Yra programų, kurios savo darbe naudoja savo programavimo kalbą, vadinamos makro kalbomis. Tokios makrokomandos paprastai yra įtrauktos į teksto ir skaičiuoklių redaktorius. Pavyzdžiui, „Microsoft Word“ ir „Excel“ turi savo makrokomandų kalbas. Virusai, kurie yra parašyti ir savo tikslams naudoja makrokalbas, vadinami makrovirusais. Kitaip tariant, makrovirusai yra virusai, parašyti makrokomandų programavimo kalbomis.
Kas yra makrokomandos?
Makrokomandos arba makrokomandos yra vartotojo parašytos komandos. Iškvietus makrokomandą, bus vykdomas jose įdėtas procesas. Taikos fronte tokios makrokomandos gali būti geras būdas palengvinti ilgą, varginantį, įprastą darbą. Tereikia parašyti atitinkamą algoritmą ir mašina viską padarys pati. Pavyzdžiui, „Word“ ir „Excel“ yra makrokomandos, skirtos atidaryti, išsaugoti failą ir pan. Tokios makrokomandos gali žymiai padidinti vartotojo darbo greitį.
Kaip veikia makrovirusai
Kadangi atskiro failo makrokomandos redagavimas, turint atitinkamas žinias, neatrodo sunkus, didelių problemų kuriant makrovirusą neturėtų kilti. Po to užkrėstas dokumentas kažkaip pristatomas aukai. Atidarydamas dokumentą ir paleisdamas užkrėstą makrokomandą (ty atlikdamas tam tikrą veiksmą, kuris buvo iš anksto nustatytas), vartotojas suaktyvina kenkėjišką kodą. Pirmiausia daugelis makrovirusų bandys perrašyti pagrindinio dokumento šablono makrokomandas, pavyzdžiui, pagrindinio Word failo šabloną, kuris naudojamas bet kuriam atitinkamo formato failui atidaryti. Taip bus užtikrinta, kad atidarius bet kurį dokumentą kartu su juo bus atsisiunčiamas ir virusas. Kaip jau sakiau straipsnyje apie tai, kiekvienas virusas pirmiausia stengiasi užtikrinti platų jo paplitimą. Na, tada tai yra technologijos reikalas: kenkėjiško kodo kopijavimas į visus naujai atidarytus dokumentus. O kadangi mes gana dažnai keičiamės dokumentais, virusas dauginsis gana gerai.
Makrovirusų žala
Makrovirusų darbo sritis – dokumentai. Ir iš principo su tavo dokumentais gali daryti ką nori. Tačiau be to, makrovirusai gali pakenkti ir pačiam kompiuteriui, tai yra, esant ypatingam norui, makrovirusai gali valdyti patį kompiuterį. Taigi nereikia makrovirusų laikyti tik dokumentų kenkėjais.
Pirmasis makrovirusas istorijoje
Pats pirmasis dokumentuotas makrovirusas buvo Concept virusas, kuris buvo išleistas 1995 m. Jis nepadarė nieko ypač baisaus. Tai nepadarė jokios žalos, tačiau Concept virusas parodė skaitmeniniam pasauliui, kad failuose gali būti ir kenkėjiško kodo.
Žinoma, prisiminti kiekvieną iš jų „iš akies“ yra neįmanoma ir nereikalinga užduotis. Tačiau kai kuriuos vis tiek verta žinoti daugiau, nes jie pavojingi ir plačiai paplitę. Šioje medžiagoje analizuosime, kas tai yra makrovirusai. Taip pat kodėl svarbu tinkamai įvertinti jų grėsmę.
Makrovirusai yra...
Pirmoji kenksmingo elemento pavadinimo pusė kilusi iš žodžio „makro“. Tai integruotas MS Word arba Excel dokumento komponentas, parašytas VBA. Makrokomandas turi gana plačias galimybes: gali formatuoti standųjį diską, ištrinti failus, kopijuoti konfidencialius duomenis iš kompiuteryje saugomos informacijos ir siųsti el. Taigi yra didelis pavojus nugalėti tokį elementą.
Makrovirusas – tai programa, parašyta makrokomandų kalba, skirta toliau integruoti į daugybę apdorojimo sistemų, teksto programų ir redaktorių, skaičiuoklių programinės įrangos ir kt. Kenkėjiški elementai plinta dėl makrokalbų galimybių. Todėl jie gana lengvai perkeliami iš dokumento į dokumentą, iš vieno kompiuterio į kitą. Kokius failus dažniausiai užkrečia makrovirusai? Tai daugiausia Word ir Excel dokumentai.
Kaip vyksta paskirstymas?
Užkrėsti kompiuterį yra gana paprasta. Viskas, ką jums reikia padaryti, tai atidaryti arba uždaryti makrovirusu užkrėstą failą kompiuteryje. Kenkėjiški elementai perima standartinius elementus ir pradeda užkrėsti visus panašius failus, kuriuos pasiekiate savo įrenginyje.
Makrovirusai taip pat yra kenkėjiški elementai. Tai yra, jie yra aktyvūs ne tik atidarant / uždarant dokumentą, bet ir per visą tekstinės, grafinės ar skaičiuoklės programos veikimo laiką! Kai kurie iš jų netgi gali likti kompiuterio RAM, kol jis nebus išjungtas.
Taip pat reikėtų pažymėti, kad juos sukurti labai paprasta: užpuolikui tereikia atidaryti „Word“, eiti į „Service“ ir tada „Macros“. Tada jis pasirenka Visual Basic redaktorių, kuriame jau gali rašyti kenkėjišką programą VBA.
Kaip veikia virusas
Įgyvendindama tam tikrą komandą, Word ieško ir vykdo atitinkamas makrokomandas:
- Dokumento išsaugojimas – FileSave.
- Spausdinimas - FilePrint.
- Tekstinio failo atidarymas - AutoOpen.
- Dokumento uždarymas – automatinis uždarymas.
- Pačios programos paleidimas - AutoExec.
- Naujo failo kūrimas - AutoNew ir kt.
Panašios makrokomandos, bet skirtingais pavadinimais, taip pat naudojamos „Excel“.
Norėdami užkrėsti Word failą, kenkėjiška programa naudoja vieną iš šių būdų:
- Makrovirusas jau turi automatinę makrokomandą.
- Sistemos pralaimėjimas prasideda, kai nustatote viruso kūrėjo numatytą atlikti užduotį.
- Viena iš standartinių makrokomandų yra nepaisoma. Dažniausiai pastarasis asocijuojasi su kokiu nors Word meniu punktu.
- Paspaudę tam tikrą klavišą arba klavišų derinį, jūs nesąmoningai suaktyvinate kenkėjišką automatinę makrokomandą. Ir jis jau pradeda savo „darbą“.
Makrovirusai užkrečia failus tokiu būdu:
- Atidarote paveiktą tekstinį dokumentą.
- Viruso kodas nukopijuojamas į pasaulines dokumentų makrokomandas.
- Pastarieji, jau užkrėsti, automatiškai įrašomi į taškinį dokumentą (šablonas, vadinamas Normal.dot), kai failas uždaromas.
- Tada virusas turi nepaisyti standartinių makrokomandų. Tai padeda jam perimti komandas dirbant su elektroniniais dokumentais.
- Kai iškviečiate šias makrokomandas, failas, su kuriuo dirbate, užkrėstas.
Dabar nuspręskime, kaip nustatyti šių kenkėjiškų elementų buvimą jūsų kompiuteryje.
Makroviruso aptikimas
Failų virusus tekstuose ir lentelėse galima atpažinti taip:
- Negaliu įrašyti dokumento į kitą diską ar katalogą naudojant „Išsaugoti kaip...“
- Nepavyko išsaugoti failo kitu formatu (patikrinta naudojant komandą „Išsaugoti kaip...“).
- Jūsų atlikti pakeitimai negali būti išsaugoti faile.
- Saugos lygio skirtukas tampa nepasiekiamas. Jį galite rasti kelyje: „Paslauga“ - „Makrokomandas“ - „Sauga“.
- Kai dirbate su dokumentu, gali pasirodyti sistemos pranešimas, nurodantis klaidą.
- Failas „elgiasi“ kitaip.
- Jei dešiniuoju pelės mygtuku spustelėsite įtariamo dokumento kontekstinį meniu ir spustelėsite „Ypatybės“, tada skirtuko „Santrauka“ skyriuose kenkėjiškų programų kūrėjas nurodys atsitiktinę informaciją arba tik simbolių rinkinį.
Problemų sprendimas
Žinoma, paprasčiausias būdas užkirsti kelią bet kokiai nelaimei. Tokiu atveju jūsų kompiuteryje turėtų būti moderni antivirusinė programa su nuolat atnaujinama grėsmių duomenų baze. Daugelyje tokių programų į RAM įkeltas monitorius. Jis aptinka užkrėstus failus, kai tik bandote juos atidaryti. Antivirusinė programa pirmiausia bando išgydyti tokį dokumentą, o nesėkmingai (tai nutinka labai retai) blokuoja prieigą prie jo.
Jei neapsaugotame kompiuteryje aptinkate grėsmę, turite atsisiųsti antivirusinę programą arba atitinkamą programą, kuri aptiks, neutralizuos arba ištrins užkrėstą failą. Svarbu ir patiems būti budriems: neatidarinėkite dokumentų iš jums nežinomų šaltinių arba, kraštutiniu atveju, prieš tai darydami nuskenuokite juos, ar nėra kenkėjiškų elementų.
Makrovirusai yra grėsmė, kuri plinta per tekstinius ir lentelės failus. Šiandien ją lengva aptikti ir pašalinti, o tai nesumažina šios kenkėjiškos programos keliamo pavojaus ir žalos.
Makrovirusai yra potencialiai nepageidaujamos programos, parašytos mikrokalbomis, kurios yra integruotos į grafikos ir teksto apdorojimo sistemas. Kokie failai yra užkrėsti makrovirusais? Atsakymas akivaizdus. Dažniausios versijos, skirtos Microsoft Excel, Word ir Office 97. Šie virusai yra gana dažni, juos sukurti taip pat paprasta, kaip kriaušes gliaudyti. Štai kodėl atsisiųsdami dokumentus iš interneto turėtumėte būti itin atidūs ir atsargūs. Dauguma vartotojų jų neįvertina, todėl daro didelę klaidą.
Kaip kompiuteris užsikrečia?
Nusprendę, kas yra makrovirusai, išsiaiškinkime, kaip jie prasiskverbia į sistemą ir užkrečia kompiuterį. Paprastas jų atkūrimo būdas leidžia pasiekti maksimalų objektų skaičių per trumpiausią įmanomą laiką. Dėl makrokomandų kalbų galimybių, uždarant ar atidarant užkrėstą dokumentą, jos prasiskverbia į pasiekiamas programas.
Tai yra, naudojant grafinį redaktorių, makrovirusai užkrečia viską, kas su juo susiję. Be to, kai kurie yra aktyvūs visą laiką, kol veikia teksto ar grafikos rengyklė, arba net tol, kol kompiuteris visiškai išjungiamas.
Koks jų darbo principas?
Jie veikia tokiu principu: dirbant su dokumentais, Microsoft Word vykdo įvairias komandas, išleistas makro kalba. Visų pirma, programa įsiskverbia į pagrindinį šabloną, per kurį atidaromi visi šio formato failai. Tokiu atveju virusas nukopijuoja savo kodą į makrokomandas, kurios suteikia prieigą prie pagrindinių parametrų. Išėjus iš programos, failas automatiškai išsaugomas tašku (naudojamas naujiems dokumentams kurti). Po to jis patenka į standartines makrokomandas, bandydamas perimti komandas, siunčiamas į kitus failus, užkrėsdamas ir juos.
Infekcija pasireiškia šiais atvejais:
- Jei viruse yra automatinė makrokomanda (atliekama automatiškai, kai programa išjungiama arba paleidžiama).
- Virusas turi pagrindinę sistemos makrokomandą (dažnai susijusią su meniu elementais).
- Įsijungia automatiškai, kai paspaudžiate tam tikrus klavišus ar derinius.
- Jis dauginasi tik tada, kai jis paleidžiamas.
Tokie virusai dažniausiai užkrečia visus failus, sukurtus ir susietus su programomis makrokomandų kalba.
Kokią žalą jie daro?
Nereikėtų nuvertinti makrovirusų, nes jie yra visaverčiai virusai ir daro didelę žalą kompiuteriams. Jie gali lengvai ištrinti, kopijuoti ar redaguoti bet kokius objektus, kuriuose, be kita ko, yra asmeninė informacija. Be to, jie taip pat gali perduoti informaciją kitiems žmonėms naudodami el.
Galingesnės komunalinės paslaugos paprastai gali formatuoti standžiuosius diskus ir valdyti viso kompiuterio veikimą. Todėl nuomonė, kad tokio pobūdžio kompiuteriniai virusai kelia pavojų tik grafiniams ir teksto redaktoriams, yra klaidinga. Galų gale, tokios komunalinės paslaugos kaip „Word“ ir „Excel“ veikia kartu su daugybe kitų, kurioms šiuo atveju taip pat kyla pavojus.
Užkrėsto failo atpažinimas
Dažnai makrovirusais užkrėstus ir jų poveikiui jautrius failus visai nesunku atpažinti. Juk jos veikia visiškai kitaip nei kitos to paties formato komunalinės paslaugos.
Pavojus gali būti atpažįstamas pagal šiuos požymius:
Be to, grėsmė dažnai nesunkiai aptinkama vizualiai. Jų kūrėjai skirtuke „Santrauka“ paprastai nurodo tokią informaciją kaip programos pavadinimas, kategorija, komentaro tema ir autoriaus pavardė, kurios dėka galite daug greičiau ir lengviau atsikratyti makroviruso. Galite jį paskambinti naudodami kontekstinį meniu.
Pašalinimo būdai
Radę įtartiną failą ar dokumentą, pirmiausia nuskaitykite jį naudodami antivirusinę programą. Jei bus aptikta grėsmė, antivirusinės programos bandys ją išgydyti, o jei nepavyks, visiškai užblokuos prieigą prie jos.
Jei visas kompiuteris buvo užkrėstas, turėtumėte naudoti avarinio įkrovos diską, kuriame yra antivirusinė programa su naujausia duomenų baze. Jis nuskaitys jūsų standųjį diską ir neutralizuos visas rastas grėsmes.
Jei negalite apsisaugoti tokiu būdu, antivirusinė programa nieko negali padaryti ir nėra gelbėjimo disko, turėtumėte išbandyti „rankinį“ gydymo metodą:
Tokiu būdu pašalinsite makrovirusą iš užkrėsto dokumento, tačiau tai jokiu būdu nereiškia, kad jo neliks sistemoje. Būtent todėl esant pirmai progai rekomenduojama visą asmeninį kompiuterį ir visus jo duomenis nuskenuoti antivirusine arba (jų privalumas, kad jų nereikia diegti).
Kompiuterio gydymo ir valymo nuo makrovirusų užkrėtimo procesas yra gana sudėtingas, todėl geriau užkirsti kelią infekcijai pradinėse stadijose.
Taip apsisaugosite ir makrovirusai niekada neprasiskverbs į atitinkamus failus.
Kompiuterinis virusas yra kompiuterinės programos arba kenkėjiško kodo rūšis, kurios išskirtinis bruožas yra galimybė daugintis (savaiminė replikacija). Be to, virusai gali atlikti kitus savavališkus veiksmus be vartotojo žinios, įskaitant tuos, kurie kenkia vartotojui ir (arba) kompiuteriui.
Net jei viruso autorius neprogramavo kenkėjiškų efektų, virusas gali sukelti kompiuterio gedimus dėl klaidų ir nepastebėtų sąveikos su operacine sistema ir kitomis programomis subtilybių. Be to, virusai dažniausiai užima šiek tiek vietos saugojimo įrenginiuose ir atima kai kuriuos kitus sistemos resursus. Todėl virusai priskiriami kenkėjiškoms programoms.
Įvadas
4
1. Makrovirusai
6
1.1 Bendroji informacija apie makrovirusus
7
8
2. Problemos pareiškimas
10
3. Žymiausių virusų dokumentų makrokomandose apžvalga
11
3.1 Makrovirusų plitimas
13
3.2 „Microsoft Office“ makrovirusų algoritmas
14
4. Apsaugos nuo virusų metodai dokumentų makrokomandose
16
4.1 Makroviruso aptikimas
17
4.2 Paveiktų objektų atkūrimas
18
5. Virusų kūrimas makrokomandose ir jų įvedimas į dokumentų failus
19
5.1 Nuolat rodomas pranešimas ekrane
19
5.2 Programos paleidimas iš makroviruso
19
5.3 Automatinis paleidimas ir vykdymas
20
Išvada
21
Naudotos literatūros sąrašas
Darbe yra 1 failas
Programos procedūros gali būti vykdomos tiesiogiai arba suaktyvinamos paprašius iš kitų makrokomandų. Jų sintaksė yra tokia:
Sub<Имя_Макроса>
-> makrokodas<-
„Komentaras prasideda apostrofu
Pabaigos sub
Pavyzdys yra ši makrokomanda:
„Ši makrokomanda atidaro dialogo langą ir jame rodo pranešimą
Sub Stupid_Greeting
MsgBox "HALLOW WORLD"
Pabaigos sub
1.2 Makrovirusų veikimo principai
Dirbant su dokumentu, MS Word 6 ir 7 versijos atlieka įvairius veiksmus: atidaro dokumentą, išsaugo, spausdina, uždaro ir pan.. Tuo pat metu Word ieško ir vykdo atitinkamas integruotas makrokomandas: išsaugant failą naudojant komanda File/Save iškviečiama FileSave makrokomanda, kai išsaugoma naudojant komandą File/SaveAs - FileSaveAs, spausdinant dokumentus - FilePrint ir pan., jei, žinoma, tokios makrokomandos yra apibrėžtos.
Taip pat yra keletas „automatinių makrokomandų“, kurios įvairiomis sąlygomis iškviečiamos automatiškai. Pavyzdžiui, kai atidarote dokumentą, „Word“ patikrina, ar nėra „AutoOpen“ makrokomandos. Jei tokia makrokomanda yra, tada Word ją vykdo. Uždarius dokumentą Word vykdo AutoClose makrokomandą, paleidžiant Word, iškviečiama AutoExec makrokomandą, išjungiant - AutoExit, o kuriant naują dokumentą - AutoNew. Panašūs mechanizmai, bet su skirtingais makrokomandų ir funkcijų pavadinimais, naudojami „Excel“ / „Office 97“.
Makrovirusai, užkrečiantys „Word“, „Excel“ ar „Office 97“ failus, paprastai naudoja vieną iš trijų aukščiau išvardytų metodų:
- viruse yra automakro (autofunkcija);
- virusas nepaiso vienos iš standartinių sistemos makrokomandų (susijusių su meniu punktu);
- Viruso makrokomanda automatiškai iškviečiama paspaudus bet kurį klavišą ar klavišų kombinaciją.
Taip pat yra pusiau virusų, kurie nenaudoja išvardytų metodų ir dauginasi tik tuo atveju, jei vartotojas savarankiškai paleidžia juos vykdyti.
Dauguma makrovirusų turi visas savo funkcijas standartinių MS Word/Excel/Office 97 makrokomandų pavidalu. Tačiau yra virusų, kurie naudoja metodus, kad paslėptų savo kodą ir saugo savo kodą ne makrokomandų pavidalu. Yra žinomi trys tokie metodai. Visi jie naudojasi makrokomandų galimybe kurti, redaguoti ir vykdyti kitas makrokomandas. Paprastai tokie virusai turi nedidelį (kartais polimorfinį) makrokomandų įkroviklį, kuris iškviečia integruotą makrokomandų rengyklę, sukuria naują makrokomandą, užpildo ją pagrindiniu viruso kodu, paleidžia jį, o vėliau dažniausiai sunaikina, kad paslėptų viruso pėdsakus.
- Problemos formulavimas
Pagrindiniai šio kurso projekto tikslai yra šie:
- garsiausių virusų dokumentų makrokomandose apžvalga;
- virusų plitimas dokumentų makrokomandose;
- apsaugos nuo virusų metodai dokumentų makrokomandose;
- Virusų kūrimas makrokomandose ir jų įgyvendinimas;
- Žymiausių virusų dokumentų makrokomandose apžvalga
Saver (išvertus iš anglų kalbos kaip „Saver“) yra makrovirusas, veikiantis kompiuteriuose su įdiegta MS Office programine įranga, kurios komponentai yra Word 97 (8.0 versija) arba Word 2003 (versija 11.0 – Microsoft kūrėjų kompanija įdiegė jos versiją suderinama). su visomis ankstesnėmis „Word“ versijomis, dėl kurių virusas suveikė). Virusas gavo savo pavadinimą iš „autorių teisių“ teksto eilutės, esančios jo kode:
SaverVirus, taip pat už galimybę diske kurti juo užkrėstų dokumentų kopijas. Parašyta 2000 m. vasario 2 d. „Konotop“, kaip rodo kita „autorių teisių“ teksto eilutė jos turinyje:
Makro įrašas 02.02.00 KONOTOPE
Saver užkrečia dokumentus, išsaugotus DOC formatu, taip pat failus su MS Office nustatymais (DOT failais). RTF formatu parašyti dokumentai negali būti užkrėsti virusu, nes... pastarųjų struktūroje nėra makrokomandų ar „makrokomandų“ (skilčių su nustatymais, susijusiais su esamo dokumento dizainu - šrifto dydis ir tipas, paraštės dydis, objekto vieta ir kt.), o tai pašalina jų užkrėtimo galimybę. . Virusas į mašiną gali patekti tik per užkrėstus dokumentus ar nustatymų failus su aukščiau nurodytais plėtiniais, jei juos atidaro vartotojas ir nepaiso įspėjimo apie programoje Word integruotą makrokomandos apsaugą:
1 pav. Įspėjimas apie makrokomandos paleidimą
Užsikrėtimas įvyks, jei pasirinkta parinktis „Neišjungti makrokomandų“, kurią dėl tam tikrų priežasčių daro dauguma vartotojų, kai pasirodo ši užklausa. Po to „Saver“ išjungia „Word 97“ makrokomandose įmontuotą apsaugą nuo virusų - VirusProtection (pagal Word 2003 virusas to padaryti negali, nes šios apsaugos principas šiek tiek skiriasi) ir užkrečia šio redaktoriaus nustatymų šablono failą:
Su Word97:
C:\ProgramFiles\MicrosoftOffice\Templates\Normal .dot
Su Word2003:
C:\Documents and Settings\%current username%\Application Data\Microsoft\Templates\Normal. taškas
Pakeitus jo vardinį dydį nuo 26624 baitų iki 39424 baitų arba 27136 baitų iki 39936 baitų (paaiškinimas: Normal.dot gali turėti vieną iš dviejų nurodytų vardinių dydžių, kurie priklauso nuo kai kurių sistemos sąlygų) Word 97 (Word 2003 reikšmė užkrėstas šablono failas gali skirtis, nes pradinis šio objekto dydis gali labai skirtis priklausomai nuo daugybės programoje „Word“ nustatytų nustatymų. Tada virusas sumenkina failą Normal.dot, paversdamas jį savo programos lašintuvu („dropper ” - trigeris, aktyvatorius): pakeičia jo turinį taip, kad valdymas būtų perkeltas į viruso kodą. Virusas išsaugo šį kodą savo sukurtame faile saver.dll:
Su Word97:
C:\ProgramFiles\MicrosoftOffice\Office\saver. dll
Su Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver .dll
Šis failas yra 29696 baitų dydžio ir yra Normal.dot šablono failas, modifikuotas viruso.
W97M.Klasė
Class.sys yra pagalbinis W97M.Class viruso failas, „įdėtas“ į šakninį katalogą C:\. Viruso programos tekstas yra dokumento pabaigoje (dalis programos parašyta Normal.dot, nes programos turinyje yra šio šablono eilučių skaičiaus patikrinimas). Virusas užkrečia failą Normal.dot (tai Word97 šablonas, virusas padaro jį didesnį nei 50 kB), taip pat užkrečia visus atidarytus Word dokumentus, t.y. failus, kurių plėtinys *.doc, ir padaro juos maždaug 2 kartus didesnius.
Virusas suaktyvėja po gegužės 14 d. ir toliau „pasveikins“ jus kiekvieno sekančio mėnesio 14 d. Maišo eilutes dokumentuose, rodomas pranešimas: „Manau, kad „VARDĖTOJO VARDAS“ yra didelis storulis!
po to pakeičia eilutes, išsaugo dokumentą ir uždaro.
W97M.Ethan yra makrovirusas, susidedantis tik iš vienos makrokomandos. Jis užkrečia Word97 programos dokumentus, kai jie yra uždaryti, ir visuotinį šabloną NORMAL.DOT.
Palankus W97M.Ethan viruso plitimo veiksnys yra tai, kad Microsoft Word programoje makrokomandos automatiškai paleidžiamos atidarius, uždarius, išsaugant ir pan.
Be to, yra vadinamasis bendras šablonas NORMAL.DOT ir makrokomandos, esančios bendrame šablone, automatiškai paleidžiamos atidarius bet kurį dokumentą. Atsižvelgiant į tai, kad makrokomandų kopijavimas iš dokumento į dokumentą (ypač į bendrą šabloną) atliekamas tik viena komanda, Microsoft Word aplinka atrodo ideali makrovirusams, tokiems kaip W97M.Ethan.
Sisteminė infekcija:
Patekęs į sistemą, virusas įdeda vienintelę savo makrokomandą VBA (Visual Basic for Applications) parašyto modulio pradžioje – „ThisDocument“. „ThisDocument“ yra MS Word 97 šablono modulis.
Užkrėsdamas dokumentą ar bendrą šabloną, virusas naudoja laikiną tekstinį failą „C:\Ethan.___“, kuris yra viruso kodo šaltinis. Šiam failui virusas priskiria sistemos ir paslėptus atributus.
4. Makrovirusų plitimas
Paleidus „Word“, „Normal.dot“ perkelia valdymą į viruso „šablono failą“ saver.dll. Bandymo mašinoje su virusu atlikti bandymai davė šiuos rezultatus:
1. Virusas užkrečia dokumentus, kai jie yra uždaryti: jis įrašo savo kodą į jų makrokomandos skyrių naudodamas savo automatinio išsaugojimo makrokomandą. Tokiu atveju virusas blokuoja standartinę užklausą patvirtinti dokumento išsaugojimą su jame atliktais pakeitimais, dėl ko visi dokumente atlikti pakeitimai tiek viruso, tiek vartotojo automatiškai išsaugomi be pastarojo žinios.
2. Jei dokumentas buvo tiesiog atidarytas vartotojo arba redaguotas ir išsaugotas pasirinkus "Išsaugoti", virusas užkrečia šį dokumentą; jei pastarąjį vartotojas iš naujo išsaugojo pasirinkęs „Išsaugoti kaip...“, tai virusas užkrečia tik iš naujo išsaugotą dokumentą, o originalų palieka nepakeistą. Be to, abiem atvejais failo dydžio padidėjimas po užsikrėtimo priklauso nuo daugelio sąlygų ir neturi tikslios reikšmės.
3. Atsižvelgiant į tai, kad virusas pakartotinai užkrečia dokumentus net ir paprasčiausiai juos peržiūrint vartotojui neatlikus jokių pakeitimų, failų dydis nuolat didėja, todėl senuose įrenginiuose su mažais standžiaisiais diskais laisvos vietos mažėja labai greitai. . Įrenginys taip pat gali smarkiai sulėtėti dirbdamas su Word, kuris yra susijęs su papildomomis RAM išteklių sąnaudomis apdorojant viruso „išpūstų“ užkrėstų dokumentų makroskyrius ir galiausiai gali tapti tikra priežastimi pastariesiems užšalti, kai juos atidarant.
4. Užkrėtęs pirmąjį dokumentą švarioje mašinoje, virusas sukuria savo pakatalogį:
Su Word97:
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\
Su Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\
Kuriame nukopijuojamas kiekvienas naujai užkrėstas dokumentas. Vėliau, jei šiuo metu atidaryto dokumento, užkrėsto virusu, pavadinimas (pakartotinai ar pirmą kartą – nesvarbu) sutampa su dokumento kopijos, jau esančios kataloge „Doc_Copy“, pavadinimas, tada virusas, priklausomai nuo savo vidinius skaitiklius, gali perrašyti pradinį dabartinio dokumento turinį iš kopijos failo, o tai reiškia negrįžtamą dabartinio dokumento turinio praradimą.
Taip pat galimas konfidencialių duomenų nutekėjimas, jei prie įrenginio dirba keli vartotojai: pavyzdžiui, vienas iš jų dirba iš diskelio su dokumentu, kuriame yra slapta finansinė ar kita informacija, kurios kiti vartotojai neturėtų žinoti. Tačiau virusui sukūrus šio failo kopiją aplanke „Doc_Copy“, dokumento turinį gali peržiūrėti kiti šio kompiuterio vartotojai.
5. Uždarius Word viruso programa automatiškai išjungiama – suveikia viruso makrokomandas AutoClose.
4.1 „Microsoft Office“ makrovirusų algoritmas
Dauguma žinomų „Word“ virusų (6, 7 ir Word 97 versijos) paleidžiami perkelia savo kodą į visuotinę dokumento makrokomandos sritį („bendrosios“ makrokomandos).
Kai išeinate iš Word, pasaulinės makrokomandos (įskaitant virusų makrokomandas) automatiškai įrašomos į visuotinių makrokomandų DOT failą (paprastai NORMAL.DOT). Taigi virusas suaktyvinamas tuo metu, kai Word įkelia globalias makrokomandas.
Tada virusas nepaiso (arba jau turi) vieną ar daugiau standartinių makrokomandų (pavyzdžiui, FileOpen, FileSave, FileSaveAs, FilePrint) ir taip perima komandas darbui su failais. Kai iškviečiamos šios komandos, pasiekiamas failas yra užkrėstas. Norėdami tai padaryti, virusas konvertuoja failą į šablono formatą (dėl to neįmanoma atlikti tolesnių failo formato keitimų, t. y. konvertuoti į bet kokį formatą, kuris nėra šablonas) ir įrašo į failą savo makrokomandas, įskaitant ir Auto makrokomandą.
Kitas būdas įvesti virusą į sistemą yra pagrįstas vadinamaisiais „Papildinių“ failais, t. y. failais, kurie yra „Word“ paslaugų priedai. Šiuo atveju NORMAL.DOT nekeičiamas, o paleidus Word įkelia virusų makrokomandas iš failo (ar failų), apibrėžtų kaip „Papildinys“. Šis metodas beveik visiškai atkartoja globalių makrokomandų užkrėtimą, išskyrus vienintelę išimtį, kad virusų makrokomandos saugomos ne NORMAL.DOT, o kokiame nors kitame faile.
Taip pat virusą galima įvesti į failus, esančius STARTUP kataloge. Tokiu atveju Word automatiškai įkelia šabloninius failus iš šio katalogo, tačiau su tokiais virusais dar neteko susidurti.
Panagrinėkime virusą, skirtą užkrėsti Word dokumentus. Šis virusas naudoja paslaugos pavadinimą FileOpen. FileOpen() procedūra vykdoma kiekvieną kartą, kai vartotojas atidaro failą ir užmaskuoja save kaip įprastą dialogo langą Failas->Atidaryti failą.
InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name
Rem InfectorPath kintamasis nurodo kelią į dokumentą, kuriame yra virusas.
Dialogai(wdDialogFileOpen).Rodyti
Rem Imituoja dialogo langą Failas->Atidaryti failą
Užkrėstas = klaidingas
Kiekvienam VbKomponentui ActiveDocument.VBProject. VBC komponentai
Jei VbComponent.Name = "Virus", tada Infected = True
Rem Čia patikrinama, ar vartotojo atidarytas failas nėra virusas
Jei neužsikrėtęs, tada
Rem Jei failas neužkrėstas, virusas pridedamas prie failo
CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath
Vieša antrinė kopijavimo makrokomanda (nauja paskirties vieta, naujas šaltinis)
Klaida Eiti į kitą eilutę
Application.OrganizerCopy Šaltinis:= _
NewSource, Destination:=NewDestination, Name:="Virus", Objektas:= _
WdOrganizerObjectProjectItems
Rem nukopijuokite modulį su virusu
ActiveDocument.Save
Rem išsaugokite dokumentą
5. Apsaugos nuo virusų metodai dokumentų makrokomandose
Makrovirusus dažniausiai rašo moksleiviai savęs patvirtinimo tikslais. Tokie virusai nieko blogo nedaro – jie tiesiog dauginasi jūsų kompiuteryje. Tačiau neturėtumėte pamiršti apsaugos nuo makrovirusų priemonių, nes naudodami WordBasic galite parašyti virusą, kuris sugadina Word dokumentus ar net formatuoja standųjį diską. Makrovirusų ypatumas yra tas, kad įprasti antivirusai jų neatpažįsta. Norėdami apsisaugoti nuo makrovirusų, rekomenduojame MacCafee ViruScan. (http://www.macafee.com). Be to, yra keletas paprastų būdų apsisaugoti nuo infekcijos. Programoje Word 6.0 visos makrokomandos saugomos šablonų failuose (*.dot) ir pasiekiamos tik atidarius šabloną. Kadangi „Word“ automatiškai įkelia visuotinį šabloną „Normal.dot“, kai jį atidarote, visi virusai linkę ten įrašyti save. Todėl, jei dirbate su Word 6.0, nustatykite failą Normal.dot kaip tik skaitomą. Kita galimybė – atidaryti įtartinus dokumentus paspausti klavišą „Shift“, kad automatinės makrokomandos nebūtų vykdomos. Ir, žinoma, jei makrokomandų sąraše rasite pavadinimus, kurie prasideda raide auto, iš karto juos ištrinkite Word97 makrokomandos gali būti ne tik šablonuose, bet ir įprastuose dokumentuose. Kaip jau minėta, norint automatiškai paleisti makrokomandą įvykus tam tikram įvykiui, makrokomanda turi turėti vieną iš šių pavadinimų:
- „AutoExec“ – veikia, kai paleidžiamas „Word“ arba įkeliamas visuotinis šablonas
- AutoNew – paleidžiamas, kai sukuriamas naujas dokumentas
- Automatinis atidarymas – suaktyvinamas atidarius dokumentą
- Automatinis uždarymas – suaktyvinamas, kai dokumentas uždaromas
- Automatinis išėjimas – suaktyvinamas, kai išeinate iš Word arba uždarote visuotinį šabloną.
Žinoma, tokių makrokomandų vykdymą galite atšaukti paspaudę Shift klavišą įkeldami Word, taip pat atidarydami, kurdami ir uždarydami dokumentus, tačiau šis metodas atrodo varginantis. Parašykime makrokomandą, kuri neleidžia vykdyti automatinių makrokomandų:
MsgBox "Mes neleisime virusams daugintis!"
WordBasic.DisableAutoMacros
Kad dokumentai nebūtų užkrėsti makrovirusais, turite gerai suprasti, kaip jie veikia. „Microsoft Office“ kūrėjai palengvino užpuolikų darbą, įvesdami galimybę „Word“ komandas pakeisti vartotojo makrokomandomis. Tai reiškia, kad jei jūsų dokumente yra makrokomanda, vadinama, tarkime, „FileOpen“, ji bus vykdoma kiekvieną kartą atidarius kitą dokumentą.
Word 97 vartotojai yra ypač pažeidžiami Senose gerose Word versijose makrokomandas buvo galima saugoti tik šablonuose (*.dot failuose). Office"97 leidžia makrokomandas saugoti tiesiai dokumente – todėl atsiranda daugiau galimybių plisti virusams.
Makro šeimos virusai
„Macro“ šeimos virusai naudoja makro kalbų, integruotų į duomenų apdorojimo sistemas (teksto redaktorius, skaičiuokles ir kt.), galimybes.
Tam, kad virusai egzistuotų konkrečioje sistemoje, joje turi būti integruota makrokomandų kalba, galinti susieti programą makrokomandos kalba su konkrečiu failu, kopijuoti makrokomandas iš vieno failo į kitą ir valdyti makrokomandų programa be vartotojo įsikišimo (automatinės arba standartinės makrokomandos).
Šias sąlygas atitinka „Microsoft Word“ ir „AmiPro“ redaktoriai, taip pat „Excel“ skaičiuoklė. Šiose sistemose yra makrokomandų kalbos (Word - Word Basic, Excel - Visual Basic), o makrokomandos yra susietos su konkrečiu failu (AmiPro) arba yra failo viduje (Word, Excel), makrokomandų kalba leidžia kopijuoti failus. (AmiPro) arba perkelti makro programas į aptarnavimo sistemos failus (Word, Excel), dirbant su failu tam tikromis sąlygomis (atidarant, uždarant ir pan.), iškviečiamos makro programos (jei yra), kurios apibrėžiamos specialiu būdu. („AmiPro“) arba turėti standartinius pavadinimus („Word“, „Excel“).
Taigi, šiandien žinomos trys sistemos, kurioms egzistuoja virusai – Microsoft Word, Excel ir AmiPro. Juose virusai perima kontrolę, kai atidaromas arba uždaromas užkrėstas failas, perima standartines failų funkcijas ir tada užkrečia failus, prie kurių kažkokiu būdu pasiekiama. Analogiškai su MS-DOS galime teigti, kad makrovirusai yra rezidentiniai – jie yra aktyvūs ne tik failo atidarymo/uždarymo momentu, bet ir tol, kol veikia pats redaktorius (sistema).
Virusai, skirti Microsoft Office"97
Macro.Office97.Frenzy
Susideda iš vienos Frenzy makrokomandos su AutoOpen automatine funkcija. Užkrečiama sistema, kai atidaromas užkrėstas failas. Tada jis įrašomas į dokumentus, kai jie atidaromi. Priklausomai nuo sistemos datos ir sistemos atsitiktinio skaitiklio, rodomas tekstas
Word97.Frenzy pateikė Pyro
Makro.Office97.Minimal
Gana primityvus makrovirusas, skirtas Office 97. Jame yra viena AutoOpen makrokomanda. Ji užkrečia sistemą, kai atidaromas užkrėstas failas, jis taip pat įrašomas į dokumentus, kai jie atidaromi. Yra komentuojamas tekstas
Veselinas Bontčevas
Macro.Office97.NightShade
Jį sudaro viena „NightShade“ makrokomanda, kurioje yra automatinio uždarymo funkcija, kuri užkrečia sistemą ir dokumentus, kai failai uždaromi. Išjungia integruotą apsaugą nuo virusų ir leidžia paleisti automatines funkcijas. Priklausomai nuo dabartinės datos ir sistemos atsitiktinio skaitiklio, rodomas tekstas
Pyro Word97.NightShade
13 šeštadieniais nustato NightShade slaptažodį dokumentuose.
Virusai, skirti Microsoft Excel
Makro.Excel.Laroux
Užkrečia Excel skaičiuokles (XLS failus). Yra dvi makrokomandos: Auto_Open ir Check_Files. Kai atidarote užkrėstą failą, „Excel“ automatiškai paleidžia makrokomandą „Auto_Open“. Viruse šioje makrokomandoje yra tik viena komanda, kuri apibrėžia makrokomandą Check_Files kaip vykdomą, kai suaktyvinama bet kokia lentelė (sheet). Taigi, virusas perima lentelių atidarymo procedūrą ir suaktyvinus lentelę, užkrėstas Excelis iškviečia Check_Files makrokomandą, tai yra viruso kodą.
Patikrinusi makrokomandą „Check_Files“ „Excel“ paleisties kataloge ieško failo PERSONAL.XLS ir patikrina modulių skaičių dabartinėje darbaknygėje. Jei darbaknygė su virusu yra aktyvi ir PERSONAL.XLS failas neegzistuoja (pirma infekcija), tada virusas sukuria failą tokiu pavadinimu Excel paleisties kataloge naudodamas komandą SaveAs. Dėl to į jį įrašomas viruso kodas iš dabartinio failo. Kitą kartą įkėlus Excel įkelia visus XLS failus iš paleisties katalogo, užkrėstas PERSONAL.XLS failas taip pat įkeliamas į atmintį, virusas vėl įgauna kontrolę, o atidarant lenteles vėl bus iškviesta Check_Files makrokomanda iš PERSONAL.XLS. .
Jei dabartinėje darbaknygėje modulių skaičius yra 0 (užkrėsta darbaknygė neaktyvi) ir failas PERSONAL.XLS jau yra, virusas perrašo savo kodą į aktyvią darbaknygę. Po to aktyvi darbaknygė užsikrečia.
Patikrinti, ar sistemoje nėra virusų, nėra sunku. Jei virusas jau prasiskverbė į kompiuterį, tuomet Excel kataloge turi būti failas PERSONAL.XLS, kuriame matoma eilutė laroux (mažomis raidėmis). Ta pati eilutė yra ir kituose užkrėstuose failuose.
Macro.Excel.Legend
Makrovirusas, užkrečiantis Excel failus. Turi vieną modulį (makrokomandą), pavadintą Legend. Šis modulis apima dvi procedūras – Auto_Open ir INFECT. „Auto_Open“ yra „Excel“ procedūra, kuri automatiškai iškviečiama atidarius failą. Paleidus, Auto_Open įdiegia antrąją viruso procedūrą (Infect) kaip SheetActivate įvykių tvarkyklę, tai yra, atidarius bet kurią lentelę, Excel iškvies Infect procedūrą.
Iškviesta procedūra Infect užkrečia arba PERSONAL.XLS failą (kai atidarytas užkrėstas failas), arba dabartinį failą (jei jis dar neužkrėstas). Po užsikrėtimo virusas iš meniu pašalina elementą Tools/Macro. Jei UserName = "Pyro" ir OrganizationName = "VBB", virusas iš karto nustoja veikti ir neužkrečia jokių failų. Priklausomai nuo esamos dienos ir sistemos atsitiktinio skaitiklio, virusas parodo MessageBox:
Jus užkrėtė legenda!
Macro.Excel.Robocop
Makrovirusas, kuris atakuoja Excel failus. Apima du modulius (makrokomandas): COP ir ROBO. ROBO modulyje yra automatiškai vadinama procedūra Auto_Open, kuri, atidarius užkrėstą dokumentą, įrašo viruso kodą į PERSONAL.XLS failą ir viruso kodui nustato lentelės aktyvinimo tvarkyklės (SheetActivate) adresą. Tada virusas užkrečia failus, kai atidaromos lentelės.
ROBOCOP Nightmare Joker
Macro.Excel.Sofa
Užkrečia Excel skaičiuokles. Turi vieną modulį (makrokomandą), kurio pavadinimą sudaro 11 tarpų, todėl jis nėra matomas meniu Įrankiai/Makrokomandos esančiame makrokomandų sąraše. Modulis turi keturias makrofunkcijas: Auto_Open, Auto_Range, Current_Open, Auto_Close. Dėl to visos viruso funkcijos grąžina Null.
Kai atidarote užkrėstą failą, suveikia Auto_Open makrokomandos funkcija, kuri „pervardija“ Excel – pavadinimo eilutėje vietoj Microsoft Excel pasirodo Microsofa Excel. Jei paleisties kelio kataloge nėra failo BOOK.XLT (sistema dar neužkrėsta), tada ekrane rodomas toks pranešimas:
Microsoft Excel aptiko sugadintą priedo failą. Spustelėkite Gerai, kad pataisytumėte šį failą.
Neatsižvelgiant į vartotojo atsakymą, paleisties kelio kataloge sukuriamas failas BOOK.XLT su viruso kodu. Po užsikrėtimo rodomas pranešimas
Failas sėkmingai pataisytas!
Įkėlęs Excel automatiškai atsisiunčia XLT failus iš Startup Path ir atitinkamai suaktyvina virusą. Virusas savo funkciją Auto_Range priskiria funkcijai OnSheetActivate ir kiekvieną kartą aktyvavus lentelę patikrina, ar aktyvus failas neužkrėstas, o jei failas neužkrėstas, jį užkrečia.
Virusas neleidžia išsikrauti iš „Excel“ – uždarant kiekvieną failą, „OnWindow“ funkcijai priskiria tą pačią „Auto_Range“ funkciją, tai yra, ji vėl aktyvuojama atidarius naują failą.
Macro.Excel.Yohimbe
Susideda iš vieno modulio (makrokomandos), pavadinto Exec. Šiame modulyje yra trys procedūros: Auto_Open, DipDing, PayLoad ir SheetExists funkcija. Auto_Open paprogramė automatiškai iškviečiama atidarius užkrėstą failą – virusas užkrečia PERSONAL.XLS. Bet kokios klaidos atveju virusas įrašomas į visus atidarytus failus (knygas). Prieš grąžindamas valdymą, „Auto_Open“ nustato „DipDing“ tvarką į „Excel“ laikmatį. Ši rutina iškviečiama nuo 16:00 ir užkrečia atidarytus failus.
Virusas įrašo eilutę Yohimbe į lentelės antraštę. Jis taip pat nustato „PayLoad“ paprogramės laikmatį – jis iškviečiamas 16:45 ir įterpia vaizdą bei tekstą į esamą lentelę.