计算机的宏病毒 上海 邱雯瑾 1996-12-13 最近,计算机病毒家族中出现了一个新成员:宏病毒。此类病毒与传统计算机病毒的不同之处在于它能攻击非可执行文件。例如,其中的“恶作剧”(Prank)病毒专门攻击Microsoft Word的文档文件(document)。 严格说来,宏病毒并非真正的病毒。宏病毒不能取得系统的控制权,因而它是寄身性质的。大多数的宏病毒不会破坏整个文件系统。另一值得注意的重要特征是,宏病毒经常攻击模板文件(Template),一般是普通模板(Normal Template)。我们知道,每一个文档都是以一个模板为基础的,这就是宏病毒本身能够迅速、广泛地传播的基本原理。 只有诸如MS Word、MS Excel、MS Access此类可编程的应用软件出现后,才出现了此类宏病毒。几乎所有的宏病毒都是用宏语言或一些高级语言写的。例如,“恶作剧”(Prank)病毒就是用Visual Basic for Application语言写的。 下面以“恶作剧”(Prank)病毒为例,介绍宏病毒的检测、消除和预防。 ·检测、消除宏病毒 因为宏病毒是受应用程序控制的,故而检测比较容量。 这里我们提供一个简单有效、可以找出几乎所有宏病毒的方法。我们知道,宏病毒本质上是一个宏,因而它们的名字必然被列在活动宏的列表上。因此,如果你想检测一下你的Word文档是否被感染,你可以选择Tool菜单下的Macro子菜单。检查宏列表,如果你找到一些奇怪的名字,例如AAA***,那么你的文档极有可能被宏病毒所感染。我们大力推荐这个方法,因为用它可以找出那些不知名的宏病毒。 消除宏病毒也是非常简便的:删除这些宏,即意味着消除了这些宏病毒。 如同普通病毒,也有一些专门针对宏病毒的杀毒工具软件。例如,你可以用Microsoft的SCAN831.DOC来清除“恶作剧”(Prank)病毒。这种专门工具的一个优点是可以自动检测整个驱动器上的所有相关文档。 还有,所有的宏病毒都会引起一些奇怪的现象。例如不能以正常方式存储文档等。如果这种现象出现,你也应重视,进而检测文档是否被宏病毒所感染。 ·简单的预防感染的措施 这里列出了一些简便的防防宏病毒感染措施: 1.把模板文件的属性改成“只读”(Read Only)。 2.定期检查活动宏表。 3.安装一些专门工具。 4.存储一个文档时,总是指定扩展名。 关于4的说明:宏病毒总是试图把模板文件的扩展名附加到你指定的文件名后面,无论扩展名是否已经存在。例如,你指定文件名如下Test.Doc,最终这个文件名会变为Test.Doc.Dot,显然这个文件名在DOS下不可接受。(上海 邱雯瑾)