Vírus de macro - esta é uma variedadeVírus informáticosdesenvolvido emmacrolinguagens, incorporado em tais pacotes de aplicativosPOR, Como Microsoft Office . Para se reproduzir, esses vírus usam os recursos das macrolinguagens e, com a ajuda deles, são transferidos de um infectadoarquivopara outros. A maioria desses vírus é escrita paraMS Word.

Os mais difundidos são os macrovírus para Microsoft Word, Excel e Office 97.

Para que os vírus existam em um sistema específico (editor), é necessário ter uma linguagem de macro integrada ao sistema com as seguintes capacidades:

1. vincular um programa em linguagem macro a um arquivo específico;
2. copiar programas de macro de um arquivo para outro;
3. obter controle de um programa macro sem intervenção do usuário (macros automáticos ou padrão). As condições descritas são atendidas pelos editores MS Word, MS Office 97 e AmiPro, bem como pela planilha MS Excel. Esses sistemas contêm linguagens de macro (MS Word - Word Basic, MS Excel e MS Office 97 - Visual Basic), com:

1. os programas de macro estão vinculados a um arquivo específico (AmiPro) ou localizados dentro de um arquivo (MS Word/Excel/Office 97);

2. A linguagem macro permite copiar arquivos (AmiPro) ou mover programas macro para arquivos de serviço do sistema e arquivos editáveis ​​(MSWord/Excel/Office 97);

3. ao trabalhar com um arquivo sob determinadas condições (abrir, fechar, etc.), são chamados programas de macro (se houver), que são definidos de forma especial (AmiPro) ou possuem nomes padrão (MS Word/Excel/Office 97 ).

Nos quatro acima produtos de software Os vírus ganham controle quando um arquivo infectado é aberto ou fechado, interceptam funções padrão de arquivo e infectam arquivos que são acessados ​​de alguma forma. Por analogia com o DOS, podemos dizer que a maioria dos vírus de macro são vírus residentes: eles estão ativos não apenas no momento em que o arquivo é aberto ou fechado, mas enquanto o próprio editor estiver ativo.

Princípios de trabalho

Os vírus de macro que infectam arquivos do Word, Excel ou Office 97 geralmente usam uma das três técnicas a seguir:

Existem também semivírus que não utilizam as técnicas listadas e se reproduzem apenas se o usuário os iniciar de forma independente para execução.

A maioria dos vírus de macro contém todas as suas funções na forma de macros padrão do MS Word/Excel/Office 97. Existem, no entanto, vírus que usam técnicas para ocultar seu código e armazená-lo na forma de não-macros. Três desses métodos são conhecidos. Todos eles aproveitam a capacidade das macros de criar, editar e executar outras macros. Normalmente, esses vírus têm um pequeno carregador de macro (às vezes polimórfico) que chama o editor de macro integrado, cria uma nova macro, preenche-a com o código principal do vírus, executa-a e geralmente a destrói para ocultar vestígios do vírus. O código principal desses vírus está presente no próprio corpo do vírus, na forma de sequências de texto, ou é armazenado na área variável do documento ou na área de texto automático.

Detecção de vírus de macro

Os sinais característicos da presença de macrovírus são:

• incapacidade de converter infectados Documento do Word para um formato diferente. Os arquivos infectados estão no formato Template, pois quando infectados, os vírus do Word convertem arquivos do formato Word Document em Template;
• incapacidade de gravar um documento em outro diretório ou disco usando o comando “Salvar como” (somente Word 6);
• o diretório STARTUP contém arquivos “estrangeiros”;
• a presença de Folhas “extras” e ocultas no Livro.

Os vírus de macro são programas potencialmente indesejados escritos em linguagens de macro incorporadas em sistemas de processamento de dados gráficos ou de texto. As versões mais comuns de vírus são para Microsoft Word, Excel e Office 97. Como criar um vírus de macro é tão fácil quanto descascar peras, eles são encontrados com bastante frequência. Você deve ter muito cuidado ao baixar documentos questionáveis ​​da Internet. Muitos usuários subestimam as capacidades desses programas, cometendo um grande erro.

Como um vírus de macro infecta um computador?

Graças a maneira simples Os vírus de macro de reprodução são capazes de infectar um grande número de arquivos no menor tempo possível. Utilizando os recursos das linguagens macro, ao abrir ou fechar um documento infectado, eles penetram facilmente em todos os programas que são acessados ​​de uma forma ou de outra. Isto é, se você, usando editor gráfico, abra a imagem, o vírus de macro se espalhará pelos arquivos deste tipo. E alguns dos vírus deste tipo podem estar ativos desde que o gráfico ou editor de texto, ou mesmo até que o computador pessoal seja desligado.

A ação dos macrovírus ocorre de acordo com o seguinte princípio: Ao trabalhar com um documento, o Microsoft Word lê e executa vários comandos emitidos em linguagem macro. Em primeiro lugar, o programa malicioso tentará penetrar no modelo do documento principal, graças ao qual todos os arquivos deste formato são abertos. Neste caso, o vírus de macro cria uma cópia de seu código em macros globais (macros que fornecem acesso aos principais parâmetros) e quando você sai do programa que está usando, ele é salvo automaticamente em um arquivo de ponto (usado para criar novos documentos) . O vírus então invade as macros padrão do arquivo para interceptar comandos enviados para outros arquivos, infectando-os também.

A infecção por um macrovírus ocorre em um dos quatro casos:

1. Se o vírus contiver uma macro automática (executada automaticamente quando o programa é iniciado ou encerrado).
2. O vírus contém uma macro básica do sistema (geralmente associada a itens de menu).
3. O vírus é ativado automaticamente quando você pressiona uma tecla ou combinação específica.
4. O vírus se multiplica apenas quando é acionado diretamente.

Os vírus de macro podem danificar todos os arquivos associados a um programa em uma linguagem de macro.

Que danos os macrovírus causam?

Em nenhum caso você deve subestimar os vírus de macro, pois eles são vírus completos e não podem causar menos danos a um computador pessoal. Os vírus de macro são capazes de excluir, editar ou copiar arquivos contendo informações pessoais e transmiti-las a outra pessoa por e-mail. E programas mais poderosos podem até formatar o disco rígido e assumir o controle do seu computador. Portanto, a opinião de que os vírus de macro são perigosos apenas para editores de texto é errônea, porque o Word e o Excel freqüentemente entram em contato com um grande número de programas diferentes durante o trabalho.

Como reconhecer um arquivo infectado

Normalmente, os arquivos que foram afetados por um vírus de macro são bastante fáceis de identificar, porque funcionam de maneira diferente de outros programas do mesmo formato.

A presença de macrovírus pode ser determinada pelos seguintes sinais:

1. O documento do Word não é salvo em outro formato (usando o comando "salvar como...")
2. o documento não pode ser movido para outra pasta ou unidade
3. incapacidade de salvar alterações no documento (usando o comando “salvar”)
4. aparecimento frequente de mensagens do sistema sobre um erro de programa com o código correspondente
5. comportamento atípico de documentos
6. A maioria dos vírus de macro pode ser detectada visualmente, como seus criadores costumam indicar na guia Resumo (aberta com menu contextual) dados como nome do programa, tópico, categoria, nome do autor e comentários.

Como remover um arquivo infectado por vírus do seu computador

Em primeiro lugar, ao encontrar um documento ou arquivo suspeito, verifique-o com um antivírus. Quase sempre, quando os antivírus detectam uma ameaça, eles tentam desinfetar o arquivo ou bloquear completamente o acesso a ele. Em casos mais graves, quando todo o computador já estiver infectado, use o modo de emergência disco de instalação contendo um antivírus com banco de dados atualizado. Ele fará a varredura do disco rígido e neutralizará qualquer malware que encontrar. Nos casos em que o antivírus está impotente e não há disco de resgate disponível, use o método de tratamento “manual”:

1. Na guia “Exibir”, desmarque “Ocultar extensão para todos os tipos de arquivo registrados”.
2. encontre o arquivo infectado e altere a extensão de .doc para .rtf
3. remova o modelo Normal. ponto
4. altere a extensão do arquivo de volta e restaure os parâmetros originais

Como resultado dessas ações, removemos o vírus do documento infectado, mas isso não significa que ele não possa permanecer no sistema do computador, portanto, na primeira oportunidade, verifique todos os objetos do seu PC com um antivírus.

Como se proteger contra vírus de macro

Tratar seu computador contra vírus de macro pode ser bastante difícil, por isso é melhor prevenir a infecção. Para fazer isso, certifique-se de que seu antivírus seja atualizado regularmente. Antes de copiar arquivos de outra mídia de armazenamento ou da Internet, verifique cuidadosamente se há malware. Se você tiver um antivírus fraco ou nenhum antivírus, salve os documentos no formato .rtf, para que o vírus não consiga penetrá-los.

Os vírus de macro são utilitários potencialmente indesejados escritos em microlinguagens integradas em sistemas gráficos e de processamento de texto. Quais arquivos estão infectados por vírus de macro? A resposta é óbvia. As versões mais comuns para Programas da Microsoft Excel, Word e Office 97. Esses vírus são bastante comuns e criá-los é tão fácil quanto descascar peras. É por isso que você deve ser extremamente cuidadoso e cuidadoso ao baixar documentos da Internet. A maioria dos usuários os subestima, cometendo um erro grave.

Como um PC é infectado?

Depois de decidirmos o que são vírus de macro, vamos descobrir como eles penetram no sistema e infectam o computador. Um método simples de sua reprodução permite atingir o número máximo de objetos no menor tempo possível. Graças às capacidades das linguagens macro, ao fechar ou abrir um documento infectado, elas penetram nos programas acessados.

Ou seja, ao usar um editor gráfico, os vírus de macro infectam tudo relacionado a ele. Além disso, alguns ficam ativos o tempo todo enquanto o editor de texto ou gráfico está funcionando, ou mesmo até que o PC seja completamente desligado.

Qual é o princípio do seu trabalho?

Eles funcionam de acordo com o seguinte princípio: ao trabalhar com documentos, o Microsoft Word executa diversos comandos emitidos em linguagem macro. Em primeiro lugar, o programa penetra no template principal, através do qual são abertos todos os arquivos deste formato. Nesse caso, o vírus copia seu código em macros que dão acesso aos parâmetros principais. Ao sair do programa, o arquivo em modo automático salvo em ponto (usado para criar novos documentos). Depois disso, ele entra em macros padrão, tentando interceptar comandos enviados para outros arquivos, infectando-os também.

A infecção ocorre nos seguintes casos:

1. Se houver uma macro automática no vírus (realizada automaticamente quando o programa é desligado ou iniciado).
2. O vírus possui uma macro básica de sistema (frequentemente associada a itens de menu).
3. É ativado automaticamente quando você pressiona teclas ou combinações específicas.
4. Ele se reproduz apenas quando é iniciado.

Esses vírus geralmente infectam todos os arquivos criados e associados a programas em linguagem macro.

Que mal eles causam?

Os vírus de macro não devem ser subestimados, pois são vírus completos e causam danos significativos aos computadores. Eles podem excluir, copiar ou editar facilmente quaisquer objetos que contenham, entre outras coisas, informações pessoais. Além disso, eles também podem transferir informações para outras pessoas usando E-mail.

Utilitários mais poderosos geralmente podem formatar discos rígidos e controlar a operação de todo o PC. É por isso que é errônea a opinião de que esse tipo de vírus de computador representa um perigo exclusivamente para editores gráficos e de texto. Afinal, utilitários como Word e Excel funcionam em conjunto com vários outros, que neste caso também correm risco.

Reconhecendo um arquivo infectado

Freqüentemente, os arquivos infectados com vírus de macro e suscetíveis à sua influência não são nada difíceis de identificar. Afinal, eles funcionam de maneira completamente diferente de outros utilitários do mesmo formato.

O perigo pode ser identificado pelos seguintes sinais:

Além disso, a ameaça costuma ser facilmente detectada visualmente. Seus desenvolvedores costumam indicar na aba “Resumo” informações como o nome do utilitário, categoria, tópico do comentário e nome do autor, graças às quais você pode se livrar de um vírus de macro com muito mais rapidez e facilidade. Você pode chamá-lo usando o menu de contexto.

Métodos de remoção

Ao encontrar um arquivo ou documento suspeito, primeiro verifique-o com um antivírus. Se uma ameaça for detectada, os antivírus tentarão curá-la e, se não tiverem sucesso, bloquearão completamente o acesso a ela.

Se todo o computador estiver infectado, você deve usar o serviço de emergência disco de inicialização, que contém o antivírus com o banco de dados mais recente. Ele fará a varredura em seu disco rígido e neutralizará todas as ameaças que encontrar.

Se você não consegue se proteger dessa forma, seu antivírus não pode fazer nada e não há disco de recuperação, você deve tentar o método de tratamento “manual”:

Dessa forma, você removerá o vírus de macro do documento infectado, mas isso não significa de forma alguma que ele não permaneça no sistema. Por isso é recomendável fazer uma varredura em todo o computador pessoal e todos os seus dados com um antivírus ou (a vantagem é que não requerem instalação) na primeira oportunidade.

O processo de tratamento e limpeza de um computador contra infecção por vírus de macro é bastante complexo, por isso é melhor prevenir a infecção nos estágios iniciais.

Dessa forma, você se protegerá e os vírus de macro nunca penetrarão nos arquivos correspondentes.

Um vírus de computador é um programa que tem a capacidade de criar cópias de si mesmo e introduzi-las em vários objetos e recursos de sistemas de computador, redes, etc. sem o conhecimento do usuário. Ao mesmo tempo, as cópias mantêm a capacidade de serem distribuídas posteriormente.

Um programa geralmente é infectado de tal forma que o vírus ganha controle antes do próprio programa. Para fazer isso, ele é embutido no início do programa ou implantado em seu corpo para que o primeiro comando do programa infectado seja uma transição incondicional para um vírus de computador, cujo texto termina com um comando semelhante de transição incondicional ao comando do portador do vírus, que foi o primeiro antes da infecção. Tendo recebido o controle, o vírus seleciona o próximo arquivo, infecta-o, possivelmente executa algumas outras ações e então dá o controle ao portador do vírus.

A infecção primária ocorre durante o processo de transferência de programas infectados da memória de uma máquina para a memória de outra, e tanto a mídia de armazenamento (discos ópticos, memória flash, etc.) quanto os canais podem ser usados ​​como meio de mover esses programas. redes de computadores. Os vírus que usam ferramentas de rede, protocolos de rede, comandos de controle de redes de computadores e e-mail para se reproduzir são geralmente chamados de vírus de rede.

O ciclo de vida de um vírus geralmente inclui os seguintes períodos: introdução, incubação, replicação (auto-reprodução) e manifestações. Durante o período de incubação, o vírus fica passivo, o que dificulta a tarefa de localizá-lo e neutralizá-lo. Na fase de manifestação, o vírus executa suas funções alvo inerentes, por exemplo, correção irreversível de informações em um computador ou em mídia externa.

A estrutura física de um vírus de computador é bastante simples. Consiste em uma cabeça e possivelmente uma cauda. A cabeça do vírus é o componente que recebe o controle primeiro. A cauda é uma parte do vírus localizada no texto do programa infectado, separada da cabeça. Os vírus que consistem em uma cabeça são chamados não segmentado , enquanto os vírus contendo cabeça e cauda são segmentado .

Os sinais mais significativos Vírus informáticos nos permitem realizar a seguinte classificação.

Existem várias abordagens para classificar os vírus de computador de acordo com suas características:

— de acordo com o habitat do vírus;

- de acordo com o método de infecção;

- de acordo com as capacidades destrutivas;

- de acordo com as características do algoritmo de trabalho.

Com base no seu habitat, os vírus são divididos em:

Vírus de arquivo - vírus que infectam arquivos executáveis ​​escritos em vários formatos. Conseqüentemente, dependendo do formato em que o programa foi escrito, serão vírus EXE ou COM.

Vírus de inicialização — vírus que infectam os setores de inicialização dos discos ou o setor que contém o registro de inicialização do sistema (Master Boot Record) do disco rígido.

Vírus de rede — vírus que se espalham em diversas redes e sistemas de computadores.

Vírus de macro - vírus que infectam Arquivos da Microsoft Escritório

Vírus instantâneos — vírus que infectam chips de memória BIOS FLASH.

De acordo com o método de infecção, os vírus são divididos em:

Vírus residentes - vírus que, ao infectar um computador, deixam sua parte residente na memória. Eles podem interceptar interrupções do sistema operacional, bem como acessar arquivos infectados de programas e do sistema operacional. Esses vírus podem permanecer ativos até você desligar ou reiniciar o computador.

Vírus não residentes - vírus que não deixam suas partes residentes memória de acesso aleatório computador. Alguns vírus deixam alguns fragmentos de si mesmos na memória que não são capazes de reprodução posterior. Esses vírus são considerados não residentes;

De acordo com suas capacidades destrutivas, os vírus são divididos em:

Vírus inofensivos - são vírus que não afetam de forma alguma o funcionamento do computador, com a possível exceção de reduzir o espaço livre em disco e a quantidade de RAM.

Não vírus perigosos - vírus que se manifestam na saída de vários gráficos, efeitos sonoros e outras ações inofensivas.

Vírus perigosos são vírus que podem causar diversas avarias no funcionamento dos computadores, bem como nos seus sistemas e redes.

Vírus muito perigosos - São vírus que levam à perda e destruição de informações, perda de funcionalidade dos programas e do sistema como um todo.

Com base nas características do seu algoritmo operacional, os vírus podem ser divididos em:

Vírus companheiros - esses vírus infectam arquivos EXE criando um arquivo COM duplo e, portanto, ao iniciar o programa, ele iniciará primeiro o arquivo COM com o vírus, após completar seu trabalho o vírus iniciará o arquivo EXE. Com este método de infecção, o programa “infectado” não muda.

Vírus worms - vírus que se espalham em redes de computadores. Eles penetram na memória do computador a partir de uma rede de computadores, calculam os endereços de outros computadores e enviam cópias de si mesmos para esses endereços. Às vezes, eles deixam arquivos temporários no computador, mas alguns podem não afetar os recursos do computador, exceto a RAM e, claro, o processador.

"Vírus furtivos" (vírus invisíveis, furtivos) - que são programas muito avançados que interceptam chamadas do DOS para arquivos ou setores de disco infectados e substituem seções de informações não infectadas em seu lugar. Além disso, ao acessar arquivos, esses vírus usam algoritmos bastante originais que lhes permitem “enganar” os monitores antivírus residentes.

“Polimórfico” (vírus autocriptografados ou fantasmas, polimórficos) — vírus, bastante difíceis de detectar vírus que não possuem assinaturas, ou seja, não contendo um único pedaço de código permanente. Na maioria dos casos, duas amostras do mesmo vírus polimórfico não terão uma única correspondência. Isto é conseguido criptografando o corpo principal do vírus e modificando o programa de descriptografia.

"Macrovírus" — os vírus desta família utilizam os recursos de macrolinguagens incorporadas aos sistemas de processamento de dados (editores de texto, planilhas, etc.). Atualmente, os macrovírus mais comuns que infectam documentos de texto Editor Microsoft Word.

Por modo de operação:

— vírus residentes (vírus que, após a ativação, ficam constantemente localizados na RAM do computador e controlam o acesso aos seus recursos);

— vírus em trânsito (vírus que são executados apenas no momento em que o programa infectado é iniciado).

Por objeto de implementação:

— vírus de arquivo (vírus que infectam arquivos com programas);

— vírus de inicialização (vírus que infectam programas armazenados em áreas de sistema de discos).

Por sua vez, os vírus de arquivo são divididos em vírus que infectam:

- arquivos executáveis;

— arquivos de comando e arquivos de configuração;

— compilados em linguagens de programação de macros ou arquivos contendo macros (vírus de macro são um tipo de vírus de computador desenvolvido em linguagens de macros, incorporados em pacotes de software de aplicação como o Microsoft Office);

— arquivos com drivers de dispositivos;

— arquivos com bibliotecas de módulos de origem, objeto, carregamento e sobreposição, bibliotecas de vínculo dinâmico, etc.

Os vírus de inicialização são divididos em vírus que infectam:

- carregador de boot do sistema localizado no setor de boot e unidades lógicas;

- um bootloader extra-sistema localizado no setor de boot dos discos rígidos.

Por grau e método de camuflagem:

— vírus que não utilizam meios de camuflagem;
— vírus furtivos (vírus que tentam ser invisíveis com base no controle de acesso a elementos de dados infectados);
— vírus mutantes (vírus MtE contendo algoritmos de encriptação que asseguram a distinção entre diferentes cópias do vírus).

Por sua vez, os vírus MtE são divididos em:

- para vírus mutantes comuns, em diferentes cópias dos quais apenas os corpos criptografados diferem e os corpos descriptografados dos vírus são iguais;

- vírus polimórficos, em diferentes cópias dos quais diferem não apenas os corpos criptografados, mas também os corpos descriptografados.

Os tipos mais comuns de vírus são caracterizados pelas seguintes características principais.

Vírus de trânsito de arquivos inteiramente localizado em arquivo executável, em relação ao qual é ativado somente se o portador do vírus estiver ativado e, após realizar as ações necessárias, devolve o controle ao próprio programa. Neste caso, a seleção do próximo arquivo para infecção é feita pelo vírus por meio de busca no diretório.

Vírus residente em arquivo diferente de não residente estrutura lógica e um algoritmo operacional geral. Um vírus residente consiste nos chamados programas de instalação e tratamento de interrupções. O instalador ganha controle quando o portador do vírus é ativado e infecta a RAM, colocando nela a parte de controle do vírus e substituindo os endereços nos elementos do vetor de interrupção pelos endereços de seus programas que processam essas interrupções. Na chamada fase de monitoramento, que segue a fase de instalação descrita, quando ocorre alguma interrupção, a sub-rotina de vírus correspondente recebe o controle. Devido à sua natureza significativamente mais universal em comparação com vírus não residentes esquema geral funcionando, os vírus residentes podem implementar a maior parte jeitos diferentes infecção.

Vírus furtivos desfrutam de fraca segurança de alguns sistemas operacionais e substituir alguns de seus componentes (drivers de disco, interrupções) de forma que o vírus fique invisível (transparente) para outros programas.

Vírus polimórficos contêm um algoritmo para gerar corpos de vírus descriptografados que são diferentes uns dos outros. Ao mesmo tempo, em algoritmos de descriptografia pode haver chamadas para quase todos os comandos Processador Intel e ainda utilizar alguns recursos específicos do seu modo real de operação.

Vírus de macro distribuído sob o controle programas aplicativos, o que os torna independentes do sistema operacional. O número esmagador de macrovírus opera sob o controle processador de palavras Microsoft Word. Ao mesmo tempo, sabe-se que os vírus de macro são executados em aplicativos como Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes e em sistemas operacionais Microsoft e Apple.

Vírus de rede , também chamados de programas de replicação independentes ou, abreviadamente, replicadores, usam ferramentas do sistema operacional de rede para reproduzir. A reprodução é mais facilmente realizada nos casos em que protocolos de rede Também é possível nos casos em que estes protocolos são focados apenas na troca de mensagens. Um exemplo clássico de implementação de processo de e-mail é o replicador Morris. O texto do replicador é transmitido de um computador para outro como uma mensagem normal, preenchendo gradativamente o buffer alocado na RAM do computador destinatário. Como resultado de um buffer overflow iniciado pela transmissão, o endereço de retorno do programa que chamou o programa para receber a mensagem é substituído pelo endereço do próprio buffer, onde no momento do retorno o texto do vírus já está localizado. Assim, o vírus ganha controle e começa a funcionar no computador destinatário.

"Lacunas" , semelhantes ao descrito acima, pelas peculiaridades de implementação de determinadas funções no software, são um pré-requisito objetivo para a criação e implementação de replicadores por invasores.

Os efeitos causados ​​pelos vírus no processo de implementação de suas funções alvo são geralmente divididos nos seguintes grupos:

— distorção de informações em arquivos ou na tabela de alocação de arquivos (tabela FAT), o que pode levar à destruição do sistema de arquivos como um todo;
— simulação de falhas de hardware;
— criar efeitos sonoros e visuais, incluindo, por exemplo, a exibição de mensagens que induzam o operador em erro ou impeçam o seu trabalho;
— início de erros nos programas do usuário ou no sistema operacional.

A classificação acima não pode ser considerada completa, uma vez que o progresso não pára, aparecem cada vez mais dispositivos inteligentes e, consequentemente, vírus que funcionam neles, por exemplo, já surgiram vírus que infectam telemóveis.

Eugene Kaspersky

Os vírus de macro são programas escritos em linguagens (macrolinguagens) incorporadas em alguns sistemas de processamento de dados (editores de texto, planilhas, etc.). Para se reproduzir, esses vírus usam os recursos das linguagens macro e, com a ajuda deles, são transferidos de um arquivo infectado (documento ou tabela) para outros. Os vírus de macro mais difundidos são para Microsoft Word, Excel e Office 97.

Para que os vírus existam em um sistema específico (editor), é necessário ter uma linguagem de macro integrada ao sistema com as seguintes capacidades:

1. vincular um programa em linguagem macro a um arquivo específico;
2. copiar programas de macro de um arquivo para outro;
3. obter controle de um programa macro sem intervenção do usuário (macros automáticos ou padrão).

As condições descritas são atendidas pelos editores MS Word, MS Office 97 e AmiPro, bem como pela planilha MS Excel. Esses sistemas contêm linguagens de macro (MS Word - Word Basic, MS Excel e MS Office 97 - Visual Basic), com:

1. os programas de macro estão vinculados a um arquivo específico (AmiPro) ou localizados dentro de um arquivo (MS Word/Excel/Office 97);
2. a linguagem macro permite copiar arquivos (AmiPro) ou mover programas macro para arquivos de serviço do sistema e arquivos editáveis ​​(MSWord/Excel/Office 97);
3. ao trabalhar com um arquivo sob certas condições (abrir, fechar, etc.), são chamados programas de macro (se houver), que são definidos de forma especial (AmiPro) ou possuem nomes padrão (MS Word/Excel/Office 97).

O último recurso destina-se ao processamento automatizado de dados em grandes organizações ou redes globais e permite organizar o chamado “fluxo automatizado de documentos”. Por outro lado, as capacidades de linguagem macro de tais sistemas permitem que o vírus transfira o seu código para outros ficheiros e assim os infecte.

Nos quatro produtos de software mencionados acima, os vírus assumem o controle quando um arquivo infectado é aberto ou fechado, sequestram funções padrão de arquivo e então infectam arquivos que são acessados ​​de alguma forma. Por analogia com o DOS, podemos dizer que a maioria dos vírus de macro são vírus residentes: eles estão ativos não apenas quando o arquivo é aberto ou fechado, mas enquanto o próprio editor estiver ativo.

informações gerais

A localização física do vírus dentro do arquivo depende do seu formato, que no caso dos produtos Microsoft é extremamente complexo: cada arquivo de documento do Word, Office 97 ou planilha do Excel é uma sequência de blocos de dados (cada um dos quais também possui seu próprio formato ), conectados entre si usando uma grande quantidade de dados de serviço. Este formato é denominado OLE2 (Object Linking and Embedding). A estrutura de arquivos do Word, Excel e Office 97 (OLE2) parece complicada sistema de arquivo Discos DOS: o “diretório raiz” de um arquivo de documento ou tabela aponta para os subdiretórios principais de vários blocos de dados, várias “tabelas FAT” contêm informações sobre a localização dos blocos de dados no documento, etc.

Além disso, o sistema Office Binder, que suporta os padrões Word e Excel, permite criar arquivos que contenham simultaneamente um ou mais documentos em formato Word e uma ou mais tabelas em formato Word. Formato Excel, e os vírus do Word podem infectar documentos do Word, e os vírus do Excel podem infectar tabelas do Excel, e tudo isso é possível dentro de um arquivo de disco. O mesmo se aplica ao Office 97.

Deve-se observar que as versões 6 e 7 do MS Word permitem criptografar macros presentes no documento. Assim, alguns vírus do Word estão presentes em documentos infectados de forma criptografada (somente execução).

A maioria dos vírus conhecidos para Word são incompatíveis com as versões nacionais (incluindo russas) do Word ou, inversamente, são projetados apenas para versões localizadas do Word e não funcionam na versão em inglês. No entanto, o vírus no documento ainda permanece ativo e pode infectar outros computadores com a versão correspondente do Word instalada.

Os vírus Word podem infectar computadores de qualquer classe, não apenas PCs IBM. A infecção é possível se este computador está instalado um editor de texto totalmente compatível com o Microsoft Word versão 6 ou 7 (por exemplo, MS Word para Macintosh). O mesmo se aplica ao MS Excel e ao MS Office 97.

É interessante que os formatos de documentos Word, tabelas Excel e principalmente Office 97 possuem a seguinte característica: arquivos de documentos e tabelas contêm blocos de dados “extras”, ou seja, dados que não têm nenhuma relação com o texto ou tabelas que estão sendo editadas, ou cópias que acidentalmente acabou lá outros dados do arquivo. A razão para a ocorrência de tais blocos de dados é a organização de dados em cluster em documentos e tabelas OLE2. Mesmo que apenas um caractere de texto seja inserido, um ou mesmo vários clusters de dados serão alocados para ele. Ao salvar documentos e tabelas em clusters que não estão preenchidos com dados “úteis”, resta “lixo”, que vai parar no arquivo junto com outros dados. A quantidade de “lixo” nos arquivos pode ser reduzida cancelando o item de configuração “Permitir salvamento rápido” do Word/Excel, no entanto, isso apenas reduz a quantidade total de “lixo”, mas não o remove completamente.

De referir ainda que algumas versões do OLE2.DLL contêm uma pequena falha, pelo que, ao trabalhar com documentos Word, Excel e principalmente Office 97, dados aleatórios do disco, incluindo os confidenciais (ficheiros apagados, diretórios e etc.).

Vírus MS Word/Excel/Office 97:
princípios de trabalho

Ao trabalhar com um documento, as versões 6 e 7 do MS Word realizam várias ações: abrir o documento, salvar, imprimir, fechar, etc. Ao mesmo tempo, o Word procura e executa as macros integradas correspondentes: ao salvar um arquivo usando o comando Arquivo/Salvar, a macro FileSave é chamada, ao salvar usando o comando File/SaveAs - FileSaveAs, ao imprimir documentos - FilePrint, etc., se, é claro, tais macros estiverem definidas.

Existem também várias "macros automáticas" que são chamadas automaticamente sob diversas condições. Por exemplo, quando você abre um documento, o Word verifica a presença da macro AutoOpen. Se tal macro estiver presente, o Word a executa. Ao fechar um documento, o Word executa a macro AutoClose, ao iniciar o Word é chamada a macro AutoExec, ao desligar - AutoExit, e ao criar um novo documento - AutoNew. Mecanismos semelhantes, mas com nomes de macros e funções diferentes, são usados ​​no Excel/Office 97.

Os vírus de macro que infectam arquivos do Word, Excel ou Office 97 geralmente usam uma das três técnicas listadas acima:

1. o vírus contém uma macro automática (autofunção);
2. o vírus substitui uma das macros padrão do sistema (associadas a um item de menu);
3. A macro de vírus é chamada automaticamente quando você pressiona qualquer tecla ou combinação de teclas.

Existem também semivírus que não utilizam as técnicas listadas e se reproduzem apenas se o usuário os iniciar de forma independente para execução.

A maioria dos vírus de macro contém todas as suas funções na forma de macros padrão do MS Word/Excel/Office 97. Existem, no entanto, vírus que usam técnicas para ocultar seu código e armazená-lo na forma de não-macros. Três desses métodos são conhecidos. Todos eles aproveitam a capacidade das macros de criar, editar e executar outras macros. Normalmente, esses vírus têm um pequeno carregador de macro (às vezes polimórfico) que chama o editor de macro integrado, cria uma nova macro, preenche-a com o código principal do vírus, executa-a e geralmente a destrói para ocultar vestígios do vírus. O código principal desses vírus está presente no próprio corpo do vírus, na forma de sequências de texto, ou é armazenado na área variável do documento ou na área de texto automático.

Algoritmo de trabalho
vírus de macro para Word

Os vírus Word mais conhecidos (versões 6, 7 e Word 97), quando lançados, transferem seu próprio código para a área global de macros do documento (macros “gerais”).

Quando você sai do Word, as macros globais (incluindo macros de vírus) são automaticamente gravadas no arquivo DOT de macros globais (geralmente NORMAL.DOT). Assim, o vírus é ativado no momento em que o Word carrega macros globais.

Em seguida, o vírus substitui (ou já contém) uma ou mais macros padrão (por exemplo, FileOpen, FileSave, FileSaveAs, FilePrint) e, assim, intercepta comandos para trabalhar com arquivos. Quando esses comandos são chamados, o arquivo acessado está infectado. Para fazer isso, o vírus converte o arquivo para o formato Modelo (o que impossibilita alterações adicionais no formato do arquivo, ou seja, a conversão para qualquer formato que não seja Modelo) e grava suas macros no arquivo, incluindo a macro Auto.

Outra forma de introduzir um vírus em um sistema é baseada nos chamados arquivos “Suplementos”, ou seja, arquivos que são acréscimos de serviço ao Word. Neste caso, NORMAL.DOT não é alterado e o Word, ao ser iniciado, carrega as macros de vírus do arquivo (ou arquivos) definido como “Suplemento”. Este método replica quase completamente a infecção de macros globais, com a única exceção de que as macros de vírus não são armazenadas em NORMAL.DOT, mas em algum outro arquivo.

Também é possível introduzir vírus em arquivos localizados no diretório STARTUP. Nesse caso, o Word carrega automaticamente os arquivos de modelo deste diretório, mas esses vírus ainda não foram encontrados.

Detecção de vírus de macro

Os sinais característicos da presença de macrovírus são:

1. incapacidade de converter um documento do Word infectado para outro formato;
2. os arquivos infectados estão no formato de modelo, pois quando infectados, os vírus do Word convertem arquivos do formato de documento do Word em modelo
3. incapacidade de gravar um documento em outro diretório ou disco usando o comando “Salvar como” (somente Word 6);
4. o diretório STARTUP contém arquivos “estrangeiros”;
5. a presença de Folhas “extras” e ocultas no Livro.

Para verificar se há vírus no sistema, você pode usar o item de menu Ferramentas/Macro. Se forem detectadas “macros estranhas”, elas podem pertencer a um vírus. Porém, este método não funciona no caso de vírus furtivos, que “proíbem” o funcionamento deste item de menu, o que, por sua vez, é motivo suficiente para considerar o sistema infectado.

Muitos vírus apresentam bugs ou não funcionam corretamente em diferentes versões do Word/Excel, fazendo com que esses programas produzam mensagens de erro, por exemplo:

Err WordBasic = número do erro.

Se essa mensagem aparecer ao editar um novo documento ou tabela sem usar macros personalizadas intencionalmente, isso também pode ser um sinal de infecção do sistema. Também um sinal de vírus são alterações nos arquivos e na configuração do sistema Word, Excel e Windows. Muitos vírus alteram os itens do menu Ferramentas/Opções de uma forma ou de outra - permitindo ou desativando as funções “Solicitar para salvar modelo normal”, “Permitir salvamento rápido”, “Proteção contra vírus”. Alguns vírus definem uma senha nos arquivos quando são infectados. Um grande número de os vírus criam novas seções e/ou opções no arquivo de configuração do Windows (WIN.INI).

Naturalmente, as manifestações do vírus incluem “surpresas” como o aparecimento de mensagens ou diálogos com conteúdo bastante estranho ou num idioma que não coincide com o idioma versão instalada Palavra/Excel.

Recuperação
objetos afetados

Na maioria dos casos, o procedimento para “curar” arquivos e discos infectados se resume à execução de um software antivírus adequado. Mas há situações em que o vírus deve ser neutralizado de forma independente, ou seja, “manualmente”.

Para neutralizar os vírus Word e Excel, basta salvar todas as informações necessárias no formato de não documentos e não tabelas. O mais adequado é o formato de texto RTF, que inclui quase todas as informações dos documentos originais e não contém macros.

Então você deve sair do Word/Excel, destruir todos os documentos do Word infectados, tabelas do Excel, NORMAL.DOT para Word e todos os documentos/tabelas nos diretórios STARTUP do Word/Excel. Depois disso, você deve iniciar o Word/Excel e restaurar documentos/tabelas de arquivos RTF.

Como resultado deste procedimento, o vírus será removido do sistema e quase todas as informações permanecerão inalteradas. No entanto, este método tem uma série de desvantagens. A principal delas é a complexidade de converter documentos e tabelas para o formato RTF se o seu número for grande. Além disso, no caso do Excel, é necessário converter separadamente todas as planilhas de cada arquivo Excel.

Outra desvantagem significativa é a perda de macros normais usadas durante a operação. Portanto, antes de iniciar o procedimento descrito, deve-se salvar o texto original e, após neutralizar o vírus, restaurar as macros necessárias em sua forma original.

De onde vêm os vírus?
e como evitar a infecção

A principal fonte de vírus hoje é a Internet. O maior número de infecções por vírus ocorre durante a troca de cartas em formatos MS Word/Office 97: o usuário de um editor infectado com um vírus de macro, sem saber, envia cartas “infectadas” aos seus destinatários, e estes enviam novas cartas, etc.

Suponhamos que o usuário se corresponda com cinco destinatários, cada um dos quais, por sua vez, também corresponda com cinco destinatários. Depois de enviar uma carta “viral”, todos os cinco computadores que a receberam são infectados. No segundo nível de distribuição, 1+5+20=26 computadores já estarão infectados. Se os destinatários da rede trocarem cartas uma vez por dia, até o final da semana de trabalho (5 dias) pelo menos 1+5+20+ 80+320=426 computadores estarão infectados. Não é difícil calcular que em 10 dias mais de cem mil computadores serão infectados! Além disso, a cada dia seu número quadruplicará.

O caso descrito de propagação de vírus é mais frequentemente registrado por empresas de antivírus. Mas não é incomum que um arquivo de documento ou planilha do Excel infectado acabe nas listas de discussão de informações comerciais de uma grande empresa devido a um descuido. Nesse caso, não cinco, mas centenas ou mesmo milhares de assinantes de tais correspondências sofrerão, que enviarão arquivos infectados para dezenas de milhares de seus assinantes.

Servidores de arquivos públicos e conferências eletrônicas também são uma das principais fontes de propagação de vírus. Quase todas as semanas recebemos uma mensagem informando que um dos usuários infectou seu computador com um vírus recebido de um BBS, servidor FTP ou conferência eletrônica.

Neste caso, os ficheiros infectados são frequentemente “carregados” pelo autor do vírus para vários BBS/ftp ou enviados para várias conferências sob o disfarce de novas versões de algum software (incluindo antivírus).

Quando correspondência em massa vírus em servidores de arquivos BBS/ftp, milhares de computadores podem ser infectados ao mesmo tempo, mas na maioria dos casos os vírus DOS ou Windows são “enviados”, cuja propagação é condições modernas significativamente inferiores aos dos seus homólogos macroeconómicos. Por esta razão, tais incidentes quase nunca terminam em epidemias em massa.

A terceira maneira de os vírus se espalharem rapidamente é através de redes locais. Se você não tomar as medidas de proteção necessárias, a estação de trabalho infectada, ao entrar na rede, infecta um ou mais arquivos de serviço no servidor, vários Programas, documentos modelo padrão ou tabelas Excel utilizados na empresa, etc.

Os computadores instalados em instituições de ensino também representam um perigo. Se um dos alunos trouxer um vírus em seus disquetes e infectar um dos computadores da escola, todos os outros alunos que trabalham neste computador também receberão outra “infecção”.

O mesmo se aplica aos computadores domésticos se mais de uma pessoa trabalhar neles. Muitas vezes há situações em que um filho (ou filha) estudante, trabalhando em um computador multiusuário em um instituto, arrasta um vírus para computador de casa, como resultado do qual o vírus entra rede de computadores empresa do pai ou da mãe.

Para concluir, gostaria de salientar que, apesar da aparente complexidade do combate aos macrovírus, não é tão difícil proteger-se desta “infecção” com uma abordagem calma e competente do problema.

É muito raro, mas ainda é bem possível infectar seu computador com um vírus durante o reparo ou inspeção de rotina. Os reparadores também são pessoas, e alguns deles tendem a não se importar com as regras básicas de segurança do computador.