office宏病毒

隨著商務套用軟體編製得越來越複雜，開發商開始在文檔中提供程式語言，使用戶能夠修改和定製自己的操作。

現在的大部分文字處理程式，電子表格和資料庫都包含功能強大的程式語言，允許在文檔中使用命令序列。這些命令序列或小程式就被叫做宏。因此數據檔案（或稱文檔）不能感染病毒的定理已不再成立，因為每一個文檔現在都可能含有可執行指令。許多應用程式如Microsoft Word，都允許建立宏。它在某操作發生時可自動運行。擁有這些條件，惡意程式——宏病毒的生成不過是一個時間的問題。

宏病毒編制極其容易，微軟的宏語言都是BASIC語言的子集。

BASIC是眾多病毒製造者鐘愛的程式語言，它比彙編語言容易許多。所以本質上任何人都能製造宏病毒，因此不難理解宏病毒如此之多且日趨複雜化。

宏病毒利用宏語言外部的例程的調用能力如使用Windows API函式，能進行任何操作。與傳統的病毒相比，宏病毒的最新特色是它們不依賴作業系統。只要有應用程式支持解釋，宏病毒無需改動可在許多平台上運行。例如Microsoft Word宏病毒能在任何安裝過Microsoft Word的系統中運行（Windows3.1x,Windows 95,Windows NT,MAC等）。

宏病毒編制極其容易，微軟的宏語言都是BASIC語言的子集。

BASIC是眾多病毒製造者鐘愛的程式語言，它比彙編語言容易許多。所以本質上任何人都能製造宏病毒，因此不難理解宏病毒如此之多且日趨複雜化。

宏病毒利用宏語言外部的例程的調用能力如使用Windows API函式，能進行任何操作。與傳統的病毒相比，宏病毒的最新特色是它們不依賴作業系統。只要有應用程式支持解釋，宏病毒無需改動可在許多平台上運行。例如Microsoft Word宏病毒能在任何安裝過MicrosoftWord的系統中運行（Windows3.1x,Windows 95,Windows NT,MAC等）。

用戶不小心使用宏病毒感染過的文檔會很危險，其破壞性僅取決於病毒作者的想像力。相對容易實施的危害如下：

*讓計算機感染傳統型的病毒。

*刪除硬碟上的檔案或文檔。

*重命名檔案。

*將私人檔案複製到公開場合。

*從硬碟上傳送檔案到指定的e-mail地址。

INTERNET的普及更容易將更多的病毒感染文檔從地球的一端傳播到另一端。在LAN和WAN網上，商業上的文檔交流都已成熟使用，幾個小時內宏病毒就能感染一個公司的所有計算機。計算機系統崩潰的代價也會極其慘重，使以前大量的工作泡湯。

病毒是一種特殊的檔案型病毒.宏病毒是在一些軟體開發商開始在他們的產品中引入宏語言,並允許這些產品生成載有宏的數據檔案之後出現的.例如,微軟的OFFICE產品系列包括很多的微軟的VB程式語言,這些語言使得WORD和EXEL可以自動操作摸板和檔案的生成.第一個宏病毒CONCEPT是在微軟剛剛在WORD中引入宏之後立刻出現的,微軟公司的字處理軟體是目前最為流行的編輯軟體,並且跨越了多種系統平台,宏病毒充分利用了這一點得到恣意傳播.

宏病毒作為一種新型號病毒有其特點與共性.如下:

1傳播極快

根據國外保守的統計,宏病毒的感染率高達40%以上.

2製作\變種方便

以往病毒是以二進制的計算機機器嗎形式出現.目前世界上的宏病毒原型已經有幾十種,其變種與日俱增,追其原因還是WORD的開放性所致.現在的WORD病毒都是用WORD BASICE語言所寫成,大部分WORD病毒宏並沒有使用WORD提供的EXECUTE-ONLY處理函式,他們仍處於打開閱讀修改狀態.所有用戶在WORD工具宏彩旦中很方便就可以看到這種宏病毒的全部面目.當然會有不法之徒利用掌握的BASIC語句簡單知識把其中病毒即或條件和破壞條件加以改變,立即就生產出了一種新的宏病毒,甚至比遠病毒的危害更加嚴重.

3/破壞可能性極大

鑒於宏病毒用wordbasic語言,它體現了許多系統級地層調用,如直接使用DOS系統名利,調用windows API,調用DDE或DLL等.這些操作均可能對系統直接構成威脅,而WORD在指令安全性\完整性上檢測能力很弱,破壞系統的指令很容易被執行.宏病毒NUCLEAR就是破壞作業系統的典型一例

4多平台交叉感染

宏病毒的共性

1以往病毒只感染程式,不感染數據檔案,而宏病毒專門感染數據檔案.宏病毒會感染.doc文當檔案和.doc摸板檔案,被它感染的.doc文當屬性必然會別該為摸板而不是文當,但不一定修改檔案的擴展名.而擁護在另外儲存文當時,就無法將該文當轉換為任何其他方式,而只能用摸板方式存檔.著一點在多種文本編輯器需準換文當時是絕對不允許的

2感染病毒文當午飯使用"另外儲存為"修改路徑以保存到另外的磁碟/子目錄中

3病毒宏的傳染通常是word在打開一個帶宏病毒的文當或摸板時,即或了病毒宏,它將自身複製到word的通用摸板中,以後在打開或關閉檔案時病毒宏就會吧病毒複製到該檔案中.

4大多數宏病毒中含有autopen autoclose autonew 等自動宏.有些宏病毒還通過 filenew fileopen filesave filesaveas fileexit等宏控制檔案的操作

5病毒 宏中必定包含有對文當讀寫操作的宏指令

6宏病毒在.doc文當.dot摸板中是以BFF格式存放,這是一種加密壓縮格式,每中word版本格式可能不兼容.

最後,以普通WORD宏病毒為例,看一下它是如何工作的。

WORD使用一種叫做word basic的宏語言,它同時支持一系列的自動宏.當某些事件發生時，word將自動執行文檔中包含的有特殊名稱的宏.這類操作會獨立發生，不論正在使用的可疑文檔是否來自磁碟。

只要編制一個含有 autoopen宏的文檔，就可自動引發病毒。在word打開這個文檔時宏會接管計算機，然後將自己感染到其他文檔,或直接刪除檔案等等。

WORD宏和其他樣式儲存在模板.dot檔案中，因此總是把文檔轉換成模板再儲存他們的宏,這樣的結果是默寫WORD版本回強制將感染的文檔儲存在模板中。