第13章 计算机病毒

第13章计算机病毒

13.1计算机病毒概述

13.2病毒与操作系统

13.3DOS环境病毒原理

13.4Windows系统和网络环境下的病毒

13.5病毒标志和免疫预

13.6病毒的预防

13.7典型病毒及杀毒软件

13.1计算机病毒概述

13」.1计算机病毒的定义

计算机病毒较早的定义是：“计算机病毒

是一种能够传染其它程序的程序，它修改其它

程序，把自身的演化拷贝在该程序中。”

计算机病毒在《中华人民共和国计算机信

息系统安全保护条例》中的定义为：“指编制

或者在计算机程序中插入的破坏计算机功能或

者数据，影响计算机使用并且能够自我复制的

一组计算机指令或者程序代码”。

13.1.2计算机病毒的历史

1949年，计算机的创始人冯・诺依曼发

表了“复杂自动机器的理论和结构”的论

文，提出了程序可以在内存中进行自动复

制，即“程序复制机理”的理论。

1982年，美国计算机专家Shoke和

Hupp提出了一种程序设计思想，希望这种

程序能够在网络环境下实施，开始常驻于

一台或多台计算机中，具备自动重定位的

能力，如果它检测到网络中的某台机器没

有它，便把自身的一个拷贝发送到那台机

器，如此递归下去。由于这种程序像“蠕

虫”一样在网络中来回蠕动，自我繁殖，

被叫做蠕虫程序。

1984年，提出计算机病毒概念的计算机

专家科恩获准首次在运行UNIX操作系统的

VAX11/750机上进行“蠕虫”程序试验。试

验的结果是：由于“蠕虫”程序不断地复制，

侵占系统资源，在五次试验中，使计算机系

统瘫痪所需的平均时间为30分钟，最短为5分

钟。他认为，在对某操作系统基本了解的情

况下，可以构成一种程序代码，该程序代码

可使受攻击者在平均30分钟内使大量程序受

到感染，从而控制整个系统。科恩的试验证

明了计算机病毒的实际存在。

从那时起，基于上述设计思想和试验,

一些人把如何实现这种程序作为研究目标,

以达到自己的目的。1988年11月2日，美国

康奈尔大学计算机科学系的研究生、23岁的

莫里斯（Morris）将其编写的蠕虫程序输入

计算机网络，在几小时内导致网络堵塞。这

一事件在计算机界引起了巨大反响，导致了

人们对计算机病毒的恐慌，也使更多的计算

机专家重视和致力于计算机病毒研究。1988

年底，在中国统计局系统首次发现了“小球”

病毒，它对统计系统影响极大。之后的CIH

病毒、冲击波病毒等等都在全世界范围内造

成了很大的经济和社会损失。

13.1.3计算机病毒的特点

1.传染性

病毒自我复制（也称“再生”或“传染”）

是病毒的主要特点。计算机病毒是靠修改其它程

序并把自身拷贝嵌入到其它程序来实现的。计算

机病毒在系统中运行，病毒首先要做初始化工作,

在内存中找到一片安身之地，随后将自身与系统

软件挂起钩来执行感染程序。

通过主动运行带有病毒的程序所受的传染称

“动态传染”O感染的磁盘在拷贝时也会把病毒

部分原样拷贝过去，同样会达到传染的目的，这

种传染被称为“静态传染”。由于网络操作系统

的漏洞，被病毒主动进攻所受的传染称为“被动

传染”。

2.隐蔽性

病毒程序不经过程序代码分析或计算

机病毒代码扫描，与正常程序是不易区别开

的。在受到传染后，一般计算机系统仍然能

够运行，被感染的程序也能执行，用户不会

感到明显的异常。正是由于这种情况，计算

机病毒得以在用户没有察觉得情况下扩散传

播，这便是计算机病毒的隐蔽性。计算机病

毒的隐蔽性还表现在病毒代码本身设计得非

常短小，一般只有几百到几K字节，非常便

于隐藏到其它程序中或磁盘内。

3.潜伏性

系统和程序染上病毒后，并不马上进

行破坏（发病），它可长期隐藏在系统中，

除了传染外，不表现出破坏性，这样的状

态可能保持几天、几个月甚至几年，只有

在满足其特定条件后才启动其病毒程序，

显示发作信息或进行系统破坏。

4.破坏性

破坏性也称表现性，它是病毒的目的。

以下是可能出现的破坏行为：

(1)对磁盘进行未加警告的格式化。

(2)破坏、覆盖、改写磁盘的引导扇区、目

录区、文件分配表。

(3)破坏、覆盖、改写硬盘主引导扇区和分

区表。

(4)改写、破坏、删除、覆盖、添加文件。

(5)将磁盘上好的扇区(簇)标上“坏”标记,

减少磁盘空间。

(6)病毒程序在内存中不断复制，使系统瘫

按:O

(7)病毒程序不断复制自己以至于文件越来

越长，直至占满整个磁盘空间。

()改写COMS数据，使系统配置参数混乱,

系统瘫痪。

(9)破坏快闪内存中的BIOS系统。

(10)封锁外部设备，如打印机、通讯工具

等。

上面所说的是病毒对微机系统的破坏

行为，对微机用户来讲，可能会感觉到以

下症状：

(1)原正常程序不能再正常执行，或运行该

程序就死机。

(2)屏幕出现异常显示。

(3)喇叭出现异常响声。

(4)系统启动一段时间后运行速度变慢，或

不能访问网络，或出现异常死机。

(5)未修改过的文件长度、日期、属性发生

变化，增加若干字节。

(6)打印机不能使用，不能打印汉字。

(7)系统丢失文件、数据。

(8)硬盘不能启动机器，用正常软盘启动后

不认硬若III

(9)系统软盘不能启动机器，或系统不承认

软盘驱动器。

(10)对不同盘列目录时显示结果相同。

(11)磁盘各目录下出现垃圾文件。

(12)开机后系统无任何反应，如同主板损

坏一样。

13」.4计算机病毒的命名、分类与结构

1.计算机病毒的命名

给计算机病毒命名，不同的组织或公司

也不尽相同。有时对一种病毒，不同的软件

会报出不同的名称。

给病毒起名的方法不外乎以下几种：按

病毒出现的地点：

按病毒中出现的人名或特征字符；

按病毒发作时的症状命名;

有些名称包含病毒代码的长度O

2.计算机病毒的分类

（1）按传染方式分为引导型、文件型和混合

型病毒。

引导型病毒利用磁盘的启动原理工作,

修改系统引导扇区。

文件型病毒般指传染磁盘上

的COM、EXE等可执行文件。

混合型病毒兼有以上两种病毒的特点,

即感染引导区又感染文件，因此这种病毒

更容易传染。

(2)按连接方式分为源码型、入侵型、操作

系统型和外壳型病毒。

(3)按破坏性可分为良性病毒和恶性病毒。

网络病毒指在网上运行和传播，影响和

破坏网络系统的病毒。如果某种网络病毒

通过各种途径控制某系统后，为病毒制造

者提供了进入该系统的“后门”，该系统

的一切都在其监视和控制之下，这种病毒

被称为“黑客病毒”。应该指出，分类是

相对的，同一种病毒按不同分类可属于不

同类型。

3.计算机病毒的结构

病毒在结构上有着共同性，一般由引

导部分、传染部分、表现部分组成。

(1)引导部分也就是病毒的初始化部分，它

随着宿主程序的执行而进入内存，为传染

部分做准备。

(2)传染部分的作用是将病毒代码复制到目

标上去。

(3)表现部分是病毒间差异最大的部分，前

两部分是为这部分服务的。它破坏被传染

系统或者在被传染系统的设备上表现出特

定的现象。

13.2病毒与操作系统

13.2.1DOS操作系统简介

操作系统是一系列程序集合。它是在刚

启动机器时首先调入到机器内存并开始执

行为用户提供了一个直接使用高级语言的

环境和界面。它的主要作用是统一管理计

算机系统的硬件、软件资源，使系统能自

动、协调、高效地工作。

具体功能有：

(1)内存管理：有效、合理地分配计算机系

统的内存。

(2)磁盘管理：具体负责数据在磁盘上的读

写操作。

(3)CPU管理：将CPU合理地分配以满足

不同的需要。

(4)外围设备管理：有效地管理显示器、键

盘、打印机、通讯、鼠标等设备。

(5)文件管理：对各种形式的文件进行有效

的管理操作。

13.2.2操作系统的核心-----中断服务

操作系统对每一种能够提供的功能，都

编有一段具有相应服务功能的子程序，这些

子程序在开机引导后就已建立完毕，随时可

以调用。

高级语言系统调用了操作系统提供的子

程序，这时原程序被中断而去执行子程序,

具体详细的操作过程是由这个子程序完成。

当完成任务后，再返回原程序。这一过程叫

做调用系统的中断服务。

13.2.3中断向量表

对中断服务子程序来讲，它的调用入口,

也就是第一条指令的位置是很重要的。

在系统内部，这些中断服务子程序的入

口地址是这样确定的：当机器正常引导以后,

在内存绝对地址000H〜3FFH的1K空间内，

存有一张中断向量表，表中存放着每一个中

断服务子程序的确切入口地址。也就是说，

在用户程序与被调用的子程序之间存在一个

中间媒介，即中断向量表。用户用高级语言

编写的程序实际上只是在同中断向量表打交

道，中断向量表指到哪里，就会调用哪里的

中断服务程序。

13.2.4病毒如何利用中断向量表

病毒程序的制造者抓住中断向量表可以

任意修改的特点，将某些中断向量进行修

改，使其指向驻留在内存中的病毒程序（传

染部分或发病部分），当这段病毒程序执行

完毕后，再去调用正常的中断服务程序。

所以，只要用户程序或系统调用这些中断

服务，实际上也就是调用了病毒程序，实

施一些非法操作。而这种调用是非常频繁

的，有时每秒钟能调用成百上千次，整个

系统被迫多执行了大量的非法程序，速度

自然会减慢许多。

13.3DOS环境病毒原理

13.3.1系统引导型病毒原理

1.引导过程

所谓系统引导型病毒是指在启动机器时,

病毒优先于正常系统引导进入内存O

在取得控制权后，必将进行以下工作：

(1)将病毒的传染部分和发作部分以合法程

序的形式分配在内存中。

(2)为使这部分内存不被系统再分配，修改

系统内存分配表。

（3）为使病毒向外传染，修改原系统的

INT13H等中断服务，使其指向病毒的传染

部分。

（4）为使病毒发作，修改和设置有关触发条

件,如INT8H等。

病毒在做了这一系列工作后，再将系

统的控制权转给原系统引导程序，完成系

统的安装。

2.传染过程

传染过程是通过修改INT13H等中断来

实现的，只要系统中有对INT13H中断调用

的请求，均转到病毒的传染部分。

传染一般分为转储式和覆盖式两种形式:

（1）转储式

将原正常目标扇区的内容搬到磁盘上的

某个空闲位置，而将病毒程序存放在这个扇

区。

(2)覆盖式

这种传染方式只对硬盘主引导扇区有效,

在病毒种类中所占比例较少。由于硬盘主引

导扇区内有一段200多字节的空闲区，而且主

引导程序代码功能简单，易被替换，有的病

毒抓住这一特点，直接将病毒程序写入这一

扇区，覆盖掉原硬盘主引导扇区的部分内容,

只保留其中必须保留的部分内容，如分区信

息、提示信息等，再将病毒程序剩余部分(如

果有的话)放在磁盘的某个空闲位置。

对系统引导型病毒的传染过程，可以用

“移花接木”来形容，即：将病毒放入引导

扇区，而将原引导区的内容移到别处。

13.3.2文件型病毒原理

文件型病毒就是将病毒程序依附在可

执行文件上，一般只传染COM和EXE文件。

它们利用DOS系统加载执行文件的机制工

作，病毒代码在系统执行文件时取得控制

权，修改DOS中断，在系统调用时进行传

染，将自己附加在可执行文件中。

1.引导过程

在正常情况下，一个可执行文件被装入

内存（加载）并被执行（取得控制权），是

由DOS系统提供的INT21H中断服务的4BH

子功能来完成的。

当一个被感染的可执行文件被执行时，

病毒程序也随之被装入内存。由于被感染的

文件起始执行位置已被做了修改，使其指向

了病毒的引导部分。所以，一旦执行了染毒

的可执行文件，病毒就随之接管系统的控制

权，然后进行一系列的操作，同时完成病毒

的引导任务。

2.传染过程

(1)对COM型文件的传染

将传染目标文件装入内存，判断其是

否已被感染(是否有特征标记)。如果没

有就对其进行传染操作；如果有就放弃传

染，但也有些病毒不做判断，每次都要执

行一次传染操作。

操作方法是：或者将病毒程序直接加

在原文件的前面，或者加在原文件的尾部。

(2)对.EXE型文件的传染

对.EXE型文件的传染过程般包括以

下几方面：

寻找传染目标。

保留原文件头。

修改原文件头。

链接病毒程序。

写盘。

从上面的分析可以看出，无论是对.COM型文

件还是,EXE型文件，病毒程序都是将自身链接在被

感染文件的头部或尾部。这一点与系统引导型病毒

是不同的。因为系统引导型病毒程序的长度要受引

导扇区长度的限制。当病毒程序代码超过一个扇区

后，就要另找一个地方来存放剩余的代码。而文件

型病毒的程序代码与原文件一同以文件的形式存放

在磁盘上，只要磁盘上有足够的空间就行。正因为

如此，文件型病毒的花样要比系统引导型病毒多得

多，也复杂得多。有的病毒还使用了加密技术保护

其病毒代码，使人们对它的分析、检查和消除变得

很困难。另一方面，为了不易使人察觉，在完成了

感染操作后，还要将原文件的属性、日期和时间进

行恢复。

13.3.3混合型病毒原理

混合型病毒又称为复合型病毒，此类病

毒既感染可执行文件同时又感染引导记录。

如果只解除了感染文件上的病毒，而没

有清除引导区的病毒，那么在系统重新引导

时病毒又将激活，重新感染文件；如果只清

除了引导区的病毒而没有清除文件上的病毒,

一旦执行被感染文件，就又会感染硬盘引导

区。

1.病毒的首次引导

此类病毒首次引导是执行了软盘中染

有此类病毒的可执行文件，具体的引导过

程与前面讲述的文件型病毒引导过程类似,

最终取得对系统的控制权，此处不再赘述。

2.对硬盘引导扇区的传染

当首次引导成功后，马上就对硬盘进

行传染，传染对象是硬盘的引导扇区，传

染过程同前面讲述的系统引导型病毒类似。

3.由硬盘的引导

当硬盘引导扇区被传染后，病毒就以

系统引导型的形式存在，以后每次硬盘启

动后，就以系统引导型的引导方式被激活,

从而取得对系统的控制权。

4.对可执行文件的传染

此类病毒一般对软盘的引导扇区是不

传染的，它主要通过对软硬盘上的可执行

文件的传染而向外传播。有的病毒还会主

动寻找其它传染目标并实施传染。这样，

此类病毒由系统引导型病毒又转为依附在

可执行文件上的文件型病毒。

13.3.4特殊病毒

1.不驻留内存的病毒

2.不修改中断向量

13.4Windows系统和网络环境下的

病毒

13.4.1Windows环境下的病毒

Windows属于多用户多任务操作系统，内存

管理采取了新的方式。Windows是由DOS发展而

来的，所以继承了DOS的脆弱性，且有过之而无

木及。

一方面，由于图形界面对内存要求很大，不

得不大量使用虚拟内存，各种程序不得不以各种

形式存放在磁盘上，除了该环境下的COM和.EXE

文件外，又产生了一系列难以数清的特殊文件，

如：dl、.ini、.sys、.vxd等等,这些程序也都带

有控制系统的指令，自然也是文件型病毒攻击的

目标。

另一方面，Windows引入了非常庞大、

复杂的“注册表”来管理系统，而注册表又向

用户公开，可随意修改。只要对注册表有一定

程度的了解。

再者，编程技术已经发展到了崭新的阶段,

各种程序生成器技术已很成熟，针对某种程序

制作一种病毒生成程序并非难事，这又使

Windows环境下的病毒种类、数量猛增。

此外，由于系统引导病毒在磁盘上的位置

太固定，发现和消除容易，进入Windows时

代后，该种病毒几乎不再出现，目前的新病毒

几乎是清一色的文件型病毒。

13.4.2网络环境下的病毒

1.网络病毒的定义

网络病毒就是利用操作系统在网络方

面的漏洞，在用户非主动的情况下，由网

络进入系统，从而控制系统。

2.网络病毒的特点

计算机网络的主要特点是资源共享。

一旦共享资源感染病毒，网络各结点间信

息的频繁传输会把病毒传染到所共享的机

器上，从而形成多种共享资源的交叉感染。

病毒的迅速传播、再生、发作将造成比单

机病毒更大的危害。

更厉害的是它们可以跨操作平台，一

旦遭受感染，便毁坏所有操作系统。网络

病毒一旦突破网络安全系统，传播到网络

服务器，进而在整个网络上感染、再生,

从而使网络系统资源遭到破坏。

病毒入境网络的主要途径是通过工作

站传播到服务器硬盘，再从服务器的共享

目录传播到其它工作站。但病毒传染方式

比较复杂，传播速度比较快。在网络中病

毒则可以通过网络通信机制，借助信号电

缆进行迅速扩散。

3.病毒在网络上的传播表现

用户在工作站上执行一个带毒操作文件，这

种病毒就会感染网络上其它可执行文件。用户在

工作站上执行内存驻留文件带毒，当访问服务器

上的可执行文件时进行感染。

因为文件和目录及保护只在文件服务器中出

现，而不在工作站中出现，所以可执行文件病毒

无法破坏基于网络的文件保护。然而，一般文件

服务器中的许多文件并未得到保护，而且，非常

容易成为感染的有效目标。除此之外，管理员操

作可能会感染服务器上的一些或所有文件。文件

服务器作为可执行文件病毒的载体，病毒感染的

程序可能驻留在网络中，但是除非这些病毒经过

特别设计与网络软件集成在一起，否则它们只能

从客户的机器上被激活。

使用网络的另一种方式是对等网络,

用户可以读出和写入每个连接的工作站上

本地硬盘的文件。因此，每个工作站都可

以有效地成为另一个工作站的客户和服务

器。而且，端到端网络的安全性很可能比

专门维护的文件服务器的安全性更差。这

些特点使得端到端网络对基于文件的病毒

攻击尤其敏感。如果一台已感染病毒的计

算机可以执行另一台计算机中的文件，那

么在这台感染病毒的计算机中活动的内存

驻留病毒能够立即感染另一台计算机硬盘

上的可执行文件。

引导病毒在网络服务器上的表现为：如果网

络服务器计算机实际上是从一块感染的软盘上引

导的，那么网络服务器就可能被引导病毒感染。

假如网络服务器计算机被感染，引导记录病毒就

无法感染连接到服务器的客户机。即使一台客户

机被引导病毒感染，它也不能感染网络服务器。

尽管当前的文件服务器体系结构容许客户机从服

务器存取文件，却不容许客户机在服务器上执行

直接的扇区级操作。其结果是，引导病毒不能利

用端到端网络传播，连接到Internet上的一台计

算机不能对另一台连接到Internet的计算机进行

扇区级操作，结果引导病毒就无法通过Internet

传播。

4.网络环境下的“黑客

从性质上讲，黑客和病毒是一样的。

黑客是由人现场操作的，可能表现为以下

形式:

(1)通过漏洞专门攻击某些系统，或使其瘫

痪，或更换其内容。

(2)通过事先埋伏好的特洛伊木马程序，或

监视和控制该系统，或盗取数据。

(3)向某机器不停地发包，霸占该系统的信

道，阻碍该体统与外界的联系。

13.4.3其它操作系统环境下的病毒

Unix操作系统从一开始就是一个网络

操作系统，所以始终把安全、稳定的要求

放在第一位，加上不断地修补和完善，它

的漏洞极少，已经很难发现。专门攻击

Unix系统的病毒寥寥无几，一旦发现即刻

就被清除，并马上针对此病毒的原理进行

的卜。

Linux操作系统属自由开发、开放式软

件，代码公开,由全世界研究Linux的人员

共同完善，共同修补漏洞，目前系统已经

非常坚固可靠，被普遍用来做各种服务器

使用。当发现一种针对Linux的病毒后，即

刻根据此病毒的原理进行改造和升级，因

此病毒数量与Unix相当，也属于极少发现

之类。

13.5病毒标志和免疫

13.5.1病毒标志

病毒对系统或文件进行传染后，在被

感染的系统或文件的特殊位置上做自己的

标志，以表明此目标已进行了传染操作。

这样，在以后的传染操作时，先判断其目

标的特殊位置上是否有这个特征标志，从

而避免对它们进行重复传染操作。这些都

是病毒设计者特意安排的，目的是为了使

病毒做得隐蔽，可以广泛传播而不被发现。

13.5.2病毒免疫

借助某种工具，将已知的某种病毒

特征标志加入到指定的地方，可以使病

毒误认为该系统或程序已被传染，从而

放弃传染操作，这一过程就叫免疫。

由于病毒的多样化和程序的复杂化,

一劳永逸的免疫方法是不存在的。

13.5.3病毒交叉感染

病毒是靠自己的传染标志来决定是否

向目标实施传染操作的，这样就会向已被

其它病毒感染但没有自己标志的目标发动

进攻，使得同一目标被几种病毒交叉感染。

如果不同病毒的标志位置不同，加入

标志后互不影响，该系统只是同时感染几

种病毒而已。但是当位置相同时，写入标

记后必然将其它病毒标志移位或覆盖，情

况就更为复杂了。

13.6病毒的预防

13.6.1病毒的主要来源

1.恶作剧

有些病毒是搞计算机工作的人员和业

余爱好者的恶作剧，为寻开心和炫耀自己

的水平而编制的。

2.软件保护

有些病毒是个别软件出品公司为保护

自己的软件产品，对非法拷贝、复制而采

取的报复性惩罚措施。

3.蓄意破坏

有些病毒是为了攻击和摧毁计算机信

息系统而蓄意制造的，这种病毒针对性强,

破坏性大。

4.其它原因

有些病毒是用于研究目的而设计的程

序，由于某种原因失去控制，造成意想不

到的结果。

13.6.2病毒流行的原因

1.微机的广泛应用

目前，微机已渗透到包括家庭在内的

各个领域，为病毒广泛流行提供了环境。

2.Windows等系统的脆弱性

DOS系统构成简单，属于开放型的系

徐藏量帮龛前常需髭它

由DOS发展而

的弱点，除本身具有很多漏洞外，技术过

于透明，在方便系统开发的同时也为病毒

物产您提供了更加有利的环境，因此安全

性极差。

3.磁盘的脆弱性

Windows/DOS环境下磁盘的三个重要组成

部分：引导扇区、FAT表、目录区包含了磁盘及

系统的重要信息，是磁盘能够正常使用的关键部

分，除采用隐含外，没有自我防护机制，十分脆

朝，容易被替换、修改和破坏，是病毒攻击的目

标。

4.网络的脆弱性

现行网络系统在最初设计时，根本就没有想

到它能发展到今天的地步，因此在安全方面根本

就没有考虑，网络的各组成部分、接口和界面、

各层次之间的相互转换都存在不少漏洞和薄弱环

节，使得病毒能够抓住漏洞在网络内部流传。

13.6.3病毒的传播途径

1.通过移动存储设备

软盘、光盘、USB存储器、移动硬盘等存储

介质的交换是各种软件资源交流、共享的表现形

式。这种载体同时也是病毒的藏身之地，可以说

它们走到哪里，病毒就会出现在哪里。

2.通过硬盘

硬盘如同一个货物集散地，每一个带有病毒

的存储介质都要向它实施传染，而被感染后的硬

盘又作为一个新的感染源，每一个经过此系统的

介质都不能幸免。

3.通过网络

网络是病毒传播的主要渠道，据报道，目前

80%以上的病毒是由网络传播的，特别是电子邮

件。

13.6.4为预防病毒应采取的措施

1.抑制病毒的产生

应该从法律角度加以解决，使人们认

识到，制造计算机病毒如同破坏他人财产、

有意制造事故一样。

2.切断病毒的传播途径

采取一切堵塞计算机病毒传播途径的

措施，可以有效地减少被感染的机会。

3.为减少损失应采取的必要措施

（1）备份硬盘主引导扇区，以便修复硬盘时

使用。

（2）备份全套系统盘和各种应用软件。

（3）每次操作完毕后,备份数据文件，如工资、

档案、科研数据等等。

（4）备份主板和显示卡的BIOS。

总之，尽可能做到硬盘内的所有内容

都有备份，除需要经常写入的数据盘外，

其它都要进行写保护。

13.7典型病毒及杀毒软件

13.7.1宏病毒

1.宏病毒的行为和特征

宏病毒是利用软件所支持的宏命令编写成的具

有复制、传染能力的宏。宏病毒是一种新形态的计

算机病毒，传统的文件型病毒只会感染后缀为.exe

和.com的可执行文件。宏病毒则会感染Word、

Excel>AmiPro、Access等软件储存的资料文件。

宏病毒是跨操作平台的，以Word宏病毒为例，它

可以感染DOS、Windows3.1/95/98/NT>OS/2、

麦金塔等系统上的Word文件以及通用模板。

2.宏病毒行为机制

Word模式定义出一种文件格式，将文档资

雪懿凝凌骏瞬海鳏呼往白

健亍麴嘉普II亦是资料的文档格式‘便

Word事先定义一个共用的范本文档

(NormaLdot),里面自含了鬼天函宏。只要一启

动Word,就会自动运行Normal.dot文件。类颔

地电子表格软件Excel也支持宏，但它的范本文

碎桌Personal.xls。鱼样做，也等于是为宏病毒

魏染这耒个共黯用范心本(N襦orma鬻l,do•t或鹦Per籍sona航l,xla感),

那么只要一执行Word,这个受感染的共用范本即

被载入计算机，病毒便随之传播到之后所编辑的

文楼由三姿缢茎区基宏苑喜佳赞联工个薨本途径，

一些更厉害的宏病毒还有箕它的传播途在。

3.宏病毒特征

（1）宏病毒会感染.doc文档和dot模板文件。

（2）宏病毒的传染通常是word在打开一个

带宏病毒的文档或模板时，激活宏病毒。

宏病毒将自身复制到word通用（normal）

模板中，以后在打开或关闭文件时宏病毒

就会把病毒复制到该文件中。

(3)多数宏病毒包含AutoOpen、

AutoClose>AutoNew和AutoExit等自动

宏，通过这些自动宏病毒取得文档(模板)

操作权。

(4)宏病毒中总是含有对文档读写操作的宏

命令。

(5)宏病毒在.Doc文档、,Dot模板中

以,BFF(BinaryFileFormat)底式存放，这

是一种加密压缩格式，每个Word的版本格

式可能不兼容。

4.宏病毒的防治和清除方法

(1)使用Microsoftword中”选项/保存”

(2)通过shift键来禁止运行自动宏

(3)查看宏代码并删除

(4)使用DisableAutoMacros^

(5)使用Office的报警设置

(6)设置NormaLdot的只读属性

(7)NormaLdot的密码保护

(8)使用各种最新的反宏病毒软件

13.7.2电子邮件病毒

对电子邮件系统进行防毒可从以下几个

方面进行：

1.用防毒软件对电子邮件进行专门的保护

2.采用防毒软件同时保护客户机和服务器

3.特有的SMTP杀毒软件

13.7.3冲击波病毒

冲击波病毒于2003年9月9日起源于日

本。病毒名称为Worm.Blaster