宏病毒是一個老生常談的問題，一提到它大多數的個人用戶會想到隨著微軟對Office版本的不斷改善與升級，Word 2007版本以上的個人用戶已經較少遭受宏病毒的困擾了。但各位不知，貌似離我們很遠的宏病毒近期卻再度泛濫，深深困擾著企業用戶，不少單位因此深陷于宏病毒的泥潭中無法自拔。這一結論是由金山企業云安全中心近期對于***的企業級應用終端和互聯網的監測得出的，金山毒霸企業版可***防護宏病毒。

開門見山，還是要介紹一下今天的主角—宏病毒。宏病毒是病毒制造者利用Microsoft Office的開放性，即Office中提供的 BASIC編程接口，專門開發的一個或多個具有病毒特點的宏集合。這種病毒宏的集合會影響到計算機使用，并能通過DOC文檔及DOT模板進行自我復制及傳播。一旦打開感染宏病毒的文檔，其宏就會被執行，宏病毒就會被激活，進一步轉移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。

宏病毒的發展大致經過了三個階段。***個階段為起源與集中爆發階段，時間為1996年至1999年。1996年，***例宏病毒“TaiwanNo.1”在臺灣被發現，該病毒僅用1年的時間就成為了PC年度殺手，1997年3月踢下米開朗基羅病毒，登上毒王寶座，因此，1996年也被稱為宏病毒年。第二個階段為宏病毒變種傳播及泛濫階段，時間為2000年至2005年。隨著微軟對Office 97以上版本的修正，使大部分基于以前Word版本的宏病毒無法復制，宏病毒的泛濫得以遏制，但是宏病毒變種卻開始感染用戶的電腦，同時，宏病毒的感染范圍由個人用戶逐漸向企業用戶過渡；宏病毒發展的第三個階段為企業級用戶侵擾階段。時間從2006年一直延續至今。這一階段，宏病毒對企業的危害開始凸顯，宏病毒防護的核心由個人用戶向企業用戶傾斜。特別是由于企業內網中辦公文件流轉的特殊屬性以及統一更換Office辦公軟件的復雜性，宏病毒在企業內網中不斷得到傳播，防護宏病毒成為了企業防病毒解決方案中舉足輕重的課題。

伴隨著宏病毒的發展，它的傳播特點和危害開始被人們所熟知。依據不同時期的宏病毒危害，大體可以概括出宏病毒的三個主要特點。***，隱蔽性強，傳播速度快。宏病毒可以隱藏在移動介質和網絡文件中，一旦被感染，極易造成傳播。

第二、容易產生變種，防治較難。宏病毒采用了Word Basic編寫語言，可以不斷更改代碼，進而產生新變種。第三、能夠跨平臺交叉感染，危害嚴重。宏病毒能跨越多種平臺，并且針對關鍵數據進行破壞，因此具有極大的危害性。

眾所周知，宏病毒對于文檔有強大的破壞能力，感染宏病毒的PC會出現多種特征，從金山企業云安全中心監測到的以及長期以來實際解決的感染案例中，我們可以將宏病毒的感染特征概括為以下幾種：

1、 在文檔已開啟“宏病毒防護功能”的情況下，打開文檔，系統會彈出警告框。例如，以典型的MsExcel.ToDole病毒為例，感染該病毒的Excel文檔在被打開時，會出現如下圖所示的彈窗，出現該彈窗的原因為：帶毒文檔被打開時，會檢測宏安全等級，若檢測的安全等級為高則關閉文件，并提示用戶設置安全等級為中，為病毒的正常運行創造環境（宏安全等級中及低才能運行加載宏）。

2、 在已經開啟“宏病毒防護功能”的情況下，Office中一系列的文件在打開時給出宏警告。由于在一般情況下用戶很少使用到宏，所以當看到成串的文檔有宏警告時，可以肯定這些文檔中有宏病毒。

3、 用Word或Excel打開文件時，出現“文檔未打開”、“內存不夠”、“WordBasic Err=514”等；保存文件時，強制將文件按“.dot”類型存儲，或強制在指定目錄存放等。

宏病毒在感染了PC中的文檔后，會執行一系列的步驟，下面是金山企業云安全中心對某大型銀行感染的MsExcel.ToDole為例進行的剖析。ToDole是一個通過寫入病毒到Excel啟動文件夾（打開任意xls文件時都會運行）、利用郵件客戶端（僅Outlook）傳播的惡意病毒。正常文檔被感染后，必須將宏的安全等級設置成低，才能打開文檔，其執行過程的下所示：

宏病毒對于個人用戶的危害已經不言而喻，它隱蔽性高、傳播快、易變種，使用戶無法正常使用辦公文檔，極易產生文檔無法編寫、打印機不能使用、文件無法儲存等危害。然而，相對于個人用戶，企業內網中的宏病毒無疑是更巨大的災難。其危害性通常表現為以下幾點：

***、宏病毒在內網中極易造成傳播，防護難度大。辦公文件的流轉是目前辦公數據傳送的最通常方式之一，無數的辦公文件以金字塔般的形式，從上級傳播到基層，基層與基層之間又不停地進行互動，這種辦公文件的流動忠實地傳播和復制著宏病毒，讓IT管理員束手無策。

第二、宏病毒能夠破壞內網中的關鍵數據，造成內網中數據遭受嚴重破壞并大規模丟失，要進行恢復，難度大，耗費時間長。

第三、宏病毒變種成本低，對系統威脅嚴重。大多數文檔用宏語言Word Basic編寫宏指令，而宏病毒同樣用Word Basic編寫。Word Basic語言提供了多種系統級底層調用，如Dos,調用Windows API，DLL等，這些操作均可能對系統構成直接威脅。而Word、Excel文檔在指令安全性以及完整性上的檢測功能很弱，因此，破壞系統的指令就很容易被執行，而對于新變種產生的宏病毒，企業必須對全網的防護軟件進行統一的升級才能及時的防護，但這對于企業中的管理員來講并不是一件簡單的事情。

除此之外，內網中如果感染了宏病毒還會造成單位的打印機無法正常使用、內網設備跨平臺交叉感染等危害，因此，防治企業內網中的宏病毒在整個企業的防病毒策略中至關重要。

應該如何有效防護宏病毒？金山企業云安全中心建議：

首先，盡可能的封堵宏病毒的傳播途徑，防止“病從口入”是關鍵。目前來看，宏病毒傳播的途徑主要有兩個，***個是移動介質的傳播，包括移動硬盤、光盤等；第二個是網絡傳播，包括郵件傳播、網絡下載、文件傳輸等。因此，在內網中一旦發現了宏病毒感染的文件，管理員必須提醒內網中的所有用戶要謹慎，移動介質要先進行掃描檢查，對于不確定的文檔，可以先用寫字板或者無宏功能的文檔軟件打開，再進行相關的操作。

其次，由于宏病毒變種較多，當隔離網用戶暫時無法使用升級防殺病毒軟件查殺新病毒時，可以手動提取文件進行分析查殺。宏病毒主要有加載宏、公式宏兩種類型，都是通過Excel的啟動函數來執行病毒代碼，如遇到宏病毒查殺模塊不能查殺或反復查殺的病毒，可以使用相關技術提取病毒樣本，交由專業的防病毒技術人員解決：

***，金山毒霸網絡版防病毒解決方案已經在實際的應用中成功部署并能夠及時防護內網中流行的宏病毒，金山毒霸網絡版采用國際領先水平的“藍芯”殺毒引擎，全面支持 DOS、Windows、UNIX 等系統下的數十種壓縮格式，自動檢測移動介質及PC中的文檔壓縮包查毒；支持 ZIP、RAR 等壓縮格式、UPX 加殼文件的包內直接查殺；嵌入協議層的郵件監控，可雙向過濾郵件病毒；從源頭禁止宏病毒的傳播，除此之外，金山毒霸網絡版的主動升級機制可保證在***時間獲取***病毒庫，并自動分發給網內所有客戶機，防止因為宏病毒變種引起的病毒爆發，因此，用戶可使用金山產品有效實現對宏病毒的防護。  

【編輯推薦】

1. 卡巴斯基發現***針對StarOffice宏病毒
2. Excel表格狂閃是"幽靈病毒"作怪