Word用得最多,并且由于Word文档交换频繁,因而给Word宏病毒的流传创造了极好的条件,所以目前Word宏病毒最为普
遍,也是各类杀毒软件的重点清除对象。就其结构而言,Word病毒大致可分为两类:Office 97以前的宏病毒是用Word
Basic编写的;Office 2003中的宏病毒是用VB编写的。由于这两种编程语言都非常容易掌握,因而使得宏病毒的种类和变
种也格外多。然而,无论是哪类宏病毒,它们都附着在文档上,因此,清除宏病毒的首要问题就是弄清Word文档的结构。
---- 微软的Word文档采用了“二进制文件格式(Binary File Format)”,它是微软公司为Word等文档定义的特殊文件
存储格式。普通文档通常是平面结构的,由文件头、正文内容和控制符组成,不存在与其它信息的链接,其文件头和控
制符本身都不具备自动执行能力。在未加密的情况下,如果将文件头和控制符去掉,就可以得到一份干干净净的纯文本。
而采用BFF格式的Word文档是立体结构的,文档中除了包括文本外,还包括字体、页面布局、图形、图像等信息,这些
信息相互链接,形成完整的Word文件。因此,要干净、彻底地清除宏病毒,就必须对BFF格式有透彻地理解,否则就可能
在杀除宏病毒时出现以下现象:
文档被杀“死”,用户再也无法用Word打开这份文件;
杀毒不干净,在文档中残留有宏病毒的结构,因而在重新打开文档时可能出现“非法错误”或“内存不足”等现象;清除
了宏病毒本身,但残留了病毒的“空壳”,使得杀毒后的文档仍然不能另存,并且在用Office97打开该文档时,Word总会
提示用户文档中包含“可疑宏”。
清除宏病毒的标准与方法
----宏病毒有害,必须彻底清除,这已成共识,但究竟怎样才算彻底清除宏病毒 ?
林皓先生对此给出了三个明确的标准:
首先,根据Word文件的结构,清除宏病毒的首要任务是断开宏结构链表,使病毒无法被读出;
其次,从用户的角度来看,因为Office 97能报告可疑宏,所以经过杀毒之后,如果Office97还继续报告有可疑宏,就
说明病毒没有杀净;
Word在调用正常文档时,其全部功能都可发挥出来,因此,病毒被彻底清除的文档应该能另存为word提供的任何一种格
式,且文本的字数应该与杀毒之前相同。
----在正确判断是否有宏病毒之后,剩下的唯一问题就是如何彻底清除它了。通常,清除宏病毒的方法有两种:手工杀毒
和使用杀毒软件。一般说来,比较专业的计算机人员可以采用手工杀毒,他们只需要打开工具栏,看看有没有奇怪的宏,
如果有,就把它清除掉。但对于大多数用户来说,手工杀毒过于烦琐,因此,杀病毒软件将是他们的首选。目前,市场上
已有的杀病毒软件主要分为两类:静态杀毒软件和动态杀毒软件。使用静态杀毒软件时,用户必须手工选择驱动器、目录
和文件,在工作过程中时常启动杀毒软件,清除可能感染系统的病毒。与静态杀毒软件相比,动态杀毒软件的使用更为方
便,且功能也更强。目前,国内杀毒厂家中仅有北信源公司提供动态杀毒软件 — —VRV病毒防火墙。VRV病毒防火墙采用
动态监控技术,随时发现传入系统的病毒(包括电子邮件所携带的病毒),一旦发现病毒,立刻杀除。林皓先生告诉记者,
最新版的VRV病毒防火墙在原有功能的基础上又增加了新功能 — —全面杀除“未知”宏病毒。新版VRV病毒防火墙的病毒
清除引擎自动维护着一个名为Mymacro.dat 的已知宏知识库,它记录系统预定义的所有宏,同时还允许用户手工地增加自
定义的宏。病毒清除引擎根据该知识库判断Word文档中是否存在可疑宏,如果存在,就将其杀除,由于VRV病毒防火墙是在
开发人员完全掌握微软BFF格式的基础上开发而成的,因此决不会发生误杀现象。
----宏病毒随微软的Office套件而来,按照微软产品一贯的向后兼容准则,在近两年取消宏的使用几乎没有可能,因此宏
病毒还将存在很长的时期。对用户来说,选择适当的杀毒方法至关重要;而对厂家来说,提供性能优异的产品和良好的服
务是成功的法宝。