与传统的病毒相比，宏病毒的最新特色是它们不依赖操作系统。

• 中文名称 office宏病毒
• 属性 商务应用软件
• 危害 宏病毒编制极其容易
• 特点 传播极快

名词简介

　　随着商务应用软件编制得越来越复杂，开发商开始在文档中提供编程语言，使用户能够修改和定制自己的操作。

　　现在的大部分文字处理程序，电子表格和数据库都包含功能强大的程序语言，允许在文档中使用命令序列。这些命令序列或小程序就被叫做宏。因此数据文件(或称文档)不能感染病毒的定理已不再成立，因为每一个文档现在都可能含有可执行指令。许多应用程序如Microsoft Word，都允许建立宏。它在某操作发生时可自动运行。拥有这些条件，恶意程序--宏病毒的生成不过是一个时间的问题。

　　宏病毒编制极其容易，微软的宏语言都是BASIC语言的子集。

　　BASIC是众多病毒制造者钟爱的编程语言，它比汇编语言容易许多。所以本质上任何人都能制造宏病毒，因此不难理解宏病毒如此之多且日趋复杂化。

　　宏病毒利用宏语言外部的例程的调用能力如使用Windows API函数，能进行任何操作。与传统的病毒相比，宏病毒的最新特色是它们不依赖操作系统。只要有应用程序支持解释，宏病毒无需改动可在许多平台上运行。例如Microsoft Word宏病毒能在任何安装过Microsoft Word的系统中运行(Windows3.1x,Windows 95,Windows NT,MAC等)。

危害介绍

　　宏病毒利用宏语言外部的例程的调用能力如使用Windows API函数，能进行任何操作。与传统的病毒相比，宏病毒的最新特色是它们不依赖操作系统。只要有应用程序支持解释，宏病毒无需改动可在许多平台上运行。例如Microsoft Word宏病毒能在任何安装过MicrosoftWord的系统中运行(Windows3.1x,Windows 95,Windows NT,MAC等)。

　　用户不小心使用宏病毒感染过的文档会很危险，其破坏性仅取决于病毒作者的想象力。相对容易实施的危害如下:

　　*让计算机感染传统型的病毒。

　　*删除硬盘上的文件或文档。

　　*重命名文件。

　　*将私人文件复制到公开场合。

　　*从硬盘上发送文件到指定的e-mail地址。

　　INTERNET的普及更容易将更多的病毒感染文档从地球的一端传播到另一端。在LAN和WAN网上，商业上的文档交流都已成熟使用，几个小时内宏病毒就能感染一个公司的所有计算机。计算机系统崩溃的代价也会极其惨重，使以前大量的工作泡汤。

传染特性

　　病毒是一种特殊的文件型病毒.宏病毒是在一些软件开发商开始在他们的产品中引入宏语言,并允许这些产品生成载有宏的数据文件之后出现的.例如,微软的OFFICE产品系列包括很多的微软的VB程序语言,这些语言使得WORD和EXEL可以自动操作摸板和文件的生成.第一个宏病毒CONCEPT是在微软刚刚在WORD中引入宏之后立刻出现的,微软公司的字处理软件是目前最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播.

　　宏病毒作为一种新型号病毒有其特点与共性.如下:

　　1传播极快

　　根据国外保守的统计,宏病毒的感染率高达40%以上.

　　2制作变种方便

　　以往病毒是以二进制的计算机机器吗形式出现.目前世界上的宏病毒原型已经有几十种,其变种与日俱增,追其原因还是WORD的开放性所致.现在的WORD病毒都是用WORD BASICE语言所写成,大部分WORD病毒宏并没有使用WORD提供的EXECUTE-ONLY处理函数,他们仍处于打开阅读修改状态.所有用户在WORD工具宏彩旦中很方便就可以看到这种宏病毒的全部面目.当然会有不法之徒利用掌握的BASIC语句简单知识把其中病毒即或条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比远病毒的危害更加严重.

　　3/破坏可能性极大

　　鉴于宏病毒用wordbasic语言,它体现了许多系统级地层调用,如直接使用DOS系统名利,调用windows API,调用DDE或DLL等.这些操作均可能对系统直接构成威胁,而WORD在指令安全性完整性上检测能力很弱,破坏系统的指令很容易被执行.宏病毒NUCLEAR就是破坏操作系统的典型一例

　　4多平台交叉感染

　　宏病毒的共性

　　1以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件.宏病毒会感染.doc文当文件和.doc摸板文件,被它感染的.doc文当属性必然会别该为摸板而不是文当,但不一定修改文件的扩展名.而拥护在另存文当时,就无法将该文当转换为任何其他方式,而只能用摸板方式存盘.着一点在多种文本编辑器需准换文当时是绝对不允许的

　　2感染病毒文当午饭使用"另存为"修改路径以保存到另外的磁盘/子目录中

　　3病毒宏的传染通常是word在打开一个带宏病毒的文当或摸板时,即或了病毒宏,它将自身复制到word的通用摸板中,以后在打开或关闭文件时病毒宏就会吧病毒复制到该文件中.

　　4大多数宏病毒中含有autopen autoclose autonew 等自动宏.有些宏病毒还通过 filenew fileopen filesave filesaveas fileexit等宏控制文件的操作

　　5病毒 宏中必定包含有对文当读写操作的宏指令

　　6宏病毒在.doc文当.dot摸板中是以BFF格式存放,这是一种加密压缩格式,每中word版本格式可能不兼容.

工作原理

　　最后,以普通WORD宏病毒为例,看一下它是如何工作的。

　　WORD使用一种叫做word basic的宏语言,它同时支持一系列的自动宏.当某些事件发生时，word将自动执行文档中包含的有特殊名称的宏.这类操作会独立发生，不论正在使用的可疑文档是否来自磁盘。

　　只要编制一个含有 autoopen宏的文档，就可自动引发病毒。在word打开这个文档时宏会接管计算机，然后将自己感染到其他文档,或直接删除文件等等。

　　WORD宏和其他样式储存在模板.dot文件中，因此总是把文档转换成模板再储存他们的宏,这样的结果是默写WORD版本回强制将感染的文档储存在模板中。