黑客攻防技术内幕-安全防入侵与防病毒基础(7)

3.3.7  Word宏病毒防治方法

Word处理文档的过程需要同时进行不同的操作，如打开文件、关闭文件、读取数据资料以及保存和打印等。事实上，每一种操作都对应着特定的宏命令。宏病毒正是利用了软件中的这些宏命令进行感染与传播。

宏病毒的根本防治，在于禁止所有宏的执行，但这是不现实的。在实际工作中，我们可根据宏病毒的不同特征，采用以下一些行之有效的方法来防治宏病毒。

1. 根据AUTO宏的自动执行的特点,在打开Word文档时，可通过先禁止所有自动宏的执行，这样能够保证用户在安全启动Word文档后，进行必要的宏病毒检查，从而达到防治宏病毒的目的。在Word 97中，单击【工具】→【选项】→【常规】命令，在打开的【常规】对话框中选中【宏病毒防护】选项，这样Word就有了防止自动宏执行的功能。或者在打开Word文档时，按住Shift键，也可达到禁止自动宏的目的。对于使用Word 97以前版本的用户，需要自行编制一个名为Autoexec的宏。这个宏执行时将关闭其他所有自动宏。将Autoexec宏保存到一个另外命名的模板中，如abc.dot。当使用外来的Word文档时，先备份Normal.dot模板，再把abc.dot改名为normal.dot，这时Word也有了防止自动宏执行的功能。Autoexec宏可以只包含如下3条语句：

Sub Main、DisableAutoMacro、End Sub

2. 当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是Word默认提供而出现的宏。特别是出现一些有奇怪名字的宏，如AAAZA0、AAAZFS等，肯定是病毒无疑，将它删除即可。即使删除错了，也不会对Word文档内容产生任何影响，仅仅是少了相应的宏功能而已。具体做法是，单击【工具】→【宏】命令，然后在打开【宏】对话框中单击“删除”按钮。如果需要，可以重新编制。

3. 针对宏病毒感染Normal.dot模板的特点，用户在新安装了Word软件后，可打开一个新文档，将Word的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时生成的Normal.dot模板绝对没有宏病毒，可将其备份起来。在遇到有宏病毒感染时，用备份的Normal.dot模板覆盖当前的Normal.dot模板，可以起到消除宏病毒的作用。同样地把Winword\Startup目录下的Powerup.dot、Prcadin.dot、Symbar.dot也做个备份。这样，至少能保证Word每次启动时处于无毒状态。

4. 当使用外来可能有宏病毒的Word文档时，如果没有保留原来文档排版格式的必要，可先使用Windows自带的写字板来打开，将其转换为写字板格式的文件保存后，再用Word调用。因为写字板不调用、不记录、不保存任何宏，文档经此转换后所有附带其上的宏(包括宏病毒)都将丢失。

5. 考虑到大部分Word用户使用的是普通的文字处理功能，很少使用宏编程，也对Normal.dot模板很少修改，因此用户可以单击【工具】→【选项】命令在【选项】对话框的【保存】选项卡中启用【提示保存Normal模板】复选框，如图3-13所示。

这样，一但宏病毒感染了Word文档后用户从Word退出时，Word会提示【更改的内容会影响到公用模板Normal，是否保存这些修改内容？】，这说明Word已感染宏病毒，当然应单击【否】按钮，退出后再采用其他方法杀毒。

图3-13  选择以提示Normal模板保存Word文件

3.3.8  VBS病毒的防治

现在有些在网络上很流行的病毒大部分是通过VBScript编写的，通常能够自动运行，例如I Love You、库尼什科娃病毒，它们都是由并不复杂的VBScript代码编写而成的。

说起VB Script还得从WSH说起，WSH是Windows Scripting Host(Windows脚本主机)的缩略形式。WSH这个概念最早出现于Windows 95操作系统，是一个基于32 位 Windows 平台，并独立于语言的脚本运行环境，比如：利用记事本文件编写了一个脚本文件，将其另存为 .vbs 或 .js 的文件，然后在 Windows 下双击即可运行，只要弄清楚其中的道理，就会有应付它们的办法，接下来就将介绍对VBS病毒的防治和修复方法。

Microsoft是用Windows Scripting Host(WSH)来运行VBScript脚本程序的。当然WSH能使脚本的功能很强大。关于怎么取消WSH，阻止VBS病毒对系统的破坏，请看下面的内容。

首先来查看WSH是否被启用，单击【开始】→【运行】命令，在【运行】对话框的【打开】下拉列表框中wscript，如果出现Windows Script Host对话框，如图3-14所示。

就说明WSH目前是可以用的。这里介绍3种办法办法让WSH失效。

第1种方法：Windows 9x用户将Windows目录下的wscript.exe改名，Windows 2000用户将系统下的Winnt\system32目录下的wscript.exe更名，如图3-15所示。

图3-14  Windows Script Host对话框

图3-15  系统下的Wscript.exe文件

第2种方法：Windows 9x操作系统可以单击【开始】→【设置】→【文件夹选项】命令，在打开的对话框的【文件类型】选项卡中，找到【VBS脚本文件】，编辑其打开方式即可；Windows 2000操作系统可以选择【开始】→【设置】→【控制面板】→【文件夹选项】命令，在打开的对话框的【文件类型】选项卡，找到VBScript Script文件(VBScript脚本文件)，如图3-16所示。

图3-16  打开文件类型选项

然后单击【高级】按钮，修改2种打开方式(wscript.exe和cscript.exe打开方式)，或者直接将其删除，如图3-17和3-18所示。

图3-17  编辑文件类型

图3-18  编辑VBScript Script的打开方式

第3种方法：使用第三方软件来禁用WSH，Noscript就是专门用来禁用或是激活WSH的工具，界面如图3-19所示。

图3-19  Noscrip运行界面