精华区文章阅读

作  家: OrangeGun (Gunner) on board 'virus'
题  目: 转贴word宏病毒(II)
来  源: 哈尔滨紫丁香站
日  期: Sat May 17 20:40:49 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: douglas (鹰), 信区: virus
标  题: 彻底清除宏病毒(2)
发信站: 逍遥津 (Thu May  8 09:53:15 1997)

　　目前的DOS杀毒工具都不能很好的自动杀除宏病毒。华美星际公司这次推出病
毒克星for WORD比较圆满地解决了该问题。如果说Concept 病毒引出了Word 宏病
毒的概念，“台湾1号”便引来了Word 宏病毒的发作，引来了人们对Word 宏病毒
的重视。

WORD宏病毒发现及清除：

　　根据宏病毒的传染机制，不难看出宏病毒传染中的特点。
   所以发现宏病毒可以通过以下步聚进行：

　　1  在自己使用的WORD中打开工具中的宏菜单，点中通用（Normal）模板，若
发现有“AutoOpen”等自动宏，“FileSave”等文件操作宏或一些怪名字的宏，而
自己又没有加载特殊模板，这就有可能有病毒了。因为大多数用户的通用（Normal）
模板中是没有宏的。

　　2  如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是Word
带有病毒。

　　3  打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板
中含有宏，也有可能是Word有病毒。

　　手工清除宏病毒的方法：

　　1  打开宏菜单，在通用模板中删除您认为是病毒的宏。

　　2  打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名
模板中删除您认为是病毒的宏。

　　3  保存清洁文档。

　　4  对剩余文件重复步骤 1－3。

　　特别值得注意的是英文版Word模板中的病毒在英文版Word中或更高版本的中
文版Word才能被发现并清除，反之中文版有相同规律。

　　用杀毒工具自动清除宏病毒是理想的解决办法。

　　方法1       用Word Basic 语言以Word 模板方式编制杀毒工具，在Word 环境中杀
毒。

　　方法2       根据Word BFF格式，在Word环境外解剖病毒文档（模板），去掉病
毒宏。

　　方法1因为在Word 环境中杀毒，所以杀毒准确，兼容性好。而方法2由于各个
版本的Word BFF格式都不完全兼容，每次Word 升级它也必须跟着升级，兼容性不
好。

　　目前有些DOS杀毒软件不是采用Word BFF格式去解剖病毒文档（模板），而是
简单化的把病毒文档（模板）中的某些特征串填为了零，病毒宏无法被去除，杀毒后
的文件长度与带病毒时的长度相等，这种做法有三个缺点：

　　    其一：容易将原文档破坏。

　　    其二：很容易漏杀病毒。

　　    其三：要不断地随着Word版本升级和病毒变化而该变程序。

　　因为每个版本的Word BFF格式不完全一样，所以病毒宏在不同版本的Word中
被压缩的格式和存放的位置都不同，另外若文档正文中包含病毒串描述，就会杀错。
　　

四  全自动清除宏病毒的工具  病毒克星 for WORD (WORDVRV)

　　Word-VRV 是根据国家信息中心的要求，用Word Basic 语言以Word 模板方式
编制的杀毒工具，它在Word 环境中杀毒。

　　Word-VRV 由<WORDVRV.DOT>，<EWORDVRV.DOT>，<README.EXE>
三个文件组成。第一个文件在中文版WORD中使用，第二个文件在英文版WORD中
使用。

　　Word-VRV 是个可自升级的Word 杀毒器，有下列特点：

　　    可在Word有毒环境下自动检测并清除Word模板中的病毒；
　　    自动检测各有效驱动器及路径下的文档（模板）；
　　    有可只检测功能；
　　    发现病毒有提示，报警，产生列表；
　　    可以备份带毒文档（模板）；
　　    提供使用者自己定义结构，清除新的宏病毒。

   Word-VRV可以允许用户自我扩允新的宏病毒特征，其扩充方法为：用文本编辑器，
如：EDIT编辑文件，该文件名为WORDVRV.DAT放在与WORDVRV.DOT同一目
录中。该文件每行内容包含病毒名、病毒特征宏和病毒的所有宏。格式如下:

　　<病毒名>{特征宏名::宏中字串},病毒宏1,病毒宏2,...,病毒宏N,
例如:
　　<Concept>{AAAZAO::Global:AAAZFS},AAAZAO,AAAZFS,FileSaveAs,PayLoad,

　　其中{ }中病毒特征宏为在病毒所有宏中选取一个可以代表该病毒特征的宏的名
称，::之后的特征字串为编辑该特征宏时，其中可以表示该特征宏中的特点的字符串，
若该特征宏为只执行宏（EXECUTE—ONLY），则{ }中不需要输入两个冒号及其
以后的特征串，即其中内容仅仅为特征宏名，另外特征宏在病毒定义行可以有多个，
但必须分别用{ }组成。
    利用Word-VRV的可扩充性，使用者可杀除所有新的宏病毒。

--
     ☆     ○
 春        几多春秋事         花       ★  ★★    ★
 秋                       瓣        ★★★★★★
 笔        尽在笔中流         雨           ★★
      ★★  ★★
        ★^^    ^^★

※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]

Virus 版 (精华区)