Word 宏病毒

本節(jié)介紹幾種常見的宏病毒。
13.2.1 Concept 病毒（又稱Prank）
    當?shù)谝淮伟l(fā)現(xiàn)Word 感染該病毒時，會出現(xiàn)一個對話框，對話框 中的文本只有一個“1”，按鈕也只有一個“OK”鍵（在中文環(huán)境中為“確定”鍵）。病毒加載之后，就會修改【文件】菜單的【保存】 命令所代表的宏，然后在每次保存文件的時候，就會將病毒保存到 文件中。
    受此病毒感染后，所編輯的文檔只能按模板格式保存。Concept 病毒不會造成文件數(shù)據(jù)丟失。其癥狀是Word 的Normal 模板中會出 現(xiàn)兩個名字為AAAZAO 和AAAZFS 的宏命令，如圖13-1 所示。另外還 有一個PayLoad 宏，該宏只包含一句話“這足以證明我的觀點 （That’s enough to prove my point.）”，而不做其他事情。
病毒 src="/xueyuan/UploadFiles_3425/200508/200581704056121.gif">     雖然Concept 在這個宏里面沒有包含任何內(nèi)容，但是任何一個對 宏有一定了解的人都可以修改這個宏，做一些可怕的事情，例如刪除某些文件，修改磁盤上的一些關(guān)鍵參數(shù)或生成另外的一個更可怕 的病毒。因此，雖然可以認為Concept 是良性病毒，但是必須注意， 它隨時都可以變成惡性病毒（這也是其他病毒發(fā)展的必然過程）。

13.2.2 Nuclear 病毒
    該病毒會對文檔打印功能造成破壞，并會破壞MS-DOS 系統(tǒng)文件。 感染該病毒后，Word 的Normal 模板將出現(xiàn)以下宏命令：AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad，如圖13-2 所示。
病毒 src="/xueyuan/UploadFiles_3425/200508/200581704057978.gif">
    Nuclear 宏病毒可能造成以下危害：
    （1）如果在任何時間的55~57 秒之間操作文件，病毒會在打印的文檔上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC （停止法國在太平洋的所有核試驗）”這句話。
    （2）如果在下午5 點~6 點（系統(tǒng)時間）打開感染了Nuclear 病 毒的文件，這臺計算機將被PH33R 病毒感染，PH33R 病毒會產(chǎn)生一個 DOS 駐留程序。
    （3）每年4 月5 日，Nuclear 病毒會將計算機中的IO.SYS 和 MSDOS.SYS 兩個文件的長度置為零，并刪除COMMOND.COM 文件，使 DOS 無法啟動。

13.2.3 DMV 病毒
    該病毒與Concept 病毒類似，使Word 中的【另存為】命令無效

13.2.4 宏病毒的一些變種
    從第一個宏病毒Concept 誕生到1998 年底，Word 宏病毒已經(jīng)出 現(xiàn)了幾千個變種，其中不少是惡性病毒，但是萬變不離其宗，所有 的病毒都需要在宏里面增加一個名字為“AutoLoad”的宏，下面介 紹一些另外常見的宏病毒。
1. Alliance
    感染.DOC 和.DOT 文件，僅在每月的2、7、11 和12 日感染和復(fù)制，并且屏幕顯示一個信息窗，提示用戶已感染病毒。
2. Boom
    感染德文板的MS Word 軟件的.DOC 和NORMAL.DOT 文件，每年的 3 月13 日13 時13 分13 秒發(fā)作，發(fā)作時胡亂更改菜單，顯示政治笑 話。
3. Clock：DE
    感染德文板的MS Word 軟件，在每月的1、2、13、21 和27 日， 每個整點過后的5 分鐘發(fā)作，發(fā)作時將文件打開和存取功能交替顛 倒，并產(chǎn)生混亂。
4. Concept.F
    基于Concept 病毒原型的宏病毒，病毒經(jīng)過自身加密，在每月的 16 日發(fā)作，發(fā)作時分別用“，”、“e”和“not”替換文本中所有 的“.”、“a”和“and”，并且屏幕顯示一個信息窗，提示用戶已 感染病毒
5. Concept.L
    感染.DOC 和.DOT 文件，每月的17 日發(fā)作，發(fā)作時將刪除“C：” 根目錄下的有關(guān)文件，并且屏幕顯示一個信息窗，提示用戶已感染 病毒。
6. Helper
    感染.DOC 和.DOT 文件，在每月的10 日發(fā)作，發(fā)作時所有經(jīng)過打 開和創(chuàng)建操作后關(guān)閉的文件將被設(shè)置一個加密口令。
7. Kompu
    該病毒是一個使用了加密、隱性技術(shù)的宏病毒。感染.DOC 和.DOT 文件，在每月的6 日和8 日發(fā)作。發(fā)作時在屏幕上顯示一個信息窗， 提示用戶輸入口令，用戶必須輸入“KOMM”以關(guān)閉此窗口，否則， 病毒將通過打印機打印出混亂的信息。
8. MDMA.A
    每月的1 日發(fā)作，可感染多種操作系統(tǒng)（Windows、Windows 95、 Macintosh 和Windows NT），在Windows 3.x 下發(fā)作時，會在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的惡意指令，后果嚴重。
9. MDMA.C
    上述病毒的一個變種，每月的20 日后的任何一天都可能發(fā)作， 可感染W(wǎng)indows、Windows 95 和Windows NT，設(shè)置密碼口令，刪除 C:\Windows\system\*.CPL 文件。
10. Nuclear.B
    有三種可能的發(fā)作方式：
    （1）4 月5 日，刪除Command.com 文件。
    （2）17~18 日使用，釋放一個DOS 的可執(zhí)行文件病毒PH33R.1332。
    （3）在某時某分的54~59 秒間打印文件時，將會加入下面一行 文字：“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC（停 止法國在太平洋的所有核試驗）”。
11. Phardera
    發(fā)作時屏幕顯示一個信息窗，干擾用戶正常工作，同時從【工期】 菜單中刪除【宏】和【自定義】命令，阻礙用戶手工殺毒。
12. Saver:DE
    德文版宏病毒，4 月21 日發(fā)作。
13. Taiwan.Theatre
    雙字節(jié)宏病毒，每月的1 日發(fā)作，破壞系統(tǒng)硬盤數(shù)據(jù)。
14. TW-No.1（臺灣1 號）
    每月的13 日發(fā)作，發(fā)作時在屏幕上顯示一個窗口，要求用戶做4 位數(shù)連乘，若做錯，將連續(xù)打開窗口，讓用戶繼續(xù)做題，由于系統(tǒng) 資源不斷消耗，系統(tǒng)運行速度將越來越慢。