什么叫宏病毒？

  随着商务应用软件编制得越来越复杂，开发商开始在文档中提供编程语言，使用户能够修改和定制自己的操作。

　　现在的大部分文字处理程序，电子表格和数据库都包含功能强大的程序语言，允许在文档中使用命令序列。这些命令序列或小程序就被叫做宏。

  因此数据文件（或称文档）不能感染病毒的定理已不再成立，因为每一个文档现在都可能含有可执行指令。许多应用程序如MicrosoftWord，都允许建立宏。它在某操作发生时可自动运行。拥有这些条件，恶意程序－宏病毒的生成不过是一个时间的问题。

　　宏病毒的有哪些危险性？

　　宏病毒编制极其容易，微软的宏语言都是BASIC语言的子集。

　　BASIC是众多病毒制造者钟爱的编程语言，它比汇编语言容易许多。所以本质上任何人都能制造宏病毒，因此不难理解宏病毒如此之多且日趋复杂化。

　　宏病毒利用宏语言外部的例程的调用能力如使用Windows API函数，能进行任何操作。

  与传统的病毒相比，宏病毒的最新特色是它们不依赖操作系统。只要有应用程序支持解释，宏病毒无需改动可在许多平台上运行。例如Microsoft Word宏病毒能在任何安装过MicrosoftWord的系统中运行（Windows3。1x,Windows 95,Windows NT,MAC等）。

　　用户不小心使用宏病毒感染过的文档会很危险，其破坏性仅取决于病毒作者的想象力。相对容易实施的危害如下：

　　*让计算机感染传统型的病毒。

　　*删除硬盘上的文件或文档。*充命名文件。

　　*将私人文件复制到公开场合。

　　*从硬盘上发送文件到指定的e-mail地址。

　　INTERNET的普及更容易将更多的病毒感染文档从地球的一端传播到另一端。在LAN和WAN网上，商业上的文档交流都已成熟使用，几个小时内宏病毒就能感染一个公司的所有计算机。

  计算机系统崩溃的代价也会极其惨重，使以前大量的工作泡汤。

　　宏病毒如何工作？

　　让我们看一看普通Mirosoft Word宏病毒的典型工作情节。

　　Word使用一种叫作WORD BASIC的宏语言，它同时支持一系列的自动宏，某些事件发生时，Word将自动执行文档中包含的有特殊名称的宏。

  这类操作会独立发生，不论正在使用的可疑文档是直接来自磁盘，或是要粘贴的目标文件，还是来自e-mail。

　　某人只要编制一个含有AutoOpen宏的文档，就可自动引发病毒。

　　在Word打开这个文档时，宏会接管计算机，然后将自己感染到其它文档，或直接删除文件等等。

　　Word将宏和其它样式储存在模板（。DOT）中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。当这种情况发生时，千万小心处理哦！要知道你很可能已经带上大名鼎鼎的"宏病毒"了

  宏病毒

　　　　 是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行

　　，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal 模板上。从此以后，所有自动保存

　　的文档都会“感染”　上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转

　　移到他的计算机上。

手工清除宏病毒的方法：

1、打开宏菜单，在通用模板中删除您认为是病毒的宏。

　 2、打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。

　 3、保存清洁文档。

　　特别值得注意的是氏成本Word模板中的病毒在更高版本的Word中才能被发现并清除，英文版Word模板中的病毒还可仍在相应或更高的中文版Word中被发现并清除。

　　手工清除病毒总是比较烦琐而且不要靠，用杀毒工具自动清除宏病毒是理想的解决办法，方法有两种:

　　方法1：用WordBasic语言以Word模板方式编制杀毒工具，在Word环境中杀毒。

　　方法2：根据WordBFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏。

　　方法1因为在Word环境中杀毒，所以杀毒准确，兼容性好。而方法2由于各个版本的WordBFF格式都不完全兼容，每次Word升级它也必须跟着升级，兼容性不好。

　　目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档（模板），而是简单化的把病毒文档（模板）中的某些特征串填为了零，给用户一个假象杀掉了病毒，而实际上病毒宏无法被去除，杀毒后的文件长度与带病毒时的长度相等，这种做法有三个缺点：

　　1、容易将原文档破坏。

　　2、很容易漏杀病毒。

　　3、要不断地随着Word版本升级和病毒变化而改变程序。

　　因为每个版本的WordBFF格式不完全一样，所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同，另外若文档正文中包含病毒串描述，就会被错杀。

　　四、全自动清除宏病毒的工具Word—VRV

　　Word-VRV是用WordBasic语言以Word模板方式编制的杀毒工具，它在Word环境中杀毒。

　　WORD-VRV由WORDVRV。DOT用于中文版Word中使用，EWORD-VRV。

  DOT用于英文版Word中使用，README。EXE三个文件组成。

　　WORD-VRV是个可自升级的Word杀毒器，有下列特点：

　　可在Word有毒环境下自动检测并清除Word模板中的病毒；

　　自动检测各有效驱动器及路径下的文档（模板）；

　　有只检测功能；

　　发现病毒有提示，报警，产生列表；

　　可以备份带毒文档（模板）；

　　提供使用者自己定义结构，清除新的宏病毒。

　　WORD-VRV允许用户自我扩允新的宏病毒特征的方法为：用文本编辑器，如：EDIT编辑文件，编辑一个名为WORDVRV。DAT文件(与WORDVRV。DOT在同一目录中)。该文件每行内容包含病毒名、病毒特征宏和病毒的所有宏。

格式如下:

　　{特征宏名::宏中字串},病毒宏1,病毒宏2,。

  。。,病毒宏N,例如:

　　{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,

　　其中{}中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名称，“::”之后的特征字串为编辑该特征宏时，其中可以表示该特征宏中的特点的字符串，若该特征宏为只执行宏（EXECUTE—ONLY），则{}中不需要输入两个冒号及其以后的特征串，即其中内容仅仅为特征宏名。

  另外特征宏在病毒定义行可以有多个，但必须分别用{}组成。

　　利用WORDVRV的可扩充性，使用者可杀除所有新的宏病毒。 。