Word文档宏病毒防范

关于Office文档中宏病毒的处理方法
Office文档是目前使用最多、最常见的办公文档(它包含Word文档，Excel文档，PPT文档等)，由于Office 软件默认的安全级别为中，所以Office文档成了病毒攻击的目标，目前有许多Office文档病毒，最近校园网出现的宏病毒传播，成了大家头疼的一件事，现就处理方法介绍如下，请各老师参考与分享。

1．宏病毒的分析
Office文档中的宏是Office中最高级别的部分，平时大家很少用到，它能把繁重的工作简单化，默认的安全级别为中，宏病毒正是利用这一点通过网络、U盘等进行传播，中毒的电脑明显反应变慢，Office文档大小在不断变化，有的成倍增加，一个小小的电子表格就有2M之多，使用十分困难。

2．感染后的特征
感染后的Office文档，除大小变大外，每次打开都要求启用宏，不启用便不能打开Office文档，或者打开了，全是空白，如果使用杀毒软件，则会把文档删除，给用户带来许多麻烦。

Office软件运行缓慢，电脑经常死机等。

由于现在（QQ、126）邮件系统都集成防毒软件，在发送邮件时上传感染后的Office文档，邮件系统会提示文件发送失败。

3．处理方法
方法一：
点击下载“Office病毒专杀.zip”工具，解压后安装，界面如下:
点击全盘杀毒，即可对电脑中的Office病毒进行全面查杀。

方法二：点击下载安装“新版360杀毒软件.rar”，启动新增Office宏病毒免疫功能。

关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01：09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒)，没想里面有宏病毒"StartUp.xls"在打开文件时提示，缺少"StartUp.xls"。

因为论坛里有很多附件是包含宏的，为了使用时方便，因此我EXCEL中关于宏安全性设置的是"低"。

没想到造成了大错，在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中，打开文件时要确认该文件是否包含宏。

对于宏病毒的判断：当安全级选为中时，如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏，那么恭喜你已经中招了。

此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘，因为宏病毒只有存盘后才会被感染，如果需要将文件进行保存，建议存储为TXT格式，然后从新进行排版。

一定要将打开的文件作好备份再进行杀毒。

我从昨日中午发现机器里被感染病毒，先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版"，但前两个软件均没有查出该病毒。

只有360查了出来并将病毒清除。

注意：在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除，到时重要文件被删掉可是哭都来不及了，当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式，也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开，并将内容保存下来，然后再交给杀毒软件处理。

这样就能保证文件内容不会丢失了。

excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年，用户经受的宏病毒猛增了5倍，安全专家把这主要归结为一个因素--电子邮件的迅速增加。

目前的DOS杀毒工具都不能很好的自动杀除宏病毒。

华美星际公司这次推出病毒克星for WORD比较圆满地解决了该问题。

如果说Concept 病毒引出了Word 宏病毒的概念，“台湾1号”便引来了Word 宏病毒的发作，引来了人们对Word 宏病毒的重视。

WORD宏病毒发现及清除：根据宏病毒的传染机制，不难看出宏病毒传染中的特点。

所以发现宏病毒可以通过以下步聚进行：1 在自己使用的WORD中打开工具中的宏菜单，点中通用（Normal）模板，若发现有“AutoOpen”等自动宏，“FileSave”等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，这就有可能有病毒了。

因为大多数用户的通用（Normal）模板中是没有宏的。

2 如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是Word带有病毒。

3 打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板中含有宏，也有可能是Word有病毒。

手工清除宏病毒的方法：1 打开宏菜单，在通用模板中删除您认为是病毒的宏。

2 打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。

3 保存清洁文档。

4 对剩余文件重复步骤1－3。

特别值得注意的是英文版Word模板中的病毒在英文版Word中或更高版本的中文版Word才能被发现并清除，反之中文版有相同规律。

用杀毒工具自动清除宏病毒是理想的解决办法。

方法1 用Word Basic 语言以Word 模板方式编制杀毒工具，在Word 环境中杀毒。

方法2 根据Word BFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏。

方法1因为在Word 环境中杀毒，所以杀毒准确，兼容性好。

而方法2由于各个版本的Word BFF格式都不完全兼容，每次Word 升级它也必须跟着升级，兼容性不好。

目前有些DOS杀毒软件不是采用Word BFF格式去解剖病毒文档（模板），而是简单化的把病毒文档（模板）中的某些特征串填为了零，病毒宏无法被去除，杀毒后的文件长度与带病毒时的长度相等，这种做法有三个缺点：其一：容易将原文档破坏。

OFFICE宏病毒查杀方案OFFICE宏病毒查杀方案彻底查杀本次OFFICE宏病毒，需通过以下步骤解决。

一、清除用户电脑上存在的病毒。

（4月16日11：30-13：00进行）二、安装或升级防毒软件，避免再次感染。

（4月16日11：30-13：00进行）具体说明如下：一、清除用户电脑上存在的病毒。

1、使用专杀工具“MacroKiller”进行杀毒。

图1MacroKiller专杀工具2、使用“Cleanmacro”office病毒专杀工具，进行杀毒。

图2“Cleanmacro”office病毒专杀第一文库网工具二、安装或升级防毒软件，避免再次感染。

1、安装ESETNOD32Antivirus4杀毒软件或者免费的360杀毒软件，注意2种杀毒软件不可以安装在同一台电脑。

2、建议已经安装ESETNOD32的用户先升级软件和病毒库，再进行查杀。

（具体操作如下图3、4、5）3、建议已经安装360的用户先升级软件和病毒，再进行查杀。

（具体操作如下图6、7、8、9）4、完成以上步骤以后，即可拥有对本次OFFICE宏病毒的防御能力。

5、培养良好的计算机使用习惯，防止病毒感染。

建议用户接收到文件后，先使用杀毒软件对文件进行查杀后再打开接收到的文件，尽量避免直接打开接收到的'文件，减少病毒感染的机率。

例1、通过OA打开文件时，建议先另存，再杀毒，然后再打开。

例2、通过RTX或其他即时通讯软件接收到的文件或程序，先另存再杀毒，然后再打开或运行；培养定期对电脑进行全盘杀毒的习惯，防止感染病毒。

图3ESETNOD32Antivirus4杀毒软件图4升级到4.2.71.2以上版本可以查杀本次OFFICE宏病毒图5ESETNOD32发现病毒后会自动隔离病毒文件，达到防御的目的。

如必须查看该文档请对方先通过专杀工具查杀后再发送。

图6360杀毒软件需升级到3.0.0.3031以上版本图7设置360杀毒软件的“实时防护设置”图8手动杀毒，鼠标单击右键选择相应的杀毒软件手动查杀病毒。

预防和清除宏病毒的方法摘要：宏是WORD中避免一再的重复相同的动作而设计出来的一种工具，宏病毒就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。

本文首先分析宏病毒的特性，并就如何检测、清除及预防进行了探讨。

关键词：宏病毒；WORD；预防；清除Abstract: The macro is a tool designed to avoid repeated the same action in the WORD, and a macro virus is the copy and infectious macro using the software to support macros written. This paper first analyzes the characteristics of macro virus, and discusses on how to detect, removal and prevent it.Key words: macro virus; WORD; prevention; clear所谓宏病毒，就是利用软件所支持的宏命令编写的具有复制和传染能力的宏。

宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。

1.宏病毒的工作原理在用W O R D 处理文档时，需要同时进行各种不同的动作，每一种动作其实都对应着特定的宏命令。

宏病毒的感染过程和破坏行为与WORD 的文件宏程序的操作密切相关，这些宏程序可能就是宏病毒的插入点。

病毒包含在宏中时，只要染毒的文件被打开，病毒的宏程序就可能会被执行，进而取得系统控制权，进行感染和破坏。

为了能广泛地传播，宏病毒大都采用感染通用模版NORMAL.DOT 的方法将自己复制到其他文档中去。

W O R D启动时总是自动打开通用模版，这就为宏病毒在每次启动WORD 时能够取得系统控制权提供了机会。

含有自动宏的染毒文档，当被其他计算机的WORD 打开时，也会自动感染该计算机。

word出现宏病毒安全警告怎么办方法/步骤1、在word文档中用宏进行保护文件并不复杂。

在菜单栏的上面找到工具选项，并找到在下拉菜单底部位置的宏选项。

2、单击第三个选项中的宏安全性，打开宏设置界面，进行宏相关设置的编辑。

3、这样就完成了宏安全性的查看。

但是不是要说宏如何加密吗?下面就来讲解宏怎样加密文档。

4、返回刚才的菜单中，找到宏选项，并且单击进入宏指令编辑模式。

5、在下拉选框中输入宏的名称，在宏的位置找到所有的活动文档，并且选择创建，就可以完成宏的创建。

但是这还没完，还要编辑宏。

6、在打开的代码编辑界面中，在end sub的上面插入索要加密的指令代码，让宏在word运行时执行这些代码，起到保护作用。

7、在网上可以找到一些可用的加密代码，因为比较复杂这里就不做说明。

英文点号可以起到快捷输入的作用。

在end sub之后写代码是没有用处的。

8、输入完成后，在左上角找到保存normal菜单项，就可以对word文档进行加密啦!9、千万不要忘记密码，也就是代码快结束时Password = xxxx部分，这非常重要哦!10、加密完成的效果就是这样。

是不是很有效果并且很有成就感呢?相关阅读：1月，英特尔处理器中曝Meltdown(熔断)和Spectre (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

这些漏洞允许恶意程序从其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模Memcached DDoS 攻击2月，知名代码托管网站GitHub 遭遇史上大规模Memcached DDoS 攻击，流量峰值高达1.35 Tbps。

然而，事情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS 攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的Memcached 服务器进行攻击。

一、宏病毒是什么？宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

二、宏病毒的判断方法虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：1、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。

而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。

2、同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。

由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。

3、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。

WORD中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。

但有些宏病毒为了对付OFFICE中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出OFFICE时自动屏蔽掉宏病毒防护选项。

因此您一旦发现:您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。

也就是说一系列WORD 模板、特别是normal.dot 已经被感染。

鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。

注意：简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！三、宏病毒的防治和清除首选方法：用最新版的反病毒软件清除宏病毒。