Макро вирус - това е разнообразиекомпютърни вирусиразработен намакро езици, вградени в такива пакети с приложенияОТ, Как Microsoft Office . За да се възпроизвеждат, такива вируси използват възможностите на макроезиците и с тяхна помощ се прехвърлят от един заразенфайлна другите. Повечето от тези вируси са написани заMS Word.

Най-разпространени са макровирусите за Майкрософт Уърд, Excel и Office 97.

За да съществуват вируси в конкретна система (редактор), е необходимо в системата да има вграден макро език със следните възможности:

1. свързване на програма на макро език към определен файл;
2. копиране на макро програми от един файл в друг;
3. получаване на контрол върху макро програма без намеса на потребителя (автоматични или стандартни макроси). На описаните условия отговарят редакторите MS Word, MS Office 97 и AmiPro, както и електронната таблица MS Excel. Тези системи съдържат макро езици (MS Word - Word Basic, MS Excel и MS Office 97 - Visual Basic), с:

1. макро програмите са обвързани с конкретен файл (AmiPro) или се намират във файл (MS Word/Excel/Office 97);

2. макро езикът ви позволява да копирате файлове (AmiPro) или да премествате макро програми в системни сервизни файлове и редактируеми файлове (MSWord / Excel / Office 97);

3. при работа с файл при определени условия (отваряне, затваряне и др.) се извикват макро програми (ако има такива), които са дефинирани по специален начин (AmiPro) или имат стандартни имена (MS Word/Excel/Office 97). ).

В четирите по-горе софтуерни продуктиВирусите получават контрол при отваряне или затваряне на заразен файл, прихващат стандартни файлови функции и след това заразяват файлове, до които има достъп по някакъв начин. По аналогия с DOS можем да кажем, че повечето макро вируси са резидентни вируси: те са активни не само в момента на отваряне или затваряне на файла, но докато самият редактор е активен.

Принципи на работа

Макро вирусите, които заразяват файлове на Word, Excel или Office 97, обикновено използват една от следните три техники:

Има и полувируси, които не използват изброените техники и се възпроизвеждат само ако потребителят самостоятелно ги стартира за изпълнение.

Повечето макро вируси съдържат всичките си функции под формата на стандартни макроси на MS Word/Excel/Office 97. Има обаче вируси, които използват техники за скриване на своя код и съхраняване на кода си под формата на не-макроси. Известни са три такива метода. Всички те се възползват от способността на макросите да създават, редактират и изпълняват други макроси. Обикновено такива вируси имат малък (понякога полиморфен) програма за зареждане на макроси, която извиква вградения редактор на макроси, създава нов макрос, запълва го с основния вирусен код, изпълнява го и след това обикновено го унищожава, за да скрие следите от вируса. Основният код на такива вируси присъства или в тялото на самия вирус под формата на текстови низове, или се съхранява в областта на променливите на документа или в областта за автоматичен текст.

Откриване на макро вируси

Характерни признаци за наличие на макровируси са:

• невъзможност за преобразуване на заразени Word документв различен формат. Заразените файлове са във формат Template, тъй като при заразяване Word вирусите конвертират файлове от Word Document формат в Template;
• невъзможност за запис на документ в друга директория или на друг диск с помощта на командата „Запиши като“ (само за Word 6);
• директорията STARTUP съдържа „чужди“ файлове;
• наличието на „допълнителни“ и скрити листове в книгата.

Макро вирусите са потенциално нежелани програми, написани на макро езици, вградени в системи за обработка на текстови или графични данни. Най-често срещаните версии на вируси са за Microsoft Word, Excel и Office 97. Тъй като създаването на макро вирус е лесно като беленето на круши, те се срещат доста често. Трябва да сте много внимателни, когато изтегляте съмнителни документи от интернет. Много потребители подценяват възможностите на тези програми, правейки огромна грешка.

Как макро вирусът заразява компютър?

Благодарение на прост начинВъзпроизвеждащите макро вируси са способни да заразят голям брой файлове за възможно най-кратко време. Използвайки възможностите на макро езиците, при отваряне или затваряне на заразен документ, те лесно проникват във всички програми, които са достъпни по един или друг начин. Това е, ако използвате графичен редактор, отворете изображението, макровирусът ще се разпространи през файловете от този тип. И някои от вирусите от този тип могат да бъдат активни, докато графиката или текстов редактор, или дори докато персоналният компютър бъде изключен.

Действието на макровирусите се извършва на следния принцип: Когато работите с документ, Microsoft Word чете и изпълнява различни команди, които се издават на макро език. На първо място, злонамерената програма ще се опита да проникне в основния шаблон на документа, благодарение на който се отварят всички файлове от този формат. В този случай макровирусът създава копие на кода си в глобални макроси (макроси, които осигуряват достъп до ключови параметри) И когато излезете от програмата, която използвате, той автоматично се записва в dot файл (използван за създаване на нови документи) . След това вирусът прониква в стандартните макроси на файла, за да прихване команди, изпратени до други файлове, като по този начин заразява и тях.

Инфекцията с макровирус възниква в един от четирите случая:

1. Ако вирусът съдържа автоматичен макрос (стартира се автоматично при стартиране или изключване на програмата).
2. Вирусът съдържа основен системен макрос (обикновено свързан с елементи от менюто).
3. Вирусът се активира автоматично, когато натиснете определен клавиш или комбинация.
4. Вирусът се размножава само когато се задейства директно.

Макро вирусите могат да повредят всички файлове, които са свързани с програма на макро език.

Каква вреда причиняват макровирусите?

В никакъв случай не трябва да подценявате макро вирусите, тъй като те са също толкова пълноценни вируси и могат да причинят не по-малко вреда на персоналния компютър. Макро вирусите са доста способни да изтриват, редактират или копират файлове, съдържащи лична информация, и да я предават на друго лице по имейл. А по-мощните програми могат дори да форматират твърдия диск и да поемат контрола над вашия компютър. Така че мнението, че макровирусите са опасни само за текстови редактори, е погрешно, тъй като Word и Excel често влизат в контакт с огромен брой различни програми, когато работят.

Как да разпознаете заразен файл

Обикновено файловете, които са били засегнати от макро вирус, са доста лесни за идентифициране, защото работят по различен начин от други програми от същия формат.

Наличието на макровируси може да се определи по следните признаци:

1. Документът на Word не е записан в друг формат (чрез командата "запиши като...")
2. документът не може да бъде преместен в друга папка или на друго устройство
3. невъзможност за запазване на промените в документа (с помощта на командата „запазване“)
4. честа поява на системни съобщения за програмна грешка със съответния код
5. нехарактерно поведение на документите
6. Повечето макро вируси могат да бъдат открити визуално, както създателите им често обичат да посочват в раздела Резюме (отварян с контекстно меню) данни като име на програма, тема, категория, име на автор и коментари.

Как да премахнете заразен с вирус файл от вашия компютър

Първо, когато намерите подозрителен документ или файл, сканирайте го с антивирусна програма. Почти винаги, когато антивирусите открият заплаха, те ще се опитат да дезинфекцират файла или напълно да блокират достъпа до него. В по-тежки случаи, когато целият компютър вече е заразен, използвайте спешния случай инсталационен дисксъдържащ антивирус с актуализирана база данни. Той ще сканира твърдия диск и ще неутрализира злонамерения софтуер, който открие. В случаите, когато антивирусът е безсилен и няма спасителен диск под ръка, използвайте „ръчния“ метод на лечение:

1. В раздела „Преглед“ премахнете отметката от „Скриване на разширението за всички регистрирани типове файлове“.
2. намерете заразения файл и променете разширението от .doc на .rtf
3. премахнете шаблона Normal. точка
4. променете разширението на файла обратно и възстановете оригиналните параметри

В резултат на тези действия премахнахме вируса от заразения документ, но това не означава, че той не може да остане в компютърната система, така че при първа възможност сканирайте всички обекти на вашия компютър с антивирусна програма.

Как да се предпазите от макро вируси

Третирането на вашия компютър от макро вируси може да бъде доста трудно, така че е по-добре да предотвратите инфекцията. За да направите това, уверете се, че вашата антивирусна програма се актуализира редовно. Преди да копирате файлове от други носители за съхранение или от интернет, внимателно ги проверете за зловреден софтуер. Ако имате слаба антивирусна програма или изобщо нямате такава, запазете документите във формат .rtf, така вирусът няма да може да проникне в тях.

Макро вирусите са потенциално нежелани помощни програми, написани на микроезици, които са вградени в системи за обработка на графики и текст. Какви файлове са заразени от макро вируси? Отговорът е очевиден. Най-често срещаните версии за Програми на Microsoft Excel, Word и Office 97. Тези вируси са доста разпространени и създаването им е толкова лесно, колкото да люшите круши. Ето защо трябва да сте изключително внимателни и внимателни, когато изтегляте документи от интернет. Повечето потребители ги подценяват, като по този начин правят сериозна грешка.

Как се заразява компютър?

След като решихме какви са макровирусите, нека да разберем как те проникват в системата и заразяват компютъра. Един прост метод за тяхното възпроизвеждане ви позволява да ударите максимален брой обекти за възможно най-кратко време. Благодарение на възможностите на макроезиците, при затваряне или отваряне на заразен документ, те проникват в програмите, към които се осъществява достъп.

Тоест, когато използвате графичен редактор, макровирусите заразяват всичко, което е свързано с него. Освен това някои са активни през цялото време, докато текстовият или графичният редактор работи или дори докато компютърът бъде напълно изключен.

Какъв е принципът на тяхната работа?

Те работят на следния принцип: при работа с документи Microsoft Word изпълнява различни команди, издадени на макро език. На първо място, програмата прониква в основния шаблон, чрез който се отварят всички файлове от този формат. В този случай вирусът копира своя код в макроси, които осигуряват достъп до основните параметри. При излизане от програмата файлът в автоматичен режимзаписан в точка (използван за създаване на нови документи). След което влиза в стандартни макроси, опитвайки се да прихване команди, изпратени до други файлове, заразявайки и тях.

Инфекцията възниква в следните случаи:

1. Ако във вируса има автоматичен макрос (извършва се автоматично при изключване или стартиране на програмата).
2. Вирусът има основен системен макрос (често свързан с елементи от менюто).
3. Активира се автоматично при натискане на определени клавиши или комбинации.
4. Възпроизвежда се само когато се стартира.

Такива вируси обикновено заразяват всички файлове, създадени и свързани с програми на макро език.

Каква вреда причиняват?

Макро вирусите не трябва да се подценяват, тъй като те са пълноценни вируси и причиняват значителни вреди на компютрите. Те могат лесно да изтриват, копират или редактират всякакви обекти, които съдържат, наред с други неща, лична информация. Освен това те могат също да прехвърлят информация на други хора, използващи електронна поща.

По-мощните помощни програми обикновено могат да форматират твърди дискове и да контролират работата на целия компютър. Ето защо мнението, че този вид компютърни вируси представляват опасност изключително за графични и текстови редактори, е погрешно. В крайна сметка помощни програми като Word и Excel работят заедно с редица други, които в този случай също са изложени на риск.

Разпознаване на заразен файл

Често файловете, заразени с макровируси и податливи на тяхното влияние, не са никак трудни за идентифициране. В крайна сметка те функционират напълно различно от другите помощни програми от същия формат.

Опасността може да се разпознае по следните признаци:

Освен това заплахата често се открива лесно визуално. Техните разработчици обикновено посочват в раздела „Резюме“ информация като името на помощната програма, категорията, темата на коментара и името на автора, благодарение на което можете да се отървете от макровирус много по-бързо и по-лесно. Можете да го извикате с помощта на контекстното меню.

Методи за премахване

Когато намерите подозрителен файл или документ, първо го сканирайте с антивирусна програма. Ако бъде открита заплаха, антивирусите ще се опитат да я излекуват и ако не успеят, напълно ще блокират достъпа до нея.

Ако целият компютър е заразен, трябва да използвате спешния случай диск за зареждане, който съдържа антивирусната програма с най-новата база данни. Той ще сканира вашия твърд диск и ще неутрализира всички заплахи, които открие.

Ако не можете да се защитите по този начин, вашата антивирусна програма не може да направи нищо и няма спасителен диск, тогава трябва да опитате „ръчния“ метод на лечение:

По този начин ще премахнете макровируса от заразения документ, но това в никакъв случай не означава, че той не остава в системата. Ето защо е препоръчително да сканирате целия персонален компютър и всички данни в него с антивирусна програма или (предимството им е, че не изискват инсталация) при първа възможност.

Процесът на лечение и почистване на компютър от инфекция с макровируси е доста сложен, така че е по-добре да се предотврати инфекцията в началните етапи.

По този начин ще се защитите и макро вирусите никога няма да проникнат в съответните файлове.

Компютърният вирус е програма, която има способността да създава свои копия и да ги въвежда в различни обекти и ресурси на компютърни системи, мрежи и др. без знанието на потребителя. В същото време копията запазват възможността за по-нататъшно разпространение.

Програмата обикновено се заразява по такъв начин, че вирусът получава контрол преди самата програма. За да направите това, той или се вгражда в началото на програмата, или се имплантира в нейното тяло, така че първата команда на заразената програма да е безусловен преход към компютърен вирус, чийто текст завършва с подобна команда за безусловен преход по команда на носителя на вируса, който е бил първият преди заразяването. След като получи контрол, вирусът избира следващия файл, заразява го, евентуално извършва някои други действия и след това предава контрола на носителя на вируса.

Първичното заразяване възниква по време на процеса на преместване на заразени програми от паметта на една машина в паметта на друга и както носители за съхранение (оптични дискове, флаш памет и т.н.), така и канали могат да се използват като средство за преместване на тези програми компютърни мрежи. Вирусите, които използват мрежови инструменти, мрежови протоколи, контролни команди на компютърни мрежи и имейл за възпроизвеждане, обикновено се наричат ​​мрежови вируси.

Жизненият цикъл на вируса обикновено включва следните периоди: въвеждане, инкубация, репликация (самовъзпроизвеждане) и прояви. По време на инкубационния период вирусът е пасивен, което усложнява задачата за намирането и неутрализирането му. На етапа на проявление вирусът изпълнява присъщите си целеви функции, например необратима корекция на информация в компютъра или на външен носител.

Физическата структура на компютърния вирус е доста проста. Състои се от глава и евентуално опашка. Главата на вируса е компонентът, който първи получава контрол. Опашката е част от вируса, разположена в текста на заразената програма, отделно от главата. Наричат ​​се вируси, състоящи се от една глава несегментиран , докато вирусите, съдържащи глава и опашка, са сегментиран .

Най-важните знаци компютърни вирусипозволяват да извършим следната класификация.

Има няколко подхода за класифициране на компютърните вируси според техните характерни характеристики:

— според местообитанието на вируса;

- според начина на заразяване;

- според разрушителните способности;

- според особеностите на алгоритъма на работа.

Според местообитанието си вирусите се разделят на:

Файлови вируси - вируси, които заразяват изпълними файлове, написани в различни формати. Съответно, в зависимост от формата, в който е написана програмата, това ще бъдат EXE или COM вируси.

Зареждащи вируси — вируси, които заразяват секторите за зареждане на дисковете или сектора, съдържащ записа за зареждане на системата (Master Boot Record) на твърдия диск.

Мрежови вируси — вируси, които се разпространяват в различни компютърни мрежи и системи.

Макро вируси - вируси, които заразяват Microsoft файловеофис

Flash вируси — вируси, които заразяват BIOS FLASH памет чипове.

Според начина на заразяване вирусите се делят на:

Резидентни вируси - вируси, които при заразяване на компютър оставят резидентната си част в паметта. Те могат да прихващат прекъсвания на операционната система, както и достъп до заразени файлове от програми и операционна система. Тези вируси могат да останат активни, докато не изключите или рестартирате компютъра си.

Нерезидентни вируси - вируси, които не напускат своите резидентни части оперативна паметкомпютър. Някои вируси оставят някои фрагменти от себе си в паметта, които не могат да се възпроизвеждат по-нататък; такива вируси се считат за нерезидентни.

Според разрушителните си способности вирусите се делят на:

Безобидни вируси - това са вируси, които по никакъв начин не влияят на работата на компютъра, с изключение може би на намаляване на свободното дисково пространство и количеството RAM.

Не опасни вируси - вируси, които се проявяват в изхода на различни графични, звукови ефекти и други безвредни действия.

Опасни вируси са вируси, които могат да причинят различни неизправности в работата на компютрите, както и техните системи и мрежи.

Много опасни вируси - Това са вируси, които водят до загуба и унищожаване на информация, загуба на функционалност на програмите и системата като цяло.

Въз основа на характеристиките на техния алгоритъм на работа вирусите могат да бъдат разделени на:

Придружаващи вируси - тези вируси заразяват EXE файлове, като създават двоен COM файл и следователно, когато стартирате програмата, тя ще стартира първо COM файла с вируса, след като приключи работата си вирусът ще стартира EXE файла. При този метод на заразяване „заразената“ програма не се променя.

Червеи вируси - вируси, които се разпространяват в компютърните мрежи. Те проникват в паметта на компютъра от компютърна мрежа, изчисляват адресите на други компютри и изпращат свои копия на тези адреси. Понякога те оставят временни файлове на компютъра, но някои може да не засягат ресурсите на компютъра, с изключение на RAM и, разбира се, процесора.

"Стелт вируси" (невидими вируси, стелт) - които са много напреднали програми, които прихващат DOS извиквания към заразени файлове или дискови сектори и заместват неинфектирани секции от информация на тяхно място. Освен това, когато получават достъп до файлове, такива вируси използват доста оригинални алгоритми, които им позволяват да „измамят“ резидентните антивирусни монитори.

„Полиморфни“ (самошифроващи се или призрачни вируси, полиморфни) — вируси, доста трудни за откриване вируси, които нямат сигнатури, т.е. не съдържа нито един постоянен код. В повечето случаи две проби от един и същ полиморфен вирус няма да имат нито едно съвпадение. Това се постига чрез криптиране на основното тяло на вируса и модифициране на програмата за дешифриране.

"Макро вируси" — вирусите от това семейство използват възможностите на макроезиците, вградени в системи за обработка на данни (текстови редактори, електронни таблици и др.). В момента най-често срещаните макро вируси, които заразяват текстови документи Microsoft Word редактор.

По режим на работа:

— резидентни вируси (вируси, които след активиране постоянно се намират в RAM паметта на компютъра и контролират достъпа до неговите ресурси);

— транзитни вируси (вируси, които се изпълняват само в момента на стартиране на заразената програма).

По предмет на изпълнение:

— файлови вируси (вируси, които заразяват файлове с програми);

— зареждащи вируси (вируси, които заразяват програми, съхранявани в системните области на дисковете).

От своя страна файловите вируси се разделят на вируси, които заразяват:

- изпълними файлове;

— командни и конфигурационни файлове;

— компилирани в макро езици за програмиране или файлове, съдържащи макроси (макро вирусите са вид компютърни вируси, разработени в макро езици, вградени в приложни софтуерни пакети като Microsoft Office);

— файлове с драйвери на устройства;

— файлове с библиотеки от модули за източник, обект, зареждане и наслагване, библиотеки за динамични връзки и др.

Вирусите за зареждане се разделят на вируси, които заразяват:

- система за зареждане на системата, разположена в сектора за зареждане и логическите устройства;

- допълнителен системен буутлоудър, разположен в сектора за зареждане на твърдите дискове.

По степен и метод на камуфлаж:

— вируси, които не използват камуфлажни средства;
— стелт вируси (вируси, които се опитват да бъдат невидими въз основа на контрол на достъпа до заразени елементи от данни);
— мутантни вируси (MtE вируси, съдържащи алгоритми за криптиране, които гарантират разграничаването на различните копия на вируса).

От своя страна MtE вирусите се разделят на:

- за обикновени мутантни вируси, в различни копия на които се различават само криптираните тела, а декриптираните тела на вирусите са еднакви;

- полиморфни вируси, в различни копия на които не само криптираните тела, но и техните декриптирани тела се различават.

Най-често срещаните видове вируси се характеризират със следните основни характеристики.

Вирус за транзит на файлове изцяло разположен в изпълним файл, във връзка с което се активира само ако вирусоносителят е активиран и след извършване на необходимите действия връща управлението на самата програма. В този случай изборът на следващия файл за заразяване се извършва от вируса чрез търсене в директорията.

Файлов резидентен вирус различно от нерезидентно логическа структураи общ алгоритъм на работа. Резидентният вирус се състои от така наречения инсталатор и програми за обработка на прекъсвания. Инсталаторът получава контрол, когато носителят на вируса е активиран и заразява RAM паметта, като поставя контролната част на вируса в нея и заменя адресите в елементите на вектора за прекъсване с адресите на своите програми, които обработват тези прекъсвания. В така наречената фаза на наблюдение, която следва описаната фаза на инсталиране, когато възникне прекъсване, съответната вирусна подпрограма получава контрол. Поради значително по-универсалния си характер в сравнение с нерезидентните вируси обща схемафункциониране, резидентните вируси могат да внедрят най-много различни начиниинфекция.

Стелт вируси ползват слаба сигурност на някои операционна системаи замени някои от техните компоненти (драйвери на дискове, прекъсвания) по такъв начин, че вирусът да стане невидим (прозрачен) за други програми.

Полиморфни вируси съдържат алгоритъм за генериране на декриптирани вирусни тела, които са различни едно от друго. В същото време в алгоритмите за декриптиране може да има извиквания на почти всички команди Процесор Intelи дори да използва някои специфични характеристики на действителния му режим на работа.

Макро вируси разпределени под контрол приложни програми, което ги прави независими от операционната система. Огромният брой макровируси работят под контрол текстообработваща програмаМайкрософт Уърд. В същото време е известно, че макро вирусите работят под приложения като Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes и в операционни системи Microsoft и Apple.

Мрежови вируси , наричани също самостоятелни програми за репликация или репликатори за кратко, използват инструменти на мрежовата операционна система за възпроизвеждане. Възпроизвеждането се осъществява най-лесно в случаите, когато мрежови протоколиВъзможно е и в случаите, когато тези протоколи са фокусирани само върху обмен на съобщения. Класически пример за внедряване на имейл процес е репликаторът на Morris. Текстът на репликатора се предава от един компютър на друг като обикновено съобщение, като постепенно запълва буфера, разпределен в RAM на компютъра получател. В резултат на препълване на буфера, инициирано от предаването, адресът за връщане към програмата, извикала програмата за получаване на съобщението, се заменя с адреса на самия буфер, където към момента на връщане вече се намира вирусният текст. Така вирусът получава контрол и започва да функционира на компютъра получател.

"вратички" , подобно на описаното по-горе, поради особеностите на изпълнението на определени функции в софтуера, са обективна предпоставка за създаване и внедряване на репликатори от нападателите.

Ефектите, причинени от вирусите в процеса на изпълнение на техните целеви функции, обикновено се разделят на следните групи:

— изкривяване на информацията във файловете или в таблицата за разпределение на файлове (FAT таблица), което може да доведе до разрушаване на файловата система като цяло;
— симулация на хардуерни повреди;
— създаване на звукови и визуални ефекти, включително, например, показване на съобщения, които подвеждат оператора или възпрепятстват работата му;
— иницииране на грешки в потребителските програми или операционната система.

Горната класификация не може да се счита за пълна, тъй като напредъкът не стои неподвижен, появяват се все повече и повече интелигентни устройства и съответно вируси, които работят върху тях, например вече се появиха вируси, които заразяват мобилни телефони.

Евгений Касперски

Макро вирусите са програми, написани на езици (макроезици), вградени в някои системи за обработка на данни (текстови редактори, електронни таблици и др.). За да се възпроизвеждат, такива вируси използват възможностите на макро езиците и с тяхна помощ се прехвърлят от един заразен файл (документ или таблица) към други. Най-разпространените макро вируси са за Microsoft Word, Excel и Office 97.

За да съществуват вируси в конкретна система (редактор), е необходимо в системата да има вграден макро език със следните възможности:

1. свързване на програма на макро език към определен файл;
2. копиране на макро програми от един файл в друг;
3. получаване на контрол върху макро програма без намеса на потребителя (автоматични или стандартни макроси).

На описаните условия отговарят редакторите MS Word, MS Office 97 и AmiPro, както и електронната таблица MS Excel. Тези системи съдържат макро езици (MS Word - Word Basic, MS Excel и MS Office 97 - Visual Basic), с:

1. макро програмите са обвързани с конкретен файл (AmiPro) или се намират във файл (MS Word/Excel/Office 97);
2. макро езикът ви позволява да копирате файлове (AmiPro) или да премествате макро програми в системни сервизни файлове и редактируеми файлове (MSWord / Excel / Office 97);
3. при работа с файл при определени условия (отваряне, затваряне и др.) се извикват макро програми (ако има такива), които са дефинирани по специален начин (AmiPro) или имат стандартни имена (MS Word/Excel/Office 97).

Последната функция е предназначена за автоматизирана обработка на данни в големи организации или глобални мрежии ви позволява да организирате така наречения „автоматизиран документооборот“. От друга страна, възможностите на макро езика на такива системи позволяват на вируса да прехвърли кода си в други файлове и по този начин да ги зарази.

В четирите софтуерни продукта, споменати по-горе, вирусите поемат контрола при отваряне или затваряне на заразен файл, отвличат стандартни файлови функции и след това заразяват файлове, до които по някакъв начин се осъществява достъп. По аналогия с DOS можем да кажем, че повечето макро вируси са резидентни вируси: те са активни не само когато файлът е отворен или затворен, но докато самият редактор е активен.

Главна информация

Физическото местоположение на вируса вътре във файла зависи от неговия формат, който в случая с продуктите на Microsoft е изключително сложен: всеки файл с документи на Word, Office 97 или електронна таблица на Excel е поредица от блокове данни (всеки от които също има свой собствен формат ), свързани заедно, използвайки голямо количество сервизни данни. Този формат се нарича OLE2 (свързване и вграждане на обекти). Файловата структура на Word, Excel и Office 97 (OLE2) прилича на сложна файлова система DOS дискове: „главната директория“ на файл с документ или таблица сочи към главните поддиректории на различни блокове с данни, няколко „FAT таблици“ съдържат информация за местоположението на блоковете с данни в документа и т.н.

Освен това системата Office Binder, която поддържа стандартите на Word и Excel, ви позволява да създавате файлове, които едновременно съдържат един или повече документи във формат Word и една или повече таблици в Excel формат, и вирусите на Word могат да заразят документи на Word, а вирусите на Excel могат да заразят таблици на Excel и всичко това е възможно в рамките на един дисков файл. Същото важи и за Office 97.

Трябва да се отбележи, че MS Word версии 6 и 7 ви позволяват да шифровате макроси, присъстващи в документа. По този начин някои вируси на Word присъстват в заразените документи в криптирана (само за изпълнение) форма.

Повечето известни вируси за Word са несъвместими с националните (включително руски) версии на Word или, обратно, са предназначени само за локализирани версии на Word и не работят под английската версия. Въпреки това вирусът в документа все още остава активен и може да зарази други компютри с инсталирана на тях съответната версия на Word.

Word вирусите могат да заразят компютри от всякакъв клас, не само IBM PC. Възможна е инфекция, ако този компютъринсталиран е текстов редактор, който е напълно съвместим с Microsoft Word версия 6 или 7 (например MS Word за Macintosh). Същото важи и за MS Excel и MS Office 97.

Интересно е, че форматите на документите на Word, таблиците на Excel и особено на Office 97 имат следната характеристика: файловете и таблиците с документи съдържат „допълнителни“ блокове данни, т.е. данни, които по никакъв начин не са свързани с текста или таблиците, които се редактират, или копия които случайно се озоваха там, други файлови данни. Причината за възникването на такива блокове от данни е клъстерната организация на данните в OLE2 документи и таблици. Дори ако се въведе само един знак от текста, за него се разпределят един или дори няколко групи данни. При записване на документи и таблици в клъстери, които не са попълнени с „полезни“ данни, остава „боклук“, който се озовава във файла заедно с други данни. Количеството „боклук“ във файловете може да бъде намалено чрез отмяна на елемента за настройка на Word/Excel „Разрешаване на бързо записване“, но това само намалява общото количество „боклук“, но не го премахва напълно.

Трябва също да се отбележи, че някои версии на OLE2.DLL съдържат малък недостатък, в резултат на който при работа с документи на Word, Excel и особено на Office 97 произволни данни от диска, включително поверителни (изтрити файлове, директории и и т.н.).

MS Word/Excel/Office 97 вируси:
принципи на работа

Когато работите с документ, MS Word версии 6 и 7 изпълнява различни действия: отваряне на документа, запазване, отпечатване, затваряне и т.н. В същото време Word търси и изпълнява съответните вградени макроси: при запис на файл с командата File/Save се извиква макросът FileSave, когато при запис се използва командата File/SaveAs - FileSaveAs, при печат на документи - FilePrint и т.н., ако, разбира се, са дефинирани такива макроси.

Има и няколко „автоматични макроси“, които се извикват автоматично при различни условия. Например, когато отворите документ, Word проверява за наличието на макроса AutoOpen. Ако има такъв макрос, тогава Word го изпълнява. При затваряне на документ Word изпълнява макроса AutoClose, при стартиране на Word се извиква макроса AutoExec, при изключване - AutoExit, а при създаване на нов документ - AutoNew. Подобни механизми, но с различни имена на макроси и функции, се използват в Excel/Office 97.

Макро вирусите, които заразяват файлове на Word, Excel или Office 97, обикновено използват една от трите техники, изброени по-горе:

1. вирусът съдържа автомакро (автофункция);
2. вирусът заменя един от стандартните системни макроси (свързан с елемент от менюто);
3. Вирусният макрос се извиква автоматично, когато натиснете произволен клавиш или клавишна комбинация.

Има и полувируси, които не използват изброените техники и се възпроизвеждат само ако потребителят самостоятелно ги стартира за изпълнение.

Повечето макро вируси съдържат всичките си функции под формата на стандартни макроси на MS Word/Excel/Office 97. Има обаче вируси, които използват техники за скриване на своя код и съхраняване на кода си под формата на не-макроси. Известни са три такива метода. Всички те се възползват от способността на макросите да създават, редактират и изпълняват други макроси. Обикновено такива вируси имат малък (понякога полиморфен) програма за зареждане на макроси, която извиква вградения редактор на макроси, създава нов макрос, запълва го с основния вирусен код, изпълнява го и след това обикновено го унищожава, за да скрие следите от вируса. Основният код на такива вируси присъства или в тялото на самия вирус под формата на текстови низове, или се съхранява в областта на променливите на документа или в областта за автоматичен текст.

Алгоритъм на работа
макро вируси за Word

Повечето известни вируси на Word (версии 6, 7 и Word 97) при стартиране прехвърлят собствения си код в глобалната макро област на документа („общи“ макроси).

Когато излезете от Word, глобалните макроси (включително вирусни макроси) се записват автоматично в DOT файла с глобални макроси (обикновено NORMAL.DOT). Така вирусът се активира в момента, в който Word зарежда глобални макроси.

След това вирусът заменя (или вече съдържа) един или повече стандартни макроси (например FileOpen, FileSave, FileSaveAs, FilePrint) и по този начин прихваща команди за работа с файлове. Когато се извикат тези команди, файлът, до който се осъществява достъп, е заразен. За да направи това, вирусът преобразува файла във формат Template (което прави невъзможни по-нататъшни промени във файловия формат, т.е. конвертиране във всеки формат без шаблон) и записва своите макроси във файла, включително макроса Auto.

Друг начин за въвеждане на вирус в системата се основава на така наречените „Add-in“ файлове, т.е. файлове, които са допълнения към Word. В този случай NORMAL.DOT не се променя и Word, когато се стартира, зарежда вирусните макроси от файла (или файловете), дефинирани като „Добавка“. Този метод почти напълно възпроизвежда заразяването на глобални макроси, с единственото изключение, че вирусните макроси се съхраняват не в NORMAL.DOT, а в друг файл.

Също така е възможно да се въведе вирус във файлове, намиращи се в директорията STARTUP. В този случай Word автоматично зарежда файлове с шаблони от тази директория, но такива вируси все още не са срещани.

Откриване на макро вируси

Характерни признаци за наличие на макровируси са:

1. невъзможност за конвертиране на заразен Word документ в друг формат;
2. заразените файлове са във формат Template, тъй като при заразяване Word вирусите конвертират файлове от Word Document формат в Template
3. невъзможност за запис на документ в друга директория или на друг диск с помощта на командата „Запиши като“ (само за Word 6);
4. директорията STARTUP съдържа „чужди“ файлове;
5. наличието на „допълнителни“ и скрити листове в книгата.

За да проверите системата за вирус, можете да използвате елемента от менюто Инструменти/Макро. Ако бъдат открити „чужди макроси“, те може да принадлежат на вирус. Този метод обаче не работи в случай на стелт вируси, които „забраняват“ работата на този елемент от менюто, което от своя страна е достатъчна причина системата да се счита за заразена.

Много вируси имат грешки или не работят правилно в различни версии на Word/Excel, което кара тези програми да генерират съобщения за грешка, например:

WordBasic Err = номер на грешка.

Ако такова съобщение се появи при редактиране на нов документ или таблица без съзнателно използване на персонализирани макроси, това също може да е признак за инфекция на системата. Също така сигнал за вирус са промените във файловете и системната конфигурация на Word, Excel и Windows. Много вируси променят елементите на менюто Инструменти/Опции по един или друг начин - позволявайки или деактивирайки функциите „Подкана за запазване на нормален шаблон“, „Разрешаване на бързо записване“, „Защита от вируси“. Някои вируси задават парола на файлове, когато са заразени. Голям бройвирусите създават нови раздели и/или опции в конфигурационния файл на Windows (WIN.INI).

Естествено, проявите на вируса включват такива „изненади“ като появата на съобщения или диалози с доста странно съдържание или на език, който не съвпада с езика инсталирана версия Word/Excel.

Възстановяване
засегнати обекти

В повечето случаи процедурата за „излекуване“ на заразени файлове и дискове се свежда до стартиране на подходящ антивирусен софтуер. Но има ситуации, когато вирусът трябва да бъде неутрализиран независимо, тоест „на ръка“.

За да неутрализирате вирусите на Word и Excel, е достатъчно да запазите цялата необходима информация във формат на не-документи и не-таблици. Най-подходящ е текстовият формат RTF, който включва почти цялата информация от оригиналните документи и не съдържа макроси.

След това трябва да излезете от Word/Excel, да унищожите всички заразени Word документи, Excel таблици, NORMAL.DOT за Word и всички документи/таблици в директориите STARTUP на Word/Excel. След това трябва да стартирате Word/Excel и да възстановите документи/таблици от RTF файлове.

В резултат на тази процедура вирусът ще бъде премахнат от системата и почти цялата информация ще остане непроменена. Този метод обаче има редица недостатъци. Основната е сложността на конвертирането на документи и таблици в RTF формат, ако техният брой е голям. Освен това, в случая на Excel, е необходимо отделно да конвертирате всички Sheets във всеки Excel файл.

Друг съществен недостатък е загубата на нормалните макроси, използвани по време на работа. Ето защо, преди да започнете описаната процедура, трябва да запазите оригиналния им текст и след неутрализиране на вируса да възстановите необходимите макроси в оригиналния им вид.

Откъде идват вирусите?
и как да избегнем инфекция

Основният източник на вируси днес е интернет. Най-голям брой вирусни инфекции възникват при обмен на писма във формати MS Word/Office 97: потребителят на редактор, заразен с макровирус, без да знае, изпраща „заразени“ писма до получателите си, а те изпращат нови писма и т.н.

Да приемем, че потребителят кореспондира с пет получателя, всеки от които на свой ред също кореспондира с пет получателя. След изпращане на „вирусно“ писмо всичките пет компютъра, които са го получили, са заразени. На второ ниво на разпространение 1+5+20=26 компютъра вече ще бъдат заразени. Ако мрежовите получатели обменят писма веднъж на ден, тогава до края на работната седмица (5 дни) най-малко 1+5+20+ 80+320=426 компютъра ще бъдат заразени. Не е трудно да се изчисли, че след 10 дни повече от сто хиляди компютъра ще бъдат заразени! Освен това всеки ден техният брой ще се учетворява.

Описаният случай на разпространение на вируса най-често се регистрира от антивирусни компании. Но не е необичайно заразен файл с документ или електронна таблица в Excel да се окаже в пощенските списъци с търговска информация на голяма компания поради пропуск. В този случай ще пострадат не пет, а стотици или дори хиляди абонати на такива писма, които след това ще изпращат заразени файлове на десетки хиляди свои абонати.

Публичните файлови сървъри и електронните конференции също са едни от основните източници на разпространение на вируси. Почти всяка седмица получаваме съобщение, че някой от потребителите е заразил компютъра си с вирус, получен от BBS, ftp сървър или електронна конференция.

В този случай заразените файлове често се „качват“ от автора на вируса на няколко BBS/ftp или се изпращат на няколко конференции под прикритието на нови версии на някакъв софтуер (включително антивирусни).

Кога масово изпращане по пощатавируси на BBS/ftp файлови сървъри, хиляди компютри могат да бъдат заразени едновременно, но в повечето случаи се „изпращат“ DOS или Windows вируси, чието разпространение е съвременни условиязначително по-ниски от техните макро аналози. Поради тази причина подобни инциденти почти никога не завършват с масови епидемии.

Третият начин за бързо разпространение на вирусите е чрез локални мрежи. Ако не вземете необходимите защитни мерки, заразената работна станция, когато влезе в мрежата, заразява един или повече сервизни файлове на сървъра, различни софтуер, стандартни шаблонни документи или Excel таблици, използвани във фирмата и др.

Компютрите, инсталирани в учебните заведения, също представляват опасност. Ако един от учениците донесе вирус на своите дискети и зарази един от училищните компютри, тогава всички останали ученици, работещи на този компютър, също ще получат друга „инфекция“.

Същото важи и за домашните компютри, ако на тях работят повече от един човек. Често има ситуации, когато син (или дъщеря) ученик, работещ на многопотребителски компютър в институт, влачи вирус върху домашен компютър, в резултат на което вирусът навлиза компютърна мрежакомпанията на мама или татко.

В заключение бих искал да отбележа, че въпреки привидната сложност на борбата с макровирусите, защитата от тази „инфекция“ със спокоен и компетентен подход към проблема не е толкова трудна.

Доста рядко, но все пак е напълно възможно да заразите компютъра си с вирус по време на ремонт или рутинна проверка. Сервизите също са хора и някои от тях са склонни да не се интересуват от основните правила за компютърна сигурност.