宏病毒

宏病毒
宏(Macro)：为避免重复操作而设计的一组命令。
在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。

宏病毒的行为和特征
宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。
宏病毒的主要特征如下：
1）宏病毒会感染.DOC文档和.DOT模板文件。
2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。
宏病毒的行为和特征（续）
3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。
4）宏病毒中总是含有对文档读写操作的宏命令。
5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。
6）宏病毒具有兼容性

宏病毒的症状
1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasic Err=514”等；
2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。
3）宏病毒的版本兼容问题

宏病毒的分类
1．公（共）用宏病毒
这类宏病毒对所有的Word文档有效，其触发条件是在启动或调用Word文档时，自动触发执行。它有两个显著的特点：
1）只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。
2）它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在Normal.dot模板上，或者首先要能将自己写进这样的模板才行。

宏病毒分类（二）
2．私用宏病毒
私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。

几种宏病毒
AAAZAO Macro：Concept病毒，第一个宏病毒；
Taiwan NO.1：第一个中文word病毒；
Rainbow Macro：能改变桌面颜色；
FormatC：格式化C盘，第一个木马型宏病毒；
Hot Macro：第一个调用Windows API的宏病毒；
Nuclear Macr第一个干扰打印机、硬盘的宏病毒。

宏病毒的危害
1．传播极快:因为文件交流频繁；
2．制作、变种方便:Word Basic编程容易
3．破坏可能性极大 :Word Basic可调用Windows API、DLL、DDE

宏病毒的防治
除杀毒软件以外，还可尝试下列方法：
1）按住键再启动Word，禁止宏自动运行；
2）工具宏，检查并删除所有可能带病毒的宏；
3）使用Disable AutoMacros宏
4）将模板文件如normal.dot的属性设为只读