预备:
- 虚拟机win7系统下安装好Office2003
- 关闭虚拟机杀毒软件的自动防护功能
- 打开Office2003,在工具->宏->安全性中,将安全级别设置为低;并且在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问。
- 打开word文档,按快捷键 A l t + F 11 Alt+F11 Alt+F11调用宏编写窗口,在左侧的project->Microsoft Word对象->ThisDocument中输入老师给的源代码。
步骤:
在图1中打入macro1.txt中的代码。
关闭后重新打开,发现如图2的Normal中原来的空白被自动复制为ThisDocument的病毒代码(宏病毒特性)。
macro1病毒会弹出如图3所示的弹窗。
在图4中敲入macro2.txt的代码,并且将Day(Now())=1 Then的1改为21 (今天是5月21日)。
会自动弹出一个心算数学题,如果答对,会出现图5。
如果答错,会出现图6。
如果不答题点取消,会出现图7。
图5是自动打印,图6和图7是疯狂新建文档,重复弹窗。均为病毒感染成功的典例。
总结
- 每个文档的project下都有对Normal模块的引用,而Normal模板已经被病毒所感染,所以病毒的自启动行为是通过Normal模块的引用产生的。
- 病毒的关闭:可以通过虚拟机快照机制,也可以通过终止Microsoft Visual Basic代码的运行来实现。