宏病毒的探究及防治

2024年4月21日发(作者：)

宏病毒的探究及防治

【摘要】宏病毒是针对 Office 软件所包含的自动宏命令编写的一种具有传

播、感染能力的病毒程序。宏作为办公软件的一个创新功能，可把操作程序简化，

但同时也提高了宏病毒的传播与感染率。本文从宏病毒的概念出发，介绍了宏病

毒的类型、运行机制、防治方法，以此来帮助用户在遭遇宏病毒攻击时做出正确

的应对措施，保护计算机中数据的安全。

【关键词】计算机病毒；宏病毒；Office 软件

计算机及网络技术的飞速发展就像把双刃剑，在便捷人们生活的同时，也为

宏病毒的蔓延与传播提供了方便，虽然人们都研制出各具特色的方法来抵御宏病

毒，但宏病毒具有多样性，新的病毒被消灭，就会有其他宏病毒浮出水面，这对

人们抵御宏病毒工作带来了诸多麻烦。

一、宏病毒的概念

所谓“宏”就是在使用软件工作时，为了避免相同的操作，用简单的语法而

设计出来的一种工具，在办公软件中宏可使用一系列命令。宏语言是用于在特定

应用程序中自动执行特定序列的命令措辞，宏通过自动完成特定方法来简化复杂

的过程并使其更适合。什么叫“宏病毒”，就是针对 Office 软件所包含的自动

宏命令编写的一种具有传播、感染能力的病毒程序。宏病毒可以存在于Word、

Excel、Database、PowerPoint 等数据文件中，可在一些处理数据的系统中运行，

利用宏程序特殊的功能，将自己复制到其他数据处理文件中。宏作为办公软件中

一个创意性的新功能，利用宏可以帮助用户简化操作，但同时也为宏病毒的传播

和感染提供了便利，但他们也产生能够处理和产生office文件的宏病毒，这使

Microsoft Word 和 Microsoft Excel成为宏病毒的首要攻击对象，宏病毒可以

影响 PC 和 Mac。如图所示。

二、宏病毒的类型

t病毒

Concept病毒是最“有名”的宏病毒。它于1995年首次出现，专门用于感染

Microsoft Word 文档。这也是第一次病毒通过将自身附加到文档而不是应用程

序进行传播。Concept病毒能造成巨大破坏，因为它会感染使用 Windows 的“另

存为”功能保存的任何文档。Concept 病毒还能感染应用程序附带的文档模板，

感染在应用程序中创建的任何新文档，一旦被感染，就很难摆脱它。

2.梅丽莎病毒

在Concept病毒出现四年后，Melissa 宏病毒诞生了。与 Concept 病毒一

样，Melissa 病毒可以感染文档模板，从而感染在应用程序中创建的所有后续文

档。除此之外，Melissa 病毒被编程为自动将打开的、受感染的文档发送给毫无

戒心的受害者电子邮件地址簿的前 50个联系人。可以看出，这种病毒的传播速

度比非常快。

3.W97M/标记病毒

2007 年，又发现了另一种 Microsoft Word 宏病毒。W97M/Marker会感染

Word 模板和文档，并禁用 Microsoft Word 中的宏内容警告和病毒防护，每次

关闭受感染的 Word 文档时都会触发该病毒。受感染的文件将包含字符串“<-

这是一个标记！”，它作为病毒的感染标记，也是它的名字。这个宏病毒有多个

版本，但所有的版本都以相同的基本方式工作。

OS 宏病毒

2017 年，安全专家发现了第一个MACOS 宏病毒。不过，值得庆幸的是，它

在造成重大损害之前就被阻止了。该宏包含在通过网络钓鱼传递给毫无戒心的

MACOS 用户的 Word 文档中。打开受感染的 Word 文档会提示宏联系远程服务器

并触发恶意软件的下载和安装。当病毒被发现时，远程服务器已经被关闭，因此

安全研究人员无法确定确切的恶意软件是什么。但是，我们知道该宏的代码源自

间谍软件漏洞利用工具包，因此攻击的目标很可能是数据盗窃。

三、宏病毒的运行机制

通过伪装成普通宏，宏病毒利用了自动机制。当打开感染了宏病毒的文件时，

程序会像运行普通宏一样运行恶意宏。它们经常替换预先安装的宏，并且在执行

通常的宏时处于活动状态，它们也可以在程序不使用时在用户不知情的情况下工

作。

当宏病毒感染文件时，它通常会感染所有其他相同类型的文件，因此需要删

除所有其他相同类型的文件。宏病毒具有传播能力，类似于病毒感染人、复制自

身并传播给他人的方式和特性。一个文件被宏病毒感染后，其他相同类型的文件

也会被病毒感染。宏病毒可以对用户的文件进行修改和删除，还可以生成新文件、

损坏文件和数据。

宏病毒可能被设计为静默自动运行，因此用户不会怀疑自己的设备已被感染。

包含受病毒感染的文件的网络钓鱼电子邮件是传播宏感染的常用技术。通过访问

用户的联系人列表并下载受感染的附件，这些电子邮件会自动发送。

许多宏病毒通过恶意电子邮件附件传播，而其他宏病毒通过受感染的下载或

USB 闪存驱动器等物理媒体传播。宏病毒最常被发现隐藏在文档中或作为文字处

理工具中的恶意代码。它们很难被发现，因为它们在启动受感染的宏之前不会做

任何事情。当用户访问或关闭受感染的文档时，宏病毒就会传播。宏病毒传播方

式有：（1）使用磁盘共享文件。（2）使用网络共享文件。（3）使用电子邮件

附件打开文件。（4）使用调制解调器下载文件然后打开它。

四、宏病毒的防治

由于宏病毒的兴起，Microsoft Office 现在默认阻止所有宏。如今，大多

数防病毒软件包旨在检测和消除计算机上任何现有的宏病毒，同时防止新的宏病

毒占据上风。另一方面，杀毒软件并不能识别所有的宏感染。但对于宏病毒，预

防被感染比治疗更好。

预防宏病毒的方法：

（1）阻止网络钓鱼电子邮件。用户收到的垃圾邮件越少，被欺骗下载任何

不想要的东西的可能性就越小。

（2）更新所有软件和修复程序。为获得最佳安全性，应该让操作系统和应

用程序保持最新。

（3）谨慎打开来自未知发件人的附件。尽量不阅读来自您不认识的人的电

子邮件。即使它来自您认识的人，也不要打开看起来可疑的附件。这是宏观感染

传播的常见方法。

（4）应避免点击横幅广告。通过单击广告中的有害链接，用户可能会下载

包含宏感染的文档。

（5）确保用户的 Microsoft Office 程序未启用宏。

（6）使用受信任的防病毒程序。

宏病毒通常会感染 Windows 和 Mac。如果宏病毒感染了系统，则必须尽快

将其删除。清除宏病毒的方法是：

用户可以使用防病毒程序来扫描和删除宏病毒。如果您的防病毒应用程序更

新了病毒签名，它应该会检测到大多数已知的宏病毒。用户也可以手动删除宏病

毒，具体方法是：

以安全模式启动Microsoft Word。安全模式确保不会运行任何宏，即使它们

之前已启用。为此，请在单击应用程序图标时按住左Control键。将出现一个提

示，询问是否要在安全模式下启动 Word。

在宏病毒的框中选择受感染的病毒，并将其删去，如图所示

图5 删去宏病毒

关闭 Microsoft Word 并正常重新启动它。

五、结束语

总之，要想对宏病毒全面防治就要从这几个方面入手网络防御、个人防范、

信息内容监管、全方位进行安全防范，只有这样才能全方位防制宏病毒对计算机

用户的侵害，在安全的环境下使用Word 和Excel 软件。

参考文献:

[1]罗刚君.Excel VBA程序开发自学宝典[M].北京：电子工业出版社，2011.

[2]胡雪梅,罗杰红.宏病毒的入侵机制与防治措施[J].安徽电子信息职业技

术学院学报,2004(02).

[3]周志华．机器学习[M]．北京:清华大学出版社，2016.

[4]闫华等.基于梯度提升决策树的变形宏病毒检测[J].计算机系统应

用,2021,30(5):39–46