Malware i virusi (makro virusi, stealth i polimorfni virusi). Makro virusi Kako makro virusi rade

Makro virusi su infekcija koja truje život svakog korisnika. Čak i ako ste programer sustava barem tri puta, ona još uvijek ima dobre šanse boriti se s vama. Mnogi jednostavno podcjenjuju ovu kategoriju virusa i uzalud, nisu bezopasni kako se čine. Što se tiče preživljavanja, mogu se usporediti sa štakorima i žoharima - prilagođavaju se svemu i vrlo rijetko umiru. Vrijeme je da se jednom zauvijek pozabavimo makroinfekcijom.

Arhitektura makro virusa

Na početku jasna definicija: makro virus je virus koji se može samostalno razmnožavati i pohranjivati ​​(bez intervencije korisnika), koristeći makro jezik. Iz definicije slijedi da makro virusi mogu živjeti ne samo u Word dokumentima, već iu SVOM uredskom dokumentu koji implementira funkcije makro jezika kao što je kopiranje makronaredbi i njihovo spremanje. To je gotovo puni popis aplikacije izložene prijetnji makro infekcije: Word (bilo koji), Excel, AmiPro (ovo je uređivač teksta), MS Visio, PowerPoint, MS Access i 1C. Kao što vidite, broj takvih programa je prilično velik, a na Internetu često možete pronaći članke koji definiraju makro viruse na sljedeći način:
"virusi koji zaraze datoteke dokumenata u formatu
WinWord". Neki idioti su to napisali!

Sada razgovarajmo o strukturi makro virusa za Word (kao najrelevantnije). Tako. Postoji nešto poput standardnih makronaredbi. To uključuje: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Prefiks auto- znači da se radnja izvodi automatski, bez intervencije korisnika (iako to ovisi o postavljenoj razini sigurnosti, ali o tome ćemo kasnije). Odnosno, dodavanjem infekcije makronaredbi s tim imenom, možete je "oživjeti". Također, za svaku standardnu ​​akciju postoji standardni makro. Na primjer, za ispis FilePrint, za spremanje FileSave, za spremanje u drugom formatu ili pod drugim imenom FileSaveAs. I ove makronaredbe mogu biti zaražene.

Konačni cilj svakog makro seronje je sjebati normal.dot (pohranjuje sve postavke šablona). Tada će sve otvorene datoteke biti zaražene, a vaši tekstovi oštećeni.
Word nudi nekoliko razina sigurnosti: visoku, srednju i nisku. Također sadrži ugrađeni obrambeni mehanizam protiv makroinfekcija. Prema programerima, ovo bi trebalo djelovati na makro viruse poput srebra na zle duhove. Može biti da radi, ako ne za jedno "ali". Zbog toga neću ulaziti u razlike između sigurnosnih razina i internih postavki Worda. Ali poanta je da se SVI interni sigurnosni parametri mogu lako PROMIJENITI kroz registar. Srećom, makro jezici to omogućuju
čini. Neću propisivati ​​konkretne staze (gdje što tražiti), da ne iskušam vaše razigrane ruke. Oni koji su posebno nadareni mogu me kontaktirati mailom - obavijestit ću vas, ali “samo u svrhu upoznavanja s ovom ranjivošću softver, da ih eliminiramo" :)

Ukratko, struktura makrovirusa je sljedeća:

1. Redefinirajte sve standardne ili automatske korisne makronaredbe tako da onemogućuju zaštitu i ispravljaju razinu sigurnosti.
2. Tamo dodajte infekciju.
3. Provjeravamo je li ovaj makro tražen i da li se infekcija umnožava i nužno registrira u Normal.dot

Sve je vrlo jednostavno - to je razlog zašto postoji toliko različitih varijacija makro stvorenja.

Ubit ću te golim rukama!

Postoji nekoliko popularnih načina za uništavanje makrogazama u već zaraženim Word dokumentima. Ovdje su skoro svi:

1. Stvorite vlastitu makronaredbu sa sljedećim kodom:
Podglavni
Onemogući automatske makronaredbe
End Sub
Ovo čudo spremate pod imenom AutoExec i tako postajete neranjivi na auto makroe.

2. Ako manipulirate razinama zaštite, tada će Word tražiti dopuštenje prilikom izvršavanja makronaredbi.

3. Nemojte koristiti doc format. Uostalom, sve se može smjestiti u RTF - isti fontovi, dizajn, tablice, grafike... A RTF po definiciji ne sadrži makroe. Sve bi bilo idealno, ali postoji nedostatak: prilikom spremanja podataka u rtf formatu, sve slike se automatski pretvaraju u bmp format. Ovaj grafički format toliko je težak da ga ne biste poželjeli svom neprijatelju. Kao rezultat toga, čak i nakon arhiviranja, gubitak veličine rezultirajuće datoteke može dovesti do činjenice da jednostavno neće stati na disketu (ovisno, naravno, o broju slika). Istina, ako nema grafike, onda je rtf idealan.

Teška artiljerija

Vrijeme je da budete hrabri i ubijete makro stvorenja jednom zauvijek. Zadatak nije tako težak za izvršiti: potrebno vam je nezaraženo računalo i najnovija distribucija Kaspersky Anti-Virus programa. Prije nekoliko godina Kaspersky Lab je razvio modul pod nazivom Office Guard. O tome ćemo razgovarati.

Obično Office Guard nije uključen u piratske distribucije, ali uz nešto vještine možete ga pronaći. Što je ovo? Evo što o tome kažu kreatori:
"Office Guard je temeljno nova tehnologija za zaštitu od makro virusa i makro trojanaca. Office Guard, koji je dizajniran za napredne korisnike, implementira revolucionarni pristup antivirusnoj sigurnosti temeljen na principima bihevioralnog blokera. Za razliku od “klasičnih” shema antivirusne zaštite izgrađenih na temelju konvencionalnog pretraživanja konteksta, Office Guard rješava problem sveobuhvatno, eliminirajući samu mogućnost djelovanja makro virusa na zaštićeno računalo. Office Guard razlikuje makro viruse ne po vanjski znakovi(prisutnost određenog niza znakova), već njihovim ponašanjem, koje je određeno mogućnostima programskog jezika VBA ( Visual Basic za
Primjena)."

Najbolja značajka je da se ne mora ažurirati! Međutim, njegova uporaba je prepuna mnogih zamki:

1. Treba ga instalirati na nezaraženi stroj.
2. Ako ste imali instaliran Word, zatim ste instalirali Office Guard, a zatim instalirali Excel, tada će samo Word biti zaštićen. Zaključite sami.
3. Office Guard hvata viruse, ali NE STVARA.

Za rješavanje posljednjeg problema potreban vam je samo antivirusni skener. Dakle, AVP skener + Office Guard daju potpuna sigurnost od makrovirusa. Ako želite tretirati dokumente, tada ćete s vremena na vrijeme morati preuzeti ažuriranje za
AVP.

Međutim, budimo pošteni - ne možete povući deku u korist Kaspersky Laba, inače će biti razgovora poput:
"A koliko su vam platili za promociju proizvoda?"

Svaki ažurirani antivirus daje dobar, gotovo 100%,
zaštita od makroplinova. Samo što svaki od njih koristi različite tehnologije za ovo. Na primjer, DrWeb koristi pretraživanje potpisa i heuristički analizator,
O tome smo razgovarali s njegovim tvorcima:

Vaš antivirusni paket ne uključuje poseban modul za borbu protiv makro virusa. Zašto? Mislite li da rezidentni monitor jamči sigurnost od makro virusa?

Alati za detekciju i borbu protiv makro virusa sastavni su dio DrWeb jezgre. A budući da kernel koriste i skener i monitor, svi makro virusi se otkrivaju i tretiraju jednako dobro u oba slučaja.

WUA uključuje zaseban modul protiv makro virusa u MS Officeu. Programeri tvrde da se ovaj modul temelji na bihevioralnom blokatoru koji analizira radnje pacijentovog programa. Kao rezultat toga, ovaj proizvod pruža 100% jamstvo protiv makro virusa sve dok se ne pusti na tržište. nova verzija VBA. Oni. makrovirusi se ne traže po potpisima. Prednost ovoga
Pristup je da nakon instaliranja takvog modula jednom, ne treba ga ažurirati. Sada pitanja: Traži li DrWeb makro viruse po potpisu?

DrWeb pretražuje makro viruse i po potpisu i pomoću ugrađenog
izvorni moćni heuristički analizator. Mehanizam pretraživanja i analize makronaredbi
implementiran na nekoliko razina: skenira se i binarni kod makronaredbi,
njihov sastavljen i izvorni tekst. To omogućuje otkrivanje poznatih virusa,
njihove modifikacije, kao i nepoznati makro virusi. Tako,
Postaje moguće ne samo ne ovisiti o instaliranoj verziji
MS Office paket (pojavila se mogućnost presretanja pokrenutih makronaredbi
samo u Officeu 2000 i nije bio dostupan u prethodne verzije), ali i općenito od
dostupnost MS Officea na računalu na kojem se vrši skeniranje
datoteke - na primjer, na korporativnom internetskom pristupniku.

Osim toga, pomoću heuristike izgrađene na istim principima
analizator, DrWeb može otkriti nepoznate trojance,
backdoors, Internet crvi, irc, batch (bat) i skripta
(vbs/vbe) virusi.

Vaše osobno mišljenje: može li modul iz WUA pružiti 100% sigurnost od makroinfekcija?

Trenutna situacija je takva da je za učinkovitu borbu protiv virusa svaki moderni
Antivirusni proizvod mora se odmah ažurirati. Nažalost,
stvaranje "apsolutnog" antivirusa je nemoguće.

Odgovoreno na pitanja
Sergej Jurijevič Popov
Andrej Vladimirovič Bašarimov

Programeri antivirusni programi Obitelj dr. WEB.

Makro virusi su potencijalno neželjeni uslužni programi napisani na mikrojezicima koji su ugrađeni u sustave za obradu grafike i teksta. Koje su datoteke zaražene makro virusima? Odgovor je očit. Najčešće verzije za Microsoft programi Excel, Word i Office 97. Ovi su virusi prilično česti, a njihovo stvaranje jednostavno je poput guljenja kruške. Zbog toga treba biti krajnje pažljiv i oprezan prilikom preuzimanja dokumenata s interneta. Većina ih korisnika podcjenjuje i time čini veliku pogrešku.

Kako se računalo zarazi?

Nakon što smo odlučili što su makro virusi, shvatimo kako oni prodiru u sustav i zaraze računalo. Jednostavna metoda njihove reprodukcije omogućuje vam da pogodite maksimalan broj objekata u najkraćem mogućem vremenu. Zahvaljujući mogućnostima makro jezika, prilikom zatvaranja ili otvaranja zaraženog dokumenta, oni prodiru u programe kojima se pristupa.

To jest, kada koristite grafički uređivač, makro virusi zaraze sve što je s njim povezano. Štoviše, neki su aktivni cijelo vrijeme dok se dopisuju ili grafički urednik radu ili dok se računalo potpuno ne isključi.

Koji je princip njihovog rada?

Njihovo djelovanje odvija se prema sljedećem principu: pri radu s dokumentima, Microsoft Word izvršava različite naredbe izdane u makro jeziku. Prije svega, program prodire u glavni predložak, kroz koji se otvaraju sve datoteke ovog formata. U tom slučaju virus kopira svoj kod u makronaredbe koje omogućuju pristup glavnim parametrima. Prilikom izlaska iz programa, datoteka se ubacuje automatski način rada spremljeno u točku (koristi se za stvaranje novih dokumenata). Nakon toga ulazi u standardne makronaredbe, pokušavajući presresti naredbe poslane drugim datotekama, zarazivši i njih.

Infekcija se javlja u sljedećim slučajevima:

  1. Postoji li u virusu auto makro (automatski se izvršava kada se program isključi ili pokrene).
  2. Virus ima osnovni sistemski makro (često povezan sa stavkama izbornika).
  3. Aktivira se automatski kada pritisnete određene tipke ili kombinacije.
  4. Reproducira se samo kada se pokrene.

Takvi virusi obično zaraze sve datoteke stvorene i povezane s programima u makro jeziku.

Kakvu štetu čine?

Makro viruse ne treba podcjenjivati ​​jer su oni potpuni virusi i uzrokuju značajnu štetu računalima. Mogu jednostavno brisati, kopirati ili uređivati ​​sve objekte koji sadrže, između ostalog, osobne informacije. Štoviše, oni također mogu prenijeti informacije drugim ljudima koji ih koriste E-mail.

Snažniji uslužni programi općenito mogu formatirati tvrde diskove i kontrolirati rad cijelog računala. Zato je pogrešno mišljenje da ova vrsta računalnih virusa predstavlja opasnost isključivo za grafičke i tekstualne uređivače. Uostalom, uslužni programi kao što su Word i Excel rade zajedno s nizom drugih, koji su u ovom slučaju također ugroženi.

Prepoznavanje zaražene datoteke

Često datoteke zaražene makro virusima i podložne njihovom utjecaju uopće nije teško identificirati. Uostalom, oni funkcioniraju potpuno drugačije od drugih uslužnih programa istog formata.

Opasnost se može prepoznati prema sljedećim znakovima:

Osim toga, prijetnja se često lako otkriva vizualno. Njihovi programeri obično na kartici "Sažetak" navode informacije kao što su naziv uslužnog programa, kategorija, tema komentara i ime autora, zahvaljujući kojima se možete riješiti makro virusa puno brže i lakše. Možete ga pozvati pomoću kontekstnog izbornika.

Metode uklanjanja

Kada pronađete sumnjivu datoteku ili dokument, prvo ih skenirajte antivirusnim programom. Ako se otkrije prijetnja, antivirusi će je pokušati izliječiti, a ako ne uspiju, potpuno će joj blokirati pristup.

Ako je cijelo računalo zaraženo, trebali biste koristiti hitnu pomoć disk za pokretanje, koji sadrži antivirus s najnovijom bazom podataka. Skenirati će vaš tvrdi disk i neutralizirati sve prijetnje koje pronađe.

Ako se ne možete zaštititi na ovaj način, vaš antivirusni program ne može učiniti ništa, a nema diska za spašavanje, trebali biste pokušati s "ručnom" metodom liječenja:


Na taj način ćete ukloniti makro virus iz zaraženog dokumenta, ali to nikako ne znači da on ne ostaje u sustavu. Zato se preporuča skenirati cijeli Osobno računalo a sve svoje podatke antivirusom ili (prednost im je što ne zahtijevaju instalaciju).

Proces liječenja i čišćenja računala od infekcije makro virusima prilično je složen, stoga je bolje spriječiti infekciju u početnim fazama.


Na taj način ćete se zaštititi i makro virusi nikada neće prodrijeti u odgovarajuće datoteke.

Među raznolikošću virusa, mogu se izdvojiti makro virusi, koji su, kao nitko drugi, opasni ne samo za operacijski sustav, ali i za sve informacije koje su pohranjene na Connected tvrdi diskovi. Virusi su posebno napisani programi na makro jezicima koji su ugrađeni u neke moderni sustavi obrada podataka (proračunske tablice, uređivači teksta itd.).

Odnosno sve što se koristi u uredima, kod kuće itd. za vođenje izvješća, dokumentacije i dr. Virusi ove vrste su najopasniji gledano sa strane gubitka tekstualne informacije. Za reprodukciju maksimalno koriste sve mogućnosti makro jezika i koristeći sve mogućnosti prenose sebe (odnosno programski kod) iz jedne zaražene datoteke (obično tablice ili dokumenta) u druge. Danas su najčešći makro virusi za programske pakete Office 97, Microsoft Word i Excel. Razvijeni su i makro virusi koji inficiraju baze podataka Microsoftovi podaci Access i Ami Pro dokumenti.

Da bi makro virusi postojali u određenom sustavu (u ovom slučaju u uređivaču), iznimno je potrebno imati poseban programski makro jezik ugrađen u sustav sa sljedećim mogućnostima:

1. kopiranje snimljenih makro programa iz određene datoteke u bilo koju drugu;

2. vezanje virusa u makro jeziku na određenu datoteku;

3. jedinstvena prilika da dobijete potpunu kontrolu nad virusnim makro programom (automatski ili standardni makroi).

Sve gore navedene uvjete u potpunosti su zadovoljili urednici AmiPro, Microsoft Word Office 97, baza podataka Microsoftov pristup, kao i Excel tablica. Svi ovi sustavi sadrže različite makro jezike: Excel, Office 97 (uključujući Access, Word 97 i Excel 97) - Visual Basic za aplikacije i Word - Word Basic.

Danas su poznata četiri potpuno različita sustava za koje postoje zasebni virusi - Office 97, Microsoft Word, Excel i AmiPro. U tim sustavima makro virusi preuzimaju punu kontrolu tijekom zatvaranja ili otvaranja zaražene datoteke. Nakon preuzimanja kontrole, virus presreće sve funkcije datoteka, nakon čega slobodno inficira datoteke kojima se izravno pristupa. Stoga, ako ste uhvatili takav virus i uspjeli ga identificirati, vrlo se ne preporučuje otvaranje ili općenito rad s gore navedenim programima dok potpuno uklanjanje virus. Ako zanemarite ovo pravilo, virus se može izbrisati važna informacija(dokumenti, tablice itd.). Po analogiji s MS-DOS-om, možemo sa sigurnošću naglasiti da je većina modernih makro virusa rezidentna: ponašaju se aktivno dok je sam uređivač aktivan, a ne u trenutku otvaranja/zatvaranja datoteke.

Virusi obitelji Macro

Virusi iz obitelji Macro koriste mogućnosti makro jezika ugrađenih u sustave za obradu podataka (uređivači teksta, proračunske tablice itd.).

Da bi virusi postojali u određenom sustavu, potrebno je imati makro jezik ugrađen u njega s mogućnošću vezanja programa na makro jeziku za određenu datoteku, kopiranja makro programa iz jedne datoteke u drugu i dobivanja kontrole nad makro program bez intervencije korisnika (automatski ili standardni makroi).

Ovi uvjeti su zadovoljeni Microsoftovi urednici Word i AmiPro, kao i Excel tablica. Ovi sustavi sadrže makro jezike (Word - Word Basic, Excel - Visual Basic), dok su makro programi vezani za određenu datoteku (AmiPro) ili se nalaze unutar datoteke (Word, Excel), makro jezik vam omogućuje kopiranje datoteka (AmiPro) ili premjestiti makro programe u servisne sistemske datoteke (Word, Excel), pri radu s datotekom pod određenim uvjetima (otvaranje, zatvaranje i sl.) pozivaju se makro programi (ako postoje) koji su definirani na poseban način. (AmiPro) ili imaju standardna imena (Word, Excel).

Dakle, danas su poznata tri sustava za koje postoje virusi - Microsoft Word, Excel i AmiPro. U njima virusi preuzimaju kontrolu kada se zaražena datoteka otvori ili zatvori, presreću standardne funkcije datoteke i zatim zaraze datoteke kojima se na neki način pristupa. Po analogiji s MS-DOS-om, možemo reći da su makro virusi rezidentni - aktivni su ne samo u trenutku otvaranja/zatvaranja datoteke, već i dok je aktivan sam editor (sustav).

Virusi za Microsoft Office"97

Macro.Office97.Frenzy

Sastoji se od jedne makronaredbe Frenzy koja sadrži automatsku funkciju AutoOpen. Inficira sustav kada se otvori zaražena datoteka. Zatim se upisuje u dokumente kada se otvore. Ovisno o sistemskom datumu i sistemskom slučajnom brojaču, prikazuje tekst

Word97.Frenzy by Pyro

Makro.Office97.Minimalno

Prilično primitivan makro virus za Office 97. Sadrži jedan AutoOpen makro. Inficira sustav kada se otvori zaražena datoteka; također se zapisuje u dokumente kada se otvore. Sadrži komentirani tekst

Veselin Bonchev

Macro.Office97.NightShade

Sastoji se od jedne makronaredbe NightShade koja sadrži automatsku funkciju AutoClose i inficira sustav i dokumente kada se datoteke zatvore. Onemogućuje ugrađenu zaštitu od virusa i omogućuje pokretanje automatskih funkcija. Ovisno o trenutnom datumu i nasumičnom brojaču sustava, prikazuje tekst

Word97.NightShade od Pyro

13. subote, postavlja lozinku NightShade u dokumentima.

Virusi za Microsoft Excel

Macro.Excel.Laroux

Inficira proračunske tablice programa Excel ( XLS datoteke). Sadrži dvije makronaredbe: Auto_Open i Check_Files. Kada otvorite zaraženu datoteku, Excel automatski pokreće makronaredbu Auto_Open. U virusu, ova makronaredba sadrži samo jednu naredbu, koja definira makronaredbu Check_Files da se izvršava kada se aktivira bilo koja tablica (Sheet). Dakle, virus presreće proceduru otvaranja tablica i kada se tablica aktivira, zaraženi Excel poziva makro Check_Files, odnosno kod virusa.

Nakon što preuzme kontrolu, makronaredba Check_Files traži datoteku PERSONAL.XLS u direktoriju za pokretanje programa Excel i provjerava broj modula u trenutnoj radnoj knjizi. Ako je radna knjiga s virusom aktivna, a datoteka PERSONAL.XLS ne postoji (prva infekcija), tada virus stvara datoteku s ovim imenom u direktoriju za pokretanje programa Excel pomoću naredbe SaveAs. Kao rezultat toga, virusni kod iz trenutne datoteke je zapisan u nju. Na sljedećem učitavanje Excela učitava sve XLS datoteke iz direktorija za pokretanje, zaražena PERSONAL.XLS datoteka također se učitava u memoriju, virus ponovno preuzima kontrolu i prilikom otvaranja tablica ponovo će se pozvati makronaredba Check_Files iz PERSONAL.XLS.

Ako je broj modula u trenutnoj radnoj knjizi 0 (zaražena radna knjiga nije aktivna), a datoteka PERSONAL.XLS već postoji, tada virus prepisuje svoj kod u aktivnu radnu knjigu. Nakon toga aktivna radna knjiga postaje zaražena.

Nije teško provjeriti vaš sustav na virus. Ako je virus već prodro u računalo, tada bi direktorij programa Excel trebao sadržavati datoteku PERSONAL.XLS u kojoj je vidljiv redak laroux (malim slovima). Ista linija prisutna je iu drugim zaraženim datotekama.

Macro.Excel.Legend

Infekcija makro virusom Excel datoteke. Sadrži jedan modul (makro) pod nazivom Legenda. Ovaj modul uključuje dvije procedure - Auto_Open i INFECT. Auto_Open je Excel procedura koja se automatski poziva kada se datoteka otvori. Kada se pokrene, Auto_Open instalira drugu virusnu proceduru (Infect) kao rukovatelj događajima SheetActivate, odnosno prilikom otvaranja bilo koje tablice Excel će pozvati proceduru Infect.

Kada se pozove, procedura zaraze zarazi ili datoteku PERSONAL.XLS (kada je zaražena datoteka otvorena) ili trenutnu datoteku (ako još nije zaražena). Nakon infekcije, virus uklanja stavku Alati/Makro iz izbornika. Ako je UserName = "Pyro" i OrganizationName = "VBB", virus odmah prestaje raditi i ne inficira nijednu datoteku. Ovisno o trenutnom danu i nasumičnom brojaču sustava, virus prikazuje MessageBox:

Zarazila vas je legenda!

Macro.Excel.Robocop

Makro virus koji napada Excel datoteke. Uključuje dva modula (makroe): COP i ROBO. ROBO modul sadrži automatski pozvanu proceduru Auto_Open, koja prilikom otvaranja zaraženog dokumenta upisuje kod virusa u datoteku PERSONAL.XLS i postavlja adresu rukovatelja aktivacije tablice (SheetActivate) kodu virusa. Virus zatim zarazi datoteke kada se otvore tablice.

ROBOCOP Joker iz noćne more

Macro.Excel.Sofa

Inficira Excel proračunske tablice. Sadrži jedan modul (makro) čiji se naziv sastoji od 11 razmaka i stoga nije vidljiv na popisu makronaredbi u izborniku Alati/Makroi. Modul sadrži četiri makro funkcije: Auto_Open, Auto_Range, Current_Open, Auto_Close. Sve funkcije virusa kao rezultat vraćaju Null.

Kada otvorite zaraženu datoteku, aktivira se makro funkcija Auto_Open koja "preimenuje" Excel - Microsofa Excel pojavljuje se u naslovnom retku umjesto Microsoft Excela. Ako u direktoriju Startup Path nema datoteke BOOK.XLT (sustav još nije zaražen), na ekranu se prikazuje sljedeća poruka:

Microsoft Excel otkrio je oštećenu datoteku dodatka. Kliknite U redu za popravak ove datoteke.

Bez obzira na korisnikov odgovor, datoteka BOOK.XLT koja sadrži kod virusa stvara se u direktoriju Startup Path. Nakon infekcije prikazuje se poruka

Datoteka je uspješno popravljena!

Kada se učita, Excel automatski preuzima XLT datoteke s Startup Path-a i sukladno tome aktivira virus. Virus dodjeljuje svoju funkciju Auto_Range funkciji OnSheetActivate i svaki put kada se tablica aktivira, provjerava je li aktivna datoteka zaražena i, ako datoteka nije zaražena, zarazi je.

Virus se ne da iskrcati iz Excela - prilikom zatvaranja svake datoteke on funkciji OnWindow dodjeljuje istu funkciju Auto_Range, odnosno ponovno se aktivira kada se otvori nova datoteka.

Macro.Excel.Yohimbe

Sastoji se od jednog modula (makro) pod nazivom Exec. Ovaj modul sadrži tri rutine: Auto_Open, DipDing, PayLoad i funkciju SheetExists. Potprogram Auto_Open automatski se poziva kada se otvori zaražena datoteka - virus inficira PERSONAL.XLS. U slučaju bilo kakve pogreške, virus se piše svima otvorene datoteke(knjige). Prije vraćanja kontrole, Auto_Open postavlja DipDing rutinu na Excel timer. Ova se rutina poziva počevši od 16:00 i inficira otvorene datoteke.

Virus zapisuje niz Yohimbe u zaglavlje tablice. Također postavlja mjerač vremena na podrutinu PayLoad - poziva se u 16:45 i umeće sliku i tekst u trenutnu tablicu

Makro virusi su programi napisani na jezicima (makro jezici) ugrađeni u neke sustave za obradu podataka (uređivači teksta, proračunske tablice itd.). Za reprodukciju, takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke (dokumenta ili tablice) u druge.

Da bi virusi postojali u određenom sustavu (editor), potrebno je imati makro jezik ugrađen u sustav sa sljedećim mogućnostima:

1. vezanje programa u makro jeziku na određenu datoteku;

2. kopiranje makro programa iz jedne datoteke u drugu;

mogućnost preuzimanja kontrole nad makro programom bez intervencije korisnika (automatski ili standardni makroi).

Mrežni računalni virusi .

Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalne mreže. Glavno načelo mrežnog virusa je mogućnost samostalnog prijenosa koda na udaljeni poslužitelj ili radna stanica. Mrežni virusi također imaju mogućnost pokretanja svog koda udaljeno računalo ili potaknuti korisnika da pokrene zaraženu datoteku.

Postoji veliki broj kombinacija - na primjer, virusi za pokretanje datoteka koji inficiraju i datoteke i sektore za pokretanje diskova. Takvi virusi u pravilu imaju prilično složen algoritam rada, često koriste originalne metode prodiranja u sustav i koriste prikrivene i polimorfne tehnologije. Drugi primjer takve kombinacije je mrežni makro virus, koji ne samo da inficira dokumente koji se uređuju, već i šalje svoje kopije e-poštom.

Zaražen operativni sustav(točnije OS čiji su objekti podložni infekciji) je druga razina podjele virusa na klase. Svaki datotečni ili mrežni virus zarazi datoteke jednog ili više operativnih sustava.

Makro virusi zaraze datoteke u Word, Excel i Office formatima. Virusi za pokretanje također su usmjereni na specifične formate za lokaciju sistemskih podataka u sektorima za pokretanje diskova.

Značajke algoritma rada računalni virusi:

1. Prebivalište.

2. Korištenje stealth algoritama.

3. Samošifriranje i polimorfizam.

4. Korištenje nestandardnih tehnika.

Pod pojmom boravište odnosi se na sposobnost virusa da ostave svoje kopije memorija sustava, presreću neke događaje (na primjer, pristup datotekama ili diskovima) i pozivaju procedure za zarazu otkrivenih objekata (datoteka i sektora). Stoga su rezidentni virusi aktivni ne samo dok je zaraženi program pokrenut, već i nakon što program završi s radom. Rezidentne kopije takvih virusa ostaju održive do sljedećeg ponovnog pokretanja, čak i ako su sve zaražene datoteke na disku uništene. Često je nemoguće riješiti se takvih virusa vraćanjem svih kopija datoteka s distribucijskih diskova ili sigurnosnih kopija. Rezidentna kopija virusa ostaje aktivna i ponovno inficira generirane datoteke. Isto vrijedi i za viruse pri pokretanju - formatiranje diska kada u memoriji postoji rezidentni virus ne izliječi uvijek disk, budući da mnogi rezidentni virusi ponovno inficiraju disk nakon što se formatira.

Nerezident virusi su, naprotiv, aktivni relativno kratko vrijeme, samo u trenutku pokretanja zaraženog programa. Za širenje traže nezaražene datoteke na disku i pišu u njih. Nakon što virusni kod prenese kontrolu na glavni program, utjecaj virusa na rad operativnog sustava sveden je na nulu do sljedećeg pokretanja bilo kojeg zaraženog programa.

Stealth virusi na ovaj ili onaj način skrivaju činjenicu svoje prisutnosti u sustavu.

DO polimorfni virusi To uključuje one čije je otkrivanje nemoguće (ili iznimno teško) korištenjem takozvanih virusnih maski - dijelova stalnog koda specifičnog za određeni virus. To se postiže na dva glavna načina - šifriranjem glavnog koda virusa nepostojanim ključem i nasumičnim skupom naredbi dešifratora ili promjenom samog izvršnog koda virusa.

Razni nestandardne tehnike često se koriste u virusima kako bi se sakrili što dublje u jezgri OS-a.

Destruktivne mogućnosti viruse možemo podijeliti na:

1. Bezopasno , koji ni na koji način ne utječu na rad računala (osim smanjenja slobodne memorije na disku kao rezultat njihove distribucije).

2. Nije opasno , čiji je utjecaj ograničen smanjenjem slobodne memorije na disku te grafičkim, zvučnim i drugim efektima.