按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
毒复制到该文件中。
4) 大多数宏病毒中含有 AutoOpen ,AutoClose ,AutoNew 和 AutoExit 等自动宏。只有这样,
宏病毒才能获得文档(模板)操作控制权。 有些宏病毒还通过 FileNew ,FileOpen ,FileSave ,
FileSaveAs ,FileExit 等宏控制文件的操作。
5) 病毒宏中必然含有对文档读写操作的宏指令。
6) 宏病毒在 DOC 文档、DOT 模板中是以 BFF (BinaryFileFormat )格式存放,这是一种加密
压缩格式,每种 Word 版本格式可能不兼容。
5。2Word 现毒的表现
★例 1Nuclear 宏病毒:
这是一个对操作系统文件和打印输出有破坏功能的宏病毒。
这个宏病毒中包含以下病毒宏:
AutoExec
AutoOpen
DropSuriv
FileExit
FilePrint
FilePrintDefault
784
…………………………………………………………Page 785……………………………………………………………
FileSaveAs
InsertPayload
Payload
这些宏是只执行(Execute…only )宏。
Nuclear 宏病毒造成的破坏现象为:
1) 打 开 一 个 染 毒 文 档 并 打 印 的 时 侯 , 它 会 在 您 打 印 的 最 后 一 段 加 上
“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC! ”,这个现象是在每分钟的 55
秒—60 秒之间操作打印时发生。
2) 如果在每天 17:00—18:00 之间打开一个染毒文档,Nuclear 病毒会将 PH33R 病毒传染
到计算机上,这是个驻留型病毒。
3) 在每年的四月五日,该病毒会将计算机上 IO。SYS ,MSDOS。SYS 文件清零,并且删除 C
盘根目录上的 MAND。 文件。一旦病毒发作,MS -DOS 就不可能被引导,计算
机将陷入瘫痪。
★例 2 台湾一号病毒:
台湾一号病毒会在每月的 13 日影响您正常使用Word 文档和编辑器。它包含以下病毒宏:
AutoClose
AutoNew
AutoOpen
这些宏是可被编辑宏。
在病毒宏中含有如下的语句:
IfDay(Now())=13Then。。。
这条语句与 13 日有关。
台湾一号病毒造成的危害是:在每月 13 日,若用户使用Word 打开一个带毒的文档(模板)
时,病毒会被激发,激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一
个心算题,如做错,它将会无限制地打开文件,直至 Word 内存不够,Word 出错为止;如心
算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,再提示
用户:“如何预防巨集病毒?”,回答是“不要看我”。
5。3Word 宏病毒发现及清除:
根据宏病毒的传染机制,不难看出宏病毒传染中的特点,所以发现宏病毒可以通过以下步
聚进行:
1) 在自己使用的Word 中打开工具中的宏菜单,点中通用(Normal )模板,若发现有“AutoOpen ”
等自动宏,“FileSave ”等文件操作宏或一些怪名字的宏,而自己又没有加载特殊模板,这
就有可能有病毒了。因为大多数用户的通用(Normal )模板中是没有宏的。
2) 如发现打开一个文档,它未经任何改动,立即就有存盘操作,也有可能是 Word 带有病毒。
3) 打开以 DOC 为后缀的文件在另存菜单中只能以模板方式
存盘而此时通用模板中含有宏,也有可能是 Word 有病毒。
手工清除宏病毒的方法:
1) 打开宏菜单,在通用模板中删除您认为是病毒的宏。
2) 打开带有病毒宏的文档(模板),然后打开宏菜单,在
3) 通用模板和病毒文件名模板中删除您认为是病毒的宏。
4) 保存清洁文档。
特别值得注意的是氏成本 Word 模板中的病毒在更高版本的 Word 中才能被发现并清除,
785
…………………………………………………………Page 786……………………………………………………………
英文版 Word 模板中的病毒还可仍在相应或更高的中文版 Word 中被发现并清除。
手工清除病毒总是比较烦琐而且不要靠,用杀毒工具自动清除宏病毒是理想的解决办法,
方法有两种:
1) 用 WordBasic 语言以 Word 模板方式编制杀毒工具,在 Word 环境中杀毒。
2) 根据 WordBFF 格式,在 Word 环境外解剖病毒文档(模板),去掉病毒宏。
方法 1 因为在 Word 环境中杀毒,所以杀毒准确,兼容性好。而方法 2 由于各个版本的
WordBFF 格式都不完全兼容,每次 Word 升级它也必须跟着升级,兼容性不好。
目前有些DOS 杀毒软件不是采用 WordBFF 格式去解剖病毒文档(模板),而是简单化的
把病毒文档(模板)中的某些特征串填为了零,给用户一个假象杀掉了病毒,而实际上病毒宏
无法被去除,杀毒后的文件长度与带病毒时的长度相等,这种做法有三个缺点:
1) 容易将原文档破坏。
2) 很容易漏杀病毒。
3) 要不断地随着 Word 版本升级和病毒变化而改变程序。
因为每个版本的WordBFF 格式不完全一样,所以病毒宏在不同版本的 Word 中被压缩的格
式和存放的位置都不同,另外若文档正文中包含病毒串描述,就会被错杀。
5。4 全自动清除宏病毒的工具 Word—VRV
Word…VRV 是用WordBasic 语言以 Word 模板方式编制的杀毒工具,它在 Word 环境中杀毒。
WORD…VRV 由 WORDVRV。DOT 用于中文版 Word 中使用,EWORD…VRV。DOT 用于英文版
Word 中使用,README。EXE 三个文件组成。
WORD…VRV 是个可自升级的 Word 杀毒器,有下列特点:
可在 Word 有毒环境下自动检测并清除 Word 模板中的病毒;
自动检测各有效驱动器及路径下的文档(模板);
有只检测功能;
发现病毒有提示,报警,产生列表;
可以备份带毒文档(模板);
提供使用者自己定义结构,清除新的宏病毒。
WORD…VRV 允许用户自我扩允新的宏病毒特征的方法为:用文本编辑器,如:EDIT 编辑
文件,编辑一个名为 WORDVRV。DAT 文件(与 WORDVRV。DOT 在同一目录中) 。该文件每行
内容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:
{特征宏名::宏中字串};病毒宏 1;病毒宏 2;。。。;病毒宏 N 。
其中{}中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名称,“::”之
后的特征字串为编辑该特征宏时,其中可以表示该特征宏中的特点的字符串,若该特征宏为只
执行宏(EXECUTE—ONLY ),则{}中不需要输入两个冒号及其以后的特征串,即其中内容仅
仅为特征宏名。另外特征宏在病毒定义行可以有多个,但必须分别用{}组成。
利用 WORDVRV 的可扩充性,使用者可杀除所有新的宏病毒。
6、使用 VFP 数据库
如果我们需要把存贮在一个使用 vfp6。0 编写的应用系统中的数据进行编辑处理,按常规方
法实现比较复杂,但是我们可以通过对 WORD 的自定义数据库设置,让 WORD 能实现与数
据库中数据共享,并最终通过 WORD 来完成操作数据库的各项任务,下面是自定义数据库设
786