病毒分析-宏病毒特征

在Word和其他微软Office系列办公软件中，宏分为两种。

内建宏

位于文档中，对该文档有效，如文档打开（AutoOpen）、保存、打印、关闭等。

全局宏

位于Office模板中，为所有文档所共用，如打开Word程序（AutoExec）。

宏病毒的传播路线：

单机：单个Office文档->Office文档模板->多个Office文档

网络：电子邮件居多

宏病毒的自我保护

禁止提示信息

On Error Resume Next　　　　如果发生错误，不弹出出错窗口，继续执行下面的语句

Application.DisplayAlerts = wdAlertsNone　　　　不弹出警告窗口

Application.DisplayStatusBar=False　　　　不显示状态栏，以免显示宏的运行状态

Options.VirusProtection=False　　　　关闭病毒保护功能，运行前如果包括宏，不提示

Options.SaveNormalPrompt=False　　　　如果公用模块被修改，不给用户提示窗口而直接保存

Application.EnableCancelKey=wdCancelDisabled　　　　不允许通过ESC键结束正在执行的宏

屏蔽命令菜单

 

 隐藏真实代码

在自动宏中，不包括感染或破坏的代码，但包含了创建、执行和删除新宏的代码。

将宏代码调成和北京一样的白色。