名詞簡介
隨著商務套用軟體編製得越來越複雜,開發商開始在文檔中提供程式語言,使用戶能夠修改和定製自己的操作。
現在的大部分文字處理程式,電子表格和資料庫都包含功能強大的程式語言,允許在文檔中使用命令序列。這些命令序列或小程式就被叫做宏。因此數據檔案(或稱文檔)不能感染病毒的定理已不再成立,因為每一個文檔現在都可能含有可執行指令。許多應用程式如Microsoft Word,都允許建立宏。它在某操作發生時可自動運行。擁有這些條件,惡意程式——宏病毒的生成不過是一個時間的問題。
宏病毒編制極其容易,微軟的宏語言都是BASIC語言的子集。
BASIC是眾多病毒製造者鍾愛的程式語言,它比彙編語言容易許多。所以本質上任何人都能製造宏病毒,因此不難理解宏病毒如此之多且日趨複雜化。
宏病毒利用宏語言外部的例程的調用能力如使用Windows API函式,能進行任何操作。與傳統的病毒相比,宏病毒的最新特色是它們不依賴作業系統。只要有應用程式支持解釋,宏病毒無需改動可在許多平台上運行。例如Microsoft Word宏病毒能在任何安裝過Microsoft Word的系統中運行(Windows3.1x,Windows 95,Windows NT,MAC等)。
危害介紹
宏病毒編制極其容易,微軟的宏語言都是BASIC語言的子集。
BASIC是眾多病毒製造者鍾愛的程式語言,它比彙編語言容易許多。所以本質上任何人都能製造宏病毒,因此不難理解宏病毒如此之多且日趨複雜化。
宏病毒利用宏語言外部的例程的調用能力如使用Windows API函式,能進行任何操作。與傳統的病毒相比,宏病毒的最新特色是它們不依賴作業系統。只要有應用程式支持解釋,宏病毒無需改動可在許多平台上運行。例如Microsoft Word宏病毒能在任何安裝過MicrosoftWord的系統中運行(Windows3.1x,Windows 95,Windows NT,MAC等)。
用戶不小心使用宏病毒感染過的文檔會很危險,其破壞性僅取決於病毒作者的想像力。相對容易實施的危害如下:
*讓計算機感染傳統型的病毒。
*刪除硬碟上的檔案或文檔。
*重命名檔案。
*將私人檔案複製到公開場合。
*從硬碟上傳送檔案到指定的e-mail地址。
INTERNET的普及更容易將更多的病毒感染文檔從地球的一端傳播到另一端。在LAN和WAN網上,商業上的文檔交流都已成熟使用,幾個小時內宏病毒就能感染一個公司的所有計算機。計算機系統崩潰的代價也會極其慘重,使以前大量的工作泡湯。
傳染特性
病毒是一種特殊的檔案型病毒.宏病毒是在一些軟體開發商開始在他們的產品中引入宏語言,並允許這些產品生成載有宏的數據檔案之後出現的.例如,微軟的OFFICE產品系列包括很多的微軟的VB程式語言,這些語言使得WORD和EXEL可以自動操作摸板和檔案的生成.第一個宏病毒CONCEPT是在微軟剛剛在WORD中引入宏之後立刻出現的,微軟公司的字處理軟體是目前最為流行的編輯軟體,並且跨越了多種系統平台,宏病毒充分利用了這一點得到恣意傳播.
宏病毒作為一種新型號病毒有其特點與共性.如下:
1傳播極快
根據國外保守的統計,宏病毒的感染率高達40%以上.
2製作\變種方便
以往病毒是以二進制的計算機機器嗎形式出現.目前世界上的宏病毒原型已經有幾十種,其變種與日俱增,追其原因還是WORD的開放性所致.現在的WORD病毒都是用WORD BASICE語言所寫成,大部分WORD病毒宏並沒有使用WORD提供的EXECUTE-ONLY處理函式,他們仍處於打開閱讀修改狀態.所有用戶在WORD工具宏彩旦中很方便就可以看到這種宏病毒的全部面目.當然會有不法之徒利用掌握的BASIC語句簡單知識把其中病毒即或條件和破壞條件加以改變,立即就生產出了一種新的宏病毒,甚至比遠病毒的危害更加嚴重.
3/破壞可能性極大
鑒於宏病毒用wordbasic語言,它體現了許多系統級地層調用,如直接使用DOS系統名利,調用windows API,調用DDE或DLL等.這些操作均可能對系統直接構成威脅,而WORD在指令安全性\完整性上檢測能力很弱,破壞系統的指令很容易被執行.宏病毒NUCLEAR就是破壞作業系統的典型一例
4多平台交叉感染
宏病毒的共性
1以往病毒只感染程式,不感染數據檔案,而宏病毒專門感染數據檔案.宏病毒會感染.doc文當檔案和.doc摸板檔案,被它感染的.doc文當屬性必然會別該為摸板而不是文當,但不一定修改檔案的擴展名.而擁護在另外儲存文當時,就無法將該文當轉換為任何其他方式,而只能用摸板方式存檔.著一點在多種文本編輯器需準換文當時是絕對不允許的
2感染病毒文當午飯使用"另外儲存為"修改路徑以保存到另外的磁碟/子目錄中
3病毒宏的傳染通常是word在打開一個帶宏病毒的文當或摸板時,即或了病毒宏,它將自身複製到word的通用摸板中,以後在打開或關閉檔案時病毒宏就會吧病毒複製到該檔案中.
4大多數宏病毒中含有autopen autoclose autonew 等自動宏.有些宏病毒還通過 filenew fileopen filesave filesaveas fileexit等宏控制檔案的操作
5病毒 宏中必定包含有對文當讀寫操作的宏指令
6宏病毒在.doc文當.dot摸板中是以BFF格式存放,這是一種加密壓縮格式,每中word版本格式可能不兼容.
工作原理
最後,以普通WORD宏病毒為例,看一下它是如何工作的。
WORD使用一種叫做word basic的宏語言,它同時支持一系列的自動宏.當某些事件發生時,word將自動執行文檔中包含的有特殊名稱的宏.這類操作會獨立發生,不論正在使用的可疑文檔是否來自磁碟。
只要編制一個含有 autoopen宏的文檔,就可自動引發病毒。在word打開這個文檔時宏會接管計算機,然後將自己感染到其他文檔,或直接刪除檔案等等。
WORD宏和其他樣式儲存在模板.dot檔案中,因此總是把文檔轉換成模板再儲存他們的宏,這樣的結果是默寫WORD版本回強制將感染的文檔儲存在模板中。