透透玩转Office宏病毒的理解和防范

通通
关键词：安全,,
FONT face=Arial>随着微软Office系列软件的大量应用，以及宏病毒程序编写的简易，宏病毒已成为现今流行病毒的主流之一。它的大量涌现，大大威胁到与之密切相关的众多单位办公电脑的安全。宏病毒作为计算机病毒，它存在于微软Office系列软件的文件、模板以及启动加载项的“宏”中。如果用户在操作过程中，不小心打开了被宏病毒感染了的文件或执行了触发宏病毒的命令，那么就会使病毒发作，使它感染此后机器中打开的每一个文件。如果是在网络环境中，还会通过文件的共享、Internet 上下载，传播并感染其他用户的计算机。 　　所谓“宏”可以理解为一些命令的集合，类似于DOS下的批处理文件，它能给文件的编辑带来许多方便。“宏病毒”则是能在文件间复制自身的恶意宏程序，一般可以损坏或更改数据。宏病毒可以跨平台传播，并且只要打开受感染文件就可以进行传播。
　　宏病毒只针于特定的应用程序，所以大多数人一提到宏病毒就会想到Word，其实它不光只存在于Word文件中，也广泛存在于Microsoft Office系列的其他宏实用程序所生成的文件中，比如Excel、PROWER Print等。但同一种程序下编制的宏病毒，只能感染同一类型的文件，不同类型宏病毒不能交叉感染，即Word 宏病毒不能感染 Excel 文件。
一、如何判断是否感染了宏病毒
　　 ㈠、判断是否被宏病毒感染，首先可以从以下现象中进行判断：
　　1.在打开Word文件的过程中，出现是否启动“宏”的提示，则极有可能带有宏病毒。
　　 2.在Word工具栏及菜单中看不到某些原有的选项，或某些选项不可用、某些命令不能执行。最常见的比如“工具菜单”中看不到“宏”选项，或能看到“宏”，但鼠标单击无反应，则可以肯定感染了宏病毒。因为病毒制造者，不希望用户查觉病毒的存在或不想让用户查看、编辑源程序，而限制了对它们的使用。
　　3.在运行Word过程中，Windows桌面图标突然全部改变，有可能是宏病毒所致。
　　4.在WORD文件中只进行了输入文字的操作，退出时却提示“所做修改会影响到共用模板”，则必感染了宏病毒（如图1所示）。


　　5.打开WORD文件后，在存储文件时无法以.DOC文件格式存储，且只能存储为WORD模板。或在“另存为”窗口中只能以模板方式存盘，有可能带有宏病毒。
　　6.打开一个Word文件，不进行任何操作马上就退出，如提示需要存盘，则极有可能带有宏病毒。
　　 7.Word中经常执行一些错误的操作，比如单击“模板与加载项”时却弹出别的窗口，或者文件中出现莫名其妙的提示和文字信息。

㈡、先从带有自动宏的文件中入手
　　判断哪些WORD文件被宏病毒感染了，可以先从带有自动宏的文件中入手。方法是用Windows的“开始/查找/文件或文件夹”来搜索硬盘各分区：在“查找”对话框“名称”栏中输入“*.doc”或“*.dot”，在“包含文字”栏中输入“AutoOpen”，然后开始查找，查找到的文件可能就含有宏病毒。
　　㈢、通过宏管理器分析
　　如果打开Word文件，在“工具/宏/宏”窗口中，单击“管理器”按钮，（如图2）在列表中发现来历不明的宏，那可以怀疑染有病毒。如果单击“编辑”按钮，在宏的源代码中发现MacroCopy函数，就可以进一步断定是宏病毒。

二、宏病毒的防范
　　1.提高安全级别
　　为了远离宏病毒的困扰，Word 2000及以上版本中，也提供了防范宏病毒的感染和传播的功能，并且分高、中、低三种安全级别供用户选择。设置方法如下：在WORD文件中，选择“工具/宏/安全性”（如图3），在对话框中把宏的安全级别设为“高级“，这样就可以只运行可靠来源签署的宏。另外如果想要让Word根据所选安全级，对以前安装的模板和加载项的启动发出警告，还可以把“可靠来源”选项卡中的“信任所有安装的加载项和模板”复选框前的钩去掉（如图4）。


2.设置共用模板保存提示
　　打开“选项/保存”，（如图5）把“提示保存Normal模板”前面打上钩，这样如果共用模板被修改，退出时就会出现需要保存的提示信息。

3.禁用或删除Word中不请自来的加载项和模板
　　现在有些程序安装后，会自动在Word中添加一些加载项或模板，比如金山词霸、Foxmail等，这样会加大感染宏病毒的机会，还会加大查杀的难度。如果你不太在意这些功能，可以删除它们。以Foxmail为例，当你看到工具栏中有一个Foxmail图标，“文件/发送”菜单下有一个“Foxmail（以附件形式）”的菜单项，那么就说明启动了Foxmail的模板文件。一般它保存在“C:\Program Files\Microsoft Office\Office\STARTUP”（如果你的Office2000安装在默认路径下时）目录下，它会随Ｗord的启动一起运行。如果要删除它，方法如下：
　　首先选择“工具\模板和加载项”，在打开“模板和加载项”对话框中的“所选项目当前已经加载”框中（如图6），就会看到“Foxmail.dot”选项，只要把它前面的钩去掉，确定后就可以禁用它了。如果要恢复就再打上钩就可以了。

　　如果你要斩草除根、彻底删除它，只要在资源管理器中，到C:\Program Files\Microsoft Office\Office\STARTUP目录下，删除“Foxmail.dot“的模板文件即可。
　　4.不执行自动运行的宏
　　还有一种办法可以在打开WORD时，不执行自动运行的宏。首先在C:\Program Files\Microsoft Office\Office下找到Winword.exe文件，（注：如果Office没有安装在C:\Program Files\下，请到安装目录下寻找），然后用鼠标右键单击它，选择“发送到/桌面快捷方式“。然后在桌面上用鼠标右键单击这个图标，选择“属性“，（如图7）在目标框中““C:\Program Files\Microsoft Office\Office\WINWORD.EXE“ ”的后面加上一个参数“ /m“（注意：不带引号，斜杠前有个空格，否则会提示你输入的名称无效），最后按确定。以后你再要使用WORD时，只要直接双击它，就可以了，这时是不会执行自动运行的宏的，在一定程序上扼制宏病毒。

　　使用这种方法需要注意的是，安装Office软件时在桌面上留下的WORD的快捷方式“Microsoft Word”图标是无效的，它不是Winword.exe的快捷方式。
　　5.安装新版的杀毒软件。
　　除了上述设置外，安装新版杀毒软件，也是防范宏病毒的重要手段。为了加强对未知宏病毒的查杀和清除，新一代杀毒软件都普遍增加了对它的预防功能。比如“金山毒霸”从2002版开始，就增加了一种“嵌入式查杀工具”——“Office安全助手”。由于是嵌入式，它不需要启动主程序来对病毒进行查杀，只要在主程序中选择“启用Office安全助手”选项（如图8），以后每打开任何一个WORD文件，它都会先对其进行扫描，这时你能在WORD的启动画面上看到一个金山毒霸的动画标识（如图9），它可以证明Office安全助手在工作。

6.用Windows自带的写字板打开怀疑感染宏病毒的文件
　　如果你怀疑电脑中某个文件已经感染了宏病毒，除了借助于杀毒软件以外，如果要查看文件中的内容，可以用Windows自带的写字板来打开它，阅读其中的文本内容。这种方式不会运行任何宏。但无法打开设置了“打开权限密码”的文件。
　　7.用备份模板文件覆盖原模板文件。
　　 WORD的共用模板文件名叫“Normal.dot”，它保存在“C:\Windows\Application Data\Microsoft\Templates”目录下。你可以事先把它备份一份，当怀疑染有宏病毒时，用备份的文件覆盖它，就可以消除模板中的病毒。如果没有事先备份，可以直接把这个文件删除，再打开WORD程序，会重新生成一个文件。