什么是宏病毒？

宏在MicrosoftWord中的定义是:“宏是一系列可以组织在一起并作为独立命令使用的Word命令，可以使日常工作变得更加简单。”

Word使用宏语言WordBasic将宏编写为一系列指令。

要想了解宏病毒的来龙去脉，必须了解Word宏的知识和WordBasic的编程技术。

Word宏病毒是一些病毒专业人员利用MICROSOFTWord的开放性，即Word中提供的WordBASIC编程接口，专门制作的一个或多个具有病毒特征的宏的集合。这种病毒宏的集合会影响计算机的使用，并可以通过DOC文档和点模板进行复制和传播。

★宏病毒的特征

1，传播速度非常快

Word宏病毒通过DOC文档和点模板进行复制和传播，计算机文档是传播最广泛的文件类型。多年来，人们大多注重保护自己电脑的引导部分和可执行文件不受病毒感染，而国外的文档和文件基本都是直接浏览使用，这给Word宏病毒的传播带来了很多便利。特别是互联网的普及和电子邮件的广泛应用，为Word宏病毒的传播提供了条件。

2、生产和变化方便

Word使用宏语言WordBasic编写宏指令。宏病毒也是用WordBasic写的。

目前，世界上有几十种宏病毒原型，它们的变种正在迅速增加。原因在于Word的开放性。目前Word病毒都是用WordBasic语言编写的，大部分Word病毒宏都没有经过Word提供的Execute—Only处理功能的处理，仍然处于被打开、读取和修改的状态。

所有用户都可以在Word工具的宏菜单中轻松看到这个宏病毒的全貌。当然，也会有“犯罪分子”利用自己掌握的基本语句，改变病毒的激活条件和破坏条件，立即产生新的宏病毒，甚至比原来的病毒更严重。

3.损坏的可能性很大。

由于宏病毒是用WordBasic语言编写的，所以WordBasic语言提供了很多系统级的调用，比如直接使用DOS系统命令，调用WindowsAPI，调用DDE和DLL等。这些操作可能对系统造成直接威胁，但Word对指令的安全性和完整性检测能力较弱，破坏系统的指令容易被执行。宏病毒核就是破坏操作系统的典型例子。

★宏病毒的兼容性

Word模板是开发Word应用程序的必经之路。病毒宏也不例外。

模板的不兼容使得英文Word中的病毒模板在中文Word的同一版本中无法打开，反之亦然。同时，Word7.0高版本中的文档在Word6.0低版本中无法打开，这也是中国大陆很少发现宏病毒的原因。而中文Word7.0可以打开英文Word6.0的宏，所以Word7.0普及后，很多英文Word制作的宏病毒必然会泛滥。“台湾省1”是在台湾省汉字词下制作的，其模板兼容大陆汉字词，在中国大陆迅速传播。

★宏病毒* * *:

1.宏病毒可以感染DOC文档文件和点模板文件。

被感染的DOC文档的属性必然会改为模板而不是文档，并且用户保存文档时不能转换成其他任何方式，只能以模板的方式保存。当多个文本编辑器需要转换文档时，这是绝对不允许的。

2、病毒宏的感染

通常，当Word打开带有宏病毒的文档或模板时，会激活病毒宏，病毒宏会将自身复制到Word的正常模板中。稍后，当打开或关闭文件时，病毒宏会将病毒复制到文件中。

3.大多数宏病毒包含自动打开、自动关闭、自动新建和自动退出。

只有这样，宏病毒才能获得文档(模板)操作的控制权。

有些宏病毒还通过FileNew、FileOpen、FileSave、FileSaveAs、FileExit等宏控制文件的操作。

4.病毒宏必须包含读写文档的宏指令。

5.宏病毒以BFF(BinaryFileFormat)格式存储在DOC文档和点模板中。

这是一种加密的压缩格式，每个版本的Word可能不兼容。

二、单词中毒的表现

示例1:核宏病毒

这是一种宏病毒，会破坏操作系统文件和打印输出。

此宏病毒包含以下病毒宏:

AutoExec

自动打开

DropSuriv

文件退出

文件打印

文件打印默认值

文件另存为

插入有效负载

有效载荷

这些宏是只执行的宏。

核宏病毒造成的损害是:

1.当打开并打印受感染的文档时，它将在打印结束时出现。