一、 谶曰
大东:干嘛呢?愁眉苦脸的……
小白:最近在熟悉Office——总感觉这是小学生都会用的办公软件,可是深度了解一下才发现许多功能自己以前居然都没用过,看来我现在连这个都要重新学起了。
大东:哈哈,也有你小白犯愁的事啊!你有哪些不明白的吗?说来听听。
小白:最陌生的应该就是宏,我还从来没用过呢……
大东:呦,宏可是应用很广的,我平时如果用Excel,都会用上宏。方便又快捷,解锁了这个技能,办公起来简直是得心应手。
小白:唉,我都不敢用,听说有人用了宏就中了病毒。
大东:你是说宏病毒吧?
小白:对啊,东哥,你也知道?
大东:看你说的,你东哥不敢比孔明、论刘基,前知五百年,后知五百年,这千禧年前后二三十年的事,你东哥可敢说上一说。
小白:(拱手)如此,劳烦东哥给小弟讲一讲这宏病毒的来由。
二、 话说事件——Word的一次大流感:宏病毒
宏病毒(图片来源:bbs.duba.net)
小白:东哥,这个宏病毒是不是专门针对微软公司的宏才叫这个名啊?
大东:没错的,宏病毒最早就是黑客针对微软公司的Macro(宏)而生的一种计算机病毒。当病毒的先驱者们醉心于他们高超的汇编语言技术和成果时,可能不会想到后继者能以更加简单的手法制造影响力更大的病毒。Word宏病毒就是其中最具有代表性的范例之一。其实,宏病毒的出现并非出乎人们的意料,早在80年代后期就有专家预言过。那时,有些学生就用某些应用程序的宏语言编写病毒。
小白:果然,我理解不了技术宅的脑回路。
大东:不出所料的是,1995年7月,Concept病毒也就是宏病毒,只花了九个月便达到了顶峰,速度之快令人咂舌。速度是当时传播速度最快的DOS病毒的3到4倍。这就是著名的
1995年宏病毒事件。
三、大话始末
小白:东哥,咱们开门见山直奔正题吧,这个宏病毒是什么原理呢?
大东:哈哈,东哥给你讲讲“干货”——小白啊,你说计算机安全方面你最担心什么?
小白:当然是可疑文件。比如可执行文件.COM、.EXE都是重点排查对象。
大东:这一点你说的很对,不过这个宏病毒可以说是与众不同,它不存在于你说的这两个最容易“藏污纳垢”的文件中。Word宏病毒寄生于Word文档中,而且人们一般都要对文档文件进行备份,因此病毒可以隐藏很长一段时间。宏病毒就像自然界中令人恐惧的龙卷风,对人们正常使用计算机进行学习和工作带来了不可估量的影响,同时也造成了社会财富的巨大浪费。
小白:是啊,谁能想到它能这么不按套路出牌啊?!哎呀,看来我的知识范围还是不达标啊。那么东哥,这个宏具体是什么?宏病毒攻击的原理又是什么?
大东:所谓宏,就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言WordBasic将宏作为一系列指令来编写。Word宏病毒是一些制作病毒的专业人员利用Word的开放性,即word中提供的WordBasic编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。
小白:诶,有点晕,太深奥了……
大东:简单点说,Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现。
小白:利用.DOC文档及.DOT模板?人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,那是不是说更容易传播?
大东:这可让你说到点子上了。特别是Internet的普及,Email的大量应用,更为Word宏病毒传播打开新局面。根据统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就有40多个宏病毒,而国际上普通病毒种类已达12000多种。
宏病毒(图片来自网络)
小白:东哥刚才说,以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现。是不是可以认为编写和修改宏病毒比以往病毒更容易?
大东:完全正确,世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。
小白:总算明白为什么它这么善变了。
大东:不止如此,宏病毒的破坏性很大,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用WindowsAPI、调用DDE或DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。
小白:我好像还听说它可以在不同平台上传播,真的吗?
大东:此言不虚,宏病毒冲破了以往病毒在单一平台上传播的局限,当WORD、EXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时,会被宏病毒交叉感染。
小白:受教了。
宏病毒配图(图片来自网络)
大东:宏病毒对WORD运行的破坏是:不能正常打印;封闭或改变文件存储路径;将文件改名;乱复制文件;封闭有关菜单。宏病毒对系统的破坏是:WordBasic语言能够调用系统命令,造成破坏。这两点足够让它扰乱我们的正常使用。
四、小白内心说
小白:都说宏病毒传播迅速、感染面积广,有什么办法可以防护呢?
大东:万变不离其宗。首选方法就是反病毒软件清除宏病毒。反病毒软件是一种高效、安全和方便的清除方法。
小白:东哥刚才也说了,宏病毒不比其他病毒,它有很强的隐蔽性啊。我听说有种ETHAN宏病毒就很厉害。
大东:能提出这个问题说明你的思维很成熟,这个问题已经得到解决了,不断更新杀毒软件啊,对付宏病毒应该和对付其它种类的病毒一样,也要尽量使用最新版的查杀病毒软件。
小白:哥,我还有个问题,比如说我的Word没问题,但是我接到一个感染宏病毒的文件,手头的杀毒软件搞不定它,而且不得不用,那该怎么办?
大东:你这孩子怎么这么多事?(捂脸)不过还是难不倒你智慧的东哥*:ஐ٩(๑´ᵕ`)۶ஐ:* 哥就教你一招,轻易不外传的!
小白:(拿起笔记划重点)
大东:启用WORD中的“宏病毒防护”功能并在宏警告出现时选择“取消宏”, 打开这个包含了宏病毒的文档,然后在“文件”菜单中选择“另存为”,将此文档改存成写字板(RTF)格式或WORD6.0格式。写字板所用的rtf格式适用于文档中的内容限于文字和图片的情况,如果文档内容中除了文字、图片外还有图形或表格,那么按 WORD6.0格式保存一般不会失去这些内容。
小白:什么原理呢?
大东:利用RTF文档格式没有宏,存成 WORD 6.0格式则是利用了WORD97文档在转换成WORD6.0格式时会失去宏的特点。还有啊,随着Microsoft Office层层加固,在几乎所有的反病毒软件之中加入了可靠启发算法,短暂的宏病毒时代已经走到尽头了。
来源:中国科学院计算技术研究所
,
