如何检测并删除 Mac 中的宏病毒？

宏病毒是攻击个人计算机的最古老的病毒类型之一。它们的设计类似于或取代在一些最广泛使用的软件中运行的称为宏的自动化脚本。由于它们是用与宏相同的语言编写的，因此它们可以替换常规命令，并在选择命令时在任何程序中运行。这就是它们感染您 Mac 的方式。在这里，我们将告诉您如何应对宏病毒。

什么是宏病毒？

在定义术语“宏病毒”之前，我们首先要澄清什么是宏。

宏是程序内部的自动化，旨在自动执行预定任务。常见宏的一些示例可以在 Microsoft Office 程序（例如 Word 和 Excel）中找到，但也可以在许多其他程序中找到。

这些宏的创建者可以是软件开发人员（例如 Microsoft）或用户。但第三方也可以开发宏，这就是宏病毒发挥作用的地方。

宏病毒是放置在宏内的恶意软件代码，一旦释放到目标计算机上，就会执行特定任务。此任务可能类似于删除文件、损坏文件、发送垃圾邮件或窃取用户的私人数据。宏不区分不同的操作系统。它们对 Windows 和 macOS 都有同样的影响，对每个人都构成威胁。

宏病毒之所以如此有效，是因为它可以嵌入到文档中，当该文档被打开时，宏会自动运行。它们还可以存储在目标计算机上，在那里他们可以访问其他文档文件。

它们如此有效的另一个原因是，创建者可以将恶意软件伪装成有用的、看似无害的功能。这可能会诱使潜在的受害者产生错误的安全感，导致他们在没有意识到其真实性质的情况下下载它。

为什么宏病毒难以检测？

宏病毒如此难以发现和消灭有几个原因。

通常，恶意软件是非常活跃的实体。一旦进入计算机，它就会变得繁忙，连接到外部服务器，并消耗大量的 CPU 和内存。这通常会让用户清楚地知道出了什么问题。

另一方面，宏病毒将保持休眠状态，直到宏运行为止。没有任何外部迹象表明它在那里，因此用户不知道要扫描它。另外，如果恶意软件代码不活跃，防病毒程序很可能会完全错过它。

检测宏病毒的另一个困难是，有许多合法的宏是由诚实且有道德的开发者制作的。他们的代码显然是无害的，但对于某些防病毒软件来说，区分合法宏和恶意宏可能很困难。

最后，与任何其他类型的恶意软件一样，宏病毒总是在变化和发展。即使存在新的未知“零日”版本，防病毒软件也可能会寻找一个版本。

这意味着防病毒应用程序必须及时了解所有新的已知威胁，并且其数据库必须不断更新。如果开发人员在这方面有点慢，宏病毒可能最初不会被检测到。

哪些程序最容易受到宏病毒的攻击？

那么，哪些程序最容易感染宏病毒呢？主要类别是办公软件程序，但宏病毒也可能出现在其他地方。

如果您使用以下任何一项，请格外小心 - 特别是如果您自己安装宏。

Microsoft Office（Word、Excel、PowerPoint）：宏在 Office 文档中经常使用，以自动执行日常任务，例如格式化、电子表格计算以及在生成文档之前向文档添加标准元素。

这是宏病毒的沃土，宏病毒可以嵌入到文档中并在文档打开时运行。

图片由 LibreOffice 提供

奥佩恩奥菲ce 和 LibreOffice：这些是 Microsoft Office 的免费开源替代品，宏在这些程序中的工作方式大致相同。由于这两个程序是免费的，因此它们的用户群正在增加，从而使它们成为黑客和恶意软件编写者越来越有吸引力的目标。

计算机辅助设计：这是可以运行宏的非 Office 应用程序的另一个示例（因此容易感染宏病毒）。

CAD 代表计算机辅助设计，该程序的目的是制作 2D 绘图和 3D 模型，例如蓝图和原理图。宏可以通过自动执行重复任务来帮助用户。

赌博：您可能没有意识到游戏也有宏来帮助玩家快速执行游戏角色的操作。如今，越来越多的游戏通过 Steam 等平台在线发布，这一风险因素有所减轻。

专业工业软件：一种依赖宏并且成为宏病毒主要目标的软件是某些行业（例如制造业）使用的专用软件。

此类软件与装配线和机器人协同工作，协助完成日常任务。宏观病毒可能会使整个工业流程陷入混乱。

宏病毒如何工作和传播

那么，宏病毒是如何工作、如何传播的呢？

• 恶意软件制造商将恶意软件嵌入到文档中。它可以完全隐藏，也可以使其看起来像一个无害的合法函数。
• 嵌入宏病毒的文档也可以通过电子邮件群发给用户。如果电子邮件足够有说服力，他们中的一些人会打开它。
• 其他交付方法包括可移动驱动器（例如 USB 记忆棒）和受感染的文档模板。
• 一旦文档打开，恶意软件就会被触发在后台自动运行，而用户却没有意识到。或者它可以等到用户自己运行它。
• 一旦运行，宏就会开始工作并开始窃取数据、损坏文件，并且通常会造成严重破坏。

我如何知道我的 Mac 是否感染了宏病毒？

有几种可能的症状：

• 无法解释的行为，例如文档在通常不会这样做的情况下却要求输入密码。
• 异常的对话框消息。
• 对文档进行无意义的更改。
• 主机程序中缺少菜单项。

如何避免感染宏病毒

• 不要打开电子邮件附件

如果您看到收到的电子邮件中附加了 Word、Excel 或 PowerPoint 文档，请不要打开它们，除非您确定它们是什么以及它们来自哪里。

• 避免下载可疑文件

除非您确定文件安全，否则请勿从互联网下载文件。另外，请确保为您的 Mac 下载经过认证的软件。

• 养成定期扫描 Mac 的习惯

有许多反恶意软件工具可以帮助您检查 Mac 是否存在宏病毒并将其删除。我们之前提到的 CleanMyMac 应用程序可以很好地扫描 macOS 并发现可能感染您计算机的恶意软件和病毒。

• 小心对待在可移动媒体上提供给您的文件

如果可能，请在打开它们之前扫描它们是否存在恶意软件，尤其是将它们复制到您的 Mac。

更多阅读：iPhone 微距镜头：指南

• 注意警告

如果您打开的文档包含宏，Word 和 Excel 会向您发出警告。不要忽视警告。如果您不希望文档包含宏，或者不需要使用宏，请选择禁用宏的选项。要启用警告，请转至首选项 > 安全。

如何清除宏病毒？

宏病毒很难检测，因此预防胜于治疗。这就是为什么遵循上述步骤以避免一开始就很重要的原因。

如果您确实发现自己感染了宏病毒，请务必立即处理它。如果任何人运行的应用程序支持宏，请勿向任何人发送任何文件。并且不要将它们复制到外部媒体或上传到互联网；否则，您就有传播病毒的风险。

从 Mac 中删除宏病毒的唯一有效方法是使用适合您的反恶意软件工具。但是，请注意：除非您确定该软件安全，否则不要下载该软件。例如，CleanMyMac 经过 Apple 公证，这证明它是一款值得信赖的应用程序。

使用方法如下：

1. 开始免费试用 CleanMyMac。
2. 选择保护并点击扫描按钮。
3. CleanMyMac 将开始检查您的 Mac 是否存在恶意软件。如果发现任何内容，请单击“删除”将其删除。
4. 现在，您可以打开实时恶意软件监视器。单击配置扫描。
5. 找到恶意软件监控配置并选中两个复选框以打开实时保护。

我还应该做什么？

尝试手动删除可疑应用程序可能既耗时又无效，因为某些文件可能隐藏在系统深处。 CleanMyMac 也可以帮助完成这项任务！操作方法如下：

1. 打开 CleanMyMac 并转到侧边栏中的应用程序 > 管理我的应用程序。
2. 浏览您已安装的应用程序。如果您对某个程序不确定，请检查“可疑”选项卡
3. 选择要删除的应用程序，然后单击“卸载”以将其连同所有关联文件一起删除。

宏病毒的常见示例

引用理论场景对我们来说很容易，但如果我们使用真实的现实事件，效果会更佳。最后，我们将分析过去的宏病毒的 3 个示例，以说明它们出现时的影响。

梅丽莎 (1999)

我们已经在本文中提到了梅丽莎。可以说，这种病毒比其他宏病毒更具破坏性和创伤性，因为早在 1999 年，计算机用户就没有那么多的恶意软件经验。梅丽莎猛然醒悟。当很多人使用 Outlook 等桌面电子邮件提供商时，宏通过电子邮件通讯录的传播尤其残酷。

我爱你 (2000)

梅丽莎刚让用户对宏病毒猛然警醒，下一个例子就出现了。 ILOVEYOU 宏病毒与 Melissa 一样，是一个文档（看起来像一封情书），一旦打开，恶意软件就会跳入受害者的通讯录并继续传播。

尼姆达 (2001)

第二年出现了下一个宏观病毒。正当人们开始对打开电子邮件附件持谨慎态度时，尼姆达开始通过电子邮件附件和网络传播。它的主要传输方式是 Microsoft Office，利用了各种安全漏洞。

宏病毒有哪些风险？

当宏病毒扩散到野外时，它可能会造成不可估量的损害。它可能会对文件、计算机网络、业务流程、个人或公司的声誉、公司收入（可能导致失业）等造成损害。

下面列出了宏病毒可能造成的损害类型。

数据盗窃

恶意软件存在的主要原因是进入网络并开始获取尽可能多的有价值的数据。如果这些数据是专有的并且公司依赖它来维持生计，那么这些数据被盗可能会造成毁灭性的后果。

文件损坏和删除

这可能是恶意软件故意执行的操作，也可能是意外的副作用。如果是故意的，则可能被视为对个人或公司的直接攻击（例如企业间谍活动）。或者，在窃取文件的过程中，其他文件可能会被损坏。

性能问题

所有恶意软件都会占用系统资源。一旦开始行动，收集数据、深入设备并泄露数据的过程将消耗大量的 CPU 和内存。这意味着机器上的合法进程的性能和速度将受到巨大影响。

干扰软件更新

如果宏病毒导致计算机速度变慢，那么软件更新等正常进程可能会受到影响。这很讽刺，因为如果宏依赖于软件漏洞，那么由于宏病毒而无法向该软件添加更新补丁实际上对恶意软件有帮助！

病毒蔓延势不可挡

正如 1999 年的 Melissa 宏病毒所示，宏病毒一旦开始传播，就很难阻止。它可以从一个网络跳到另一个网络，从一台机器跳到另一台机器，并通过向受害者的联系人发送电子邮件来继续前进。通过这种方式，宏病毒可以持续数年并造成难以估量的损害。

对受害人造成的伤害

有时会产生现实世界的后果，特别是如果受害者是一家公司。例如：

• 网络可能需要关闭。
• 包含重要信息的文件可能会被损坏且无法恢复。
• 昂贵的机器可能会损坏而无法修复，需要更换。
• 电子邮件及其附件可能无法打开。这可能会导致发票未支付、客户查询得不到答复等等。
• 生产线和其他自动化流程中的机器人依赖软件来运行并提供指令，它们可能会停止工作，导致生产陷入停顿。
• 由于公司或个人未交付产品或承诺或转发恶意软件，可能会导致声誉受损。这可能会导致收入损失和失业。一家公司可能会彻底破产。

宏病毒在支持宏的应用程序（例如 Microsoft Word 和 Excel）中运行的文档中传播。该病毒嵌入在文档本身中，通常通过电子邮件附件或网络传播。当文档打开时，宏会自动运行，从而感染主机。因此，仅打开来自可信来源的附件并仅在您确定安全的文档上启用宏非常重要。如果您认为自己已被感染，请不要忘记定期运行恶意软件扫描以删除恶意软件。