Makro virusi. Što su makro virusi u računalima? Virusi za Microsoft Excel

Postoje programi koji u svom radu koriste vlastiti programski jezik koji se nazivaju makro jezici. Takvi makro jezici obično su ugrađeni u uređivače teksta i proračunskih tablica. Na primjer, Microsoft Word i Excel imaju vlastite makro jezike. Virusi koji su napisani i koriste makro jezike za vlastite potrebe nazivaju se makro virusi. Drugim riječima, makro virusi su virusi napisani u makro programskim jezicima.

Što su makronaredbe?

Makronaredbe ili makronaredbe su naredbe koje piše korisnik. Kada se pozove makronaredba, izvršit će se proces koji je u njemu ugniježđen. Na mirnoj fronti, takvi makroi mogu dobro obaviti posao olakšavanja dugog, dosadnog, rutinskog rada. Vrijedno je propisati odgovarajući algoritam i stroj će sve učiniti sam. Na primjer, Word i Excel imaju makronaredbe za otvaranje, spremanje datoteke i tako dalje. Takve makronaredbe mogu značajno povećati brzinu rada korisnika.

Kako rade makro virusi

Budući da nije teško urediti makronaredbu jedne datoteke, ako imate odgovarajuće znanje, onda ne bi trebalo biti velikih problema sa stvaranjem makro virusa. Nakon toga se zaraženi dokument nekako isporučuje žrtvi. Otvaranjem dokumenta i pokretanjem zaraženog makronaredbe (odnosno izvođenjem određene radnje koja je unaprijed određena), korisnik aktivira maliciozni kod. Prije svega, mnogi makro virusi će pokušati prepisati makronaredbe predloška glavnog dokumenta, na primjer, glavni predložak Word datoteke, koji se koristi za otvaranje bilo koje datoteke odgovarajućeg formata. To će osigurati virusu činjenicu da kada otvorite bilo koji dokument, virus će biti učitan s njim. Kao što sam rekao u članku o tome, svaki virus prije svega pokušava osigurati svoju široku distribuciju. Pa, onda je to tehnička stvar: kopirati maliciozni kod u sve novootvorene dokumente. A budući da dosta često razmjenjujemo dokumente, razmnožavanje virusa će biti prilično dobro.

Šteta od makro virusa

Fronta rada makrovirusa - dokumenti. I u principu mogu s tvojim dokumentima raditi što hoće. No, osim toga, makro virusi mogu naštetiti i samom računalu, odnosno uz posebnu želju, makro virusi mogu preuzeti kontrolu nad samim računalom. Stoga nije potrebno makro viruse smatrati samo štetnicima dokumenata.

Prvi makro virus ikada

Prvi dokumentirani makrovirus bio je Concept virus, objavljen 1995. Nije učinio ništa posebno strašno. Od toga nije bilo nikakve štete, ali Concept virus je sve pokazao digitalnom svijetu da datoteke mogu sadržavati i zlonamjerni kod.

Naravno, zapamtiti svakog od njih "po viđenju" nemoguć je i nepotreban zadatak. Međutim, neke ipak vrijedi znati više zbog njihove opasnosti i široke rasprostranjenosti. U ovom materijalu ćemo analizirati da su to makro virusi. I zašto je važno adekvatno procijeniti njihovu prijetnju.

Makrovirusi su...

Prva polovica naziva zlonamjernog elementa dolazi od riječi "makro". To je integrirana komponenta MS Word ili Excel dokumenta napisanog u VBA. Makro ima prilično široke mogućnosti: može formatirati tvrdi disk, brisati datoteke, kopirati povjerljive podatke iz informacija pohranjenih na računalu i poslati ih e-poštom. Stoga postoji velika opasnost od poraza takvog elementa.

Makro virus je program napisan na makro jeziku za daljnju ugradnju u brojne sustave za obradu i tekstualne programe i uređivače, softver za proračunske tablice, itd. Zlonamjerni elementi se šire zahvaljujući mogućnostima makro jezika. Stoga ih je prilično lako prenositi iz dokumenta u dokument, s jednog računala na drugo. Koje su datoteke najčešće zaražene makro virusima? Uglavnom Word i Excel dokumenti.

Kako se odvija distribucija?

Zaraza računala događa se vrlo jednostavno. Sve što trebate učiniti je otvoriti ili zatvoriti datoteku zaraženu makro virusom na vašem računalu. Istovremeno, maliciozni elementi presreću one standardne, a zatim počinju zaraziti sve takve datoteke kojima pristupate na svom uređaju.

Makro virusi također su rezidentni zlonamjerni elementi. Odnosno, aktivni su ne samo u trenutku otvaranja / zatvaranja dokumenta, već i tijekom cijelog rada programa za tekst, grafiku ili proračunsku tablicu! A neki od njih čak mogu ostati u RAM-u računala dok se ono ne isključi.

Valja napomenuti da ih je iznimno jednostavno izraditi: napadač samo treba otvoriti Word, otići na Alati, a zatim na Makronaredbe. Zatim odabire Visual Basic editor, gdje već može napisati maliciozni program u VBA jeziku.

Princip virusa

Prilikom implementacije određene naredbe, Word traži i izvršava odgovarajuće makronaredbe:

  • Spremanje dokumenta - FileSave.
  • Izlaz za ispis - FilePrint.
  • Otvaranje tekstualne datoteke - AutoOpen.
  • Zatvaranje dokumenta - AutoClose.
  • Pokretanje samog programa - AutoExec.
  • Stvaranje nove datoteke - AutoNew i tako dalje.

Slične makronaredbe, ali s različitim nazivima, također koristi Excel.

Da bi zarazio Word datoteku, zlonamjerni softver koristi jednu od ovih tehnika:

  • Makro virus već sadrži auto makro.
  • Poraz sustava počinje kada postavite zadatak koji je dao programer virusa.
  • Jedan od standardnih makronaredbi se redefinira. Obično je potonji povezan s nekom stavkom izbornika "Word".
  • Pritiskom na određenu tipku ili njihovu kombinaciju, vi, a da toga niste svjesni, pokrećete zlonamjerni auto makro. I već počinje svoj “posao”.

Makro virusi inficiraju datoteke na sljedeći način:

  1. Otvorite zahvaćeni tekstualni dokument.
  2. Kod virusa se kopira u globalne makronaredbe dokumenta.
  3. Potonji, već zaraženi, automatski se zapisuju u točkasti dokument (predložak nazvan Normal.dot) kada se datoteka zatvori.
  4. Zatim je na virusu da redefinira standardne makronaredbe. To mu pomaže u presretanju naredbi za rad s elektroničkim dokumentima.
  5. Kada pozovete te makronaredbe, datoteka na kojoj radite je zaražena.

Sada odlučimo kako otkriti prisutnost ovih zlonamjernih elemenata na računalu.

Detekcija makro virusa

Datotečni virusi u tekstovima i tablicama mogu se definirati na sljedeći način:

  • Ne mogu snimiti dokument na drugi pogon ili direktorij putem "Spremi kao..."
  • Nemogućnost spremanja datoteke u drugom formatu (provjereno naredbom "Spremi kao ...").
  • Ne mogu spremiti promjene koje ste napravili u datoteci.
  • Kartica Sigurnosna razina postaje nedostupna. Možete ga pronaći duž staze: "Usluga" - "Makro" - "Sigurnost".
  • Prilikom rada s dokumentom može se pojaviti poruka sustava koja ukazuje na pogrešku.
  • Datoteka se ponaša na drugačiji način.
  • Ako desnom tipkom miša kliknete kontekstni izbornik sumnjivog dokumenta i kliknete "Svojstva", programer zlonamjernog softvera će navesti nasumične informacije ili samo skup znakova u odjeljcima kartice "Sažetak".

Rješavanje problema

Svaku nesreću najlakše je, naravno, spriječiti. U tom slučaju vaše računalo mora imati moderni antivirusni program sa stalno ažuriranom bazom podataka o prijetnjama. Mnogi takvi programi imaju monitor učitan u RAM. Već pri pokušaju otvaranja otkriva zaražene datoteke. Antivirus prije svega pokušava izliječiti takav dokument, a ako ne uspije (što se događa vrlo rijetko), blokira mu pristup.

Ako pronađete prijetnju na nezaštićenom računalu, morate preuzeti antivirusni program ili odgovarajući uslužni program koji će otkriti, neutralizirati ili izbrisati zaraženu datoteku. Također je važno da sami budete na oprezu: nemojte otvarati dokumente iz vama nepoznatih izvora ili, u ekstremnim slučajevima, skenirajte ih u potrazi za zlonamjernim elementima prije nego što to učinite.

Makro virusi su prijetnja koja se širi putem tekstualnih i proračunskih datoteka. Danas ga je lako otkriti i eliminirati, što ne umanjuje opasnost i štetu koju uzrokuje ovaj malware.

Makro virusi su potencijalno neželjeni uslužni programi napisani na mikrojezicima koji su ugrađeni u sustave za obradu grafike i teksta. Koje datoteke zaraze makro viruse? Odgovor je očit. Najčešće verzije za Microsoft Excel, Word i Office 97. Ovi virusi su prilično česti, jer ih je lako stvoriti. Zato pri preuzimanju dokumenata s interneta treba biti iznimno pažljiv i točan. Većina korisnika ih podcjenjuje, čime čine veliku pogrešku.

Kako se računalo zarazi?

Nakon što smo odlučili što su makro virusi, pogledajmo kako oni prodiru u sustav i zaraze računalo. Jednostavan način njihove reprodukcije omogućuje vam da pogodite maksimalan broj objekata u najkraćem mogućem vremenu. Zbog mogućnosti makrojezika, prilikom zatvaranja ili otvaranja zaraženog dokumenta, oni prodiru u programe koji se pozivaju.

To jest, kada koristite grafički uređivač, makro virusi zaraze sve što je s njim povezano. Štoviše, neki su aktivni cijelo vrijeme dok je pokrenut uređivač teksta ili grafike ili čak dok se računalo potpuno ne isključi.

Koji je princip njihovog rada

Njihovo djelovanje odvija se prema sljedećem principu: kada radite s dokumentima, Microsoft Word izvršava različite naredbe koje se daju u makro jeziku. Prije svega, program prodire u glavni predložak, kroz koji se otvaraju sve datoteke ovog formata. U tom slučaju virus kopira svoj kod u makronaredbe koje omogućuju pristup glavnim parametrima. Prilikom izlaska iz programa datoteka se automatski sprema u dot (koristi se za izradu novih dokumenata). Nakon toga ulazi u standardne makronaredbe, pokušavajući presresti naredbe poslane drugim datotekama, zarazivši i njih.

Infekcija se javlja u sljedećim slučajevima:

  1. Postoji li u virusu auto makro (automatski se izvršava kada se program isključi ili pokrene).
  2. Virus ima glavni sistemski makro (često povezan sa stavkama izbornika).
  3. Aktivira se automatski kada pritisnete određene tipke ili kombinacije.
  4. Reproducira se samo kada se pokrene.

Takvi virusi obično zaraze sve datoteke stvorene i povezane s programima na makrojezicima.

Kakvu štetu čine?

Nemojte podcjenjivati ​​makro viruse, jer su oni pravi virusi i uzrokuju značajnu štetu računalima. Mogu jednostavno brisati, kopirati ili uređivati ​​sve objekte koji sadrže, uključujući osobne podatke. Štoviše, također imaju mogućnost prijenosa informacija drugim osobama putem e-pošte.

Jači uslužni programi općenito mogu formatirati tvrde diskove i kontrolirati rad cijelog računala. Zato je mišljenje da su ovakvi računalni virusi opasni samo za grafičke i tekstualne uređivače pogrešno. Uostalom, uslužni programi kao što su Word i Excel rade zajedno s nizom drugih, koji su u ovom slučaju također ugroženi.

Prepoznavanje zaražene datoteke

Često datoteke zaražene makro virusima i podlegle njihovom utjecaju nije nimalo teško identificirati. Uostalom, oni funkcioniraju sasvim drugačije od drugih uslužnih programa istog formata.

Opasnost se može prepoznati prema sljedećim značajkama:

Osim toga, prijetnja se često lako otkriva vizualno. Njihovi programeri obično na kartici "Sažetak" navode informacije kao što su naziv uslužnog programa, kategorija, tema, komentari i ime autora, što olakšava i ubrzava rješavanje makro virusa. Možete ga pozvati pomoću kontekstnog izbornika.

Metode uklanjanja

Nakon što ste pronašli sumnjivu datoteku ili dokument, prvo ga trebate skenirati antivirusnim programom. Kada se otkrije prijetnja, antivirusi će je pokušati izliječiti, a ako ne uspije, potpuno će joj blokirati pristup.

Ako je cijelo računalo zaraženo, trebali biste koristiti disketu za hitno pokretanje koja sadrži antivirusni program s najnovijom bazom podataka. On će skenirati tvrdi disk i neutralizirati sve prijetnje koje pronađe.

Ako se ne možete zaštititi na ovaj način, vaš antivirusni program ne može učiniti ništa, a nema diska za spašavanje, trebali biste pokušati s "ručnom" metodom liječenja:


Tako ćete ukloniti makro virus iz zaraženog dokumenta, ali to nikako ne znači da on nije ostao u sustavu. Zato se preporuča što prije skenirati antivirusnim programom cijelo osobno računalo i sve podatke na njemu (prednost im je što ne zahtijevaju instalaciju).

Proces liječenja i čišćenja računala od infekcije makro virusom prilično je kompliciran, stoga je bolje spriječiti infekciju u početnim fazama.


Na taj način ćete se zaštititi, a makro virusi nikada neće prodrijeti u odgovarajuće datoteke.

Računalni virus je vrsta računalnog programa ili zlonamjernog koda čija je značajka sposobnost reprodukcije (samoumnožavanja). Osim toga, virusi mogu izvoditi druge proizvoljne radnje bez znanja korisnika, uključujući one koje su štetne za korisnika i/ili računalo.
Čak i ako autor virusa nije programirao zlonamjerne učinke, virus može uzrokovati padove računala zbog pogrešaka, neobjašnjenih zamršenosti interakcije s operativnim sustavom i drugim programima. Osim toga, virusi obično zauzimaju nešto prostora za pohranu i oduzimaju neke druge resurse sustava. Stoga se virusi klasificiraju kao malware.

Uvod
4
1. Makrovirusi
6
1.1 Opće informacije o makro virusima
7
8
2. Izjava problema
10
3. Pregled najpoznatijih virusa u makronaredbama dokumenata
11
3.1 Rasprostranjenost makro virusa
13
3.2 Algoritam makro virusa za Microsoft Office
14
4. Načini zaštite od virusa u makronaredbama dokumenata
16
4.1 Detekcija makro virusa
17
4.2 Oporavak oštećenih objekata
18
5. Stvaranje virusa u makronaredbama i njihovo ubacivanje u datoteke dokumenata
19
5.1 Konstantan prikaz poruke na ekranu
19
5.2 Pokretanje aplikacije iz makro virusa
19
5.3 Automatsko pokretanje i izvođenje
20
Zaključak
21
Popis korištene literature

Rad sadrži 1 datoteku

Procedure-programi se mogu izvršiti izravno ili aktivirati na zahtjev iz drugih makroa. Njihova sintaksa je sljedeća:

Pod<Имя_Макроса>
-> makro kod<-
" Komentar počinje apostrofom
kraj sub
Primjer je sljedeći makro:
" Ova makronaredba otvara dijaloški okvir i prikazuje poruku
Sub Stupid_Greeting
MsgBox "SVETI SVIJET"
kraj sub

1.2 Makrovirusi kako rade

Kada radi s dokumentom MS Word verzije 6 i 7, izvodi različite radnje: otvara dokument, sprema, ispisuje, zatvara itd. Istodobno Word traži i izvršava odgovarajuće ugrađene makronaredbe: prilikom spremanja datoteke pomoću naredbe File / Save poziva se FileSave macro, kod spremanja naredbom File/SaveAs - FileSaveAs, kod ispisa dokumenata - FilePrint itd., ako su naravno takvi makroi definirani.

Također postoji nekoliko "auto makronaredbi" koje se automatski pozivaju pod različitim uvjetima. Na primjer, kada otvorite dokument, Word provjerava prisutnost makronaredbe AutoOpen. Ako je takva makronaredba prisutna, tada je Word izvršava. Prilikom zatvaranja dokumenta Word izvršava makronaredbu AutoClose, prilikom pokretanja Worda poziva se makronaredbu AutoExec, prilikom zatvaranja AutoIzlaz, a kod izrade novog dokumenta AutoNew. Slični mehanizmi, ali s različitim nazivima makroa i funkcija, također se koriste u Excelu/Officeu 97.

Makro virusi koji inficiraju Word, Excel ili Office 97 datoteke obično koriste jednu od tri gore navedene metode:

  1. virus ima auto makro (auto funkcija);
  2. jedan od standardnih makronaredbi sustava (povezan s nekom stavkom izbornika) redefiniran je u virusu;
  3. makronaredba virusa automatski se poziva kada pritisnete bilo koju tipku ili kombinaciju tipki.

Postoje i poluvirusi koji ne koriste navedene tehnike i množe se samo ako ih korisnik samostalno pokrene na izvršenje.

Većina makro virusa sadrži sve svoje funkcije kao standardne makronaredbe MS Word/Excel/Office 97. Međutim, postoje virusi koji skrivaju svoj kod i pohranjuju svoj kod kao ne-makronaredbe. Poznate su tri takve metode. Svi oni koriste sposobnost makronaredbi za stvaranje, uređivanje i izvršavanje drugih makronaredbi. U pravilu, takvi virusi imaju mali (ponekad polimorfni) makro-loader, koji poziva ugrađeni makro editor, stvara novi makro, ispunjava ga glavnim kodom virusa, izvršava i zatim ga, u pravilu, uništava u sakriti tragove prisutnosti virusa.

  1. Formulacija problema

Glavni ciljevi ovog nastavnog projekta su:

  1. pregled najpoznatijih virusa u makronaredbama dokumenata;
  2. distribucija virusa u makronaredbama dokumenata;
  3. načini zaštite od virusa u makronaredbama dokumenata;
  4. Stvaranje virusa u makroima i njihova implementacija;
    1. Pregled najpoznatijih virusa u makronaredbama dokumenata

Saver (u prijevodu s engleskog - "Spremi") je makro-virus koji radi na strojevima s instaliranim MS Office softverom, čije komponente uključuju Word 97 (verzija 8.0) ili Word 2003 (verzija 11.0 - razvojna tvrtka Microsoft implementirala je svoj verzija je kompatibilna sa svim prethodnim verzijama Worda, što je uzrokovalo rad virusa pod njom). Virus je dobio ime po tekstualnom nizu - "copyright" sadržanom u njegovom kodu:
SaverVirus, kao i za mogućnost stvaranja diskovnih kopija dokumenata zaraženih njime. Napisano 2. veljače 2000. u Konotopu, o čemu svjedoči još jedan red teksta - "copyright" u njegovom tijelu:
Makro snimljeno 02.02.00 KONOTOP

Saver inficira dokumente spremljene u "DOC" formatu, kao i datoteke s MS Office postavkama (DOT datoteke). Dokumenti napisani u "RTF" formatu ne mogu biti zaraženi virusom jer u strukturi potonjeg nedostaju makroodjeljci ili "makronaredbe" (odjeljci s postavkama koje se odnose na dizajn trenutnog dokumenta - veličina i vrsta fonta, margine, raspored objekata itd.), što isključuje mogućnost njihove infekcije. Virus se može unijeti u stroj samo preko zaraženih dokumenata ili datoteka s postavkama s gore navedenim ekstenzijama, ako ih otvori korisnik, nakon čega zanemari upozorenje makro zaštite ugrađene u Word:

Slika 1 Upozorenje o pokretanju makronaredbe

Do zaraze će doći ako je odabrana opcija "Nemoj onemogućiti makronaredbe", što iz nekog razloga većina korisnika čini kada se pojavi ovaj upit. Nakon toga, Saver onemogućuje ugrađenu zaštitu od virusa u makronaredbama u Wordu 97 - VirusProtection (pod Wordom 2003 virus to ne može učiniti, jer je tamo princip ove zaštite malo drugačiji) i zarazi datoteku predloška postavki ovog editora:

Uz Word97:
C:\ProgramFiles\MicrosoftOffice\Templates\Normal .dot

Uz Word2003:
C:\Documents and Settings\%current username%\Application Data\Microsoft\Templates\Normal. točka
Promjenom njegove nominalne veličine s 26624 bajta na 39424 bajta ili 27136 bajta na 39936 bajta (objašnjenje: Normal.dot može imati jednu od dvije navedene nominalne veličine, ovisno o nekim uvjetima sustava) za Word 97 (za Word 2003, vrijednost zaražena datoteka predloška može biti drugačija, jer izvorna veličina ovog objekta može značajno varirati ovisno o nizu postavki postavljenih u Wordu "e). Tada virus uništava datoteku Normal.dot, pretvarajući je u kapaljku svog programa ( "dropper" - pokretač, aktivator): mijenja svoj sadržaj na način da se kontrola prenosi na kod virusa... Virus taj kod sprema u datoteku saver.dll koju kreira:

Uz Word97:
C:\ProgramFiles\MicrosoftOffice\Office\saver. dll

Uz Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver.dll

Ova datoteka ima veličinu od 29696 bajtova i predstavlja datoteku predloška Normal.dot koju je izmijenio virus.

W97M.Klasa

Class.sys je pomoćna datoteka za virus W97M.Class, koja se nalazi u korijenskom direktoriju C:\. Tekst virusnog programa na kraju dokumenta (dio programa je i dalje napisan u Normal.dot, jer tijelo programa ima provjeru broja redaka u ovom predlošku). Virus inficira datoteku Normal.dot (ovo je Word97 predložak, virus je čini većom od 50 kB), a inficira i sve otvorene Word dokumente, tj. datoteke s ekstenzijom *.doc i čini ih otprilike 2 puta većima.
Virus će se aktivirati nakon 14. svibnja i nastavit će vas "pozdravljati" svakog sljedećeg 14. u mjesecu. Miješa redove u dokumentima, daje poruku: "Mislim da je 'USERNAME' veliko debelo derište!"

nakon toga zamjenjuje retke, sprema dokument i zatvara ga.

W97M.Ethan je virus makronaredbi koji se sastoji od samo jedne makronaredbe. Inficira dokumente aplikacije Word97 kada su zatvoreni i globalni predložak NORMAL.DOT.

Povoljan čimbenik u širenju virusa W97M.Ethan je to što se u Microsoft Wordu makroi automatski pokreću kada se bilo koji dokument otvori, zatvori, pohrani itd.

Osim toga, postoji takozvani opći predložak NORMAL.DOT i makronaredbe smještene u opći predložak automatski se pokreću kada se otvori bilo koji dokument. Uzimajući u obzir da se kopiranje makronaredbi iz dokumenta u dokument (osobito u zajednički predložak) izvodi samo jednom naredbom, tada se Microsoft Word okruženje čini idealnim za postojanje virusa s makronaredbama poput W97M.Ethan

Infekcija sustava:

Nakon ulaska u sustav, virus svoj jedini makro postavlja na početak modula napisanog u VBA (Visual Basic for Applications) - "ThisDocument". "ThisDocument" je modul u predlošku MS Word 97.

Kada zarazi dokument ili zajednički predložak, virus koristi privremenu tekstualnu datoteku "C:\Ethan.___" koja je izvor njegovog koda virusa. Virus ovoj datoteci dodjeljuje sistemske i skrivene atribute.

4. Rasprostranjenost makro virusa

Kada se Word pokrene, Normal.dot prenosi kontrolu na "datoteku predloška" virusa saver.dll. Eksperimenti provedeni s virusom na testnom stroju dali su sljedeće rezultate:

1. Virus inficira dokumente kada su zatvoreni: zapisuje vlastiti kod u njihovu makro sekciju koristeći svoj vlastiti AutoSave makronaredbu. U tom slučaju virus blokira standardni zahtjev za potvrdu spremanja dokumenta s promjenama koje su u njemu napravljene, zbog čega se sve promjene koje virus i korisnik učine u dokumentu automatski spremaju bez znanja potonjeg. .

2. U slučaju da je dokument jednostavno otvorio korisnik ili uredio i spremio putem opcije "Spremi", virus inficira ovaj dokument; ako je potonji ponovno spremljen od strane korisnika putem opcije "Spremi kao...", tada virus inficira samo ponovno spremljeni dokument, ostavljajući izvorni dokument nepromijenjen. Istodobno, u oba slučaja povećanje veličine datoteka nakon infekcije ovisi o nizu uvjeta i nema točnu vrijednost.

3. S obzirom na činjenicu da virus ponovno zarazi dokumente čak i kada ih pregledava bez ikakvih promjena od strane korisnika, veličina datoteka se stalno povećava, pa se stoga na starijim strojevima s malim tvrdim diskovima slobodni prostor jako smanjuje brzo. Također možete doživjeti snažno usporavanje stroja pri radu s Wordom, što je povezano s dodatnim troškovima RAM resursa za obradu virusom napuhanih makroodjeljaka zaraženih dokumenata i na kraju može postati stvarni razlog da se potonji zamrznu kada se otvore.

4. Nakon što zarazi prvi dokument na čistom stroju, virus stvara vlastiti poddirektorij:

Uz Word97:
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\

Uz Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\

U kojem se kopira svaki od novozaraženih dokumenata. Naknadno, ako naziv trenutno otvorenog dokumenta zaraženog virusom (više puta ili prvi put - nije bitno) odgovara nazivu kopije dokumenta koji se već nalazi u direktoriju "Doc_Copy", tada virus, ovisno o njegovi interni brojači, mogu prebrisati izvorni sadržaj trenutnog dokumenta sadržaj kopije datoteke, što za posljedicu ima nepovratni gubitak sadržaja trenutnog dokumenta.
Također postoji mogućnost curenja povjerljivih podataka ako više korisnika radi na stroju: na primjer, jedan od njih radi s diskete s dokumentom koji sadrži tajne financijske ili bilo koje druge informacije koje drugi korisnici ne bi trebali znati. Međutim, nakon što virus stvori kopiju ove datoteke u mapi "Doc_Copy", sadržaj dokumenta može biti dostupan za pregled drugim korisnicima ovog računala.

5. Nakon što se Word zatvori, virusni program se automatski isključuje - pokreće se virusna makronaredba AutoClose.

4.1 Algoritam makro virusa za Microsoft Office

Većina poznatih Word virusa (verzije 6, 7 i Word 97) premještaju vlastiti kod u područje globalnih makronaredbi dokumenta ("opće" makronaredbe) kada se pokrenu.

Kada izađete iz Worda, globalne makronaredbe (uključujući makronaredbe virusa) automatski se zapisuju u DOT datoteku globalnih makronaredbi (obično NORMAL.DOT). Dakle, virus se aktivira u trenutku kada Word učitava globalne makronaredbe.

Tada virus redefinira (ili već sadrži) jednu ili više standardnih makronaredbi (primjerice FileOpen, FileSave, FileSaveAs, FilePrint) i tako presreće naredbe za rad s datotekama. Kada se te naredbe pozovu, datoteka kojoj se pristupa je zaražena. Da bi to učinio, virus pretvara datoteku u format predloška (što onemogućuje daljnju promjenu formata datoteke, tj. pretvaranje u bilo koji format koji nije predložak) i zapisuje svoje makronaredbe u datoteku, uključujući automatsku makronaredbu.

Drugi način unošenja virusa u sustav temelji se na takozvanim "Add-in" datotekama, odnosno datotekama koje su servisni dodaci Wordu. U ovom slučaju NORMAL.DOT se ne mijenja, a Word prilikom pokretanja učitava makronaredbe virusa iz datoteke (ili datoteka) identificirane kao "Dodatak". Ova metoda gotovo u potpunosti ponavlja zarazu globalnih makronaredbi, s jedinom iznimkom da makronaredbe virusa nisu pohranjene u NORMAL.DOT, već u nekoj drugoj datoteci.

Također je moguće ubaciti virus u datoteke koje se nalaze u STARTUP direktoriju. U ovom slučaju Word automatski učitava datoteke predložaka iz ovog direktorija, ali takvi virusi još nisu susreli.
Razmotrite virus dizajniran da zarazi Word dokumente. Ovaj virus koristi naziv usluge FileOpen. Procedura FileOpen() izvršava se kad god korisnik otvori datoteku i maskira se kao uobičajeni dijaloški okvir File->Open File.

InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name

Rem Varijabla InfectorPath definira stazu do dokumenta koji sadrži virus.

Dijalozi(wdDialogFileOpen).Prikaži

Rem simulira dijaloški okvir File->Open File

Infected=False

Za svaku VbComponent u ActiveDocument.VBProject. VBComponente

If VbComponent.Name = "Virus" Then Infected = True

Rem Ovdje se datoteka koju otvori korisnik provjerava na virus

Ako nije zaražen onda

Rem Ako datoteka nije zaražena, virus se dodaje u datoteku

CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath

Javna subcopymacro(NewDestination, NewSource)

On Error GoTo nextline

Application.OrganizerCopy Izvor:= _

NewSource, Destination:=NewDestination, Name:="Virus", Object:= _

WdOrganizerObjectProjectItems

Rem kopirajte modul s virusom

ActiveDocument.Spremi

Rem spremite dokument


5. Načini zaštite od virusa u makronaredbama dokumenta

Makroviruse obično pišu školarci u svrhu samopotvrđivanja. Takvi virusi ne rade ništa loše - samo se razmnožavaju na vašem računalu. Međutim, ne smijete zanemariti sredstva zaštite od makro virusa, jer uz pomoć WordBasica možete napisati virus koji kvari Word dokumente ili čak formatira tvrdi disk. Značajka makro virusa je da ih konvencionalni antivirusi ne prepoznaju. Za zaštitu od makro virusa preporučujemo ViruScan tvrtke MacCafee. (http://www.macafee.com). Osim toga, postoji nekoliko jednostavnih načina za sprječavanje infekcije. U Wordu 6.0 sve su makronaredbe pohranjene u datotekama predloška (*.dot) i dostupne su samo kada je predložak otvoren. Budući da Word automatski učitava globalni predložak Normal.dot kada se otvori, svi se virusi tamo upisuju. Stoga, ako koristite Word 6.0, postavite datoteku Normal.dot na samo za čitanje. Druga mogućnost je držati tipku shift prilikom otvaranja sumnjivih dokumenata kako biste spriječili pokretanje automatskih makronaredbi. I naravno, ako na popisu makronaredbi pronađete imena koja počinju s auto, odmah ih izbrišite.U Word97 makronaredbe mogu biti sadržane ne samo u predlošcima, već iu običnim dokumentima. Kao što je već spomenuto, da bi se makronaredba automatski pokrenula na određeni događaj, makronaredba mora imati jedan od sljedećih naziva:

  • AutoExec - pokreće se kada se pokrene Word ili kada se učita globalni predložak
  • AutoNew - pokreće se kada se kreira novi dokument
  • AutoOpen - pokreće se kada se dokument otvori
  • Automatsko zatvaranje - pokreće se kada je dokument zatvoren
  • AutoExit - pokreće se kada Word izađe ili kada se zatvori globalni predložak.

Naravno, možete poništiti izvršavanje takvih makronaredbi pritiskom na tipku Shift prilikom učitavanja Worda, kao i prilikom otvaranja, kreiranja i zatvaranja dokumenata, ali ova metoda djeluje zamorno. Napišimo makronaredbu koja sprječava izvođenje automatskih makronaredbi:

MsgBox "Virusi nisu dopušteni!"


WordBasic.DisableAutoMacros


Da biste spriječili zarazu dokumenata makro virusima, potrebno je dobro poznavati njihov rad. Tvorci Microsoft Officea olakšali su posao napadačima uvođenjem mogućnosti zamjene Wordovih naredbi korisničkim makronaredbama. To znači da ako vaš dokument ima makronaredbu pod nazivom, recimo, FileOpen, ona će se izvršiti kad god se drugi dokument otvori.

Posebno su ranjivi korisnici Worda 97. U dobrim starim verzijama Worda makronaredbe su se mogle pohranjivati ​​samo u predlošcima (*.dot datoteke). Office "97 omogućuje pohranjivanje makronaredbi izravno u dokument - stoga postoji više mogućnosti za širenje virusa.

Makro obiteljski virusi

Virusi iz obitelji Macro koriste mogućnosti makro jezika ugrađenih u sustave za obradu podataka (uređivači teksta, proračunske tablice itd.).

Za postojanje virusa u određenom sustavu potrebno je imati ugrađen makro jezik s mogućnošću vezanja programa na makro jeziku za određenu datoteku, kopiranja makro programa iz jedne datoteke u drugu, primanja kontrole od strane makro program bez intervencije korisnika (automatski ili standardni makroi).

Ove uvjete ispunjavaju uređivači Microsoft Word i AmiPro, kao i Excel tablica. Ovi sustavi sadrže makro jezike (Word - Word Basic, Excel - Visual Basic), dok su makro programi vezani za određenu datoteku (AmiPro) ili su unutar datoteke (Word, Excel), makro jezik vam omogućuje kopiranje datoteka (AmiPro) ili premjestiti makro programe u pomoćne sistemske datoteke (Word, Excel), pri radu s datotekom pod određenim uvjetima (otvaranje, zatvaranje itd.) pozivaju se makro programi (ako postoje) koji su definirani na poseban način (AmiPro) ili imaju standardna imena (Word, Excel).

Dakle, danas su poznata tri sustava za koje postoje virusi - Microsoft Word, Excel i AmiPro. U njima virusi preuzimaju kontrolu prilikom otvaranja ili zatvaranja zaražene datoteke, presreću standardne funkcije datoteke i zatim zaraze datoteke kojima se nekako pristupi. Po analogiji s MS-DOS-om, možemo reći da su makro virusi rezidentni - aktivni su ne samo u trenutku otvaranja/zatvaranja datoteke, već i dok je aktivan sam editor (sustav).

Virusi za Microsoft Office"97

Macro.Office97.Frenzy

Sastoji se od jedne makronaredbe Frenzy koja sadrži automatsku funkciju AutoOpen. Inficira sustav kada se otvori zaražena datoteka. Nakon toga se upisuje u dokumente kada se otvore. Prikazuje tekst ovisno o sistemskom datumu i sistemskom slučajnom brojaču

Word97.Frenzy by Pyro

Makro.Office97.Minimalno

Prilično primitivan makro virus za Office 97. Sadrži jedan AutoOpen makro. Inficira sustav kada se otvori zaražena datoteka; dokumenti se također upisuju kada se otvore. Sadrži komentirani tekst

Veselin Bonchev

Macro.Office97.NightShade

Sastoji se od jedne makronaredbe NightShade koja sadrži automatsku funkciju AutoClose i inficira sustav i dokumente kada se datoteke zatvore. Isključuje ugrađenu zaštitu od virusa i omogućuje pokretanje automatskih funkcija. Ovisno o trenutnom datumu i slučajnom brojaču sustava, ispisuje tekst

Word97.NightShade od Pyro

Na 13. subotu postavlja lozinku NightShade u dokumentima.

Virusi za Microsoft Excel

Macro.Excel.Laroux

Inficira Excel proračunske tablice (XLS datoteke). Sadrži dvije makronaredbe: Auto_Open i Check_Files. Kada se otvori zaražena datoteka, Excel automatski izvršava makronaredbu Auto_Open. U virusu, ova makronaredba sadrži samo jednu naredbu, koja definira makronaredbu Check_Files da se izvršava kada se aktivira bilo koja tablica (Sheet). Dakle, virus presreće proceduru otvaranja tablica, a kada se tablica aktivira, zaraženi Excel poziva makronaredbu Check_Files, odnosno kod virusa.

Nakon što preuzme kontrolu, makronaredba Check_Files traži datoteku PERSONAL.XLS u direktoriju za pokretanje programa Excel i provjerava broj modula u trenutnoj radnoj knjizi. Ako je radna knjiga s virusom aktivna, a datoteka PERSONAL.XLS ne postoji (prva infekcija), virus naredbom SaveAs kreira datoteku s ovim imenom u direktoriju za pokretanje programa Excel. Kao rezultat toga, virusni kod iz trenutne datoteke je zapisan u nju. Prilikom sljedećeg dizanja, Excel učitava sve XLS datoteke iz direktorija za pokretanje, zaražena datoteka PERSONAL.XLS također se učitava u memoriju, virus ponovno preuzima kontrolu, a prilikom otvaranja tablica ponovo će se pozvati makronaredba Check_Files iz PERSONAL.XLS.

Ako je broj modula u trenutnoj radnoj knjizi 0 (zaražena radna knjiga nije aktivna), a datoteka PERSONAL.XLS već postoji, virus prepisuje svoj kod u aktivnu radnu knjigu. Nakon toga aktivna radna knjiga postaje zaražena.

Provjera virusa u sustavu je jednostavna. Ako je virus već ušao u računalo, tada bi se u Excel direktoriju trebala nalaziti datoteka PERSONAL.XLS, u kojoj je vidljiva linija laroux (malim slovima). Ista linija prisutna je iu drugim zaraženim datotekama.

Macro.Excel.Legend

Makro virus koji inficira Excel datoteke. Sadrži jedan modul (makro) pod nazivom Legenda. Ovaj modul uključuje dvije procedure - Auto_Open i INFECT. Auto_Open je Excel procedura koja se automatski poziva kada se datoteka otvori. Kada se pokrene Auto_Open, instalira drugu virusnu proceduru (Infect) kao rukovatelj za događaj SheetActivate, odnosno prilikom otvaranja bilo koje proračunske tablice Excel će pozvati proceduru Infect.

Kada se pozove, procedura zaraze zarazi ili datoteku PERSONAL.XLS (kada je zaražena datoteka otvorena) ili trenutnu datoteku (ako već nije zaražena). Nakon infekcije, virus uklanja stavku Alati/Makro iz izbornika. Ako je UserName = "Pyro" i OrganizationName = "VBB", virus odmah prestaje i ne inficira datoteke. Ovisno o trenutnom danu i nasumičnom brojaču sustava, virus prikazuje MessageBox:

Zarazila vas je legenda!

Macro.Excel.Robocop

Makro virus zarazio Excel datoteke. Uključuje dva modula (makro): COP i ROBO. ROBO modul sadrži automatski pozvanu proceduru Auto_Open koja, kada se otvori zaraženi dokument, upisuje kod virusa u datoteku PERSONAL.XLS i postavlja adresu rukovatelja aktivacije tablice (SheetActivate) kodu virusa. Virus zatim zarazi datoteke kada se otvore tablice.

ROBOCOP Joker iz noćne more

Macro.Excel.Sofa

Inficira Excel proračunske tablice. Sadrži jedan modul (makro) čije se ime sastoji od 11 razmaka i stoga nije vidljiv na listi makronaredbi u izborniku Alati/Makroi. Modul sadrži četiri makro funkcije: Auto_Open, Auto_Range, Current_Open, Auto_Close. Sve funkcije virusa kao rezultat vraćaju Null.

Kada se zaražena datoteka otvori, aktivira se makro funkcija Auto_Open koja "preimenuje" Excel - Microsofa Excel pojavljuje se u naslovnom retku umjesto Microsoft Excela. Ako u direktoriju Startup Path nema datoteke BOOK.XLT (sustav još nije zaražen), na ekranu se prikazuje sljedeća poruka:

Microsoft Excel otkrio je oštećenu datoteku dodatka. Kliknite U redu za popravak ove datoteke.

Bez obzira na korisnikov odgovor, datoteka BOOK.XLT koja sadrži kod virusa stvara se u direktoriju Startup Path. Nakon infekcije prikazuje se poruka

Datoteka je uspješno popravljena!

Kada se učita, Excel automatski učitava XLT datoteke s početne staze i u skladu s tim aktivira virus. Virus dodjeljuje funkciju Auto_Range funkciji OnSheetActivate i svaki put kada se tablica aktivira, provjerava je li aktivna datoteka zaražena i, ako datoteka nije zaražena, zarazi je.

Virus se ne da iskrcati iz Excela - kada se svaka datoteka zatvori, on funkciji OnWindow dodjeljuje istu funkciju Auto_Range, odnosno ponovno se aktivira kada se otvori nova datoteka.

Macro.Excel.Yohimbe

Sastoji se od jednog modula (makro) pod nazivom Exec. Ovaj modul sadrži tri rutine: Auto_Open, DipDing, PayLoad i funkciju SheetExists. Potprogram Auto_Open automatski se poziva kada se otvori zaražena datoteka - virus tada inficira PERSONAL.XLS. U slučaju bilo kakve pogreške, virus se upisuje u sve otvorene datoteke (knjige). Prije vraćanja kontrole, Auto_Open instalira rutinu DipDing na Excel timer. Ovaj potprogram se poziva počevši od 16:00 i inficira otvorene datoteke.

Virus zapisuje niz Yohimbe u zaglavlje tablice. Također postavlja mjerač vremena za potprogram PayLoad - poziva se u 16:45 i umeće sliku i tekst u trenutnu tablicu