无处不在 解读OFFICE文件中的木马病毒

　　打开OFFICE文件提示是否运行“宏”那么可能这个Office文件就是木马的载体。

　　网上有一款名为VBA 宏病毒生成工具的小工具，通过它可以将EXE可执行文件转化为可被Office的宏调用的应用程序。运行VBA 宏病毒生成工具，我首先通过点击“后门程序”选项后的“Open”按钮来选择一个木马程序。

　　通过说明文件得知，恶意程序的体积不能过大，如果设置的恶意程序体积过大的话，在执行这个文档的时候就容易产生Office溢出，从而使恶意程序执行失败。

　　为了查看效果，我选择了一款可以看到界面的绿色软件，然后在“编码文件”选项后设置一个保存宏的文本文件，然后又在“扩展信息设置”选项中，选择将木马程序嵌入到Word文档中，另外程序还能将木马程序嵌入到Excel文件当中。而“进程名称”选项中是Word程序将宏释放出来的进程。我设置完所有的设置后，点击“Start”按钮就生成了一个保存有宏的文本文件。

　　我马上打开这个文本文件，然后全选所有的代码并复制到剪贴板当中。打开Word程序，点击“工具”菜单下的“宏”子菜单中的“宏”命令。在弹出的“宏”窗口中进行设置。首先在“宏名”下面为宏设置一个名称，再在“宏的位置”选项中设置“文档 1 （文档）”，然后点击“创建”按钮就会弹出一个代码的编辑窗口。

　　我将窗口中原有的所有代码删除，将剪贴板中的代码粘贴到里面，然后退出并保存该文档。双击该Office文件后，程序果然弹出了刚刚设置的那个小工具。

　　为了防范这种通过Office文件进行恶意程序的传播方法，以保护系统和文件，用户首先不要启用来源未知的宏。

　　如果用户需要使用宏，可以将Office程序中将宏的安全性设置为“中”。点击“工具”菜单下的“宏”子菜单中的“安全性”命令，在弹出的“安全性”窗口中设置为“中”即可。

　　这样，在任何时候打开包含宏的文件时，程序会提示用户选择启用或禁用宏。除此以外，现在的杀毒软件都具有针对Office文件的检测功能，很大一部分主要是针对宏进行检测，用户就不用担心Office文档中的恶意程序了。另外，杀毒软件的注册表监控功能可以在有程序向注册表中添加启动项的时候，提示用户是否进行安装选择。

　　小知识：什么是宏？

　　能自动执行某种操作的命令统称为“宏”。宏是一种操作命令，是通过一次单击就可以应用的命令集。宏几乎可以自动完成用户在程序中执行的任何操作，甚至还可以执行用户认为不可能的任务。Office提供了两种创建宏的方法：宏录制器和 Visual Basic 编辑器。