专攻Word的宏病毒现形

网络与通信

马相才

专门针对Word设计的宏病毒W97M/Pacol.a出现了。该病毒最早发现于菲律宾，可以感染Word 97及Word 2000文档，是一个文件感染型病毒，无须通过感染标准模板而直接感染别的文档。

一、病毒特征

W97M/Pacol.a可将Word的安全级别设置为“低”，并创建以下文件：
C:\Windows\Startm~1\Programs\Startup\Winword.bat（Windows启动并执行了下面两个文件后，该批处理文档自动执行）
C:\Windows\Winword.reg（包含了修改注册表安全级别设置的代码）
C:\Windows\Normal.doc（此为受病毒感染的Word模板文档）
接下来病毒会在硬盘与网络驱动器中搜索Word文档(.doc)并覆盖之，其后会搜索所有的.txt、.wri、.pdf文件并覆盖，同时删除原文件，并将这些文件的后缀名改为.doc。
当病毒成功感染文件时，Office助手会出现如（图1）所示的画面。

二、中毒迹象

打开电脑，查找这三个文件，若存在，则表明中毒：
C:\Windows\Startm~1\Programs\Startup\Winword.bat
C:\Windows\Winword.reg
C:\Windows\Normal.doc
另一迹象是Windows启动完毕，Word Application自动打开，且有图中所示的画面弹出来。

三、查杀方法

1.请用正版杀毒软件清除。
2.在MS Office中禁用宏。
3.下载升级包Office 2000 Updates与安全补丁。