Makro vīruss - šī ir dažādībadatorvīrusiizstrādātsmakro valodas, kas iebūvēts šādās lietojumprogrammu pakotnēsBY, Kā Microsoft Office . Reproducēšanai šādi vīrusi izmanto makrovalodu iespējas un ar to palīdzību tiek pārnesti no viena inficēta.failucitiem. Lielākā daļa šo vīrusu ir rakstītiMS Word.

Visizplatītākie ir makrovīrusi Microsoft Word, Excel un Office 97.

Lai vīrusi pastāvētu noteiktā sistēmā (redaktorā), sistēmā ir jābūt iebūvētai makro valodai ar šādām iespējām:

1. programmas saistīšana makro valodā ar noteiktu failu;
2. makro programmu kopēšana no viena faila uz citu;
3. makroprogrammas kontroles iegūšana bez lietotāja iejaukšanās (automātiskie vai standarta makro). Aprakstītajiem nosacījumiem atbilst MS Word, MS Office 97 un AmiPro redaktori, kā arī MS Excel izklājlapa. Šajās sistēmās ir ietvertas makro valodas (MS Word - Word Basic, MS Excel un MS Office 97 - Visual Basic), ar:

1. makro programmas ir piesaistītas noteiktam failam (AmiPro) vai atrodas failā (MS Word/Excel/Office 97);

2. makro valoda ļauj kopēt failus (AmiPro) vai pārvietot makro programmas uz sistēmas servisa failiem un rediģējamiem failiem (MSWord / Excel / Office 97);

3. strādājot ar failu noteiktos apstākļos (atverot, aizverot utt.), tiek izsauktas makro programmas (ja tādas ir), kuras ir definētas īpašā veidā (AmiPro) vai kurām ir standarta nosaukumi (MS Word/Excel/Office 97). ).

Iepriekš minētajos četros programmatūras produkti Vīrusi iegūst kontroli, kad tiek atvērts vai aizvērts inficētais fails, pārtver standarta failu funkcijas un pēc tam inficē failus, kuriem tiek kaut kādā veidā piekļūts. Pēc analoģijas ar DOS mēs varam teikt, ka lielākā daļa makrovīrusu ir pastāvīgie vīrusi: tie ir aktīvi ne tikai faila atvēršanas vai aizvēršanas brīdī, bet arī tik ilgi, kamēr ir aktīvs pats redaktors.

Darba principi

Makrovīrusi, kas inficē Word, Excel vai Office 97 failus, parasti izmanto vienu no šiem trim paņēmieniem:

Ir arī pusvīrusi, kas neizmanto uzskaitītos paņēmienus un vairojas tikai tad, ja lietotājs tos patstāvīgi palaiž izpildei.

Lielākā daļa makrovīrusu satur visas savas funkcijas standarta MS Word/Excel/Office 97 makro veidā. Tomēr ir vīrusi, kas izmanto paņēmienus, lai paslēptu savu kodu un saglabātu to ne-makro veidā. Ir zināmas trīs šādas metodes. Tie visi izmanto makro iespējas izveidot, rediģēt un izpildīt citus makro. Parasti šādiem vīrusiem ir mazs (dažkārt polimorfs) makro ielādētājs, kas izsauc iebūvēto makro redaktoru, izveido jaunu makro, aizpilda to ar galveno vīrusa kodu, izpilda to un pēc tam parasti iznīcina, lai paslēptu vīrusa pēdas. Šādu vīrusu galvenais kods atrodas vai nu pašā vīrusa ķermenī teksta virkņu veidā, vai arī tiek saglabāts dokumenta mainīgā apgabalā vai apgabalā Auto-text.

Makrovīrusu noteikšana

Raksturīgās makrovīrusu klātbūtnes pazīmes ir:

• nespēja pārvērst inficēto Word dokuments uz citu formātu. Inficētie faili ir veidnes formātā, jo, kad tie ir inficēti, Word vīrusi pārvērš failus no Word dokumenta formāta uz veidni;
• nespēja ierakstīt dokumentu citā direktorijā vai citā diskā, izmantojot komandu “Saglabāt kā” (tikai Word 6);
• STARTUP direktorijā ir “ārzemju” faili;
• “papildu” un slēpto lapu klātbūtne grāmatā.

Makrovīrusi ir potenciāli nevēlamas programmas, kas rakstītas makro valodās, kas iebūvētas teksta vai grafikas datu apstrādes sistēmās. Visizplatītākās vīrusu versijas ir paredzētas Microsoft Word, Excel un Office 97. Tā kā makrovīrusa izveide ir tikpat vienkārša kā bumbieru lobīšana, tās tiek atrastas diezgan bieži. Lejupielādējot apšaubāmus dokumentus no interneta, jābūt ļoti uzmanīgiem. Daudzi lietotāji par zemu novērtē šo programmu iespējas, pieļaujot milzīgu kļūdu.

Kā makrovīruss inficē datoru?

Pateicoties vienkāršs veids Reprodukcijas makrovīrusi spēj inficēt lielu skaitu failu pēc iespējas īsākā laikā. Izmantojot makro valodu iespējas, atverot vai aizverot inficētu dokumentu, tās viegli iekļūst visās programmās, kurām tā vai citādi tiek piekļūts. Tas ir, ja jūs, izmantojot grafiskais redaktors, atveriet attēlu, makro vīruss izplatīsies pa failiem šāda veida. Un daži šāda veida vīrusi var būt aktīvi tik ilgi, kamēr grafikas vai teksta redaktors vai pat līdz brīdim, kad personālais dators tiek izslēgts.

Makrovīrusu darbība notiek pēc šāda principa: Strādājot ar dokumentu, Microsoft Word nolasa un izpilda dažādas komandas, kas tiek izdotas makro valodā. Pirmkārt, ļaunprātīgā programma mēģinās iekļūt galvenajā dokumenta veidnē, pateicoties kurai tiek atvērti visi šī formāta faili. Šajā gadījumā makrovīruss izveido sava koda kopiju globālajos makro (makro, kas nodrošina piekļuvi galvenajiem parametriem) Un, izejot no izmantotās programmas, tas tiek automātiski saglabāts punktveida failā (izmanto, lai izveidotu jaunus dokumentus) . Pēc tam vīruss iekļūst faila standarta makro, lai pārtvertu komandas, kas nosūtītas citiem failiem, tādējādi inficējot arī tos.

Inficēšanās ar makrovīrusu notiek vienā no četriem gadījumiem:

1. Ja vīruss satur automātisko makro (palaižas automātiski, kad programma startē vai izslēdzas).
2. Vīruss satur pamata sistēmas makro (parasti saistīts ar izvēlnes vienumiem).
3. Vīruss tiek aktivizēts automātiski, nospiežot noteiktu taustiņu vai kombināciju.
4. Vīruss vairojas tikai tad, kad tas tiek tieši iedarbināts.

Makrovīrusi var sabojāt visus failus, kas ir saistīti ar programmu makro valodā.

Kādu kaitējumu nodara makrovīrusi?

Nekādā gadījumā nevajadzētu par zemu novērtēt makrovīrusus, jo tie ir tikpat pilnvērtīgi vīrusi un var nodarīt ne mazāku kaitējumu personālajam datoram. Makrovīrusi spēj dzēst, rediģēt vai kopēt failus, kas satur personisku informāciju, un pārsūtīt to citai personai pa e-pastu. Un jaudīgākas programmas var pat formatēt cieto disku un pārņemt kontroli pār datoru. Tātad uzskats, ka makrovīrusi ir bīstami tikai teksta redaktoriem, ir kļūdains, jo Word un Excel strādājot bieži saskaras ar ļoti daudzām dažādām programmām.

Kā atpazīt inficētu failu

Parasti failus, kurus skāris makrovīruss, ir diezgan viegli identificēt, jo tie darbojas atšķirīgi no citām tāda paša formāta programmām.

Makrovīrusu klātbūtni var noteikt pēc šādām pazīmēm:

1. Word dokuments netiek saglabāts citā formātā (izmantojot komandu "save as...")
2. dokumentu nevar pārvietot uz citu mapi vai citu disku
3. nespēja saglabāt izmaiņas dokumentā (izmantojot komandu "saglabāt")
4. bieža sistēmas ziņojumu parādīšanās par programmas kļūdu ar atbilstošo kodu
5. dokumentiem neraksturīga uzvedība
6. Lielāko daļu makrovīrusu var noteikt vizuāli, kā to veidotāji bieži vēlas norādīt cilnē Kopsavilkums (atvērts ar konteksta izvēlne) dati, piemēram, programmas nosaukums, tēma, kategorija, autora vārds un komentāri.

Kā no datora noņemt vīrusu inficētu failu

Pirmkārt, kad atrodat aizdomīgu dokumentu vai failu, skenējiet to, izmantojot pretvīrusu. Gandrīz vienmēr, kad pretvīrusi atklāj draudus, tie mēģinās dezinficēt failu vai pilnībā bloķēt piekļuvi tam. Smagākos gadījumos, kad viss dators jau ir inficēts, izmantojiet ārkārtas situāciju instalācijas disks satur antivīrusu ar atjauninātu datu bāzi. Tas skenēs cieto disku un neitralizēs jebkuru atrasto ļaunprātīgo programmatūru. Gadījumos, kad antivīruss ir bezspēcīgs un pie rokas nav glābšanas diska, izmantojiet “manuālo” apstrādes metodi:

1. Cilnē “Skats” noņemiet atzīmi no izvēles rūtiņas “Slēpt paplašinājumu visiem reģistrētajiem failu tipiem”.
2. atrodiet inficēto failu un mainiet paplašinājumu no .doc uz .rtf
3. noņemiet veidni Normal. punkts
4. mainiet faila paplašinājumu atpakaļ un atjaunojiet sākotnējos parametrus

Šo darbību rezultātā mēs izņēmām vīrusu no inficētā dokumenta, taču tas nenozīmē, ka tas nevarētu palikt datorsistēmā, tāpēc pie pirmās iespējas skenējiet visus datorā esošos objektus ar antivīrusu.

Kā pasargāt sevi no makrovīrusiem

Datora ārstēšana pret makrovīrusiem var būt diezgan sarežģīta, tāpēc labāk ir novērst infekciju. Lai to izdarītu, regulāri atjauniniet pretvīrusu. Pirms failu kopēšanas no citiem datu nesējiem vai interneta rūpīgi pārbaudiet, vai tie nav pieejami ļaunprogrammatūra. Ja jums ir vājš antivīruss vai antivīruss vispār nav, saglabājiet dokumentus .rtf formātā, tādējādi vīruss nevarēs tajos iekļūt.

Makrovīrusi ir potenciāli nevēlamas utilītas, kas rakstītas mikrovalodās un ir iebūvētas grafikas un teksta apstrādes sistēmās. Kādi faili ir inficēti ar makrovīrusiem? Atbilde ir acīmredzama. Visizplatītākās versijas par Microsoft programmas Excel, Word un Office 97. Šie vīrusi ir diezgan izplatīti, un to izveide ir tikpat vienkārša kā bumbieru lobīšana. Tāpēc, lejupielādējot dokumentus no interneta, jābūt īpaši uzmanīgiem un uzmanīgiem. Lielākā daļa lietotāju tos nenovērtē par zemu, tādējādi pieļaujot nopietnu kļūdu.

Kā dators tiek inficēts?

Kad esam izlēmuši, kas ir makrovīrusi, izdomāsim, kā tie iekļūst sistēmā un inficē datoru. Vienkārša to reproducēšanas metode ļauj pēc iespējas īsākā laikā sasniegt maksimālo objektu skaitu. Pateicoties makro valodu iespējām, aizverot vai atverot inficētu dokumentu, tās iekļūst programmās, kurām tiek piekļūts.

Tas ir, izmantojot grafisko redaktoru, makro vīrusi inficē visu, kas ar to saistīts. Turklāt daži ir aktīvi visu laiku, kamēr darbojas teksta vai grafikas redaktors, vai pat līdz datora pilnīgai izslēgšanai.

Kāds ir viņu darba princips?

Tie darbojas pēc šāda principa: strādājot ar dokumentiem, Microsoft Word izpilda dažādas komandas, kas izdotas makro valodā. Pirmkārt, programma iekļūst galvenajā veidnē, caur kuru tiek atvērti visi šī formāta faili. Šajā gadījumā vīruss kopē savu kodu makro, kas nodrošina piekļuvi galvenajiem parametriem. Izejot no programmas, fails tiek ievadīts automātiskais režīms saglabāts punktā (izmanto, lai izveidotu jaunus dokumentus). Pēc tam tas nokļūst standarta makro, mēģinot pārtvert komandas, kas nosūtītas uz citiem failiem, inficējot arī tos.

Infekcija notiek šādos gadījumos:

1. Ja vīrusā ir automātisks makro (tiek izpildīts automātiski, kad programma tiek izslēgta vai startēta).
2. Vīrusam ir pamata sistēmas makro (bieži saistīts ar izvēlnes vienumiem).
3. Aktivizējas automātiski, kad nospiežat noteiktus taustiņus vai kombinācijas.
4. Tas atveido tikai tad, kad tas tiek palaists.

Šādi vīrusi parasti inficē visus failus, kas izveidoti un saistīti ar programmām makro valodā.

Kādu ļaunumu viņi nodara?

Makrovīrusus nevajadzētu novērtēt par zemu, jo tie ir pilnvērtīgi vīrusi un nodara būtisku kaitējumu datoriem. Viņi var viegli izdzēst, kopēt vai rediģēt jebkurus objektus, kuros cita starpā ir ietverta personiskā informācija. Turklāt viņi var arī pārsūtīt informāciju citiem lietotājiem E-pasts.

Jaudīgākas utilītas parasti var formatēt cietos diskus un kontrolēt visa datora darbību. Tāpēc uzskats, ka šāda veida datorvīrusi apdraud tikai grafiskos un teksta redaktorus, ir kļūdains. Galu galā tādas utilītas kā Word un Excel darbojas kopā ar vairākām citām, kuras arī šajā gadījumā ir apdraudētas.

Inficēta faila atpazīšana

Bieži vien failus, kas ir inficēti ar makrovīrusiem un ir jutīgi pret to ietekmi, nemaz nav grūti identificēt. Galu galā tie darbojas pilnīgi atšķirīgi no citiem tāda paša formāta utilītiem.

Bīstamību var identificēt pēc šādām pazīmēm:

Turklāt draudi bieži vien ir viegli pamanāmi vizuāli. To izstrādātāji parasti cilnē “Kopsavilkums” norāda tādu informāciju kā utilīta nosaukums, kategorija, komentāra tēma un autora vārds, pateicoties kuriem jūs varat atbrīvoties no makrovīrusa daudz ātrāk un vienkāršāk. To var izsaukt, izmantojot konteksta izvēlni.

Izņemšanas metodes

Kad atrodat aizdomīgu failu vai dokumentu, vispirms skenējiet to ar pretvīrusu. Ja tiek atklāts drauds, antivīrusi mēģinās to izārstēt, un, ja tas neizdosies, tie pilnībā bloķēs piekļuvi.

Ja viss dators ir inficēts, izmantojiet ārkārtas situāciju sāknēšanas disks, kurā ir antivīruss ar jaunāko datu bāzi. Tas skenēs jūsu cieto disku un neitralizēs visus atrastos draudus.

Ja jūs nevarat sevi aizsargāt šādā veidā, jūsu antivīruss neko nevar izdarīt un nav glābšanas diska, tad jums vajadzētu izmēģināt “manuālo” ārstēšanas metodi:

Tādā veidā jūs noņemsit makro vīrusu no inficētā dokumenta, taču tas nekādā gadījumā nenozīmē, ka tas nepaliek sistēmā. Tāpēc ieteicams pie pirmās iespējas skenēt visu personālo datoru un visus tā datus ar antivīrusu vai (to priekšrocība ir tā, ka tiem nav nepieciešama instalēšana).

Datora apstrādes un tīrīšanas process no inficēšanās ar makrovīrusiem ir diezgan sarežģīts, tāpēc labāk ir novērst inficēšanos sākuma stadijā.

Tādā veidā jūs pasargāsit sevi un makrovīrusi nekad neiekļūst attiecīgajos failos.

Datorvīruss ir programma, kurai ir iespēja izveidot sev kopijas un ievadīt tās dažādos datorsistēmu, tīklu u.c. objektos un resursos. bez lietotāja ziņas. Tajā pašā laikā kopijas saglabā iespēju tālāk izplatīt.

Programma parasti tiek inficēta tā, ka vīruss iegūst kontroli pirms pašas programmas. Lai to izdarītu, tas ir vai nu iebūvēts programmas sākumā, vai arī implantēts tās ķermenī, lai inficētās programmas pirmā komanda būtu beznosacījumu pāreja uz datorvīrusu, kura teksts beidzas ar līdzīgu beznosacījumu pārejas komandu. vīrusa nesēja komandai, kas bija pirmā pirms inficēšanās. Saņemot kontroli, vīruss izvēlas nākamo failu, inficē to, iespējams, veic dažas citas darbības un pēc tam nodod kontroli vīrusa nesējam.

Primārā infekcija notiek inficēto programmu pārvietošanas procesā no vienas mašīnas atmiņas uz citas, un kā līdzekli šo programmu pārvietošanai var izmantot gan datu nesējus (optiskos diskus, zibatmiņu utt.), gan kanālus. datortīkli. Vīrusus, kas reproducēšanai izmanto tīkla rīkus, tīkla protokolus, datortīklu vadības komandas un e-pastu, parasti sauc par tīkla vīrusiem.

Vīrusa dzīves cikls parasti ietver šādus periodus: ievadīšana, inkubācija, replikācija (pašreprodukcija) un izpausmes. Inkubācijas periodā vīruss ir pasīvs, kas apgrūtina tā atrašanas un neitralizēšanas uzdevumu. Izpausmes stadijā vīruss veic sev raksturīgās mērķa funkcijas, piemēram, neatgriezenisku informācijas labošanu datorā vai ārējos datu nesējos.

Datorvīrusa fiziskā struktūra ir diezgan vienkārša. Tas sastāv no galvas un, iespējams, astes. Vīrusa galva ir tā sastāvdaļa, kas vispirms saņem kontroli. Aste ir vīrusa daļa, kas atrodas inficētās programmas tekstā, atsevišķi no galvas. Tiek saukti vīrusi, kas sastāv no vienas galvas nesegmentēts , savukārt vīrusi, kas satur galvu un asti, ir segmentēti .

Nozīmīgākās pazīmes datorvīrusiļauj mums veikt šādu klasifikāciju.

Ir vairākas pieejas datorvīrusu klasificēšanai pēc to raksturīgajām pazīmēm:

— atbilstoši vīrusa dzīvotnei;

- saskaņā ar infekcijas metodi;

- atbilstoši destruktīvajām spējām;

- atbilstoši darba algoritma pazīmēm.

Pamatojoties uz to dzīvotni, vīrusus iedala:

Failu vīrusi - vīrusi, kas inficē izpildāmos failus, kas rakstīti dažādos formātos. Attiecīgi, atkarībā no formāta, kādā programma ir uzrakstīta, tie būs EXE vai COM vīrusi.

Boot vīrusi — vīrusi, kas inficē disku sāknēšanas sektorus vai sektoru, kurā ir cietā diska sistēmas sāknēšanas ieraksts (Master Boot Record).

Tīkla vīrusi — vīrusi, kas izplatās dažādos datortīklos un sistēmās.

Makro vīrusi - vīrusi, kas inficē Microsoft faili Birojs

Flash vīrusi — vīrusi, kas inficē BIOS FLASH atmiņas mikroshēmas.

Saskaņā ar infekcijas metodi vīrusus iedala:

Rezidentu vīrusi - vīrusi, kas, inficējot datoru, atstāj savu rezidentu daļu atmiņā. Tie var pārtvert operētājsistēmas pārtraukumus, kā arī piekļuvi inficētajiem failiem no programmām un operētājsistēmas. Šie vīrusi var palikt aktīvi, līdz izslēdzat vai restartējat datoru.

Nerezidentu vīrusi - vīrusi, kas neatstāj tajā esošās daļas brīvpiekļuves atmiņa dators. Daži vīrusi atstāj atmiņā dažus fragmentus, kas nav spējīgi tālāk vairoties. Šādi vīrusi tiek uzskatīti par nerezidentiem.

Saskaņā ar to destruktīvajām spējām vīrusus iedala:

Nekaitīgi vīrusi - tie ir vīrusi, kas nekādā veidā neietekmē datora darbību, izņemot, iespējams, samazina brīvās diska vietas un RAM apjoma samazināšanu.

Nav bīstami vīrusi - vīrusi, kas izpaužas dažādu grafisko, skaņas efektu un citu nekaitīgu darbību izvadē.

Bīstami vīrusi ir vīrusi, kas var izraisīt dažādus traucējumus datoru, kā arī to sistēmu un tīklu darbībā.

Ļoti bīstami vīrusi - Tie ir vīrusi, kas izraisa informācijas zudumu un iznīcināšanu, programmu un visas sistēmas funkcionalitātes zudumu.

Pamatojoties uz to darbības algoritma īpašībām, vīrusus var iedalīt:

Kompanjonvīrusi - šie vīrusi inficē EXE failus, izveidojot dubultu COM failu, un tāpēc, startējot programmu, tā vispirms tiks palaists COM fails ar vīrusu, pēc darba pabeigšanas vīruss palaidīs EXE failu. Izmantojot šo infekcijas metodi, “inficētā” programma nemainās.

Tārpu vīrusi - vīrusi, kas izplatās datortīklos. Tie iekļūst datora atmiņā no datortīkla, aprēķina citu datoru adreses un uz šīm adresēm nosūta savas kopijas. Dažreiz tie atstāj pagaidu failus datorā, bet daži var neietekmēt datora resursus, izņemot RAM un, protams, procesoru.

"Stealth vīrusi" (neredzami vīrusi, slepeni) - kas ir ļoti progresīvas programmas, kas pārtver DOS izsaukumus uz inficētiem failiem vai diska sektoriem un to vietā aizstāj neinficētas informācijas sadaļas. Turklāt, piekļūstot failiem, šādi vīrusi izmanto diezgan oriģinālus algoritmus, kas ļauj tiem “maldināt” pastāvīgos pretvīrusu monitorus.

“Polimorfi” (paššifrējoši vai spoku vīrusi, polimorfi) — vīrusi, diezgan grūti atklājami vīrusi, kuriem nav parakstu, t.i. nesatur nevienu pastāvīgu koda daļu. Vairumā gadījumu diviem viena un tā paša polimorfā vīrusa paraugiem nebūs vienas atbilstības. Tas tiek panākts, šifrējot vīrusa galveno daļu un modificējot atšifrēšanas programmu.

"Makro vīrusi" — šīs ģimenes vīrusi izmanto datu apstrādes sistēmās (teksta redaktoros, izklājlapās utt.) iebūvēto makrovalodu iespējas. Pašlaik visizplatītākie makrovīrusi, kas inficē teksta dokumenti Microsoft Word redaktors.

Pēc darbības režīma:

- pastāvīgie vīrusi (vīrusi, kas pēc aktivizēšanas pastāvīgi atrodas datora operatīvajā atmiņā un kontrolē piekļuvi tā resursiem);

— tranzītvīrusi (vīrusi, kas tiek izpildīti tikai inficētās programmas palaišanas brīdī).

Pēc īstenošanas objekta:

— failu vīrusi (vīrusi, kas inficē failus ar programmām);

— sāknēšanas vīrusi (vīrusi, kas inficē programmas, kas glabājas disku sistēmas apgabalos).

Savukārt failu vīrusi tiek iedalīti vīrusos, kas inficē:

- izpildāmie faili;

— komandu faili un konfigurācijas faili;

— kompilēti makro programmēšanas valodās vai failos, kuros ir makro (makrovīrusi ir datorvīrusu veids, kas izstrādāts makro valodās un ir iebūvēts lietojumprogrammatūras pakotnēs, piemēram, Microsoft Office);

— faili ar ierīču draiveriem;

— faili ar avota, objektu, ielādes un pārklājuma moduļu bibliotēkām, dinamisko saišu bibliotēkām utt.

Boot vīrusi tiek iedalīti vīrusos, kas inficē:

- sistēmas sāknēšanas ielādētājs, kas atrodas sāknēšanas sektorā, un loģiskie diskdziņi;

- papildu sistēmas sāknēšanas ielādētājs, kas atrodas cieto disku sāknēšanas sektorā.

Pēc maskēšanās pakāpes un metodes:

— vīrusi, kas neizmanto maskēšanās līdzekļus;
— slepenie vīrusi (vīrusi, kas cenšas būt neredzami, pamatojoties uz piekļuves kontroli inficētiem datu elementiem);
— mutantu vīrusi (MtE vīrusi, kas satur šifrēšanas algoritmus, kas nodrošina atšķirību starp dažādām vīrusa kopijām).

Savukārt MtE vīrusus iedala:

- parastajiem mutantu vīrusiem, kuru dažādās kopijās atšķiras tikai šifrētie ķermeņi un vīrusu atšifrētie ķermeņi ir vienādi;

- polimorfie vīrusi, kuru dažādās kopijās atšķiras ne tikai šifrētie, bet arī to atšifrētie ķermeņi.

Visbiežāk sastopamajiem vīrusu veidiem ir raksturīgas šādas galvenās iezīmes.

Failu tranzīta vīruss pilnībā atrodas izpildāmais fails, saistībā ar kuru tas tiek aktivizēts tikai tad, ja tiek aktivizēts vīrusa nesējs, un pēc nepieciešamo darbību veikšanas tas atgriež vadību pašai programmai. Šajā gadījumā vīruss veic nākamā inficēšanās faila atlasi, meklējot direktoriju.

Failu rezidentu vīruss atšķiras no nerezidenta loģiskā struktūra un vispārējs darbības algoritms. Rezidentu vīruss sastāv no tā sauktā instalētāja un pārtraukumu apstrādes programmām. Instalētājs iegūst kontroli, kad vīrusa nesējs tiek aktivizēts un inficē operatīvo atmiņu, ievietojot tajā vīrusa kontroles daļu un aizvietojot adreses pārtraukumu vektora elementos ar savu programmu adresēm, kas apstrādā šos pārtraukumus. Tā sauktajā uzraudzības fāzē, kas seko aprakstītajai instalēšanas fāzei, kad notiek pārtraukums, atbilstošā vīrusa apakšprogramma saņem kontroli. Pateicoties tā ievērojami universālākam raksturam, salīdzinot ar nerezidentiem vīrusiem vispārējā shēma darbojas, rezidentu vīrusi var ieviest visvairāk Dažādi ceļi infekcija.

Stealth vīrusi baudiet dažu vāju drošību operētājsistēmas un nomainiet dažus to komponentus (disku draiverus, pārtraukumus) tā, lai vīruss kļūtu neredzams (caurspīdīgs) citām programmām.

Polimorfie vīrusi satur algoritmu atšifrētu vīrusu korpusu ģenerēšanai, kas atšķiras viens no otra. Tajā pašā laikā atšifrēšanas algoritmos var izsaukt gandrīz visas komandas Intel procesors un pat izmantot dažas specifiskas tā faktiskā darbības režīma iezīmes.

Makro vīrusi izplatīta kontrolē lietojumprogrammas, kas padara tos neatkarīgus no operētājsistēmas. Liels skaits makrovīrusu darbojas zem kontroles vārdu procesors Microsoft Word. Tajā pašā laikā ir zināms, ka makrovīrusi darbojas tādās lietojumprogrammās kā Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes un Microsoft un Apple operētājsistēmās.

Tīkla vīrusi , ko sauc arī par atsevišķām replikācijas programmām vai saīsināti replikatoriem, reproducēšanai izmanto tīkla operētājsistēmas rīkus. Pavairošana visvieglāk realizējama gadījumos, kad tīkla protokoli Tas ir iespējams arī gadījumos, kad šie protokoli ir vērsti tikai uz ziņojumu apmaiņu. Klasisks e-pasta procesa ieviešanas piemērs ir Morris replikators. Replicatora teksts tiek pārsūtīts no viena datora uz otru kā parasts ziņojums, pakāpeniski aizpildot saņēmēja datora RAM atvēlēto buferi. Pārraides ierosinātās bufera pārpildes rezultātā programmas, kas izsauca ziņojumu saņemšanas programmu, atgriešanas adrese tiek aizstāta ar paša bufera adresi, kurā atgriešanās brīdī vīrusa teksts jau atrodas. Tādējādi vīruss iegūst kontroli un sāk darboties saņēmēja datorā.

"Nepilnības" , līdzīgi iepriekš aprakstītajam, noteiktu programmatūras funkciju ieviešanas īpatnību dēļ, ir objektīvs priekšnoteikums, lai uzbrucēji izveidotu un ieviestu replikatorus.

Vīrusu izraisītās sekas to mērķa funkciju īstenošanas procesā parasti tiek iedalītas šādās grupās:

— informācijas izkropļošana failos vai datņu piešķiršanas tabulā (FAT tabula), kas var izraisīt visas failu sistēmas iznīcināšanu;
— aparatūras bojājumu simulācija;
— skaņas un vizuālo efektu radīšana, tostarp, piemēram, tādu ziņojumu parādīšana, kas maldina operatoru vai kavē viņa darbu;
— kļūdu ierosināšana lietotāja programmās vai operētājsistēmā.

Iepriekš minēto klasifikāciju nevar uzskatīt par pilnīgu, jo progress nestāv uz vietas, parādās arvien vairāk viedierīču un attiecīgi arī vīrusu, kas uz tām darbojas, piemēram, jau ir parādījušies vīrusi, kas inficē mobilos tālruņus.

Jevgeņijs Kasperskis

Makrovīrusi ir programmas, kas rakstītas valodās (makrovalodās), kas iebūvētas dažās datu apstrādes sistēmās (teksta redaktoros, izklājlapās utt.). Reproducēšanai šādi vīrusi izmanto makro valodu iespējas un ar to palīdzību tiek pārsūtīti no viena inficētā faila (dokumenta vai tabulas) uz citiem. Visizplatītākie makrovīrusi ir paredzēti Microsoft Word, Excel un Office 97.

Lai vīrusi pastāvētu noteiktā sistēmā (redaktorā), sistēmā ir jābūt iebūvētai makro valodai ar šādām iespējām:

1. programmas saistīšana makro valodā ar noteiktu failu;
2. makro programmu kopēšana no viena faila uz citu;
3. makroprogrammas kontroles iegūšana bez lietotāja iejaukšanās (automātiskie vai standarta makro).

Aprakstītajiem nosacījumiem atbilst MS Word, MS Office 97 un AmiPro redaktori, kā arī MS Excel izklājlapa. Šajās sistēmās ir ietvertas makro valodas (MS Word - Word Basic, MS Excel un MS Office 97 - Visual Basic), ar:

1. makro programmas ir piesaistītas noteiktam failam (AmiPro) vai atrodas failā (MS Word/Excel/Office 97);
2. makro valoda ļauj kopēt failus (AmiPro) vai pārvietot makro programmas uz sistēmas servisa failiem un rediģējamiem failiem (MSWord / Excel / Office 97);
3. strādājot ar failu noteiktos apstākļos (atvēršana, aizvēršana utt.), tiek izsauktas makro programmas (ja tādas ir), kuras ir definētas īpašā veidā (AmiPro) vai kurām ir standarta nosaukumi (MS Word/Excel/Office 97).

Pēdējā funkcija ir paredzēta automatizētai datu apstrādei lielās organizācijās vai globālie tīkli un ļauj organizēt tā saukto “automatizēto dokumentu plūsmu”. No otras puses, šādu sistēmu makro valodas iespējas ļauj vīrusam pārsūtīt savu kodu uz citiem failiem un tādējādi tos inficēt.

Četros iepriekš minētajos programmatūras produktos vīrusi pārņem kontroli, kad tiek atvērts vai aizvērts inficētais fails, nolaupa standarta failu funkcijas un pēc tam inficē failus, kuriem kaut kādā veidā tiek piekļūts. Pēc analoģijas ar DOS mēs varam teikt, ka lielākā daļa makrovīrusu ir pastāvīgie vīrusi: tie ir aktīvi ne tikai tad, kad fails tiek atvērts vai aizvērts, bet arī tik ilgi, kamēr ir aktīvs pats redaktors.

Galvenā informācija

Vīrusa fiziskā atrašanās vieta failā ir atkarīga no tā formāta, kas Microsoft produktu gadījumā ir ārkārtīgi sarežģīts: katrs Word, Office 97 dokumenta fails vai Excel izklājlapa ir datu bloku secība (katram no tiem ir arī savs formāts). ), kas savienoti kopā, izmantojot lielu pakalpojumu datu apjomu. Šo formātu sauc par OLE2 (Object Linking and Embedding). Programmu Word, Excel un Office 97 (OLE2) failu struktūra atgādina sarežģītu failu sistēma DOS diski: dokumenta faila vai tabulas “saknes direktorijs” norāda uz dažādu datu bloku galvenajiem apakšdirektorijiem, vairākas “FAT tabulas” satur informāciju par datu bloku atrašanās vietu dokumentā utt.

Turklāt Office Binder sistēma, kas atbalsta Word un Excel standartus, ļauj izveidot failus, kas vienlaikus satur vienu vai vairākus dokumentus Word formātā un vienu vai vairākas tabulas Excel formātā, un Word vīrusi var inficēt Word dokumentus, un Excel vīrusi var inficēt Excel tabulas, un tas viss ir iespējams viena diska faila ietvaros. Tas pats attiecas uz Office 97.

Jāatzīmē, ka MS Word 6. un 7. versija ļauj šifrēt dokumentā esošos makro. Tādējādi daži Word vīrusi inficētajos dokumentos atrodas šifrētā (tikai izpildes) formā.

Lielākā daļa zināmo Word vīrusu nav saderīgi ar nacionālajām (tostarp krievu) Word versijām vai, gluži pretēji, ir paredzēti tikai lokalizētām Word versijām un nedarbojas ar angļu valodas versiju. Tomēr dokumentā esošais vīruss joprojām ir aktīvs un var inficēt citus datorus, kuros ir instalēta atbilstošā Word versija.

Word vīrusi var inficēt jebkuras klases datorus, ne tikai IBM datorus. Infekcija ir iespējama, ja šo datoru ir instalēts teksta redaktors, kas ir pilnībā saderīgs ar Microsoft Word 6. vai 7. versiju (piemēram, MS Word operētājsistēmai Macintosh). Tas pats attiecas uz MS Excel un MS Office 97.

Interesanti, ka Word dokumentu, Excel tabulu un īpaši Office 97 formātiem ir šāda iespēja: dokumentu faili un tabulas satur “papildus” datu blokus, t.i., datus, kas nekādā veidā nav saistīti ar rediģējamo tekstu vai tabulām, vai kopijas. kas nejauši nokļuva tur citiem faila datiem. Šādu datu bloku rašanās iemesls ir datu klasteru organizācija OLE2 dokumentos un tabulās. Pat ja tiek ievadīta tikai viena teksta rakstzīme, tai tiek piešķirta viena vai pat vairākas datu kopas. Saglabājot dokumentus un tabulas klasteros, kas nav aizpildīti ar “noderīgiem” datiem, paliek “atkritumi”, kas kopā ar citiem datiem nonāk failā. “Atkritumu” daudzumu failos var samazināt, atceļot Word/Excel “Allow Fast Save” iestatījuma vienumu, taču tas tikai samazina kopējo “atkritumu” daudzumu, bet pilnībā to nenoņem.

Jāņem vērā arī tas, ka dažās OLE2.DLL versijās ir neliels trūkums, kā rezultātā, strādājot ar Word, Excel un jo īpaši Office 97 dokumentiem, no diska tiek iegūti nejauši dati, tostarp konfidenciāli (dzēsti faili, direktoriji un utt.).

MS Word/Excel/Office 97 vīrusi:
darba principiem

Strādājot ar dokumentu, MS Word 6. un 7. versija veic dažādas darbības: atver dokumentu, saglabā, izdrukā, aizver u.c.. Tajā pašā laikā Word meklē un izpilda atbilstošos iebūvētos makro: saglabājot failu, izmantojot komanda File/Save, tiek izsaukts FileSave makro, saglabājot izmantojot komandu File/SaveAs - FileSaveAs, drukājot dokumentus - FilePrint u.c., ja, protams, šādi makro ir definēti.

Ir arī vairāki "automātiskie makro", kas dažādos apstākļos tiek izsaukti automātiski. Piemēram, atverot dokumentu, programma Word pārbauda, ​​vai nav AutoOpen makro. Ja šāds makro ir pieejams, Word to izpilda. Aizverot dokumentu, Word izpilda AutoClose makro, startējot Word, tiek izsaukts AutoExec makro, izslēdzot - AutoExit un veidojot jaunu dokumentu - AutoNew. Līdzīgi mehānismi, bet ar dažādiem makro un funkciju nosaukumiem, tiek izmantoti programmā Excel/Office 97.

Makrovīrusi, kas inficē Word, Excel vai Office 97 failus, parasti izmanto vienu no trim iepriekš uzskaitītajiem paņēmieniem:

1. vīruss satur automacro (autofunction);
2. vīruss ignorē vienu no standarta sistēmas makro (saistīts ar izvēlnes vienumu);
3. Vīrusa makro tiek automātiski izsaukts, nospiežot jebkuru taustiņu vai taustiņu kombināciju.

Ir arī pusvīrusi, kas neizmanto uzskaitītos paņēmienus un vairojas tikai tad, ja lietotājs tos patstāvīgi palaiž izpildei.

Lielākā daļa makrovīrusu satur visas savas funkcijas standarta MS Word/Excel/Office 97 makro veidā. Tomēr ir vīrusi, kas izmanto paņēmienus, lai paslēptu savu kodu un saglabātu to ne-makro veidā. Ir zināmas trīs šādas metodes. Tie visi izmanto makro iespējas izveidot, rediģēt un izpildīt citus makro. Parasti šādiem vīrusiem ir mazs (dažkārt polimorfs) makro ielādētājs, kas izsauc iebūvēto makro redaktoru, izveido jaunu makro, aizpilda to ar galveno vīrusa kodu, izpilda to un pēc tam parasti iznīcina, lai paslēptu vīrusa pēdas. Šādu vīrusu galvenais kods atrodas vai nu pašā vīrusa ķermenī teksta virkņu veidā, vai arī tiek saglabāts dokumenta mainīgā apgabalā vai apgabalā Auto-text.

Darba algoritms
makro vīrusi programmai Word

Lielākā daļa zināmo Word vīrusu (6., 7. un Word 97 versijas) pēc palaišanas pārsūta savu kodu uz globālo dokumentu makro apgabalu (“vispārējie” makro).

Aizverot programmu Word, globālie makro (tostarp vīrusu makro) tiek automātiski ierakstīti globālo makro DOT failā (parasti NORMAL.DOT). Tādējādi vīruss tiek aktivizēts brīdī, kad Word ielādē globālos makro.

Tad vīruss ignorē (vai jau satur) vienu vai vairākus standarta makro (piemēram, FileOpen, FileSave, FileSaveAs, FilePrint) un tādējādi pārtver komandas darbam ar failiem. Kad šīs komandas tiek izsauktas, fails, kuram tiek piekļūts, ir inficēts. Lai to izdarītu, vīruss pārvērš failu veidnes formātā (kas padara neiespējamas turpmākas izmaiņas faila formātā, t.i., konvertēšanu uz jebkuru formātu, kas nav veidnes), un ieraksta failā savus makro, tostarp Auto makro.

Vēl viens veids, kā ieviest vīrusu sistēmā, ir balstīts uz tā sauktajiem “pievienojumprogrammas” failiem, t.i., failiem, kas ir Word pakalpojuma papildinājumi. Šajā gadījumā NORMAL.DOT netiek mainīts, un Word, palaižot, ielādē vīrusa makro no faila (vai failiem), kas definēts kā “Papildinājums”. Šī metode gandrīz pilnībā atkārto globālo makro inficēšanos, ar vienīgo izņēmumu, ka vīrusu makro tiek glabāti nevis NORMAL.DOT, bet kādā citā failā.

Ir iespējams arī ievadīt vīrusu failos, kas atrodas STARTUP direktorijā. Šajā gadījumā Word automātiski ielādē veidņu failus no šī direktorija, taču šādi vīrusi vēl nav sastapušies.

Makrovīrusu noteikšana

Raksturīgās makrovīrusu klātbūtnes pazīmes ir:

1. nespēja konvertēt inficētu Word dokumentu citā formātā;
2. inficētie faili ir veidnes formātā, jo, kad tie ir inficēti, Word vīrusi konvertē failus no Word dokumenta formāta uz veidni
3. nespēja ierakstīt dokumentu citā direktorijā vai citā diskā, izmantojot komandu “Saglabāt kā” (tikai Word 6);
4. STARTUP direktorijā ir “ārzemju” faili;
5. “papildu” un slēpto lapu klātbūtne grāmatā.

Lai pārbaudītu, vai sistēmā nav vīrusu, varat izmantot izvēlnes vienumu Rīki/Makro. Ja tiek atklāti “ārzemju makro”, tie var piederēt kādam vīrusam. Taču šī metode nedarbojas slepeno vīrusu gadījumā, kas “aizliedz” šī izvēlnes elementa darbību, kas, savukārt, ir pietiekams pamats uzskatīt sistēmu par inficētu.

Daudziem vīrusiem ir kļūdas vai tie nedarbojas pareizi dažādās Word/Excel versijās, kā rezultātā šīs programmas rada kļūdu ziņojumus, piemēram:

WordBasic Err = kļūdas numurs.

Ja šāds ziņojums tiek parādīts, rediģējot jaunu dokumentu vai tabulu, apzināti neizmantojot pielāgotus makro, tas var būt arī sistēmas infekcijas pazīme. Arī vīrusa signāls ir Word, Excel un Windows failu un sistēmas konfigurācijas izmaiņas. Daudzi vīrusi vienā vai otrā veidā maina izvēlnes Rīki/Opcijas vienumus - ļaujot vai atspējot funkcijas “Prompt to Save Normal Template”, “Allow Fast Save”, “Vīrusa aizsardzība”. Daži vīrusi iestata paroli failiem, kad tie ir inficēti. Liels skaits vīrusi izveido jaunas sadaļas un/vai opcijas Windows konfigurācijas failā (WIN.INI).

Protams, vīrusa izpausmes ietver tādus "pārsteigumus" kā ziņojumu vai dialogu parādīšanās ar diezgan dīvainu saturu vai valodā, kas nesakrīt ar valodu. instalētā versija Word/Excel.

Atveseļošanās
ietekmētie objekti

Vairumā gadījumu inficēto failu un disku “ārstēšanas” procedūra ir saistīta ar piemērotas pretvīrusu programmatūras palaišanu. Bet ir situācijas, kad vīruss ir jāneitralizē neatkarīgi, tas ir, “ar roku”.

Lai neitralizētu Word un Excel vīrusus, pietiek ar visu nepieciešamo informāciju saglabāt nedokumentu un netabulu formātā. Vispiemērotākais ir RTF teksta formāts, kas ietver gandrīz visu informāciju no oriģinālajiem dokumentiem un nesatur makro.

Pēc tam jums vajadzētu iziet no programmas Word/Excel, iznīcināt visus inficētos Word dokumentus, Excel tabulas, NORMAL.DOT for Word un visus dokumentus/tabulas Word/Excel STARTUP direktorijās. Pēc tam jums vajadzētu palaist Word/Excel un atjaunot dokumentus/tabulas no RTF failiem.

Šīs procedūras rezultātā vīruss tiks noņemts no sistēmas, un gandrīz visa informācija paliks nemainīga. Tomēr šai metodei ir vairāki trūkumi. Galvenais no tiem ir dokumentu un tabulu pārveidošanas sarežģītība RTF formātā, ja to skaits ir liels. Turklāt Excel gadījumā ir nepieciešams atsevišķi konvertēt visas Sheets katrā Excel failā.

Vēl viens būtisks trūkums ir darbības laikā izmantoto parasto makro zudums. Tāpēc pirms aprakstītās procedūras uzsākšanas jāsaglabā to oriģinālais teksts un pēc vīrusa neitralizēšanas jāatjauno nepieciešamie makro to sākotnējā formā.

No kurienes nāk vīrusi?
un kā izvairīties no infekcijas

Mūsdienās galvenais vīrusu avots ir internets. Visvairāk vīrusu inficēšanās notiek, apmainoties ar vēstulēm MS Word/Office 97 formātos: ar makrovīrusu inficēts redaktora lietotājs, pats to nezinot, sūta “inficētās” vēstules to adresātiem, un tie sūta jaunas vēstules utt.

Pieņemsim, ka lietotājs atbilst pieciem adresātiem, no kuriem katrs savukārt atbilst arī pieciem adresātiem. Pēc “vīrusu” vēstules nosūtīšanas visi pieci datori, kas to saņēma, ir inficēti. Otrajā izplatīšanas līmenī jau būs inficēti 1+5+20=26 datori. Ja tīkla adresāti apmainās ar vēstulēm vienu reizi dienā, tad līdz darba nedēļas beigām (5 dienas) būs inficēti vismaz 1+5+20+ 80+320=426 datori. Nav grūti aprēķināt, ka pēc 10 dienām inficēsies vairāk nekā simts tūkstoši datoru! Turklāt katru dienu viņu skaits četrkāršosies.

Aprakstīto vīrusa izplatības gadījumu visbiežāk fiksē antivīrusu kompānijas. Taču nav nekas neparasts, ka inficēts dokumenta fails vai Excel izklājlapa nonāk liela uzņēmuma komerciālās informācijas adresātu sarakstos pārraudzības dēļ. Šajā gadījumā cietīs nevis pieci, bet simtiem vai pat tūkstošiem šādu sūtījumu abonentu, kuri pēc tam nosūtīs inficētos failus desmitiem tūkstošu savu abonentu.

Publiskie failu serveri un elektroniskās konferences ir arī viens no galvenajiem vīrusu izplatības avotiem. Gandrīz katru nedēļu saņemam ziņojumu, ka kāds no lietotājiem ir inficējis savu datoru ar vīrusu, kas saņemts no BBS, ftp servera vai elektroniskās konferences.

Šajā gadījumā inficētos failus vīrusa autors bieži “augšupielādē” vairākos BBS/ftp vai nosūta uz vairākām konferencēm, aizsegs ar kādas programmatūras jaunām versijām (tostarp antivīrusiem).

Kad masu pasta sūtīšana vīrusi uz BBS/ftp failu serveriem, vienlaikus var inficēties tūkstošiem datoru, taču vairumā gadījumu tiek “izsūtīti” DOS vai Windows vīrusi, kuru izplatība ir mūsdienu apstākļos ievērojami zemāki nekā to makroekonomikas ekvivalenti. Šī iemesla dēļ šādi incidenti gandrīz nekad nebeidzas ar masu epidēmijām.

Trešais veids, kā ātri izplatīties vīrusi, ir caur vietējiem tīkliem. Ja neveicat nepieciešamos aizsardzības pasākumus, inficētā darbstacija, ienākot tīklā, inficē vienu vai vairākus servisa failus serverī, dažādus programmatūra, standarta šablonu dokumenti vai uzņēmumā izmantotās Excel tabulas u.c.

Bīstamību rada arī izglītības iestādēs uzstādītie datori. Ja kāds no skolēniem savās disketēs ienesis vīrusu un inficējis kādu no skolas datoriem, tad arī visi pārējie skolēni, kas strādā pie šī datora, saņems vēl vienu “infekciju”.

Tas pats attiecas uz mājas datoriem, ja tajos strādā vairāk nekā viena persona. Bieži gadās situācijas, kad studenta dēls (vai meita), strādājot pie daudzlietotāju datora institūtā, uzvelk vīrusu. mājas dators, kā rezultātā vīruss iekļūst datortīkls tēta vai mammas kompānija.

Nobeigumā es vēlos atzīmēt, ka, neskatoties uz šķietamo makrovīrusu apkarošanas sarežģītību, pasargāt sevi no šīs “infekcijas” ar mierīgu un kompetentu pieeju problēmai nav tik grūti.

Tas ir diezgan reti, taču joprojām ir pilnīgi iespējams inficēt datoru ar vīrusu tā remonta vai kārtējās pārbaudes laikā. Arī remontētāji ir cilvēki, un daži no viņiem mēdz nerūpēties par datoru drošības pamatnoteikumiem.