5.3Word宏病毒发现及清除:
根据宏病毒的传染机制,不难看出宏病毒传染中的特点,所以发现宏病毒可以通过以下步聚进行:
在自己使用的Word中打开工具中的宏菜单,点中通用(Normal)模板,若发现有“AutoOpen”等自动宏,“FileSave”等文件操作宏或一些怪名字的宏,而自己又没有加载特殊模板,这就有可能有病毒了。因为大多数用户的通用(Normal)模板中是没有宏的。
如发现打开一个文档,它未经任何改动,立即就有存盘操作,也有可能是Word带有病毒。
打开以DOC为后缀的文件在另存菜单中只能以模板方式
存盘而此时通用模板中含有宏,也有可能是Word有病毒。
手工清除宏病毒的方法:
打开宏菜单,在通用模板中删除您认为是病毒的宏。
打开带有病毒宏的文档(模板),然后打开宏菜单,在
通用模板和病毒文件名模板中删除您认为是病毒的宏。
保存清洁文档。
特别值得注意的是氏成本Word模板中的病毒在更高版本的Word中才能被发现并清除,英文版Word模板中的病毒还可仍在相应或更高的中文版Word中被发现并清除。
手工清除病毒总是比较烦琐而且不要靠,用杀毒工具自动清除宏病毒是理想的解决办法,方法有两种:
用WordBasic语言以Word模板方式编制杀毒工具,在Word环境中杀毒。
根据WordBFF格式,在Word环境外解剖病毒文档(模板),去掉病毒宏。
方法1因为在Word环境中杀毒,所以杀毒准确,兼容性好。而方法2由于各个版本的WordBFF格式都不完全兼容,每次Word升级它也必须跟着升级,兼容性不好。
目前有些DOS杀毒软件不是采用WordBFF格式去解剖病毒文档(模板),而是简单化的把病毒文档(模板)中的某些特征串填为了零,给用户一个假象杀掉了病毒,而实际上病毒宏无法被去除,杀毒后的文件长度与带病毒时的长度相等,这种做法有三个缺点:
容易将原文档破坏。
很容易漏杀病毒。
要不断地随着Word版本升级和病毒变化而改变程序。
因为每个版本的WordBFF格式不完全一样,所以病毒宏在不同版本的Word中被压缩的格式和存放的位置都不同,另外若文档正文中包含病毒串描述,就会被错杀。
|
