Malware i virusi (makro virusi, stealth i polimorfni virusi). Makro virusi Kako funkcionišu makro virusi

Makro virusi su infekcija koja truje život svakog korisnika. Čak i ako ste barem tri puta sistemski programer, ona i dalje ima dobre šanse da se bori protiv vas. Mnogi ljudi jednostavno potcjenjuju ovu kategoriju virusa i uzalud, oni nisu tako bezopasni kao što se čine. U pogledu preživljavanja, mogu se usporediti sa štakorima i žoharima - prilagođavaju se svemu i vrlo rijetko umiru. Vrijeme je da se jednom zauvijek riješimo makro infekcije.

Arhitektura makro virusa

Na početku, jasna definicija: makro virus je virus koji se može razmnožavati i pohraniti sam (bez intervencije korisnika), koristeći makro jezik. Iz definicije proizilazi da makro virusi mogu živjeti ne samo u Word dokumentima, već u BILO KOM uredskom dokumentu koji implementira funkcije makro jezika kao što je kopiranje makroa i njihovo spremanje. To je skoro puna lista aplikacije izložene opasnosti od makro infekcije: Word (bilo koji), Excel, AmiPro (ovo je uređivač teksta), MS Visio, PowerPoint, MS Access i 1C. Kao što vidite, broj ovakvih programa je prilično velik, a na Internetu često možete pronaći članke koji definiraju makro viruse na sljedeći način:
"virusi koji inficiraju datoteke dokumenata u formatu
WinWord". Neki idioti su to napisali!

Sada razgovarajmo o strukturi makro virusa za Word (kao najrelevantnijeg). Dakle. Postoji takva stvar kao što su standardni makroi. To uključuje: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Prefiks auto- znači da se radnja izvodi automatski, bez intervencije korisnika (iako to zavisi od postavljenog nivoa sigurnosti, ali o tome ćemo kasnije). To jest, dodavanjem infekcije makrou sa tim imenom, možete ga "oživjeti". Takođe, za svaku standardnu ​​akciju postoji standardni makro. Na primjer, za štampanje FilePrint, za spremanje FileSave, za spremanje u drugom formatu ili pod drugim imenom FileSaveAs. I ovi makroi mogu biti zaraženi.

Krajnji cilj svakog makro seronje je da pojebe normal.dot (on pohranjuje sve postavke šablona). Tada će svi otvoreni fajlovi biti zaraženi i vaši tekstovi će biti oštećeni.
Word pruža nekoliko nivoa sigurnosti: visok, srednji i nizak. Sadrži i ugrađeni mehanizam odbrane od makroinfekcije. Prema programerima, ovo bi trebalo djelovati na makro viruse poput srebra na zle duhove. Može biti da radi, ako ne za jedno „ali“. Zbog toga se neću upuštati u razlike između sigurnosnih nivoa i internih postavki Worda. Ali stvar je u tome da se SVI parametri interne sigurnosti mogu lako PROMIJENITI putem registra. Srećom, makro jezici to dozvoljavaju
uradi. Neću propisivati ​​konkretne puteve (gde šta tražiti), da ne bih iskušao vaše razigrane ruke. Oni koji su posebno nadareni mogu me kontaktirati putem mejla - obavijestit ću vas, ali „samo u svrhu upoznavanja sa ovom ranjivošću softver, da ih eliminišemo" :)

Da sumiramo, struktura makrovirusa je sljedeća:

1. Redefinirajte bilo koji standardni ili automatski korisni makro tako da onemogućuje zaštitu i ispravlja nivo sigurnosti.
2. Dodajte infekciju tamo.
3. Provjeravamo da li je ovaj makro tražen, te da se infekcija umnožava i da je nužno registrirana u Normal.dot

Sve je prilično jednostavno - zato postoji toliko različitih varijacija makro stvorenja.

Ubiću te golim rukama!

Postoji nekoliko popularnih načina za uništavanje makrogazama u već zaraženim Word dokumentima. Evo ih skoro sve:

1. Kreirajte vlastiti makro sa sljedećim kodom:
Sub Main
DisableAutoMacros
End Sub
Ovo čudo čuvate pod imenom AutoExec i tako postajete neranjivi za auto makroe.

2. Ako manipulišete nivoima zaštite, Word će tražiti dozvolu prilikom izvršavanja makroa.

3. Nemojte koristiti doc format. Uostalom, sve se može staviti u RTF - isti fontovi, dizajn, tabele, grafika... A RTF po definiciji ne sadrži makroe. Sve bi bilo idealno, ali postoji nedostatak: kada spremate informacije u rtf format, sve slike se automatski pretvaraju u bmp format. Ovaj grafički format je toliko težak da ga ne biste poželjeli svom neprijatelju. Kao rezultat toga, čak i nakon arhiviranja, gubitak u veličini rezultirajuće datoteke može dovesti do činjenice da jednostavno neće stati na disketu (naravno, ovisno o broju slika). Istina, ako nema grafike, onda je rtf idealan.

Teška artiljerija

Vrijeme je da budete hrabri i jednom zauvijek ubijete makro stvorenja. Zadatak nije tako težak za izvršenje: potreban vam je neinficiran računar i najnovija distribucija Kaspersky Anti-Virus. Prije nekoliko godina, Kaspersky Lab je razvio modul pod nazivom Office Guard. O tome ćemo razgovarati.

Office Guard obično nije uključen u piratske distribucije, ali uz određenu vještinu možete ga pronaći. Šta je ovo? Evo šta o tome kažu kreatori:
„Office Guard je u osnovi nova tehnologija za zaštitu od makro virusa i makro trojanaca. Office Guard, koji je dizajniran za napredne korisnike, implementira revolucionarni pristup antivirusnoj sigurnosti zasnovan na principima blokatora ponašanja. Za razliku od “klasičnih” antivirusnih zaštitnih šema izgrađenih na bazi konvencionalnog pretraživanja konteksta, Office Guard rješava problem na sveobuhvatan način, eliminirajući samu mogućnost da makro virusi rade na zaštićenom računalu. Office Guard razlikuje makro viruse ne po spoljni znaci(prisustvo određenog niza znakova), već njihovim ponašanjem koje je određeno mogućnostima programskog jezika VBA ( Visual basic za
Prijava).“

Najbolja karakteristika je to što je ne treba ažurirati! Međutim, njegova upotreba je prepuna mnogih zamki:

1. Trebalo bi da se instalira na neinficiranoj mašini.
2. Ako ste imali instaliran Word, zatim ste instalirali Office Guard, a zatim instalirali Excel, tada će samo Word biti zaštićen. Izvucite svoje zaključke.
3. Office Guard hvata viruse, ali ih NE LEČI.

Da biste riješili posljednji problem, potreban vam je samo antivirusni skener. Dakle, AVP skener + Office Guard daju potpuna sigurnost od makrovirusa. Ako želite da tretirate dokumente, s vremena na vreme ćete morati da preuzmete ažuriranje za
AVP.

Međutim, budimo pošteni - ne možete povući ćebe u korist Kaspersky Lab-a, inače će biti razgovora poput:
“A koliko su vam platili za promociju proizvoda?”

Svaki ažurirani antivirus daje dobar, skoro 100%,
zaštita od makrogasova. Jednostavno svako od njih koristi različite tehnologije za ovo. Na primjer, DrWeb koristi pretragu potpisa i heuristički analizator,
Evo o čemu smo razgovarali sa njegovim kreatorima:

Vaš antivirusni paket ne uključuje poseban modul za borbu protiv makro virusa. Zašto? Da li mislite da stalni monitor garantuje sigurnost od makro virusa?

Alati za otkrivanje i borbu protiv makro virusa sastavni su dio DrWeb jezgre. A pošto kernel koriste i skener i monitor, svi makro virusi se detektuju i tretiraju podjednako dobro u oba slučaja.

WUA uključuje poseban modul protiv makro virusa u MS Office-u. Programeri tvrde da je ovaj modul baziran na blokatoru ponašanja koji analizira akcije pacijentovog programa. Kao rezultat, ovaj proizvod pruža 100% garanciju protiv makro virusa sve dok se ne pusti. nova verzija VBA. One. makrovirusi se ne traže po potpisima. Prednost ovoga
Pristup je da nakon što jednom instalirate takav modul, ne treba ga ažurirati. Sada pitanja: Da li DrWeb pretražuje makro viruse po potpisu?

DrWeb pretražuje makro viruse i po potpisu i pomoću ugrađenog
originalni moćni heuristički analizator. Mehanizam pretraživanja i analize makroa
implementirano na nekoliko nivoa: skenira se i binarni kod makroa,
njihov sastavljeni i izvorni tekst. Ovo omogućava otkrivanje poznatih virusa,
njihove modifikacije, kao i nepoznati makro virusi. dakle,
Postaje moguće ne samo da ne ovisi o verziji instalirane
MS Office paket (pojavila se mogućnost presretanja pokrenutih makroa
samo u Office 2000 i nije bio dostupan u prethodne verzije), ali i općenito iz
dostupnost MS Office-a na računaru na kojem se vrši skeniranje
datoteke - na primjer, na korporativnom Internet prolazu.

Osim toga, korištenje heuristike izgrađene na istim principima
analizator, DrWeb je u stanju da otkrije nepoznate trojance,
backdoors, internet crvi, irc, batch (bat) i skripta
(vbs/vbe) virusi.

Vaše lično mišljenje: može li modul iz WUA osigurati 100% sigurnost od makroinfekcija?

Trenutna situacija je takva da u cilju efikasne borbe protiv virusa, svaki moderan
Antivirusni proizvod se mora odmah ažurirati. nažalost,
stvaranje "apsolutnog" antivirusa je nemoguće.

Odgovori na pitanja
Sergej Jurijevič Popov
Andrej Vladimirovič Bašarimov

Developers antivirusni programi WEB porodica.

Makro virusi su potencijalno neželjeni uslužni programi napisani na mikrojezicima koji su ugrađeni u sisteme za obradu grafike i teksta. Koje datoteke su zaražene makro virusima? Odgovor je očigledan. Najčešće verzije za Microsoft programi Excel, Word i Office 97. Ovi virusi su prilično česti, a kreiranje ih je lako kao ljuštenje krušaka. Zbog toga treba da budete izuzetno oprezni i pažljivi prilikom preuzimanja dokumenata sa interneta. Većina korisnika ih podcjenjuje, čineći time tešku grešku.

Kako se računar inficira?

Nakon što smo odlučili šta su makro virusi, hajde da shvatimo kako oni prodiru u sistem i zaraze računar. Jednostavna metoda njihove reprodukcije omogućava vam da pogodite maksimalan broj objekata u najkraćem mogućem vremenu. Zahvaljujući mogućnostima makro jezika, prilikom zatvaranja ili otvaranja zaraženog dokumenta, oni prodiru u programe kojima se pristupa.

Odnosno, kada koristite grafički uređivač, makro virusi inficiraju sve što je s njim povezano. Štoviše, neki su aktivni cijelo vrijeme dok šalju poruke ili grafički uređivač raditi ili dok se računar potpuno ne isključi.

Koji je princip njihovog rada?

Njihovo djelovanje odvija se prema sljedećem principu: pri radu sa dokumentima, Microsoft Word izvršava različite komande izdate u makro jeziku. Prije svega, program prodire u glavni predložak, kroz koji se otvaraju sve datoteke ovog formata. U ovom slučaju, virus kopira svoj kod u makronaredbe koje omogućavaju pristup glavnim parametrima. Prilikom izlaska iz programa, fajl u automatski način rada sačuvana u tački (koristi se za kreiranje novih dokumenata). Nakon toga ulazi u standardne makroe, pokušavajući presresti naredbe poslane drugim datotekama, zaraziti i njih.

Do infekcije dolazi u sljedećim slučajevima:

  1. Ako u virusu postoji automatski makro (izvodi se automatski kada se program isključi ili pokrene).
  2. Virus ima osnovni sistemski makro (često povezan sa stavkama menija).
  3. Aktivira se automatski kada pritisnete određene tipke ili kombinacije.
  4. Reproducira se samo kada se pokrene.

Takvi virusi obično inficiraju sve datoteke kreirane i povezane s programima na makro jeziku.

Kakvu štetu čine?

Makro viruse ne treba podcijeniti, jer su oni punopravni virusi i nanose značajnu štetu računarima. Oni lako mogu brisati, kopirati ili uređivati ​​sve objekte koji između ostalog sadrže, lična informacija. Osim toga, oni također mogu prenijeti informacije drugim osobama koje koriste Email.

Moćniji uslužni programi općenito mogu formatirati čvrste diskove i kontrolirati rad cijelog PC-a. Zato je pogrešno mišljenje da ova vrsta kompjuterskih virusa predstavlja opasnost isključivo za grafičke i tekstualne urednike. Na kraju krajeva, uslužni programi kao što su Word i Excel rade u sprezi s nizom drugih, koji su u ovom slučaju također u opasnosti.

Prepoznavanje zaražene datoteke

Često nije teško identificirati datoteke zaražene makro virusima i podložne njihovom utjecaju. Uostalom, oni funkcioniraju potpuno drugačije od ostalih uslužnih programa istog formata.

Opasnost se može prepoznati po sljedećim znakovima:

Osim toga, prijetnja se često lako otkriva vizualno. Njihovi programeri obično na kartici "Sažetak" navode informacije kao što su naziv uslužnog programa, kategorija, tema komentara i ime autora, zahvaljujući kojima se možete riješiti makro virusa mnogo brže i lakše. Možete ga pozvati pomoću kontekstnog menija.

Metode uklanjanja

Kada pronađete sumnjivu datoteku ili dokument, prvo ih skenirajte antivirusom. Ako se otkrije prijetnja, antivirusi će pokušati da je izliječe, a ako ne uspiju, potpuno će joj blokirati pristup.

Ako je cijeli računar zaražen, trebali biste koristiti hitnu pomoć disk za pokretanje, koji sadrži antivirusni program s najnovijom bazom podataka. Skeniraće vaš čvrsti disk i neutralisati sve pretnje koje pronađe.

Ako se ne možete zaštititi na ovaj način, vaš antivirus ne može ništa učiniti i nema diska za spašavanje, pokušajte s "ručnim" načinom liječenja:


Na ovaj način ćete ukloniti makro virus iz zaraženog dokumenta, ali to ni na koji način ne znači da on ne ostaje u sistemu. Zato se preporučuje skeniranje u cijelosti PC i sve njegove podatke sa antivirusom ili (njihova prednost je što ne zahtijevaju instalaciju).

Proces liječenja i čišćenja računala od infekcije makro virusima je prilično složen, pa je bolje spriječiti infekciju u početnim fazama.


Na ovaj način ćete se zaštititi i makro virusi nikada neće prodrijeti u odgovarajuće datoteke.

Među raznovrsnim virusima mogu se izdvojiti makro virusi, koji su, kao nijedan drugi, opasni ne samo za operativni sistem, ali i za sve informacije koje se pohranjuju na povezan tvrdi diskovi. Virusi su posebno napisani programi na makro jezicima koji su ugrađeni u neke savremeni sistemi obrada podataka (tabele, uređivači teksta itd.).

Odnosno sve što se koristi u kancelarijama, kod kuće itd. za vođenje izvještaja, dokumentacije i dr. Virusi ovog tipa su najopasniji kada se posmatraju sa strane gubitka tekstualne informacije. Za reprodukciju maksimalno koriste sve mogućnosti makro jezika i, koristeći sve mogućnosti, prenose sebe (ili bolje rečeno programski kod) iz jedne zaražene datoteke (obično tablice ili dokumenta) u druge. Danas su najčešći makro virusi za softverske pakete Office 97, Microsoft Word i Excel. Razvijeni su i makro virusi koji inficiraju baze podataka Microsoft podaci Pristup i Ami Pro dokumentima.

Da bi makro virusi postojali u određenom sistemu (u ovom slučaju u uređivaču), izuzetno je neophodno imati poseban softverski makro jezik ugrađen u sistem sa sledećim mogućnostima:

1. kopiranje snimljenih makro programa iz određene datoteke u bilo koju drugu;

2. vezivanje virusa na makro jeziku za određenu datoteku;

3. Jedinstvena prilika da dobijete potpunu kontrolu nad virusnim makro programom (automatski ili standardni makroi).

Sve gore navedene uslove u potpunosti zadovoljavaju urednici AmiPro, Microsoft Word Office 97, baza podataka Microsoft Access, kao i Excel tabelu. Svi ovi sistemi sadrže niz makro jezika: Excel, Office 97 (uključujući Access, Word 97 i Excel 97) - Visual Basic za aplikacije i Word - Word Basic.

Danas su poznata četiri potpuno različita sistema za koje postoje zasebni virusi - Office 97, Microsoft Word, Excel i AmiPro. U ovim sistemima, makro virusi preuzimaju potpunu kontrolu tokom zatvaranja ili otvaranja zaražene datoteke. Nakon što stekne kontrolu, virus presreće sve funkcije datoteka, nakon čega slobodno inficira datoteke kojima se direktno pristupa. Stoga, ako ste uhvatili takav virus i uspjeli ste ga identificirati, vrlo se ne preporučuje da otvarate ili općenito radite s gore navedenim programima dok potpuno uklanjanje virus. Ako zanemarite ovo pravilo, virus se može izbrisati važna informacija(dokumenti, tabele, itd.). Po analogiji sa MS-DOS-om, možemo sa sigurnošću naglasiti da je većina modernih makro virusa rezidentna: oni se ponašaju aktivno dok je aktivan sam uređivač, a ne u trenutku otvaranja/zatvaranja datoteke.

Virusi porodice Makro

Virusi iz porodice Makro koriste mogućnosti makro jezika ugrađenih u sisteme za obradu podataka (uređivači teksta, tabele itd.).

Da bi virusi postojali u određenom sistemu, neophodno je da u njega bude ugrađen makro jezik sa mogućnošću vezanja programa na makro jeziku za određenu datoteku, kopiranja makro programa iz jedne datoteke u drugu i dobijanja kontrole nad makro program bez intervencije korisnika (automatski ili standardni makroi).

Ovi uslovi su ispunjeni Microsoft urednici Word i AmiPro, kao i Excel tabela. Ovi sistemi sadrže makro jezike (Word - Word Basic, Excel - Visual Basic), dok su makro programi vezani za određenu datoteku (AmiPro) ili se nalaze unutar datoteke (Word, Excel), makro jezik vam omogućava da kopirate datoteke (AmiPro) ili premještanje makro programa u servisne sistemske datoteke (Word, Excel), pri radu sa fajlom pod određenim uvjetima (otvaranje, zatvaranje itd.), pozivaju se makro programi (ako ih ima) koji su definirani na poseban način (AmiPro) ili imaju standardne nazive (Word, Excel).

Dakle, danas su poznata tri sistema za koja postoje virusi - Microsoft Word, Excel i AmiPro. U njima virusi preuzimaju kontrolu kada se zaražena datoteka otvori ili zatvori, presreću standardne funkcije datoteka i zatim inficiraju datoteke kojima se pristupa na neki način. Po analogiji sa MS-DOS-om, možemo reći da su makro virusi rezidentni – oni su aktivni ne samo u trenutku otvaranja/zatvaranja datoteke, već i sve dok je aktivan sam editor (sistem).

Virusi za Microsoft Office"97

Macro.Office97.Frenzy

Sastoji se od jednog makroa Frenzy koji sadrži automatsku funkciju AutoOpen. Inficira sistem kada se otvori zaražena datoteka. Onda se to upisuje u dokumente kada se otvore. U zavisnosti od sistemskog datuma i sistemskog slučajnog brojača, prikazuje tekst

Word97.Frenzy od Pyro

Macro.Office97.Minimal

Prilično primitivan makro virus za Office 97. Sadrži jedan AutoOpen makro. Inficira sistem kada se otvori zaražena datoteka; takođe se upisuje u dokumente kada se otvore. Sadrži komentarisani tekst

Vesselin Bontchev

Macro.Office97.NightShade

Sastoji se od jednog makroa NightShade koji sadrži funkciju AutoClose auto i inficira sistem i dokumente kada se datoteke zatvore. Onemogućuje ugrađenu zaštitu od virusa i omogućava pokretanje automatskih funkcija. U zavisnosti od trenutnog datuma i sistemskog slučajnog brojača, prikazuje tekst

Word97.NightShade od Pyro

13. subote, postavlja NightShade lozinku u dokumentima.

Virusi za Microsoft Excel

Macro.Excel.Laroux

Inficira Excel tabele ( XLS fajlovi). Sadrži dva makroa: Auto_Open i Check_Files. Kada otvorite zaraženu datoteku, Excel automatski pokreće makro Auto_Open. U virusu, ovaj makro sadrži samo jednu naredbu, koja definira da se makro Check_Files izvršava kada se aktivira bilo koja tablica (Sheet). Tako virus presreće proceduru otvaranja tabela i kada se tabela aktivira, zaraženi Excel poziva makro Check_Files, odnosno šifru virusa.

Jednom kada preuzme kontrolu, makro Check_Files traži datoteku PERSONAL.XLS u direktoriju za pokretanje programa Excel i provjerava broj modula u trenutnoj radnoj svesci. Ako je radna sveska s virusom aktivna, a datoteka PERSONAL.XLS ne postoji (prva infekcija), tada virus kreira datoteku s ovim imenom u direktoriju za pokretanje programa Excel pomoću naredbe SaveAs. Kao rezultat toga, virusni kod iz trenutne datoteke se upisuje u njega. Na sledećem učitavanje Excela učitava sve XLS fajlove iz direktorijuma pokretanja, zaraženi PERSONAL.XLS fajl se takođe učitava u memoriju, virus ponovo preuzima kontrolu i prilikom otvaranja tabela ponovo će biti pozvan makro Check_Files iz PERSONAL.XLS.

Ako je broj modula u trenutnoj radnoj svesci 0 (zaražena radna sveska nije aktivna) i datoteka PERSONAL.XLS već postoji, tada virus ponovo upisuje svoj kod u aktivnu radnu svesku. Nakon toga, aktivna radna knjiga postaje zaražena.

Nije teško provjeriti vaš sistem na virus. Ako je virus već ušao u računar, onda bi Excel direktorij trebao sadržavati datoteku PERSONAL.XLS, u kojoj je vidljiva linija laroux (malim slovima). Ista linija je prisutna iu drugim zaraženim datotekama.

Macro.Excel.Legend

Inficiranje makro virusom Excel fajlovi. Sadrži jedan modul (makro) pod nazivom Legenda. Ovaj modul uključuje dvije procedure - Auto_Open i INFECT. Auto_Open je Excel procedura koja se automatski poziva kada se datoteka otvori. Kada se pokrene, Auto_Open instalira drugu virusnu proceduru (Infect) kao SheetActivate obrađivač događaja, odnosno, kada otvori bilo koju tablicu, Excel će pozvati proceduru Infect.

Kada se pozove, procedura Infect inficira ili datoteku PERSONAL.XLS (kada je zaražena datoteka otvorena) ili trenutnu datoteku (ako još nije zaražena). Nakon infekcije, virus uklanja stavku Alati/Makro iz menija. Ako je UserName = "Pyro" i OrganizationName = "VBB", virus odmah prestaje da radi i ne inficira nijednu datoteku. Ovisno o trenutnom danu i sistemskom nasumičnom brojaču, virus prikazuje MessageBox:

Zaraženi ste legendom!

Macro.Excel.Robocop

Makro virus koji napada Excel datoteke. Uključuje dva modula (makroa): COP i ROBO. ROBO modul sadrži automatski nazvanu Auto_Open proceduru, koja prilikom otvaranja zaraženog dokumenta upisuje šifru virusa u datoteku PERSONAL.XLS i postavlja adresu rukovaoca aktivacije tabele (SheetActivate) na šifru virusa. Virus zatim inficira datoteke kada se otvore tabele.

ROBOCOP Nightmare Joker

Macro.Excel.Sofa

Inficira Excel tabele. Sadrži jedan modul (makro), čiji se naziv sastoji od 11 razmaka i stoga nije vidljiv na listi makroa u meniju Alati/Makroi. Modul sadrži četiri makro funkcije: Auto_Open, Auto_Range, Current_Open, Auto_Close. Sve funkcije virusa kao rezultat vraćaju Null.

Kada otvorite zaraženu datoteku, aktivira se makro funkcija Auto_Open, koja "preimenuje" Excel - Microsofa Excel se pojavljuje u naslovnoj liniji umjesto Microsoft Excela. Ako u direktoriju Startup Path nema datoteke BOOK.XLT (sistem još nije zaražen), na ekranu se prikazuje sljedeća poruka:

Microsoft Excel je otkrio oštećenu datoteku dodatka. Kliknite OK da popravite ovu datoteku.

Bez obzira na odgovor korisnika, datoteka BOOK.XLT koja sadrži kod virusa kreira se u direktoriju Startup Path. Nakon infekcije prikazuje se poruka

Fajl je uspješno popravljen!

Kada se učita, Excel automatski preuzima XLT datoteke sa početne putanje i u skladu s tim aktivira virus. Virus dodjeljuje svoju funkciju Auto_Range funkciji OnSheetActivate i svaki put kada se tabela aktivira, provjerava aktivnu datoteku za infekciju i, ako datoteka nije zaražena, inficira je.

Virus se ne dozvoljava izbaciti iz Excela - prilikom zatvaranja svake datoteke dodjeljuje istu funkciju Auto_Range funkciji OnWindow, odnosno ponovo se aktivira kada se otvori nova datoteka.

Macro.Excel.Yohimbe

Sastoji se od jednog modula (makroa) pod nazivom Exec. Ovaj modul sadrži tri rutine: Auto_Open, DipDing, PayLoad i SheetExists funkciju. Potprogram Auto_Open se automatski poziva kada se otvori zaražena datoteka - virus inficira PERSONAL.XLS. U slučaju bilo kakve greške, virus se ispisuje svima otvorite fajlove(knjige). Prije vraćanja kontrole, Auto_Open postavlja rutinu DipDing na Excel tajmer. Ova rutina se poziva s početkom u 16:00 i inficira otvorene datoteke.

Virus upisuje niz Yohimbe u zaglavlje tabele. Također postavlja tajmer na PayLoad potprogram - poziva se u 16:45 i ubacuje sliku i tekst u trenutnu tabelu

Makro virusi su programi napisani na jezicima (makro jezicima) ugrađenim u neke sisteme za obradu podataka (uređivači teksta, tabele itd.). Za reprodukciju, takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke (dokumenta ili tablice) u druge.

Da bi virusi postojali u određenom sistemu (editoru), neophodno je da u sistem bude ugrađen makro jezik sa sledećim mogućnostima:

1. vezivanje programa na makro jeziku za određeni fajl;

2. kopiranje makro programa iz jedne datoteke u drugu;

mogućnost preuzimanja kontrole nad makro programom bez intervencije korisnika (automatski ili standardni makroi).

Mrežni kompjuterski virusi .

Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnog i globalne mreže. Glavni princip mrežnog virusa je mogućnost samostalnog prijenosa svog koda na udaljeni server ili radna stanica. Mrežni virusi također imaju mogućnost pokretanja svog koda udaljeni računar ili gurnite korisnika da pokrene zaraženu datoteku.

Postoji veliki broj kombinacija - na primjer, virusi za pokretanje datoteka koji inficiraju i datoteke i sektore za pokretanje diskova. Takvi virusi, po pravilu, imaju prilično složen algoritam rada, često koriste originalne metode prodiranja u sistem i koriste stealth i polimorfne tehnologije. Još jedan primjer takve kombinacije je mrežni makro virus, koji ne samo da inficira dokumente koji se uređuju, već i šalje svoje kopije putem e-pošte.

Zaraženi operativni sistem(tačnije, OS čiji su objekti podložni infekciji) je drugi nivo podjele virusa na klase. Svaka datoteka ili mrežni virus inficira datoteke jednog ili više operativnih sistema.

Makro virusi inficiraju datoteke u Word, Excel i Office formatima. Virusi za pokretanje takođe su ciljani na specifične formate za lokaciju sistemskih podataka u sektorima za pokretanje diskova.

Karakteristike operativnog algoritma kompjuterski virusi:

1. Prebivalište.

2. Upotreba prikrivenih algoritama.

3. Samošifriranje i polimorfizam.

4. Upotreba nestandardnih tehnika.

Pod terminom prebivalište odnosi se na sposobnost virusa da u sebi ostave kopije sistemska memorija, presretanje nekih događaja (na primjer, pristup datotekama ili diskovima) i pozivanje procedura za inficiranje otkrivenih objekata (datoteka i sektora). Dakle, rezidentni virusi su aktivni ne samo dok je zaraženi program pokrenut, već i nakon što je program završio. Stalne kopije takvih virusa ostaju održive do sljedećeg ponovnog pokretanja, čak i ako su sve zaražene datoteke na disku uništene. Često je nemoguće riješiti se takvih virusa vraćanjem svih kopija datoteka s distribucijskih diskova ili rezervnih kopija. Stalna kopija virusa ostaje aktivna i ponovo se inficira generisani fajlovi. Isto važi i za viruse za pokretanje sistema - formatiranje diska kada postoji rezidentni virus u memoriji ne izleči uvek disk, pošto mnogi rezidentni virusi ponovo inficiraju disk nakon što se formatira.

Nerezident virusi su, naprotiv, aktivni prilično kratko, samo u trenutku kada se zaraženi program pokrene. Za širenje traže neinficirane datoteke na disku i pišu u njih. Nakon što virusni kod prenese kontrolu na glavni program, uticaj virusa na rad operativnog sistema se smanjuje na nulu do sljedećeg pokretanja bilo kojeg zaraženog programa.

Stealth virusi na ovaj ili onaj način skrivaju činjenicu svog prisustva u sistemu.

TO polimorfni virusi To uključuje one čije je otkrivanje nemoguće (ili izuzetno teško) pomoću takozvanih virusnih maski - dijelova konstantnog koda specifičnog za određeni virus. To se postiže na dva glavna načina - šifriranjem glavnog virusnog koda netrajnim ključem i nasumičnim skupom naredbi za dešifriranje, ili promjenom samog izvršnog virusnog koda.

Razno nestandardne tehnike se često koriste u virusima kako bi se što dublje sakrili u jezgru OS-a.

Destruktivne mogućnosti virusi se mogu podijeliti na:

1. Bezopasno , koji ni na koji način ne utiču na rad računara (osim smanjenja slobodne memorije na disku kao rezultat njihove distribucije).

2. Nije opasan , čiji je uticaj ograničen smanjenjem slobodne disk memorije i grafičkih, zvučnih i drugih efekata.