Macrovirusurile sunt viruși. Ce sunt virușii macro în computere? Viruși pentru Microsoft Excel

Există programe care folosesc propriul limbaj de programare în munca lor, numite limbaje macro. Astfel de limbi macro sunt de obicei integrate în editorii de text și foi de calcul. De exemplu, Microsoft Word și Excel au propriile lor limbaje macro. Virușii care sunt scrisi și folosesc limbaje macro în scopurile lor sunt numiți viruși macro. Cu alte cuvinte, virușii macro sunt viruși scriși în limbaje de programare macro.

Ce sunt macro-urile?

Macro-urile sau comenzile macro sunt comenzi scrise de utilizator. Când este apelată o macrocomandă, procesul care este imbricat în ele va fi executat. Pe frontul păcii, astfel de macrocomenzi pot fi o modalitate bună de a ușura munca lungă, obositoare și de rutină. Tot ce trebuie să faceți este să scrieți algoritmul corespunzător și mașina va face totul singură. De exemplu, în Word și Excel există macrocomenzi pentru deschiderea, salvarea unui fișier și așa mai departe. Astfel de macrocomenzi pot crește semnificativ viteza de lucru a utilizatorului.

Cum funcționează macrovirusurile

Deoarece editarea macro-ului unui fișier separat, dacă aveți cunoștințele adecvate, nu pare dificilă, nu ar trebui să existe probleme mari cu crearea unui virus macro. După aceasta, documentul infectat este cumva livrat victimei. Prin deschiderea unui document și rularea unei macrocomenzi infectate (adică efectuând o anumită acțiune care a fost predeterminată), utilizatorul activează codul rău intenționat. Primul lucru pe care îl vor face mulți viruși macro este să încerce să rescrie macrocomenzile șablonului de document principal, de exemplu, șablonul principal de fișier Word, care este folosit pentru a deschide orice fișier cu formatul adecvat. Acest lucru va asigura că atunci când orice document este deschis, virusul va fi descărcat împreună cu acesta. După cum am spus deja în articolul despre asta, fiecare virus încearcă în primul rând să-și asigure distribuția pe scară largă. Ei bine, atunci este o chestiune de tehnologie: copierea codului rău intenționat pe toate documentele nou deschise. Și din moment ce schimbăm documente destul de des, virusul se va reproduce destul de bine.

Daune cauzate de macrovirusuri

Domeniul de lucru al macrovirusurilor este documentele. Și, în principiu, pot face ce vor cu documentele tale. Dar, pe lângă aceasta, macrovirusurile pot dăuna și computerului în sine, adică cu o dorință specială, macrovirusurile pot câștiga controlul asupra computerului în sine. Prin urmare, nu este nevoie să luați în considerare macrovirusurile doar ca dăunători ai documentelor.

Primul virus macro din istorie

Primul macrovirus documentat a fost virusul Concept, care a fost lansat în 1995. Nu a făcut nimic deosebit de groaznic. Nu a făcut niciun rău, dar virusul Concept a arătat lumii digitale că fișierele pot conține și coduri rău intenționate.

Desigur, amintirea fiecăruia dintre ei „din vedere” este o sarcină imposibilă și inutilă. Cu toate acestea, unii merită încă să știți mai multe din cauza pericolului și apariției pe scară largă. În acest material vom analiza ce sunt aceștia macrovirusuri. Și, de asemenea, de ce este important să se evalueze în mod adecvat amenințarea acestora.

Virușii macro sunt...

Prima jumătate a numelui elementului rău intenționat provine de la cuvântul „macro”. Aceasta este o componentă integrată a unui document MS Word sau Excel, scris în VBA. Macro-ul are o gamă destul de largă de capabilități: poate formata un hard disk, poate șterge fișiere, poate copia date confidențiale din informațiile stocate pe un computer și le poate trimite prin e-mail. Prin urmare, există un mare pericol de a învinge un astfel de element.

Un virus macro este un program scris într-un limbaj macro pentru integrarea ulterioară într-un număr de sisteme de procesare, programe de text și editoare, software pentru foi de calcul etc. Propagarea elementelor rău intenționate are loc datorită capacităților limbilor macro. Prin urmare, ele se transferă destul de ușor de la document la document, de la un computer la altul. Ce fișiere sunt cel mai des infectate de viruși macro? Acestea sunt în principal documente Word și Excel.

Cum are loc distribuția?

Infectarea unui PC este destul de simplă. Tot ce trebuie să faceți este să deschideți sau să închideți un fișier infectat cu macrovirus de pe computer. În același timp, elementele rău intenționate le interceptează pe cele standard și apoi încep să infecteze toate fișierele similare pe care le accesați pe dispozitiv.

Virușii macro sunt, de asemenea, elemente malițioase rezidente. Adică sunt active nu doar în momentul deschiderii/închiderii unui document, ci pe toată durata funcționării unui program de tip text, grafic sau tabelar! Și unele dintre ele pot rămâne chiar în memoria RAM a computerului până când acesta este oprit.

De asemenea, trebuie remarcat faptul că acestea sunt extrem de ușor de creat: un atacator trebuie doar să deschidă Word, să meargă la „Serviciu” și apoi să acceseze „Macro-uri”. Apoi, selectează editorul Visual Basic, unde poate deja să scrie un program rău intenționat în VBA.

Cum funcționează virusul

Când implementează o anumită comandă, Word caută și execută macrocomenzile corespunzătoare:

  • Salvarea unui document - FileSave.
  • Imprimare - FilePrint.
  • Deschiderea unui fișier text - AutoOpen.
  • Închiderea unui document - Închidere automată.
  • Lansarea programului în sine - AutoExec.
  • Crearea unui fișier nou - AutoNew etc.

Macrocomenzi similare, dar cu nume diferite, sunt de asemenea folosite în Excel.

Pentru a infecta un fișier Word, malware-ul folosește una dintre aceste tehnici:

  • Un macrovirus conține deja un automacro.
  • Înfrângerea sistemului începe atunci când setați sarcina să fie finalizată, intenționată de dezvoltatorul virusului.
  • Una dintre macrocomenzile standard este suprascrisă. De obicei, acesta din urmă este asociat cu un fel de element de meniu Word.
  • Apăsând o anumită tastă sau o combinație de taste, tu, fără să știi, declanșezi un automacro rău intenționat. Și deja își începe „munca”.

Virușii macro infectează fișierele în felul următor:

  1. Deschideți documentul text afectat.
  2. Codul virusului este copiat în macrocomenzile documentelor globale.
  3. Acestea din urmă, deja infectate, sunt scrise automat într-un document dot (un șablon numit Normal.dot) atunci când fișierul este închis.
  4. În continuare, revine virusului să înlocuiască macrocomenzile standard. Acest lucru îl ajută să intercepteze comenzile pentru lucrul cu documente electronice.
  5. Când aceste macrocomenzi sunt apelate de dvs., fișierul la care lucrați devine infectat.

Acum să decidem cum să determinăm prezența acestor elemente rău intenționate pe computer.

Detectarea virusului macro

Virușii fișierelor din texte și tabele pot fi identificați după cum urmează:

  • Nu pot scrie un document pe alt disc sau director folosind „Salvare ca...”
  • Imposibilitatea de a salva un fișier într-un alt format (verificat folosind comanda „Salvare ca...”).
  • Modificările pe care le-ați făcut nu pot fi salvate în fișier.
  • Fila Nivel de securitate devine indisponibilă. Îl puteți găsi de-a lungul căii: „Serviciu” - „Macro” - „Securitate”.
  • Când lucrați cu un document, poate apărea un mesaj de sistem care indică o eroare.
  • Fișierul „se comportă” diferit.
  • Dacă faceți clic dreapta pe meniul contextual al unui document suspect și faceți clic pe „Proprietăți”, atunci în secțiunile filei „Rezumat”, dezvoltatorul de malware va indica informații aleatorii sau doar un set de caractere.

Depanare

Cel mai simplu mod de a preveni orice dezastru, desigur. În acest caz, computerul dvs. ar trebui să aibă un antivirus modern cu o bază de date de amenințări actualizată constant. Multe astfel de programe au un monitor încărcat în RAM. Detectează fișierele infectate de îndată ce încercați să le deschideți. Antivirusul încearcă în primul rând să vindece un astfel de document, iar dacă nu reușește (ceea ce se întâmplă foarte rar), blochează accesul la acesta.

Dacă găsiți o amenințare pe un computer neprotejat, trebuie să descărcați un antivirus sau un utilitar adecvat care va detecta, neutraliza sau șterge fișierul infectat. De asemenea, este important să fii vigilent: nu deschide documente din surse necunoscute pentru tine sau, ca ultimă soluție, scanează-le pentru elemente rău intenționate înainte de a face acest lucru.

Virușii macro sunt o amenințare care se răspândește prin fișiere text și tabel. Astăzi este ușor de detectat și eliminat, ceea ce nu diminuează pericolul și daunele cauzate de acest program rău intenționat.

Virușii macro sunt utilitare potențial nedorite scrise în microlimbi care sunt încorporate în sistemele de procesare grafică și text. Ce fișiere sunt infectate de viruși macro? Răspunsul este evident. Cele mai comune versiuni pentru Microsoft Excel, Word și Office 97. Acești viruși se găsesc destul de des, iar crearea lor este la fel de ușoară precum decojirea perelor. De aceea ar trebui să fii extrem de atent și atent atunci când descărcați documente de pe Internet. Majoritatea utilizatorilor le subestimează, făcând astfel o greșeală gravă.

Cum se infectează un computer?

După ce ne-am hotărât ce sunt virușii macro, să ne dăm seama cum pătrund aceștia în sistem și infectează computerul. O metodă simplă de reproducere a acestora vă permite să loviți numărul maxim de obiecte în cel mai scurt timp posibil. Datorită capacităților limbilor macro, la închiderea sau deschiderea unui document infectat, acestea pătrund în programele accesate.

Adică, atunci când utilizați un editor grafic, virușii macro infectează tot ce este legat de acesta. Mai mult, unele sunt active tot timpul în timp ce editorul de text sau grafică funcționează sau chiar până când computerul este complet oprit.

Care este principiul muncii lor?

Acestea funcționează după următorul principiu: atunci când lucrează cu documente, Microsoft Word execută diverse comenzi emise în limbajul macro. În primul rând, programul pătrunde în șablonul principal, prin care sunt deschise toate fișierele cu acest format. În acest caz, virusul își copiază codul în macrocomenzi care oferă acces la parametrii principali. La ieșirea din program, fișierul este salvat automat în punct (utilizat pentru a crea documente noi). După care intră în macrocomenzi standard, încercând să intercepteze comenzile trimise către alte fișiere, infectându-le și pe acestea.

Infecția apare în următoarele cazuri:

  1. Dacă există o macrocomandă automată în virus (realizat automat când programul este oprit sau pornit).
  2. Virusul are o macrocomandă de bază de sistem (deseori asociată cu elemente de meniu).
  3. Se activează automat când apăsați anumite taste sau combinații.
  4. Se reproduce doar atunci când este lansat.

Astfel de viruși infectează de obicei toate fișierele create și asociate cu programele într-un limbaj macro.

Ce rău fac ei?

Virușii macro nu trebuie subestimați, deoarece sunt viruși cu drepturi depline și provoacă daune semnificative computerelor. Ei pot șterge, copia sau edita cu ușurință orice obiecte care conțin, printre altele, informații personale. Mai mult decât atât, pot transfera informații altor persoane folosind e-mail.

Utilitare mai puternice pot, în general, să formateze hard disk-urile și să controleze funcționarea întregului computer. De aceea este eronată opinia că acest tip de viruși informatici reprezintă un pericol exclusiv pentru editorii de grafică și de text. La urma urmei, utilitare precum Word și Excel funcționează împreună cu o serie de altele, care în acest caz sunt, de asemenea, în pericol.

Recunoașterea unui fișier infectat

Adesea, fișierele infectate cu macrovirusuri și susceptibile la influența lor nu sunt deloc greu de identificat. La urma urmei, ele funcționează complet diferit față de alte utilități din același format.

Pericolul poate fi identificat prin următoarele semne:

În plus, amenințarea este adesea ușor de detectat vizual. Dezvoltatorii lor indică de obicei în fila „Rezumat” informații precum numele utilitarului, categoria, subiectul de comentariu și numele autorului, datorită cărora puteți scăpa de un virus macro mult mai rapid și mai ușor. Îl puteți apela folosind meniul contextual.

Metode de îndepărtare

Când găsiți un fișier sau un document suspect, mai întâi scanați-l cu un antivirus. Dacă este detectată o amenințare, antivirusurile vor încerca să o vindece, iar dacă nu reușesc, vor bloca complet accesul la ea.

Dacă întregul computer a fost infectat, ar trebui să utilizați un disc de pornire de urgență care conține un antivirus cu cea mai recentă bază de date. Acesta vă va scana hard diskul și va neutraliza toate amenințările pe care le găsește.

Dacă nu vă puteți proteja în acest fel, antivirusul dvs. nu poate face nimic și nu există un disc de salvare, atunci ar trebui să încercați metoda de tratament „manuală”:


În acest fel, vei elimina virusul macro din documentul infectat, dar asta nu înseamnă în niciun caz că nu rămâne în sistem. De aceea se recomanda scanarea intregului computer personal si a tuturor datelor acestuia cu un antivirus sau (avantajul lor este ca nu necesita instalare) cu prima ocazie.

Procesul de tratare și curățare a unui computer de infecția cu macrovirusuri este destul de complex, așa că este mai bine să preveniți infecția în stadiile inițiale.


În acest fel, vă veți proteja și virușii macro nu vor pătrunde niciodată în fișierele corespunzătoare.

Un virus de computer este un tip de program de calculator sau cod rău intenționat, a cărui trăsătură distinctivă este capacitatea de a se reproduce (auto-replicare). În plus, virușii pot efectua și alte acțiuni arbitrare fără știrea utilizatorului, inclusiv cele care dăunează utilizatorului și/sau computerului.
Chiar dacă autorul virusului nu a programat efecte rău intenționate, virusul poate duce la blocări ale computerului din cauza erorilor și a subtilităților nesocotite ale interacțiunii cu sistemul de operare și alte programe. În plus, virușii ocupă de obicei ceva spațiu pe dispozitivele de stocare și iau alte resurse de sistem. Prin urmare, virușii sunt clasificați ca malware.

Introducere
4
1. Viruși macro
6
1.1 Informații generale despre macrovirusuri
7
8
2. Enunțarea problemei
10
3. Revizuirea celor mai faimoși viruși din macro-urile documentelor
11
3.1 Răspândirea macrovirusurilor
13
3.2 Algoritmul macrovirusurilor pentru Microsoft Office
14
4. Metode de protecție împotriva virușilor în macro-urile documentelor
16
4.1 Detectarea macro-virusului
17
4.2 Restaurarea obiectelor afectate
18
5. Crearea de viruși în macro-uri și introducerea acestora în fișierele documentului
19
5.1 Afișarea constantă a unui mesaj pe ecran
19
5.2 Lansarea unei aplicații dintr-un virus macro
19
5.3 Autostart și execuție
20
Concluzie
21
Lista literaturii folosite

Lucrarea conține 1 fișier

Procedurile programului pot fi executate direct sau activate la cererea altor macro-uri. Sintaxa lor este următoarea:

Sub<Имя_Макроса>
-> cod macro<-
„Comentariul începe cu un apostrof
End Sub
Un exemplu este următoarea macrocomandă:
„Această macrocomandă deschide o fereastră de dialog și afișează un mesaj în ea
Sub Stupid_Greeting
MsgBox „HALLOW WORLD”
End Sub

1.2 Principii de funcționare a virușilor macro

Când lucrați cu un document, versiunile MS Word 6 și 7 efectuează diverse acțiuni: deschideți documentul, salvați, imprimați, închideți etc. În același timp, Word caută și execută macrocomenzile încorporate corespunzătoare: atunci când salvează un fișier folosind comanda File/Save se apelează macro-ul FileSave, când la salvare se utilizează comanda File/SaveAs - FileSaveAs, la tipărirea documentelor - FilePrint etc., dacă, desigur, sunt definite astfel de macro-uri.

Există, de asemenea, câteva „macrocomenzi automate” care sunt apelate automat în diferite condiții. De exemplu, când deschideți un document, Word verifică prezența macrocomenzii AutoOpen. Dacă o astfel de macrocomandă este prezentă, atunci Word o execută. La închiderea unui document, Word execută macrocomanda AutoClose, la pornirea Word, se apelează macrocomandă AutoExec, la închidere - AutoExit și la crearea unui document nou - AutoNew. Mecanisme similare, dar cu nume de macrocomandă și funcții diferite, sunt utilizate în Excel/Office 97.

Virușii macro care infectează fișierele Word, Excel sau Office 97 folosesc de obicei una dintre cele trei tehnici enumerate mai sus:

  1. virusul conține o automacro (funcție automată);
  2. virusul suprascrie una dintre macrocomenzile standard ale sistemului (asociată cu un element de meniu);
  3. Macrocomanda virusului este apelată automat atunci când apăsați orice tastă sau combinație de taste.

Există, de asemenea, semi-virusuri care nu folosesc tehnicile enumerate și se reproduc numai dacă utilizatorul le lansează independent pentru execuție.

Majoritatea virușilor macro conțin toate funcțiile lor sub formă de macrocomenzi standard MS Word/Excel/Office 97. Există totuși viruși care folosesc tehnici pentru a-și ascunde codul și pentru a-și stoca codul sub formă de non-macro. Sunt cunoscute trei astfel de metode. Toate profită de capacitatea macrocomenzilor de a crea, edita și executa alte macrocomenzi. De obicei, astfel de viruși au un mic (uneori polimorf) încărcător de macro-uri care apelează editorul de macro-uri încorporat, creează o nouă macrocomandă, o completează cu codul principal al virusului, îl execută și apoi, de obicei, îl distruge pentru a ascunde urmele virusului.

  1. Formularea problemei

Obiectivele principale ale acestui proiect de curs sunt:

  1. prezentare generală a celor mai faimoși viruși din macro-urile documentelor;
  2. răspândirea virușilor în macro-urile documentelor;
  3. metode de protecție împotriva virușilor în macro-urile documentelor;
  4. Crearea de viruși în macro-uri și implementarea acestora;
    1. Revizuirea celor mai faimoși viruși din macro-urile documentelor

Saver (tradus din engleză ca „Saver”) este un virus macro care funcționează pe mașini cu software MS Office instalat, ale cărui componente includ Word 97 (versiunea 8.0) sau Word 2003 (versiunea 11.0 - compania de dezvoltare Microsoft a implementat versiunea sa este compatibilă). cu toate versiunile anterioare de Word, care a fost motivul pentru care virusul a funcționat sub el). Virusul și-a primit numele de la șirul de text „copyright” conținut în codul său:
SaverVirus, precum și pentru capacitatea de a crea copii ale documentelor infectate cu acesta pe disc. Scrisă pe 2 februarie 2000 în Konotop, așa cum demonstrează o altă linie de text „drepturi de autor” în corpul său:
Macro înregistrat la 02.02.00 KONOTOPE

Saver infectează documentele salvate în format DOC, precum și fișierele cu setări MS Office (fișiere DOT). Un virus nu poate infecta documentele scrise în format RTF, deoarece... în structura acestuia din urmă nu există macro-secțiuni sau „macro-secțiuni” (secțiuni cu setări legate de designul documentului curent - dimensiunea și tipul fontului, dimensiunea marginii, locația obiectului etc.), ceea ce elimină posibilitatea infectării acestora. . Un virus poate fi introdus într-o mașină doar prin documente infectate sau fișiere de setări cu extensiile de mai sus, dacă sunt deschise de utilizator și apoi ignoră avertismentul de protecție macro integrată în Word:

Fig1 Avertisment despre rularea unei macrocomenzi

Infecția va apărea dacă este selectată opțiunea „Nu dezactivați macrocomenzi”, ceea ce, din anumite motive, este ceea ce fac majoritatea utilizatorilor atunci când apare această solicitare. După aceasta, Saver dezactivează protecția antivirus încorporată în Word 97 în macro-uri - VirusProtection (sub Word 2003 virusul nu poate face acest lucru, deoarece principiul acestei protecție este ușor diferit) și infectează fișierul șablon de setări al acestui editor:

Cu Word97:
C:\ProgramFiles\MicrosoftOffice\Templates\Normal .dot

Cu Word2003:
C:\Documents and Settings\%nume utilizator curent%\Application Data\Microsoft\Templates\Normal. punct
Prin schimbarea dimensiunii sale nominale de la 26624 de octeți la 39424 de octeți sau de la 27136 de octeți la 39936 de octeți (explicație: Normal.dot poate avea una dintre cele două dimensiuni nominale indicate, care depinde de unele condiții de sistem) pentru Word 97 (pentru Word 2003 valoarea de fișierul șablon infectat poate fi diferit, deoarece dimensiunea originală a acestui obiect poate varia semnificativ în funcție de un număr de setări stabilite în Word. Apoi, virusul atenuează fișierul Normal.dot, transformându-l într-un dropper al programului său („dropper ” - trigger, activator): își modifică conținutul în așa fel încât controlul să fie transferat codului virusului Virusul salvează acest cod în fișierul saver.dll pe care îl creează:

Cu Word97:
C:\ProgramFiles\MicrosoftOffice\Office\saver. dll

Cu Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver .dll

Acest fișier are o dimensiune de 29696 de octeți și este un fișier șablon Normal.dot modificat de virus.

Clasa W97M

Class.sys este un fișier auxiliar pentru virusul W97M.Class, „plasat” în directorul rădăcină C:\. Textul programului virus este la sfârșitul documentului (o parte a programului este scrisă în Normal.dot, deoarece corpul programului conține o verificare pentru numărul de linii din acest șablon). Virusul infectează fișierul Normal.dot (acesta este un șablon Word97, virusul îl face mai mare de 50 kB) și, de asemenea, infectează toate documentele Word deschise, de exemplu. fișiere cu extensia *.doc și le face de aproximativ 2 ori mai mari ca dimensiune.
Virusul devine activ după data de 14 mai și va continua să vă „bunutească” în data de 14 a fiecărei luni următoare. Amestecă rândurile în documente, afișează mesajul: „Cred că „NUME DE UTILIZATOR” este un nebun mare!”

după aceea înlocuiește liniile, salvează documentul și îl închide.

W97M.Ethan este un virus macro format dintr-o singură comandă macro. Infectează documentele aplicației Word97 atunci când sunt închise și șablonul global NORMAL.DOT.

Un factor favorabil în răspândirea virusului W97M.Ethan este că în Microsoft Word macro-urile sunt lansate automat atunci când orice document este deschis, închis, salvat etc.

În plus, există un așa-numit șablon general NORMAL.DOT și macro-urile plasate în șablonul general sunt lansate automat la deschiderea oricărui document. Având în vedere că copierea macro-urilor din document în document (în special, pe un șablon comun) se realizează cu o singură comandă, atunci mediul Microsoft Word pare ideal pentru existența unor macro-virusuri precum W97M.Ethan

Infecția sistemului:

După ce intră în sistem, virusul plasează singura sa macrocomandă la începutul unui modul scris în VBA (Visual Basic for Applications) - „ThisDocument”. „ThisDocument” este un modul din șablonul MS Word 97.

Când infectează un document sau un șablon general, virusul folosește un fișier text temporar „C:\Ethan.___” care este sursa codului său de virus. Virusul atribuie atribute de sistem și ascunse acestui fișier.

4. Răspândirea macrovirusurilor

Când este lansat Word, Normal.dot transferă controlul către „fișierul șablon” saver.dll de virus. Experimentele efectuate cu virusul pe o mașină de testare au dat următoarele rezultate:

1. Virusul infectează documentele atunci când sunt închise: își scrie codul în secțiunea lor macro folosind propria macrocomandă AutoSave. În acest caz, virusul blochează cererea standard de confirmare a salvării unui document cu modificările aduse acestuia, în urma căreia toate modificările aduse documentului atât de către virus, cât și de utilizator sunt salvate automat fără știrea acestuia din urmă.

2. Dacă documentul a fost pur și simplu deschis de utilizator sau editat și salvat prin opțiunea „Salvare”, virusul infectează acest document; dacă acesta din urmă a fost ressalvat de utilizator prin opțiunea „Salvare ca...”, atunci virusul infectează doar documentul ressalvat și îl lasă pe cel original neschimbat. Mai mult, în ambele cazuri, creșterea dimensiunii fișierului după infectare depinde de o serie de condiții și nu are o semnificație exactă.

3. Având în vedere faptul că virusul reinfectează documentele chiar și pur și simplu atunci când le vizualizează fără ca utilizatorul să facă modificări, dimensiunea fișierelor este în continuă creștere și, prin urmare, la mașinile vechi cu hard disk-uri mici, spațiul liber scade foarte repede . Mașina poate experimenta, de asemenea, o încetinire severă atunci când lucrează cu Word, care este asociată cu costuri suplimentare ale resurselor RAM pentru procesarea macro-secțiunilor de documente infectate „umflate” de virus și, în cele din urmă, poate deveni un motiv real pentru ca acesta din urmă să înghețe atunci când deschizându-le.

4. După infectarea primului document pe o mașină curată, virusul își creează propriul subdirector:

Cu Word97:
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\

Cu Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\

În care este copiat fiecare dintre documentele nou infectate. Ulterior, dacă numele documentului deschis în prezent infectat de virus (în mod repetat sau pentru prima dată - nu contează) se potrivește cu numele unei copii a documentului aflat deja în directorul „Doc_Copy”, atunci virusul, în funcție de contoarele sale interne, pot suprascrie conținutul original al conținutului documentului curent din fișierul de copiere, ceea ce atrage după sine pierderea irecuperabilă a conținutului documentului curent.
Există, de asemenea, posibilitatea de scurgere de date confidențiale dacă mai mulți utilizatori lucrează la mașină: de exemplu, unul dintre ei lucrează de pe o dischetă cu un document care conține informații financiare secrete sau alte informații pe care alți utilizatori nu ar trebui să le cunoască. Cu toate acestea, după ce virusul creează o copie a acestui fișier în folderul „Doc_Copy”, conținutul documentului poate fi disponibil pentru vizualizare de către alți utilizatori ai acestui computer.

5. După închiderea Word, programul antivirus este dezactivat automat - se declanșează macrocomanda virusului AutoClose.

4.1 Algoritmul macrovirusurilor pentru Microsoft Office

Cei mai cunoscuți viruși Word (versiunile 6, 7 și Word 97) la lansare își transferă propriul cod în zona de macrocomandă globală a documentelor ("generale").

Când ieșiți din Word, macrocomenzile globale (inclusiv macrocomenzile viruși) sunt scrise automat în fișierul DOT al macrocomenzilor globale (de obicei NORMAL.DOT). Astfel, virusul este activat în momentul în care Word încarcă macrocomenzi globale.

Apoi virusul suprascrie (sau conține deja) una sau mai multe macrocomenzi standard (de exemplu, FileOpen, FileSave, FileSaveAs, FilePrint) și astfel interceptează comenzile pentru lucrul cu fișierele. Când aceste comenzi sunt apelate, fișierul accesat este infectat. Pentru a face acest lucru, virusul convertește fișierul în formatul șablon (ceea ce face imposibilă modificarea ulterioară a formatului de fișier, adică conversia în orice format care nu este șablon) și își scrie macrocomenzile în fișier, inclusiv macro-ul Auto.

O altă modalitate de a introduce un virus într-un sistem se bazează pe așa-numitele fișiere „Add-in”, adică fișiere care sunt completări de servicii la Word. În acest caz, NORMAL.DOT nu este modificat, iar Word, atunci când este lansat, încarcă macrocomenzile virusului din fișierul (sau fișierele) definite ca „Add-in”. Această metodă reproduce aproape complet infecția macrocomenzilor globale, cu singura excepție că macrocomenzile virusului sunt stocate nu în NORMAL.DOT, ci într-un alt fișier.

De asemenea, este posibil să introduceți un virus în fișierele aflate în directorul STARTUP. În acest caz, Word încarcă automat fișiere șablon din acest director, dar astfel de viruși nu au fost încă întâlniți.
Să luăm în considerare un virus conceput pentru a infecta documentele Word. Acest virus folosește numele de serviciu FileOpen. Procedura FileOpen() este executată ori de câte ori utilizatorul deschide un fișier și se deghizează într-un dialog obișnuit Fișier->Deschidere fișier.

InfectorPath = MacroContainer.Path + „\” + MacroContainer.Name

Rem Variabila InfectorPath specifică calea către documentul care conține virusul.

Dialogs(wdDialogFileOpen).Show

Rem simulează dialogul Fișier->Deschidere fișier

Infectat = Fals

Pentru fiecare VbComponent din ActiveDocument.VBProject. VBComponents

Dacă VbComponent.Name = "Virus" atunci Infected = True

Rem Aici fișierul deschis de utilizator este verificat pentru un virus

Dacă nu este infectat, atunci

Rem Dacă fișierul nu este infectat, virusul este atașat la fișier

CopyMacro ActiveDocument.Path + „\” + ActiveDocument.Name, InfectorPath

Public Sub CopyMacro (Destinație nouă, Sursă nouă)

La eroare GoTo the nextline

Application.OrganizerCopy Source:= _

NewSource, Destination:=NewDestination, Name:="Virus", Object:= _

WdOrganizerObjectProjectItems

Rem copiați modulul cu virusul

ActiveDocument.Salvare

Rem salvați documentul


5. Metode de protecție împotriva virușilor în macro-urile documentelor

Virușii macro sunt de obicei scrisi de școlari în scopul autoafirmarii. Astfel de viruși nu fac nimic rău - se înmulțesc doar pe computer. Cu toate acestea, nu trebuie să neglijați mijloacele de protecție împotriva virușilor macro, deoarece folosind WordBasic puteți scrie un virus care corupe documentele Word sau chiar formatați un hard disk. Particularitatea macrovirusurilor este că antivirusurile obișnuite nu le recunosc. Pentru a vă proteja împotriva macrovirusurilor, vă recomandăm ViruScan de la MacCafee. (http://www.macafee.com). În plus, există mai multe modalități simple de a preveni infecția. În Word 6.0, toate macrocomenzile sunt stocate în fișiere șablon (*.dot) și sunt disponibile numai când șablonul este deschis. Deoarece Word încarcă automat șablonul global Normal.dot când îl deschideți, toți virușii tind să se scrie acolo. Prin urmare, dacă lucrați în Word 6.0, setați fișierul Normal.dot la numai citire. O altă opțiune este să țineți apăsată tasta Shift atunci când deschideți documente suspecte pentru a preveni executarea macrocomenzilor automate. Și, desigur, dacă găsiți nume în lista de macrocomenzi care încep cu automat, ștergeți-le imediat În Word97, macrocomenzile pot fi conținute nu numai în șabloane, ci și în documentele obișnuite. După cum sa menționat deja, pentru a rula automat o macrocomandă atunci când are loc un anumit eveniment, macrocomandă trebuie să aibă unul dintre următoarele nume:

  • AutoExec - Se rulează când Word pornește sau este încărcat șablonul global
  • AutoNew - Se rulează când este creat un document nou
  • Deschidere automată - Se declanșează când este deschis un document
  • Închidere automată - Se declanșează când documentul este închis
  • Ieșire automată - Se declanșează când părăsiți Word sau închideți un șablon global.

Desigur, puteți anula execuția unor astfel de macrocomenzi apăsând tasta Shift la încărcarea Word, precum și la deschiderea, crearea și închiderea documentelor, dar această metodă pare plictisitoare. Să scriem o macrocomandă care împiedică execuția automacro-urilor:

MsgBox „Nu vom permite virușilor să se înmulțească!”


WordBasic.DisableAutoMacros


Pentru a preveni infectarea documentelor cu viruși macro, trebuie să înțelegeți bine modul în care funcționează. Creatorii Microsoft Office au ușurat atacatorii prin introducerea capacității de a înlocui comenzile Word cu comenzile macro ale utilizatorului. Aceasta înseamnă că, dacă documentul dvs. are o macrocomandă numită, de exemplu, FileOpen, aceasta va fi executată ori de câte ori este deschis un alt document.

Utilizatorii Word 97 sunt deosebit de vulnerabili În versiunile vechi bune ale Word, macrocomenzile puteau fi stocate doar în șabloane (fișiere *.dot). Office"97 vă permite să stocați macrocomenzi direct în document - prin urmare, există mai multe oportunități pentru răspândirea virușilor.

Virușii din familia Macro

Virușii familiei Macro folosesc capabilitățile limbilor macro încorporate în sistemele de procesare a datelor (editore de text, foi de calcul etc.).

Pentru ca virușii să existe într-un anumit sistem, este necesar să existe un limbaj macro încorporat în acesta, care să poată lega un program într-un limbaj macro la un anumit fișier, să copieze programe macro dintr-un fișier în altul și să obțină controlul asupra program macro fără intervenția utilizatorului (macro-uri automate sau standard).

Aceste condiții sunt îndeplinite de editorii Microsoft Word și AmiPro, precum și de foaia de calcul Excel. Aceste sisteme conțin limbaje macro (Word - Word Basic, Excel - Visual Basic), în timp ce programele macro sunt legate de un anumit fișier (AmiPro) sau situate în interiorul unui fișier (Word, Excel), limbajul macro vă permite să copiați fișiere (AmiPro) sau mutați programe macro în fișierele de sistem de serviciu (Word, Excel), atunci când lucrați cu un fișier în anumite condiții (deschidere, închidere etc.), sunt apelate programe macro (dacă există), care sunt definite într-un mod special (AmiPro) sau au nume standard (Word, Excel).

Deci, astăzi există trei sisteme cunoscute pentru care există viruși - Microsoft Word, Excel și AmiPro. În ele, virușii preiau controlul atunci când un fișier infectat este deschis sau închis, interceptează funcțiile standard ale fișierului și apoi infectează fișierele care sunt accesate într-un fel. Prin analogie cu MS-DOS, putem spune că virușii macro sunt rezidenți - sunt activi nu numai în momentul deschiderii/închiderii unui fișier, ci și atâta timp cât editorul (sistemul) însuși este activ.

Viruși pentru Microsoft Office"97

Macro.Office97.Frenzy

Constă dintr-o singură macrocomandă Frenzy care conține funcția AutoOpen. Infectează sistemul atunci când un fișier infectat este deschis. Apoi este scris în documente când sunt deschise. În funcție de data sistemului și de contorul aleator al sistemului, afișează text

Word97.Frenzy de Pyro

Macro.Office97.Minimal

Un virus macro destul de primitiv pentru Office 97. Conține o singură macrocomandă AutoOpen. Infectează sistemul atunci când este deschis un fișier infectat, este scris și în documente când sunt deschise. Conține text comentat

Vesselin Bontchev

Macro.Office97.NightShade

Constă dintr-o singură macrocomandă NightShade care conține funcția automată AutoClose și infectează sistemul și documentele atunci când fișierele sunt închise. Dezactivează protecția antivirus încorporată și permite rularea funcțiilor automate. În funcție de data curentă și de contorul aleator al sistemului, afișează text

Word97.NightShade de Pyro

În ziua de 13 sâmbătă, setează parola NightShade în documente.

Viruși pentru Microsoft Excel

Macro.Excel.Laroux

Infectează foile de calcul Excel (fișiere XLS). Conține două macrocomenzi: Auto_Open și Check_Files. Când deschideți un fișier infectat, Excel rulează automat macrocomanda Auto_Open. În virus, această macrocomandă conține o singură comandă, care definește macrocomanda Check_Files ca fiind executată atunci când este activată orice tabelă (Foaie). Astfel, virusul interceptează procedura de deschidere a tabelelor și când tabelul este activat, Excel-ul infectat apelează macro-ul Check_Files, adică codul virusului.

Odată controlată, macrocomanda Check_Files caută fișierul PERSONAL.XLS în Directorul de pornire Excel și verifică numărul de module din registrul de lucru curent. Dacă un registru de lucru cu un virus este activ și fișierul PERSONAL.XLS nu există (prima infecție), atunci virusul creează un fișier cu acest nume în directorul de pornire Excel folosind comanda SaveAs. Ca rezultat, codul virusului din fișierul curent este scris în el. Data viitoare când Excel se încarcă, încarcă toate fișierele XLS din directorul de pornire, fișierul infectat PERSONAL.XLS este încărcat și în memorie, virusul capătă din nou controlul, iar la deschiderea tabelelor, macrocomanda Check_Files din PERSONAL.XLS va fi apelată din nou. .

Dacă numărul de module din registrul de lucru curent este 0 (registrul de lucru infectat nu este activ) și fișierul PERSONAL.XLS există deja, atunci virusul își rescrie codul în registrul de lucru activ. După aceasta, registrul de lucru activ devine infectat.

Nu este dificil să vă verificați sistemul pentru un virus. Dacă virusul a pătruns deja în computer, atunci directorul Excel ar trebui să conțină fișierul PERSONAL.XLS, în care este vizibilă linia laroux (cu litere mici). Aceeași linie este prezentă și în alte fișiere infectate.

Macro.Excel.Legendă

Virus macro care infectează fișierele Excel. Conține un modul (macro) numit Legend. Acest modul include două proceduri - Auto_Open și INFECT. Auto_Open este o procedură Excel care este apelată automat atunci când un fișier este deschis. Când este lansat, Auto_Open instalează a doua procedură de virus (Infect) ca un handler de evenimente SheetActivate, adică la deschiderea oricărui tabel, Excel va apela procedura Infect.

Când este apelată, procedura Infect infectează fie fișierul PERSONAL.XLS (când este deschis un fișier infectat), fie fișierul curent (dacă nu este încă infectat). După infectare, virusul elimină elementul Instrumente/Macro din meniu. Dacă UserName = „Pyro” și OrganizationName = „VBB”, virusul încetează imediat să funcționeze și nu infectează niciun fișier. În funcție de ziua curentă și de contorul aleatoriu al sistemului, virusul afișează o casetă de mesaje:

Ai fost infectat de legenda!

Macro.Excel.Robocop

Virus macro care atacă fișierele Excel. Include două module (macro): COP și ROBO. Modulul ROBO conține o procedură numită automat Auto_Open, care, la deschiderea unui document infectat, scrie codul virusului în fișierul PERSONAL.XLS și setează adresa handler-ului de activare a tabelului (SheetActivate) la codul virusului. Virusul infectează apoi fișierele atunci când tabelele sunt deschise.

ROBOCOP Nightmare Joker

Macro.Excel.Canapea

Infectează foile de calcul Excel. Conține un modul (macro), al cărui nume este format din 11 spații și, prin urmare, nu este vizibil în lista de macrocomenzi din meniul Tools/Macros. Modulul conține patru funcții macro: Auto_Open, Auto_Range, Current_Open, Auto_Close. Ca rezultat, toate funcțiile virusului returnează Null.

Când deschideți un fișier infectat, se declanșează funcția macro Auto_Open, care „redenumește” Excel - Microsofa Excel apare în linia de titlu în loc de Microsoft Excel. Dacă nu există niciun fișier BOOK.XLT în directorul Startup Path (sistemul nu este încă infectat), atunci pe ecran este afișat următorul mesaj:

Microsoft Excel a detectat un fișier de completare corupt. Faceți clic pe OK pentru a repara acest fișier.

Indiferent de răspunsul utilizatorului, un fișier BOOK.XLT care conține codul virusului este creat în directorul Startup Path. După infectare este afișat un mesaj

Fișierul a fost reparat cu succes!

Când este încărcat, Excel descarcă automat fișierele XLT din Calea de pornire și activează în consecință virusul. Virusul atribuie funcția sa Auto_Range funcției OnSheetActivate și, de fiecare dată când tabelul este activat, verifică dacă fișierul activ este infectat și, dacă fișierul nu este infectat, îl infectează.

Virusul nu permite să fie descărcat din Excel - la închiderea fiecărui fișier, atribuie aceeași funcție Auto_Range funcției OnWindow, adică este reactivat la deschiderea unui fișier nou.

Macro.Excel.Yohimbe

Constă dintr-un modul (macro) numit Exec. Acest modul conține trei rutine: Auto_Open, DipDing, PayLoad și funcția SheetExists. Subrutina Auto_Open este apelată automat când un fișier infectat este deschis - virusul infectează PERSONAL.XLS. În cazul oricărei erori, virusul este scris în toate fișierele deschise (cărți). Înainte de a reveni la control, Auto_Open setează rutina DipDing la cronometrul Excel. Această rutină se numește începând cu ora 16:00 și infectează fișierele deschise.

Virusul scrie șirul Yohimbe în antetul tabelului. De asemenea, setează un cronometru pe subrutina PayLoad - este apelat la 16:45 și inserează o imagine și un text în tabelul curent