關閉一個文件時,會自動執行它。

預防


Microsoft公司的Word字處理軟體因其功能強大,使用方便等諸多優點受到廣大使用者的青睞,版本從2.0、5.0、6.0直7.0(Word95)、8.0(Word97),不斷升級。Word的推廣使用,確實為文本處理工作帶來了極大的便利,但隨之而來的宏病毒也平添了不少煩腦。宏病毒困擾著用Word處理的文本,輕則文本不能正常存儲,重則變成亂碼,甚至磁碟被格式化,使許多普通用戶談“宏”變色。實際上,在了解了Word宏病毒的編製、發作過程之後,即使是普通的電腦用戶,不藉助任何殺毒軟體,也可以較好地對其進行防治。
Word宏病毒是一種用專門的Basic語言即WordBasic編寫的程序。與其它計算機病毒一樣,它能對用戶系統中的可執行文件和數據、文本類文件造成破壞。Word中提供由用戶編製宏這一功能是為了讓用戶能夠用簡單的程序,簡化一些經常重複性的操作,與DOS中的批處理文件類似。Word宏的編製技術,與其它複雜的編程技術相比,要求很低很容易編製,這就為心懷惡意的計算機用戶提供了一種簡單高效的製造病毒手段。但也正因其編製簡單,使宏病毒的防治遠較那些用複雜的編程語言編製的病毒容易得多。
下面就談在日常用Word處理文本時,如何預防和消除宏病毒。防止“病從口入”是對付所有病毒的指導思想,同樣對付宏病毒的重點也應該放在對其預防上。Word宏病毒的觸發條件是在啟動或調用Word文檔時,自動觸發執行,因此,只要不打開被感染的文本,宏病毒是不會傳播的。如果打開了帶毒的文本,其它沒打開的文本不會被感染;即使是打開了其它文本,只要不存檔,也不會感染到硬碟中的文本。Word本身不帶病毒,即初次進入Word環境時沒有病毒,一旦在其中打開帶宏病毒的文件,病毒就會留在Word環境中,如果這時打開其它文件,這些文件就會被感染;更嚴重的是,關閉Word時的環境就帶上了宏病毒,而這時處理的所有文檔都將感染上宏病毒。

入侵

宏病毒入侵有兩條路徑,一是WEB,二是U盤,其共同特點是只能通過word格式(文件後綴為dos或rtf)傳播。只要不用word格式存檔,而用txt格式,宏病毒就無從存活了。因此,為了防止宏病毒通過軟盤流傳,在交換軟盤時,可要求對方用TXT格式傳交文件,或者先用Window提供的書寫器(對window3.X而言),或寫字板(對Window而言)打開外來的word文檔,將其先轉換成書器或寫字板格式的文件並不保存后,再用word調用。因為書寫器或寫字板是不調用也不記錄和保存任何Word宏的,文檔經此轉換,所有附帶其上的宏都將丟失,當然,這樣做將使該Word文檔中所有的排版格式一併丟失。

判斷

如果必須保留原有的文檔排版格式,可以有以下幾種方式預防或判斷是否有宏病毒。
1、為了防止病毒的侵入,用戶在新安裝了Word后,可打開一個新模板,將Word的工作環境按你的使用習慣進行設置,並將你需要使用的宏一次編製好,做完后,保存為Normal.dot。新的Normal.dot按你的需要設置並絕對沒有宏病毒,將這份乾淨的Normal.dot備份。在遇到有宏病毒或懷疑感染了宏病毒的時候,用備份的Normal.dot覆蓋當前的Normal.dot模塊。另外,為了防止病毒蔓延,可將你新設置的Normal.dot文件的屬性設置成“只讀”,以後當退出Word環境時,如果出現自動修改“Normal.dot”的對話框,而你並沒有錄製新的宏,說明有宏病毒,此時選擇“否”,以保持Word環境的乾淨。
2、在調用Word文檔時先禁止所有以Auto開頭的宏的執行(因為一般宏病毒只能用“Auto×××”命名)。這樣能保證用戶在安全啟動Word文檔后,再時行必要的病毒檢查。對於使用Word97版本的用戶,Word97已經提供此項功能,將其激活或開即可。方法是點擊“工具|選項”,然後單擊“常規”,選擇“宏病毒防護”,使其有效,這樣,當前打開的Word文檔所使用模板就有了防止“自動宏”(以Auto開頭命名)執行的功能。當以後使用這個模板的文檔時,如果打開的文檔帶有“自動宏”,並詢問用戶是否執行這些宏,這進選擇“取消宏”進入Word並打開文檔,再進一步對文檔進行“宏”檢查。對使用Word97以前版本的用戶,需要自行編製一個名為AutoExec的。將AutoExec宏保存在一個另外命名的Word模板中,比如AE.dot,當要使用外來的Word文檔時,將AE.dot模板該名為Normal.dot(備份原來的Normal.dot),宏AutoExec執行時,將關閉其它所有動執行的Word宏。如果不使用外來文檔,可以將原來備份的Normal.dot模板再該名拷貝回來。

清除步驟

如果確信你的文件和系統已不幸感染了宏病毒。毫無疑問,應該停下手邊的其它工作,爭取徹底清除宏病毒。一般可採取以下兩個步驟:
1、進入“工具|宏”,查看模板Normal.dot,若發現有Filesave、Filesaveas等文件操作宏或類似AAAZAO、AAAZFS怪名字的宏,說明系統確實感染了宏病毒,刪除這些來歷不明的宏。對以Auto×××命名的,若不是用戶自己命名的自動宏,則說明文明感染了宏病毒,刪除它們。若是用戶自己創建的自動宏,可以打開它,看是否與原來創建時的內容一樣,如果存在被改變處,說明你編製的自動宏已經宏病毒修改這時應該將自動宏修改為原來編製的內容。在最糟的情況下,如果分不清那些是宏病毒,為安全起見,可刪除所有來路不明的宏,甚至是用戶自己創建的宏。因為即便刪錯了,也不會對Word文檔內容產生任何影響,僅僅是少了“宏功能”。如果需要,還可以重新編製。
2、即使在“工具|宏”刪除了所有的病毒宏,並不意味著你可以高枕無憂了。因為病毒原體還在文本中,只不過暫時不活動了,也許還會死灰復燃。為了徹底消除宏病毒,再時入“文件|新建”,選擇“模板”,正常情況下,可以在“文件模板”處見到“Normal.dot”,如果沒有,說明文檔模板文件Normal.dot已被病毒修改了。這時用你手邊原來備份的Normal.dot覆蓋當前的Normal.dot;或你沒有備份,則刪掉然毒Normal.dot,重新進入Word,在“模板”里,重置默認字體等選項後退出Word,系統就會自動創建一個乾淨的Normal.dot。再進入Word,再打開原來的文本,並新建另一個空文檔,這時新建文檔是乾淨的;將原文件的全部內容拷貝到新文件中,關閉感染宏病毒的文本,然後再將新文本保存為原文件名存儲。這樣,宏病毒就感染徹底清除了,原文件也恢復了原樣,可以放心大膽地編輯、修改、存儲了。
雖然上述方法對大部分宏病毒可徹底清除,但是“道高一尺,魔高一丈”,有些智能點數比較高的宏病毒,會事先防範,讓宏編輯功能失效,進入“工具|宏”的時候,看不到病毒的名字,因此,也就無法刪除它們。對付這“狡猾”的宏病毒,可選用殺宏病毒的專門軟體如KV300、VAV、瑞星等進行殺除。並注意檢查出文件可能感染病毒后,首先對文件備份,然後再執行清除命令,以免意情況下殺掉病毒的同時改變原文件的內容。
以上是關於宏病毒的預防和殺除。總之,首先要保證文檔環境無病毒,即Normal.dot文檔模板是乾淨的;其次是要預防在Word里打開的文本攜有病毒;最後,發現了宏病毒后,要採取行之有效的措施,保證文檔環境、文檔本身恢復到無病毒狀態。

清除後遺症


宏病毒“後遺症”的清除
以“台灣一號”為代表的專門感染WORD文檔的新型病毒——宏病毒侵入計算機。許多人的染毒文檔在殺毒之後(或手工,或殺毒軟體),依然是以一種模板形式存檔。這樣就導致“另存為”命令失效,即此文件已不能轉換為別的文件格式(如TXT)。其實這就是宏病毒留下的“後遺症”,應該把它清除乾淨。下面就談談如何清除這種“後遺症”。
DOC文件被宏病毒感染后,它的屬性必然會被改為模板,而不是文檔(儘管形式上其擴展名仍是DOC)。此時可按下述步驟進行處理:
1,將該文件打開。2,選擇全部內容,複製到剪貼板。3,關閉此文件。4,新建一個DOC文件(此前應保證Normal模板乾淨)。5,粘貼剪貼板上的內容。6,另存為原文件名(將原來模板屬性的文件覆蓋)。
完成後,該文檔的“另存為”命令可以正常使用了,宏病毒的“後遺症”清除完畢。照此法處理所有曾經染毒的文檔。最後想說一句,清除宏病毒時,若染毒文檔太多,手工方法將非常繁瑣,亦可以使用殺毒軟體來清除。