精华区文章阅读

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 转贴word宏病毒
来  源: 哈尔滨紫丁香站
日  期: Sat May 17 20:12:47 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: douglas (鹰), 信区: virus
标  题: 彻底清除宏病毒(1)
发信站: 逍遥津 (Thu May  8 09:50:18 1997)

　　2月13日，本是国家政府机关和大型企事业单位春节后，才刚刚上班的日子。
谁都没有料到会有一种计算机病毒的阴影正猛然向他们袭来。许多国家机关在使用
WORD时出现Windows  Word中弹出一对话框，它让用户心算算术题，然后Word死
机。这就是“台湾1号”宏病毒发作，因为这天是13日。而这个病毒在96年12月
13日首次在大陆被发现。

一、WORD宏病毒揭密

　　Microsoft Word 中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的
一系列 Word 命令，它能使日常工作变得更容易。”

　　Word 使用宏语言 WordBasic 将宏作为一系列指令来编写。

　　要想搞清楚宏病毒的来龙去脉，必须了解Word宏的知识及Word  Basic编程技
术。（请参阅《Microsoft Word 开发工具》一书）

　　WORD宏病毒是一些制作病毒的专业人员利用MICROSOFT WORD的开放性即
WORD中提供的WORD BASIC编程接口，专门制作的一个或多个具有病毒特点的宏
的集合，这种病毒宏的集合影响到计算机使用，并能通过DOC文档及DOT模板进行
自我复制及传播。

　　★ 宏病毒的特点

　　1  传播极快

　　Word 宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是
交流最广的文件类型。多年来，人们大多重视保护自己计算机的引导部分和可执行文
件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word 宏病毒传播
带来很多便利。
特别是Internet网络的普及，E-mail的大量应用更为Word 宏病毒传播铺平道路。

　　2  制作、变种方便

　　Word 使用宏语言 WordBasic 来编写宏指令。宏病毒同样用WordBasic 来编写。

　　目前，世界上的宏病毒原型已有几十种，其变种与日骤增，追究其原因还是Word
的开放性所致。现在的Word病毒都是用Word Basic语言所写成，大部分Word病毒
宏并没有使用Word提供的Execute—Only处理函数处理，它们仍处于可打开阅读修
改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面
目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破
坏条件加以改变，立即就生产出了一种新的宏病毒。甚至比病毒原本的危害更加严
重。

　　3  破坏可能性极大

　　鉴于宏病毒用Word Basic 语言编写，Word Basic 语言提供了许多系统级底层调
用，如直接使用DOS系统命令，调用Windows API，调用DDE·DLL等。这些操
作均可能对系统直接构成威胁，而Word 在指令安全性，完整性上检测能力很弱，破
坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。

　　★ 宏病毒的兼容性

　　Word模板（TEMPLATE）是开发Word应用程序的唯一方法。病毒宏也不例外。

　　模板的不兼容使英文Word中的病毒模板在同一版本中文Word中打不开而自动
失效，反之亦然，同时高版本的Word7.0的文档在低版本的Word6.0下是打不开的，
这就是为什么宏病毒在中国大陆发现较少的原因。然而，中文Word7.0可以打开英文
Word6.0中的宏。所以在Word 7.0大量普及后，必然会使许多在英文Word中制作的
宏病毒泛滥。“台湾1号”是在台湾中文Word下做的，所以其模板与大陆中文Word
兼容，在大陆中传播就很快。

　　★ 宏病毒的共性：

　　1  宏病毒会感染DOC文档文件和DOT模板文件。
　　   被它感染的DOC文档属性必然会被改为模板而不是文档，而用户在另存文档
时，就无法将该文档转换为任何其它方式，而只能用模板方式存盘。这一点在多种文
本编辑器需转换文档时是绝对不允许的。

　　2  病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒
宏，病毒宏将自身复制至Word的通用（Normal）模板中，以后在打开或关闭文件时
病毒宏就会把病毒复制到该文件中。

　　3  大多数宏病毒中含有 AutoOpen，AutoClose，AutoNew 和 AutoExit 等自动
宏。只有这样，宏病毒才能获得文档（模板）操作控制权。
　　   有些宏病毒还通过FileNew，FileOpen，FileSave，FileSaveAs，FileExit等
宏控制文件的操作。

　　4  病毒宏中必然含有对文档读写操作的宏指令。

　　5  宏病毒在DOC文档、DOT模板中是以BFF（Binary File Format）格式存放，
这是一种加密压缩格式，每种Word版本格式可能不兼容。

　　★ 宏病毒的实例分析
　　
　　例1  Nuclear 宏病毒：
　　这是一个对操作系统文件和打印输出有破坏功能的宏病毒。
　　这个宏病毒中包含以下病毒宏：
　　    AutoExec
　　    AutoOpen
　　    DropSuriv
　　    FileExit
　　    FilePrint
　　    FilePrintDefault
　　    FileSaveAs
　　    InsertPayload
　　    Payload

　　这些宏是只执行（Execute-only）宏。

　　Nuclear宏病毒造成的破坏现象为：

　　１  打开一个染毒文档并打印的时侯，它会在您打印的最后一段加上“STOP ALL
FRENCH NUCLEAR TESTING IN THE PACIFIC!”，这个现象是在每分钟的55秒—
60秒之间操作打印时发生。

　　２  如果在每天17：00—18：00之间打开一个染毒文档，Nuclear病毒会将
PH33R病毒传染到计算机上，这是个驻留型病毒。

　　３  在每年的四月五日，该病毒会将计算机上IO.SYS，MSDOS.SYS文件清零，
并且删除C盘根目录上的COMMAND.COM文件。一旦病毒发作，MS－DOS就不
可能被引导，计算机将陷入瘫痪。

　　例2  台湾一号病毒：

　　台湾一号病毒会在每月的13日影响您正常使用WORD文档和编辑器。

　　它包含以下病毒宏：
　　    AutoClose
　　    AutoNew
　　    AutoOpen
　　这些宏是可被编辑宏。
　　在病毒宏中含有如下的语句：
　　    If Day(Now()) = 13 Then  . . .
　　这条语句与13日有关。

　　台湾一号病毒        造成的危害是：在每月13日，若用户使用Word打开一个带毒的
文档（模板）时，病毒会被激发，激发时的现象是：在屏幕正中央弹出一个对话框，
该对话框提示用户做一个心算题，如做错，它将会无限制地打开文件，直至Word内
存不够，Word出错为止；如心算题做对，会提示用户“什么是巨集病毒（宏病毒）？”，
回答是“我就是巨集病毒”，再提示用户：“如何预防巨集病毒？”，回答是“不要
看我”。

--
     ☆     ○
 春        几多春秋事         花       ★  ★★    ★
 秋                       瓣        ★★★★★★
 笔        尽在笔中流         雨           ★★
      ★★  ★★
        ★^^    ^^★

※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]

Virus 版 (精华区)