深入理解恶意宏！剖析Word病毒编制原理

　　互联网真是陷阱的天堂，这不，小风刚刚上网下载了一个Doc文件，启动Word想打开文档看看，结果自己D盘的一大堆文件不见了，敢情Word文件也能带病毒呀!今天渔歌特意请来无风来为大家做一个简单的Word病毒，以此来让大家了解一下——

　　第一步:启动Word 2003(同样适合Word 2000/XP)，单击“插入→对象”命令，在弹出的“对象”窗口中单击“对象类型”列表的“包”项，如图1所示，单击“确定”按钮。

　　第二步:在弹出的“对象包装程序”对话框窗口单击“编辑→命令行”菜单，在弹出的“命令行”对话框中输入“regedit”，如图2所示，然后单击“确定”按钮。

　　小提示

　　如果想更坏一点，试试Format、Deltree命令，不过一切后果自负呀!

　　第三步:然后在“对象包装程序”窗口中单击“插入图标”按钮，为该命令行选个比较通用的图标(如一个常见的文档图标)，然后单击“文件→更新”，可以立刻在Word文件看到显示效果。关闭“对象包装程序”窗口，这时候文档的相关位置出现了一个和相关命令关联的图标。在图标旁边加点鼓动性的文字，尽量让浏览者看到后用鼠标“试试”，如图3所示。

　　第四步:至此，秘密小“病毒”就做成功了，想办法发送出去试试效果吧。当用户双击它时，将会自动打开“注册表编辑器”。

　　其实这个根本不算是个病毒，要算也只能算最低级的简单“小病毒”。真正的时候，我们可以利用Office中的宏指令(如FileOpen、FileSave、FilePrint等命令)相关联，还内嵌使系统瘫痪、使每一个Word文件感染的代码，并且可以自动保存为模板文件，只要打开染毒的Word文件，随后所有的Word文件都会被感染。

　　小提示

　　如果我们在上述的命令行中加上format或者deltree之类的恶意代码，那用户双击后其后果就可想而知了!

　　第五步:有矛比有盾，如何防范藏在暗里的病毒呢?很简单，禁止Word执行宏指令就可以了。打开Word，单击“工具→宏→安全性”菜单，在弹出的“安全性”窗口中将其安全性设为“高”，如图4所示，从此以后末经系统签署的宏指令将会被Word禁止执行，安全性也就上了一个台阶。

　　小提示

　　单击“开始→运行”，输入“winword.exe /m DisableAutoMacros”也可将禁止Word的自动宏。

　　第六步:如果你的电脑已经中了可恶的宏病毒怎么办呢?别着急，一步一步来。单击“工具→宏”菜单，进入宏“管理器”，单击“宏方案项”，在“宏有效范围”下拉列表框中打开要检查的模板文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除。

　　第七步:然后一定用最新病毒库的杀毒软件对系统进行查杀，将系统内的病毒彻底干掉!

　　小提示

　　由于宏病毒的变种千变万化，防范和清除病毒的方法也不断变化，因此大家在了解宏病毒的同时，也要关注除病毒的方法，做好防范工作，不然，DOC病毒还真会黑你没商量呢。