بدافزارها و ویروس ها (ویروس های ماکرو، ویروس های مخفی و چند شکلی). ویروس‌های ماکرو ویروس‌های ماکرو چگونه کار می‌کنند

ماکرو ویروس ها عفونتی هستند که زندگی هر کاربری را مسموم می کند. حتی اگر حداقل سه بار برنامه نویس سیستم باشید، او هنوز شانس زیادی برای مبارزه با شما دارد. بسیاری از مردم به سادگی این دسته از ویروس ها را دست کم می گیرند و بیهوده، آنقدرها هم که به نظر می رسد بی ضرر نیستند. از نظر بقا، آنها را می توان با موش ها و سوسک ها مقایسه کرد - آنها با همه چیز سازگار هستند و به ندرت می میرند. زمان آن رسیده که یک بار برای همیشه با عفونت کلان مقابله کنیم.

معماری ماکرو ویروس

در ابتدا، یک تعریف واضح: ویروس ماکرو ویروسی است که می تواند به تنهایی (بدون دخالت کاربر) با استفاده از یک زبان ماکرو تکثیر و ذخیره شود. از تعریف به دست می آید که ویروس های ماکرو می توانند نه تنها در اسناد Word، بلکه در هر سند اداری که عملکردهای زبان ماکرو مانند کپی کردن ماکروها و ذخیره آنها را اجرا می کند، زندگی کنند لیست کاملبرنامه هایی که در معرض خطر آلودگی ماکرو قرار دارند: Word (هر)، Excel، AmiPro (این یک ویرایشگر متن است)، MS Visio، PowerPoint، MS Access و 1C. همانطور که می بینید، تعداد چنین برنامه هایی بسیار زیاد است و در اینترنت اغلب می توانید مقالاتی را پیدا کنید که ویروس های ماکرو را به شرح زیر تعریف می کنند:
"ویروس هایی که فایل های سند را با فرمت آلوده می کنند
WinWord" بعضی از احمق ها آن را نوشتند!

حالا بیایید در مورد ساختار یک ویروس ماکرو برای Word (به عنوان مرتبط ترین) صحبت کنیم. بنابراین. چیزی به نام ماکروهای استاندارد وجود دارد. این موارد عبارتند از: AutoOpen، AutoClose، AutoExec، AutoExit، AutoNew. پیشوند خودکار به این معنی است که عمل به طور خودکار و بدون دخالت کاربر انجام می شود (اگرچه این بستگی به سطح امنیتی تنظیم شده دارد، اما بعداً در مورد آن صحبت خواهیم کرد). یعنی با اضافه کردن یک عفونت به یک ماکرو با آن نام، می توانید آن را "احیا کنید". همچنین برای هر اقدام استاندارد یک ماکرو استاندارد وجود دارد. به عنوان مثال، برای چاپ FilePrint، برای ذخیره FileSave، برای ذخیره در فرمت های مختلف یا با نام دیگری FileSaveAs. و این ماکروها می توانند آلوده شوند.

هدف نهایی هر ماکرو احمق، لعنت به normal.dot است (تمام تنظیمات قالب را ذخیره می کند). سپس تمام فایل های باز شده آلوده می شوند و متون شما آسیب می بینند.
Word چندین سطح از امنیت را فراهم می کند: بالا، متوسط ​​و پایین. همچنین حاوی یک مکانیسم دفاعی داخلی در برابر عفونت‌های بزرگ است. به گفته توسعه دهندگان، این باید روی ویروس های ماکرو مانند نقره روی ارواح شیطانی عمل کند. ممکن است کار کند، اگر نه برای یک «اما». به همین دلیل است که من به تفاوت بین سطوح امنیتی و تنظیمات داخلی Word نمی پردازم، اما نکته این است که همه پارامترهای امنیتی داخلی را می توان به راحتی از طریق رجیستری تغییر داد
انجام دادن. من مسیرهای خاصی را تجویز نمی کنم (کجا به دنبال چه چیزی بگردم)، تا دست های بازیگوش شما را وسوسه نکنم. کسانی که استعداد ویژه ای دارند می توانند از طریق ایمیل با من تماس بگیرند - من به شما اطلاع خواهم داد، اما "فقط به منظور آشنایی با این آسیب پذیری نرم افزاربرای از بین بردن آنها" :)

به طور خلاصه، ساختار یک ماکرو ویروس به شرح زیر است:

1. هر ماکرو مفید استاندارد یا خودکار را دوباره تعریف کنید تا حفاظت را غیرفعال کند و سطح امنیتی را اصلاح کند.
2. عفونت را به آنجا اضافه کنید.
3. بررسی می‌کنیم که این ماکرو تقاضا دارد و آلودگی چند برابر می‌شود و لزوماً در Normal.dot ثبت شده است.

همه چیز بسیار ساده است - به همین دلیل است که انواع مختلفی از موجودات کلان وجود دارد.

من تو را با دست خالی می کشم!

چندین راه رایج برای از بین بردن ماکروگاسم در اسناد Word قبلاً آلوده وجود دارد. اینجا تقریبا همه آنها هستند:

1. ماکرو خود را با کد زیر ایجاد کنید:
زیر اصلی
AutoMacros را غیرفعال کنید
پایان فرعی
شما این معجزه را با نام AutoExec ذخیره می کنید و بنابراین در برابر ماکروهای خودکار آسیب ناپذیر می شوید.

2. اگر سطوح حفاظتی را دستکاری کنید، Word هنگام اجرای ماکروها مجوز درخواست می کند.

3. استفاده نکنید فرمت doc. از این گذشته، همه چیز را می توان در RTF قرار داد - همان فونت ها، طراحی، جداول، گرافیک... و RTF طبق تعریف ماکرو ندارد. همه چیز ایده آل خواهد بود، اما یک اشکال وجود دارد: هنگام ذخیره اطلاعات در فرمت rtf، تمام تصاویر به طور خودکار به فرمت bmp تبدیل می شوند. این فرمت گرافیکی آنقدر سنگین است که شما آن را برای دشمن خود آرزو نمی کنید. در نتیجه، حتی پس از بایگانی، از دست دادن اندازه فایل حاصل ممکن است به این واقعیت منجر شود که به سادگی روی یک فلاپی دیسک قرار نمی گیرد (البته بسته به تعداد تصاویر). درست است، اگر گرافیک وجود نداشته باشد، rtf ایده آل است.

توپخانه سنگین

وقت آن است که شجاع باشید و یک بار برای همیشه موجودات کلان را بکشید. انجام این کار چندان دشوار نیست: شما به یک رایانه سالم و آخرین توزیع آنتی ویروس کسپرسکی نیاز دارید. چندین سال پیش، Kaspersky Lab ماژولی به نام Office Guard توسعه داد. این چیزی است که ما در مورد آن صحبت خواهیم کرد.

به طور معمول، Office Guard در توزیع های غیرقانونی گنجانده نشده است، اما با مهارت می توانید آن را پیدا کنید. این چیه؟ در اینجا آنچه سازندگان در مورد آن می گویند:
«گارد اداری اساساً است تکنولوژی جدیدبرای محافظت در برابر ویروس های ماکرو و تروجان های ماکرو. آفیس گارد، که برای کاربران پیشرفته طراحی شده است، یک رویکرد انقلابی برای امنیت آنتی ویروس بر اساس اصول یک مسدود کننده رفتاری پیاده سازی می کند. برخلاف طرح‌های حفاظتی ضد ویروس "کلاسیک" که بر اساس جستجوی متن متعارف ساخته شده‌اند، آفیس گارد مشکل را به طور جامع حل می‌کند و امکان عملکرد ویروس‌های ماکرو بر روی یک کامپیوتر محافظت‌شده را از بین می‌برد. آفیس گارد ویروس های ماکرو را نه بر اساس تشخیص می دهد نشانه های بیرونی(وجود یک دنباله خاص از کاراکترها)، اما با رفتار آنها، که توسط قابلیت های زبان برنامه نویسی VBA تعیین می شود ( ویژوال بیسیکبرای
کاربرد)."

جالب ترین ویژگی این است که نیازی به آپدیت ندارد! با این حال، استفاده از آن مملو از مشکلات بسیاری است:

1. باید بر روی دستگاه غیر عفونی نصب شود.
2. اگر ورد را نصب کرده بودید، سپس آفیس گارد را نصب کردید و سپس اکسل را نصب کردید، پس فقط Word محافظت می شود. نتیجه گیری خود را انجام دهید.
3. Office Guard ویروس ها را می گیرد، اما آنها را درمان نمی کند.

برای حل آخرین مشکل، فقط به یک اسکنر آنتی ویروس نیاز دارید. بنابراین، اسکنر AVP + آفیس گارد می دهد ایمنی کاملاز ماکرو ویروس ها اگر می خواهید اسناد را درمان کنید، هر از گاهی باید یک به روز رسانی برای آن دانلود کنید
AVP.

با این حال، بیایید منصف باشیم - شما نمی توانید به نفع کسپرسکی لبه بگیرید، در غیر این صورت مکالماتی مانند:
"و چقدر به شما برای تبلیغ محصول پرداختند؟"

هر آنتی ویروس به روز شده، تقریباً 100% خوب است.
محافظت در برابر ماکروگازها فقط هر کدام از آنها استفاده می کنند فن آوری های مختلفبرای این. به عنوان مثال، DrWeb از جستجوی امضا و یک تحلیلگر اکتشافی استفاده می کند.
این همان چیزی است که با سازندگان آن صحبت کردیم:

بسته آنتی ویروس شما شامل ماژول جداگانه ای برای مبارزه با ویروس های ماکرو نیست. چرا؟ آیا به نظر شما مانیتور مقیم امنیت در برابر ویروس های ماکرو را تضمین می کند؟

ابزارهای شناسایی و مبارزه با ویروس های ماکرو بخشی جدایی ناپذیر از هسته DrWeb هستند. و از آنجایی که هسته هم توسط اسکنر و هم مانیتور استفاده می شود، همه ویروس های ماکرو در هر دو مورد به خوبی شناسایی و درمان می شوند.

WUA شامل یک ماژول جداگانه در برابر ویروس های ماکرو در MS Office است. توسعه دهندگان ادعا می کنند که این ماژول بر اساس یک مسدود کننده رفتاری است که اقدامات برنامه بیمار را تجزیه و تحلیل می کند. در نتیجه این محصول تا زمان انتشار 100% ضمانت در برابر ویروس های ماکرو ارائه می دهد. یک نسخه جدید VBA. آن ها ماکروویروس ها با امضا جستجو نمی شوند. مزیت این
رویکرد این است که با یک بار نصب چنین ماژولی، نیازی به به روز رسانی آن نیست. اکنون سؤالات: آیا DrWeb ویروس های ماکرو را با امضا جستجو می کند؟

DrWeb ویروس های ماکرو را هم با امضا و هم با استفاده از داخلی جستجو می کند
تحلیلگر اکتشافی قدرتمند اصلی مکانیسم جستجو و تحلیل کلان
در چندین سطح پیاده سازی شده است: کد باینری ماکروها نیز اسکن می شود،
متن کامپایل شده و منبع آنها. این اجازه می دهد تا ویروس های شناخته شده را شناسایی کنید،
تغییرات آنها و همچنین ویروس های ماکرو ناشناخته. بدین ترتیب،
این امکان وجود دارد که نه تنها به نسخه نصب شده وابسته نباشید
بسته MS Office (قابلیت رهگیری ماکروهای در حال اجرا ظاهر شد
فقط در Office 2000 و در دسترس نبود نسخه های قبلی) بلکه به طور کلی از
در دسترس بودن MS Office در رایانه ای که اسکن روی آن انجام می شود
فایل ها - به عنوان مثال، در یک دروازه اینترنتی شرکتی.

علاوه بر این، با استفاده از یک اکتشافی ساخته شده بر روی همان اصول
تحلیلگر، DrWeb قادر به شناسایی تروجان های ناشناخته است،
درهای پشتی، کرم های اینترنتی، irc، دسته ای (bat) و اسکریپت
ویروس های (vbs/vbe).

نظر شخصی شما: آیا یک ماژول از WUA می تواند ایمنی 100٪ را در برابر عفونت های ماکرو ارائه دهد؟

وضعیت فعلی به گونه ای است که به منظور مبارزه موثر با ویروس ها، هر مدرن
محصول آنتی ویروس باید به سرعت به روز شود. متاسفانه،
ایجاد یک آنتی ویروس "مطلق" غیرممکن است.

سوالات پاسخ داده شد
سرگئی یوریویچ پوپوف
آندری ولادیمیرویچ بشاریموف

توسعه دهندگان برنامه های آنتی ویروسخانواده دکتر وب.

ماکرو ویروس ها ابزارهای بالقوه ناخواسته ای هستند که به زبان های خرد نوشته شده اند و در سیستم های گرافیکی و پردازش متن ساخته شده اند. چه فایل هایی توسط ویروس های ماکرو آلوده می شوند؟ پاسخ واضح است. رایج ترین نسخه ها برای برنامه های مایکروسافتاکسل، ورد و آفیس 97. این ویروس ها بسیار رایج هستند و ایجاد آن ها به آسانی پوست اندازی گلابی است. به همین دلیل است که هنگام دانلود اسناد از اینترنت باید نهایت دقت و احتیاط را به خرج دهید. اکثر کاربران آنها را دست کم می گیرند و در نتیجه مرتکب اشتباه بزرگی می شوند.

کامپیوتر چگونه آلوده می شود؟

پس از اینکه تصمیم گرفتیم ویروس های ماکرو چیست، بیایید بفهمیم که چگونه آنها به سیستم نفوذ کرده و کامپیوتر را آلوده می کنند. یک روش ساده تولید مثل آنها به شما امکان می دهد در کمترین زمان ممکن به حداکثر تعداد اشیاء ضربه بزنید. به لطف قابلیت‌های زبان‌های ماکرو، هنگام بستن یا باز کردن یک سند آلوده، به برنامه‌های مورد دسترسی نفوذ می‌کنند.

یعنی هنگام استفاده از یک ویرایشگر گرافیکی، ویروس های ماکرو هر چیزی که به آن متصل است را آلوده می کند. علاوه بر این، برخی از آنها همیشه هنگام ارسال پیامک فعال هستند ویرایشگر گرافیکیکار کنید یا تا زمانی که رایانه شخصی کاملاً خاموش شود.

اصل کارشان چیست؟

عمل آنها طبق اصل زیر انجام می شود: هنگام کار با اسناد، مایکروسافت ورددستورات مختلف صادر شده به زبان ماکرو را اجرا می کند. اول از همه، برنامه به قالب اصلی نفوذ می کند که از طریق آن تمام فایل های این فرمت باز می شوند. در این حالت، ویروس کد خود را در ماکروهایی کپی می کند که دسترسی به پارامترهای اصلی را فراهم می کند. هنگام خروج از برنامه، فایل در حالت خودکارذخیره شده در نقطه (برای ایجاد اسناد جدید استفاده می شود). پس از آن وارد ماکروهای استاندارد می شود و سعی می کند دستورات ارسال شده به فایل های دیگر را رهگیری کند و آنها را نیز آلوده کند.

عفونت در موارد زیر رخ می دهد:

  1. اگر یک ماکرو خودکار در ویروس وجود داشته باشد (هنگامی که برنامه خاموش یا شروع شود به طور خودکار انجام می شود).
  2. این ویروس دارای یک ماکرو اساسی سیستم است (اغلب با آیتم های منو همراه است).
  3. هنگامی که کلیدها یا ترکیبات خاصی را فشار می دهید به طور خودکار فعال می شود.
  4. تنها زمانی که راه اندازی شود تکثیر می شود.

این گونه ویروس ها معمولاً همه فایل های ایجاد شده و مرتبط با برنامه های یک زبان ماکرو را آلوده می کنند.

چه ضرری می کنند؟

ویروس های ماکرو را نباید دست کم گرفت، زیرا آنها ویروس های تمام عیار هستند و آسیب قابل توجهی به رایانه ها وارد می کنند. آن‌ها می‌توانند به راحتی هر چیزی که شامل موارد زیر است را حذف، کپی یا ویرایش کنند. اطلاعات شخصی. علاوه بر این، آنها همچنین می توانند اطلاعات را با استفاده از آنها به افراد دیگر منتقل کنند پست الکترونیک.

ابزارهای قدرتمندتر به طور کلی می توانند دیسک های سخت را فرمت کرده و عملکرد کل رایانه شخصی را کنترل کنند. به همین دلیل است که این عقیده که این نوع ویروس های رایانه ای منحصراً برای ویرایشگرهای گرافیکی و متنی خطر ایجاد می کنند، اشتباه است. پس از همه، ابزارهایی مانند Word و Excel با تعدادی دیگر کار می کنند که در این مورد نیز در معرض خطر هستند.

شناسایی فایل آلوده

اغلب، شناسایی فایل‌های آلوده به ویروس‌های ماکرو و حساس به نفوذ آنها اصلاً دشوار نیست. از این گذشته ، آنها کاملاً متفاوت از سایر برنامه های کاربردی با همان فرمت عمل می کنند.

خطر را می توان با علائم زیر تشخیص داد:

علاوه بر این، تهدید اغلب به راحتی به صورت بصری شناسایی می شود. توسعه دهندگان آنها معمولاً در برگه "خلاصه" اطلاعاتی مانند نام ابزار، دسته بندی، موضوع نظر و نام نویسنده را نشان می دهند که به لطف آنها می توانید بسیار سریعتر و آسان تر از شر یک ویروس ماکرو خلاص شوید. می توانید با استفاده از منوی زمینه آن را فراخوانی کنید.

روش های حذف

وقتی فایل یا سند مشکوکی پیدا کردید، ابتدا آن را با یک آنتی ویروس اسکن کنید. اگر تهدیدی شناسایی شود، آنتی ویروس ها سعی می کنند آن را درمان کنند و در صورت عدم موفقیت، دسترسی به آن را به طور کامل مسدود می کنند.

اگر کل رایانه آلوده شده است، باید از اورژانس استفاده کنید دیسک بوت، که حاوی آنتی ویروس با آخرین پایگاه داده است. هارد دیسک شما را اسکن می کند و تمام تهدیداتی را که پیدا می کند خنثی می کند.

اگر نمی توانید از این طریق از خود محافظت کنید، آنتی ویروس شما نمی تواند کاری انجام دهد و دیسک نجاتی وجود ندارد، پس باید روش درمان "دستی" را امتحان کنید:


به این ترتیب، ویروس ماکرو را از سند آلوده حذف می کنید، اما این به هیچ وجه به این معنی نیست که در سیستم باقی نمی ماند. به همین دلیل است که توصیه می شود کل را اسکن کنید کامپیوتر شخصیو تمام اطلاعات آن با آنتی ویروس یا (مزیت آنها این است که نیازی به نصب ندارند).

فرآیند درمان و تمیز کردن رایانه از آلودگی با ویروس های ماکرو بسیار پیچیده است، بنابراین بهتر است در مراحل اولیه از عفونت جلوگیری کنید.


به این ترتیب از خود محافظت خواهید کرد و ویروس های ماکرو هرگز به فایل های مربوطه نفوذ نخواهند کرد.

از بین انواع ویروس ها می توان ویروس های ماکرو را مشخص کرد که مانند هیچ ویروس دیگری نه تنها برای آنها خطرناک هستند. سیستم عامل، بلکه برای تمام اطلاعاتی که در متصل ذخیره می شود دیسکهای سخت. ویروس‌ها برنامه‌هایی هستند که مخصوصاً به زبان‌های ماکرو نوشته شده‌اند که در برخی زبان‌ها تعبیه شده‌اند سیستم های مدرنپردازش داده ها (صفحه گسترده، ویرایشگرهای متنو غیره.).

یعنی هر چیزی که در ادارات، خانه و ... استفاده می شود. برای نگهداری گزارش ها، اسناد و سایر موارد. ویروس هایی از این نوع زمانی که از سمت آسیب دیده می شوند خطرناک ترین هستند اطلاعات متنی. برای بازتولید، آنها از تمام قابلیت های زبان های ماکرو حداکثر استفاده می کنند و با استفاده از همه امکانات، خود (یا بهتر است بگوییم کد برنامه) را از یک فایل آلوده (معمولا یک جدول یا سند) به سایرین منتقل می کنند. امروزه رایج ترین ویروس های ماکرو برای بسته های نرم افزاری Office 97، Microsoft Word و Excel هستند. ویروس های ماکرو نیز توسعه یافته اند که پایگاه های داده را آلوده می کنند داده های مایکروسافتاسناد دسترسی و امی پرو.

برای اینکه ویروس های ماکرو در یک سیستم خاص وجود داشته باشند (در در این مورددر ویرایشگر)، داشتن یک زبان ماکرو نرم افزار ویژه با قابلیت های زیر در سیستم بسیار ضروری است:

1. کپی کردن برنامه های ماکرو ضبط شده از یک فایل خاص به هر فایل دیگری.

2. اتصال ویروس در یک زبان ماکرو به یک فایل خاص.

3. یک فرصت منحصر به فرد برای به دست آوردن کنترل کامل برنامه ماکرو ویروس (ماکروهای خودکار یا استاندارد).

تمامی شرایط فوق توسط ویراستاران AmiPro، Microsoft Word Office 97، پایگاه داده کاملاً برآورده شده است. دسترسی مایکروسافتو همچنین یک صفحه گسترده اکسل. همه این سیستم ها شامل انواع زبان های ماکرو هستند: Excel، Office 97 (از جمله Access، Word 97 و Excel 97) - Visual Basic for Applications، و Word - Word Basic.

امروزه چهار سیستم کاملاً متفاوت شناخته شده اند که برای آنها ویروس های جداگانه ای وجود دارد - Office 97، Microsoft Word، Excel و AmiPro. در این سیستم ها، ویروس های ماکرو کنترل کامل را در هنگام بسته شدن یا باز کردن فایل آلوده به دست می گیرند. پس از به دست آوردن کنترل، ویروس تمام عملکردهای فایل را رهگیری می کند و پس از آن آزادانه فایل هایی را که مستقیماً به آنها دسترسی دارند آلوده می کند. بنابراین، اگر چنین ویروسی را گرفتید و توانستید آن را شناسایی کنید، به شدت توصیه نمی شود که برنامه های فوق را باز کنید یا به طور کلی با آنها کار کنید. حذف کاملویروس. اگر این قانون را نادیده بگیرید، ویروس می تواند حذف شود اطلاعات مهم(اسناد، جداول و ...). با قیاس با MS-DOS، می‌توانیم با خیال راحت تأکید کنیم که اکثر ویروس‌های ماکرو مدرن ساکن هستند: آنها در زمانی که خود ویرایشگر فعال است و نه در لحظه باز کردن/بستن یک فایل، فعالانه رفتار می‌کنند.

ویروس های خانواده ماکرو

ویروس‌های خانواده ماکرو از قابلیت‌های زبان‌های ماکرو ساخته شده در سیستم‌های پردازش داده (ویرایشگرهای متن، صفحات گسترده و غیره) استفاده می‌کنند.

برای اینکه ویروس ها در یک سیستم خاص وجود داشته باشند، لازم است یک زبان ماکرو در آن تعبیه شده باشد که می تواند یک برنامه در یک زبان ماکرو را به یک فایل خاص متصل کند، برنامه های ماکرو را از یک فایل به فایل دیگر کپی کند و کنترل آن را به دست آورد. برنامه ماکرو بدون دخالت کاربر (ماکروهای خودکار یا استاندارد).

این شرایط برآورده می شود ویراستاران مایکروسافت Word و AmiPro، و همچنین یک صفحه گسترده اکسل. این سیستم ها حاوی زبان های ماکرو هستند (Word - Word Basic، Excel - Visual Basic)، در حالی که برنامه های ماکرو به یک فایل خاص (AmiPro) گره خورده اند یا در داخل یک فایل (Word، Excel) قرار دارند، زبان ماکرو به شما امکان کپی فایل ها را می دهد. (AmiPro) یا انتقال برنامه های ماکرو به فایل های سیستمی (Word، Excel)، هنگام کار با یک فایل تحت شرایط خاص (باز کردن، بسته شدن و غیره)، برنامه های ماکرو (در صورت وجود) فراخوانی می شوند که به روش خاصی تعریف می شوند. (AmiPro) یا دارای نام های استاندارد (Word، Excel).

بنابراین، امروزه سه سیستم شناخته شده وجود دارد که برای آنها ویروس وجود دارد - Microsoft Word، Excel و AmiPro. در آن‌ها، ویروس‌ها وقتی یک فایل آلوده باز یا بسته می‌شود، کنترل را به دست می‌گیرند، عملکردهای استاندارد فایل را رهگیری می‌کنند و سپس فایل‌هایی را که به طریقی به آن‌ها دسترسی دارند آلوده می‌کنند. با قیاس با MS-DOS، می توان گفت که ویروس های ماکرو ساکن هستند - آنها نه تنها در لحظه باز کردن / بستن یک فایل، بلکه تا زمانی که خود ویرایشگر (سیستم) فعال است، فعال هستند.

ویروس های مایکروسافت آفیس"97

Macro.Office97.Frenzy

شامل یک ماکرو Frenzy است که دارای عملکرد خودکار باز کردن خودکار است. هنگامی که یک فایل آلوده باز می شود، سیستم را آلوده می کند. پس از باز شدن آنها در اسناد نوشته می شود. بسته به تاریخ سیستم و شمارنده تصادفی سیستم، متن را نمایش می دهد

Word97.Frenzy توسط Pyro

Macro.Office97.Minimal

یک ویروس ماکرو نسبتاً ابتدایی برای Office 97. حاوی یک ماکرو AutoOpen واحد است. هنگام باز شدن سیستم را آلوده می کند فایل آلوده، همچنین هنگام باز شدن اسناد روی آنها نوشته می شود. حاوی متن نظر

وسلین بونتچف

Macro.Office97.NightShade

این شامل یک ماکرو NightShade است که دارای عملکرد خودکار بسته شدن خودکار است و سیستم و اسناد را هنگام بسته شدن فایل‌ها آلوده می‌کند. محافظت داخلی از ویروس را غیرفعال می کند و به عملکردهای خودکار اجازه می دهد تا اجرا شوند. بسته به تاریخ فعلیو شمارنده تصادفی سیستم متن را نمایش می دهد

Word97.NightShade توسط Pyro

در 13 شنبه، رمز عبور NightShade را در اسناد تنظیم کنید.

ویروس ها برای مایکروسافت اکسل

Macro.Excel.Laroux

الکترونیکی را آلوده می کند جداول اکسل (فایل های XLS). شامل دو ماکرو: Auto_Open و Check_Files. هنگامی که یک فایل آلوده را باز می کنید، اکسل به طور خودکار ماکرو Auto_Open را اجرا می کند. در ویروس، این ماکرو تنها حاوی یک فرمان است که ماکرو Check_Files را به عنوان اجرا شدن در هنگام فعال شدن هر جدول (Sheet) تعریف می کند. بنابراین، ویروس روند باز کردن جداول را قطع می کند و هنگامی که جدول فعال می شود، اکسل آلوده ماکرو Check_Files، یعنی کد ویروس را فرا می خواند.

پس از کنترل، ماکرو Check_Files به دنبال فایل PERSONAL.XLS در فهرست راه‌اندازی اکسل می‌گردد و تعداد ماژول‌های موجود در Workbook فعلی را بررسی می‌کند. اگر یک Workbook با ویروس فعال باشد و فایل PERSONAL.XLS وجود نداشته باشد (اولین آلودگی)، ویروس با استفاده از دستور SaveAs فایلی با این نام در فهرست راه اندازی اکسل ایجاد می کند. در نتیجه، کد ویروس از فایل فعلی روی آن نوشته می شود. در بعدی در حال بارگذاری اکسلهمه فایل‌های XLS را از فهرست راه‌اندازی بارگیری می‌کند، فایل PERSONAL.XLS آلوده نیز در حافظه بارگذاری می‌شود، ویروس دوباره کنترل را به دست می‌گیرد و هنگام باز کردن جداول، ماکرو Check_Files از PERSONAL.XLS دوباره فراخوانی می‌شود.

اگر تعداد ماژول ها در Workbook فعلی 0 باشد (Workbook آلوده فعال نیست) و فایل PERSONAL.XLS از قبل وجود داشته باشد، ویروس کد خود را در Workbook فعال بازنویسی می کند. پس از این، Workbook فعال آلوده می شود.

بررسی سیستم شما برای وجود ویروس کار سختی نیست. اگر ویروس قبلاً به رایانه نفوذ کرده است، دایرکتوری اکسل باید حاوی فایل PERSONAL.XLS باشد که در آن خط laroux (با حروف کوچک) قابل مشاهده است. همین خط در سایر فایل های آلوده نیز وجود دارد.

Macro.Excel.Legend

آلوده کننده ماکرو ویروس فایل های اکسل. شامل یک ماژول (ماکرو) به نام Legend. این ماژول شامل دو رویه است - Auto_Open و INFECT. Auto_Open یک رویه اکسل است که هنگام باز شدن یک فایل به طور خودکار فراخوانی می شود. هنگام راه‌اندازی، Auto_Open دومین رویه ویروس (Infect) را به‌عنوان کنترل‌کننده رویداد SheetActivate نصب می‌کند، یعنی هنگام باز کردن هر جدول، اکسل رویه Infect را فراخوانی می‌کند.

هنگام فراخوانی، رویه Infect یا فایل PERSONAL.XLS (زمانی که یک فایل آلوده باز است) یا فایل فعلی (اگر هنوز آلوده نشده باشد) را آلوده می کند. پس از آلوده شدن، ویروس آیتم Tools/Macro را از منو حذف می کند. اگر UserName = "Pyro" و OrganizationName = "VBB"، ویروس بلافاصله از کار می افتد و هیچ فایلی را آلوده نمی کند. بسته به روز جاری و شمارنده تصادفی سیستم، ویروس یک MessageBox را نمایش می دهد:

شما توسط افسانه آلوده شده اید!

Macro.Excel.Robocop

ویروس ماکرو که به فایل های اکسل حمله می کند. شامل دو ماژول (ماکرو): COP و ROBO. ماژول ROBO حاوی یک رویه خودکار به نام Auto_Open است که هنگام باز کردن یک سند آلوده، کد ویروس را در فایل PERSONAL.XLS می نویسد و آدرس کنترل کننده فعال سازی جدول (SheetActivate) را روی کد ویروس تنظیم می کند. این ویروس پس از باز شدن جداول فایل ها را آلوده می کند.

روبوکوپ کابوس جوکر

ماکرو.اکسل.مبل

صفحات گسترده اکسل را آلوده می کند. شامل یک ماژول (ماکرو) است که نام آن از 11 فاصله تشکیل شده است و بنابراین در لیست ماکروهای منوی Tools/Macros قابل مشاهده نیست. ماژول شامل چهار عملکرد ماکرو است: Auto_Open، Auto_Range، Current_Open، Auto_Close. در نتیجه تمام توابع ویروس Null را برمی‌گردانند.

هنگامی که یک فایل آلوده را باز می کنید، تابع ماکرو Auto_Open فعال می شود که اکسل را تغییر نام می دهد - Microsofa Excel در خط عنوان به جای Microsoft Excel ظاهر می شود. اگر فایل BOOK.XLT در فهرست راه اندازی مسیر وجود نداشته باشد (سیستم هنوز آلوده نشده است)، پیام زیر روی صفحه نمایش داده می شود:

Microsoft Excel یک فایل افزودنی خراب را شناسایی کرده است. برای تعمیر این فایل روی OK کلیک کنید.

صرف نظر از پاسخ کاربر، یک فایل BOOK.XLT حاوی کد ویروس در دایرکتوری Startup Path ایجاد می شود. پس از عفونت یک پیام نمایش داده می شود

فایل با موفقیت تعمیر شد!

هنگام بارگیری، اکسل به طور خودکار فایل های XLT را از مسیر راه اندازی دانلود می کند و بر این اساس ویروس را فعال می کند. ویروس تابع Auto_Range خود را به تابع OnSheetActivate اختصاص می دهد و هر بار که جدول فعال می شود، فایل فعال را از نظر آلودگی بررسی می کند و اگر فایل آلوده نباشد، آن را آلوده می کند.

این ویروس به خود اجازه نمی دهد که از اکسل بارگیری شود - هنگام بستن هر فایل، همان تابع Auto_Range را به تابع OnWindow اختصاص می دهد، یعنی زمانی که یک فایل جدید باز می شود دوباره فعال می شود.

Macro.Excel.Yohimbe

متشکل از یک ماژول (ماکرو) به نام Exec. این ماژول شامل سه روال است: Auto_Open، DipDing، PayLoad و تابع SheetExists. هنگامی که یک فایل آلوده باز می شود، زیرروال Auto_Open به طور خودکار فراخوانی می شود - ویروس PERSONAL.XLS را آلوده می کند. در صورت بروز هر خطایی، ویروس برای همه نوشته می شود باز کردن فایل ها(کتاب). قبل از بازگرداندن کنترل، Auto_Open روال DipDing را روی تایمر اکسل تنظیم می کند. این روال از ساعت 16:00 شروع می شود و فایل های باز را آلوده می کند.

ویروس رشته Yohimbe را در هدر جدول می نویسد. همچنین یک تایمر در زیرروال PayLoad تنظیم می کند - در ساعت 16:45 فراخوانی می شود و یک تصویر و متن را در جدول فعلی درج می کند.

ماکرو ویروس‌ها برنامه‌هایی هستند که به زبان‌ها (زبان‌های کلان) نوشته شده در برخی از سیستم‌های پردازش داده (ویرایشگرهای متن، صفحات گسترده و غیره) نوشته شده‌اند. برای تولید مثل، چنین ویروس هایی از قابلیت های زبان های ماکرو استفاده می کنند و با کمک آنها، خود را از یک فایل آلوده (سند یا جدول) به دیگران منتقل می کنند.

برای اینکه ویروس ها در یک سیستم خاص (ویرایشگر) وجود داشته باشند، باید یک زبان ماکرو با قابلیت های زیر در سیستم تعبیه شده باشد:

1. اتصال یک برنامه در یک زبان ماکرو به یک فایل خاص.

2. کپی کردن برنامه های ماکرو از یک فایل به فایل دیگر.

توانایی به دست آوردن کنترل یک برنامه ماکرو بدون دخالت کاربر (ماکروهای خودکار یا استاندارد).

ویروس های کامپیوتری شبکه .

ویروس های شبکه شامل ویروس هایی هستند که به طور فعال از پروتکل ها و قابلیت های محلی و شبکه های جهانی. اصل اصلی عملیات یک ویروس شبکه توانایی انتقال مستقل کد آن به آن است سرور راه دوریا ایستگاه کاری. ویروس های شبکه نیز این قابلیت را دارند که کدهای خود را روی آن اجرا کنند کامپیوتر از راه دوریا کاربر را فشار دهید تا فایل آلوده را اجرا کند.

تعداد زیادی ترکیب وجود دارد - به عنوان مثال، ویروس های بوت فایل که هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند. چنین ویروس هایی، به عنوان یک قاعده، دارای یک الگوریتم عملیاتی نسبتاً پیچیده هستند، اغلب از روش های اصلی نفوذ به سیستم استفاده می کنند و از فناوری های پنهان و چند شکلی استفاده می کنند. نمونه دیگری از چنین ترکیبی یک ویروس ماکرو شبکه است که نه تنها اسناد در حال ویرایش را آلوده می کند، بلکه کپی هایی از خود را نیز از طریق ایمیل ارسال می کند.

سیستم عامل آلوده(به طور دقیق تر، سیستم عاملی که اشیاء آن مستعد عفونت هستند) دومین سطح از تقسیم ویروس ها به کلاس ها است. هر فایل یا ویروس شبکه فایل های یک یا چند سیستم عامل را آلوده می کند.

ویروس های ماکرو فایل ها را با فرمت های Word، Excel و Office آلوده می کنند. ویروس های بوت نیز در قالب های خاصی برای ذخیره داده های سیستم در آن هدف قرار می گیرند بخش های بوتدیسک ها

ویژگی های الگوریتم عملیاتی ویروس های کامپیوتری:

1. محل سکونت.

2. استفاده از الگوریتم های مخفی کاری.

3. خود رمزگذاری و چند شکلی.

4. استفاده از تکنیک های غیر استاندارد.

تحت اصطلاح محل سکونت به توانایی ویروس ها در به جا گذاشتن کپی از خود اشاره دارد حافظه سیستم، برخی از رویدادها را رهگیری می کند (به عنوان مثال، دسترسی به فایل ها یا دیسک ها) و فراخوانی روش ها برای آلوده کردن اشیاء شناسایی شده (فایل ها و بخش ها). بنابراین، ویروس‌های مقیم نه تنها در زمان اجرای برنامه آلوده، بلکه پس از پایان اجرای برنامه نیز فعال هستند. کپی‌های مقیم چنین ویروس‌هایی تا راه‌اندازی مجدد بعدی قابل اجرا هستند، حتی اگر همه فایل‌های آلوده روی دیسک از بین بروند. اغلب خلاص شدن از شر چنین ویروس هایی با بازگرداندن تمام نسخه های فایل ها از دیسک های توزیع یا نسخه های پشتیبان غیرممکن است. کپی مقیم ویروس فعال باقی می ماند و دوباره آلوده می شود فایل های تولید شده. همین امر در مورد ویروس های بوت نیز صدق می کند - فرمت کردن دیسک زمانی که یک ویروس مقیم در حافظه وجود دارد همیشه دیسک را درمان نمی کند، زیرا بسیاری از ویروس های مقیم پس از فرمت شدن دیسک را دوباره آلوده می کنند.

غیر ساکنبرعکس، ویروس ها برای مدت کوتاهی فعال هستند، فقط در لحظه ای که برنامه آلوده راه اندازی می شود. برای انتشار، آنها فایل های آلوده نشده را روی دیسک جستجو می کنند و برای آنها می نویسند. پس از اینکه کد ویروس کنترل را به برنامه میزبان منتقل کرد، تأثیر ویروس بر عملکرد سیستم عامل تا راه اندازی بعدی هر برنامه آلوده به صفر کاهش می یابد.

ویروس های مخفیآنها به هر طریقی واقعیت حضور خود در نظام را پنهان می کنند.

به ویروس های چند شکلی اینها شامل مواردی است که تشخیص آنها با استفاده از به اصطلاح ماسک های ویروس غیرممکن (یا بسیار دشوار) است - بخش هایی از کد ثابت مخصوص یک ویروس خاص. این امر به دو روش اصلی به دست می آید - با رمزگذاری کد ویروس اصلی با یک کلید غیر دائمی و مجموعه ای تصادفی از دستورات رمزگشا یا با تغییر خود کد ویروس قابل اجرا.

مختلف تکنیک های غیر استاندارد اغلب در ویروس ها استفاده می شود تا خود را تا حد امکان عمیق در هسته سیستم عامل پنهان کنند.

احتمالات مخربویروس ها را می توان به موارد زیر تقسیم کرد:

1. بی ضرر ، که به هیچ وجه بر عملکرد رایانه تأثیر نمی گذارد (به جز کاهش حافظه آزاد روی دیسک در نتیجه توزیع آنها).

2. غیر خطرناک ، که تأثیر آن با کاهش حافظه دیسک آزاد و جلوه های گرافیکی، صوتی و دیگر محدود می شود.