매크로 바이러스는 모든 사용자의 생명을 해치는 감염입니다. 당신이 시스템 프로그래머라면 적어도 세 번은 당신과 싸울 가능성이 여전히 높습니다. 많은 사람들이 이 범주의 바이러스를 과소평가하고 있으며, 겉보기만큼 무해하지는 않습니다. 생존 가능성 측면에서 쥐 및 바퀴벌레와 비교할 수 있습니다. 모든 것에 적응하고 거의 죽지 않습니다. 이제 매크로 감염에 완전히 대처할 때입니다.

매크로 바이러스 아키텍처

처음에는 명확한 정의가 있습니다. 매크로 바이러스는 매크로 언어를 사용하여 자체적으로(사용자 개입 없이) 번식하고 저장할 수 있는 바이러스입니다. 정의에 따르면 매크로 바이러스는 Word 문서뿐만 아니라 매크로 복사 및 저장과 같은 매크로 언어 기능을 구현하는 모든 사무실 문서에 살 수 있습니다. 전체 목록매크로 감염 위협에 노출된 애플리케이션: Word(모든), Excel, AmiPro(텍스트 편집기), MS Visio, PowerPoint, MS Access 및 1C. 보시다시피, 그러한 프로그램의 수는 상당히 많으며 인터넷에서는 다음과 같이 매크로 바이러스를 정의하는 기사를 자주 찾을 수 있습니다.
"형식의 문서파일을 감염시키는 바이러스
WinWord". 일부 바보가 썼습니다!

이제 가장 관련성이 높은 Word용 매크로 바이러스의 구조에 대해 이야기해 보겠습니다. 그래서. 표준 매크로 같은 것이 있습니다. 여기에는 AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew가 포함됩니다. 접두사 auto-는 사용자 개입 없이 작업이 자동으로 수행됨을 의미합니다(이는 설정된 보안 수준에 따라 다르지만 이에 대해서는 나중에 설명하겠습니다). 즉, 해당 이름을 가진 매크로에 감염을 추가하면 해당 매크로를 "소생"시킬 수 있습니다. 또한 각 표준 작업에는 표준 매크로가 있습니다. 예를 들어, FilePrint를 인쇄하고, FileSave를 저장하고, 다른 형식으로 저장하거나 다른 이름을 FileSaveAs로 저장합니다. 그리고 이러한 매크로는 감염될 수 있습니다.

매크로 새끼의 궁극적인 목표는 Normal.dot(모든 템플릿 설정을 저장함)를 엿먹이는 것입니다. 그러면 열려 있는 모든 파일이 감염되고 텍스트가 손상됩니다.
Word에서는 높음, 중간, 낮음 등 여러 수준의 보안을 제공합니다. 또한 거대 감염에 대한 방어 메커니즘이 내장되어 있습니다. 개발자에 따르면 이는 악령의 은과 같은 매크로 바이러스에 작용해야 합니다. 하나의 "그러나"가 아니라면 작동할 수도 있습니다. 이 때문에 보안 수준과 Word의 내부 설정 간의 차이점을 자세히 다루지는 않겠습니다. 그러나 요점은 모든 내부 보안 매개변수가 레지스트리를 통해 쉽게 변경될 수 있다는 것입니다. 다행히도 매크로 언어에서는 이를 허용합니다.
하다. 나는 당신의 장난스러운 손을 유혹하지 않기 위해 특정 경로(무엇을 찾을지)를 지정하지 않을 것입니다. 특히 재능이 있는 사람들은 이메일로 저에게 연락할 수 있습니다. 알려드리겠습니다. 그러나 "이 취약점을 숙지하기 위한 목적으로만 사용됩니다." 소프트웨어, 이를 제거하기 위해" :)

요약하면, 매크로바이러스의 구조는 다음과 같습니다.

1. 표준 또는 자동 유용한 매크로를 재정의하여 보호를 비활성화하고 보안 수준을 수정합니다.
2. 거기에 감염을 추가합니다.
3. 이 매크로가 수요가 있는지, 감염이 증가하여 반드시 Normal.dot에 등록되는지 확인합니다.

모든 것이 매우 간단합니다. 이것이 매크로 생물의 다양한 변형이 있는 이유입니다.

맨손으로 죽여버리겠어!

이미 감염된 Word 문서에서 거대가즘을 파괴하는 방법에는 여러 가지가 있습니다. 여기에 거의 모든 것이 있습니다.

1. 다음 코드를 사용하여 자신만의 매크로를 만듭니다.
서브메인
자동매크로 비활성화
서브 끝
이 기적을 AutoExec이라는 이름으로 저장하면 자동 매크로에 취약해지지 않게 됩니다.

2. 보호 수준을 조작하면 Word에서 매크로를 실행할 때 권한을 요청합니다.

3. 문서 형식을 사용하지 마십시오. 결국 동일한 글꼴, 디자인, 표, 그래픽 등 모든 것을 RTF에 배치할 수 있습니다. 그리고 정의에 따라 RTF에는 매크로가 포함되지 않습니다. 모든 것이 이상적이지만 단점이 있습니다. 정보를 rtf 형식으로 저장하면 모든 사진이 자동으로 bmp 형식으로 변환됩니다. 이 그래픽 형식은 무게가 너무 커서 적에게 원하지 않을 것입니다. 결과적으로 보관 후에도 결과 파일의 크기가 손실되면 파일이 플로피 디스크에 맞지 않을 수도 있습니다(물론 사진 수에 따라 다름). 사실, 그래픽이 없으면 rtf가 이상적입니다.

중포

이제 용감하게 거대 생물을 단번에 죽여야 할 때입니다. 작업을 완료하는 것은 그리 어렵지 않습니다. 감염되지 않은 컴퓨터와 최신 Kaspersky Anti-Virus 배포판이 필요합니다. 몇 년 전 Kaspersky Lab은 Office Guard라는 모듈을 개발했습니다. 그것이 우리가 이야기할 것입니다.

일반적으로 Office Guard는 불법 복제 배포판에 포함되어 있지 않지만 약간의 기술을 사용하면 찾을 수 있습니다. 이건 뭐죠? 제작자가 이에 대해 말하는 내용은 다음과 같습니다.
"오피스 가드는 기본적으로 새로운 기술매크로 바이러스 및 매크로 트로이 목마로부터 보호합니다. 고급 사용자를 위해 설계된 Office Guard는 행동 차단 원칙을 기반으로 바이러스 백신 보안에 대한 혁신적인 접근 방식을 구현합니다. 기존 컨텍스트 검색을 기반으로 구축된 "전통적인" 안티 바이러스 보호 체계와 달리 Office Guard는 문제를 포괄적으로 해결하여 보호된 컴퓨터에서 매크로 바이러스가 작동할 가능성을 제거합니다. Office Guard는 매크로 바이러스를 구별하지 않습니다. 외부 표지판(특정 문자 시퀀스의 존재) VBA 프로그래밍 언어의 기능에 따라 동작이 결정됩니다( 비주얼 베이직~을 위한
애플리케이션)."

가장 멋진 기능은 업데이트할 필요가 없다는 것입니다! 그러나 이를 사용하는 데에는 다음과 같은 많은 함정이 따릅니다.

1. 감염되지 않은 컴퓨터에 설치해야 합니다.
2. Word를 설치한 후 Office Guard를 설치하고 Excel을 설치한 경우 Word만 보호됩니다. 스스로 결론을 내리십시오.
3. Office Guard는 바이러스를 포착하지만 생성하지는 않습니다.

마지막 문제를 해결하려면 바이러스 백신 스캐너만 있으면 됩니다. 따라서 AVP 스캐너 + Office Guard는 완전한 안전매크로바이러스로부터 문서를 처리하려면 때때로 업데이트를 다운로드해야 합니다.
AVP.

그러나 공평하게 말하면 Kaspersky Lab에 찬성하여 담요를 당길 수는 없습니다. 그렇지 않으면 다음과 같은 대화가 있을 것입니다.
“그럼 그 제품 홍보 대가로 얼마를 받았나요?”

업데이트된 바이러스 백신은 거의 100% 좋은 결과를 제공합니다.
거대 가스로부터 보호. 그냥 각자가 사용하는거임 다양한 기술이를 위해. 예를 들어 DrWeb은 서명 검색과 휴리스틱 분석기를 사용하며,
이것이 우리가 제작자와 이야기한 내용입니다.

바이러스 백신 패키지에는 매크로 바이러스 퇴치를 위한 별도의 모듈이 포함되어 있지 않습니다. 왜? 상주 모니터가 매크로 바이러스에 대한 보안을 보장한다고 생각하십니까?

매크로 바이러스를 탐지하고 퇴치하는 도구는 DrWeb 코어의 필수적인 부분입니다. 그리고 커널은 스캐너와 모니터 모두에서 사용되므로 모든 매크로 바이러스는 두 경우 모두 동일하게 탐지되고 처리됩니다.

WUA에는 MS Office의 매크로 바이러스에 대한 별도의 모듈이 포함되어 있습니다. 개발자들은 이 모듈이 환자 프로그램의 동작을 분석하는 행동 차단기를 기반으로 한다고 주장합니다. 결과적으로 이 제품은 출시될 때까지 매크로 바이러스에 대해 100% 보증을 제공합니다. 새 버전 VBA. 저것들. 매크로바이러스는 서명으로 검색되지 않습니다. 이것의 장점
접근 방식은 이러한 모듈을 한 번 설치한 후에는 업데이트할 필요가 없다는 것입니다. 이제 질문이 있습니다. DrWeb은 서명으로 매크로 바이러스를 검색합니까?

DrWeb은 서명과 내장된 기능을 사용하여 매크로 바이러스를 검색합니다.
독창적인 강력한 휴리스틱 분석기. 매크로 검색 및 분석 메커니즘
여러 수준에서 구현됩니다. 매크로의 바이너리 코드도 스캔됩니다.
컴파일된 소스 텍스트입니다. 이를 통해 알려진 바이러스를 탐지할 수 있습니다.
그들의 수정은 물론 알려지지 않은 매크로 바이러스까지 포함됩니다. 따라서,
설치된 버전에 의존하지 않을 뿐만 아니라 가능해집니다.
MS Office 패키지(실행 중인 매크로를 가로채는 기능이 나타났습니다)
Office 2000에서만 사용할 수 없었고 다음 버전에서는 사용할 수 없었습니다. 이전 버전), 그러나 일반적으로
스캔이 수행되는 컴퓨터에서 MS Office의 가용성
파일 - 예를 들어 회사 인터넷 게이트웨이에 있습니다.

또한, 동일한 원리를 기반으로 구축된 휴리스틱을 사용하여
분석기인 DrWeb은 알려지지 않은 트로이 목마를 탐지할 수 있습니다.
백도어, 인터넷 웜, IRC, 배치(bat) 및 스크립트
(vbs/vbe) 바이러스.

귀하의 개인적인 의견: WUA의 모듈이 거대 감염으로부터 100% 안전을 제공할 수 있습니까?

현재 상황은 바이러스와 효과적으로 싸우기 위해 모든 현대인이
바이러스 백신 제품은 즉시 업데이트되어야 합니다. 안타깝게도,
"절대적인" 바이러스 백신을 만드는 것은 불가능합니다.

질문에 대한 답변
세르게이 유리예비치 포포프
안드레이 블라디미로비치 바샤리모프

개발자 바이러스 백신 프로그램닥터웹 가족 여러분.

매크로 바이러스는 그래픽 및 텍스트 처리 시스템에 내장된 마이크로 언어로 작성된 잠재적으로 원치 않는 유틸리티입니다. 매크로 바이러스에 감염된 파일은 무엇입니까? 대답은 분명합니다. 가장 일반적인 버전 마이크로소프트 프로그램 Excel, Word 및 Office 97. 이러한 바이러스는 매우 흔하며 이를 생성하는 것은 배 껍질을 벗기는 것만큼 쉽습니다. 이것이 바로 인터넷에서 문서를 다운로드할 때 매우 조심하고 조심해야 하는 이유입니다. 대부분의 사용자는 이를 과소평가하여 중대한 실수를 저지릅니다.

PC는 어떻게 감염되나요?

매크로 바이러스가 무엇인지 결정한 후에는 매크로 바이러스가 어떻게 시스템에 침투하여 컴퓨터를 감염시키는지 알아 보겠습니다. 간단한 재생 방법을 사용하면 가능한 한 짧은 시간에 최대 개체 수에 도달할 수 있습니다. 매크로 언어의 기능 덕분에 감염된 문서를 닫거나 열 때 액세스 중인 프로그램에 침투합니다.

즉, 그래픽 편집기를 사용하면 매크로 바이러스가 이와 관련된 모든 것을 감염시킵니다. 더욱이 일부는 문자 메시지를 보내거나 메시지를 보내는 동안 항상 활동적입니다. 그래픽 편집기또는 PC가 완전히 꺼질 때까지.

그들의 작업 원리는 무엇입니까?

해당 작업은 다음 원칙에 따라 발생합니다. 문서 작업 시 마이크로 소프트 워드매크로 언어로 발행된 다양한 명령을 실행합니다. 우선, 프로그램은 이 형식의 모든 파일이 열리는 기본 템플릿에 침투합니다. 이 경우 바이러스는 주요 매개 변수에 대한 액세스를 제공하는 매크로에 코드를 복사합니다. 프로그램을 종료하면 해당 파일이 자동 모드점으로 저장됩니다(새 문서를 만드는 데 사용됨). 그런 다음 표준 매크로에 들어가서 다른 파일로 전송된 명령을 가로채려고 시도하여 해당 파일도 감염시킵니다.

감염은 다음과 같은 경우에 발생합니다.

1. 바이러스에 자동 매크로가 있는 경우(프로그램을 끄거나 시작할 때 자동으로 수행됨)
2. 바이러스에는 기본 시스템 매크로(종종 메뉴 항목과 연결됨)가 있습니다.
3. 특정 키나 조합을 누르면 자동으로 활성화됩니다.
4. 실행될 때만 재생산됩니다.

이러한 바이러스는 일반적으로 매크로 언어로 생성되고 프로그램과 관련된 모든 파일을 감염시킵니다.

그들은 어떤 해를 끼치나요?

매크로 바이러스는 본격적인 바이러스이며 컴퓨터에 심각한 피해를 주기 때문에 과소평가해서는 안 됩니다. 특히 다음을 포함하는 모든 개체를 쉽게 삭제, 복사 또는 편집할 수 있습니다. 개인 정보. 게다가, 그들은 또한 다음을 사용하여 다른 사람들에게 정보를 전달할 수도 있습니다. 이메일.

보다 강력한 유틸리티는 일반적으로 하드 드라이브를 포맷하고 전체 PC의 작동을 제어할 수 있습니다. 그렇기 때문에 이러한 종류의 컴퓨터 바이러스가 그래픽 및 텍스트 편집기에만 위험을 초래한다는 의견은 잘못된 것입니다. 결국 Word 및 Excel과 같은 유틸리티는 다른 여러 유틸리티와 함께 ​​작동하며 이 경우에도 위험합니다.

감염된 파일 인식

종종 매크로 바이러스에 감염되어 영향을 받기 쉬운 파일을 식별하는 것이 전혀 어렵지 않습니다. 결국 동일한 형식의 다른 유틸리티와 완전히 다르게 작동합니다.

위험은 다음 징후로 식별할 수 있습니다.

또한 위협은 시각적으로 쉽게 감지되는 경우가 많습니다. 개발자는 일반적으로 "요약" 탭에 유틸리티 이름, 카테고리, 설명 주제, 작성자 이름 등의 정보를 표시하므로 훨씬 빠르고 쉽게 매크로 바이러스를 제거할 수 있습니다. 상황에 맞는 메뉴를 사용하여 호출할 수 있습니다.

제거 방법

의심스러운 파일이나 문서를 발견하면 먼저 바이러스 백신으로 검사하세요. 위협이 감지되면 바이러스 백신이 이를 치료하려고 시도하고, 실패할 경우 해당 위협에 대한 액세스를 완전히 차단합니다.

컴퓨터 전체가 감염된 경우 응급조치를 취해야 합니다. 부팅 디스크, 최신 데이터베이스가 포함된 바이러스 백신이 포함되어 있습니다. 하드 드라이브를 검사하고 발견된 모든 위협을 무력화합니다.

이러한 방법으로 자신을 보호할 수 없고 바이러스 백신이 아무 것도 할 수 없고 복구 디스크도 없는 경우 "수동" 치료 방법을 시도해야 합니다.

이렇게 하면 감염된 문서에서 매크로 바이러스가 제거되지만 이것이 시스템에 남아 있지 않다는 의미는 아닙니다. 그렇기 때문에 전체를 스캔하는 것이 좋습니다. 개인용 컴퓨터바이러스 백신을 사용하는 모든 데이터 또는 (그들의 장점은 설치가 필요하지 않다는 것입니다).

매크로 바이러스 감염으로부터 컴퓨터를 치료하고 치료하는 과정은 매우 복잡하므로 초기 단계에서 감염을 예방하는 것이 좋습니다.

이렇게 하면 자신을 보호할 수 있으며 매크로 바이러스는 해당 파일에 절대 침투하지 않습니다.

다양한 바이러스 중에서 다른 바이러스와 마찬가지로 위험한 매크로 바이러스를 골라낼 수 있습니다. 운영 체제, 연결된 장치에 저장된 모든 정보에도 적용됩니다. 하드 드라이브. 바이러스는 일부 컴퓨터에 내장된 매크로 언어로 특별히 작성된 프로그램입니다. 현대 시스템데이터 처리(스프레드시트, 텍스트 편집기등.).

즉, 사무실, 집 등에서 사용되는 모든 것입니다. 보고서, 문서 등을 유지 관리합니다. 이러한 유형의 바이러스는 손실 측면에서 볼 때 가장 위험합니다. 텍스트 정보. 재현하기 위해 그들은 매크로 언어의 모든 기능을 최대한 활용하고 모든 가능성을 활용하여 감염된 하나의 파일(일반적으로 테이블이나 문서)에서 다른 파일로 자신(또는 오히려 프로그램 코드)을 전송합니다. 오늘날 가장 흔한 것은 Office 97, Microsoft Word 및 Excel 소프트웨어 패키지에 대한 매크로 바이러스입니다. 데이터베이스를 감염시키는 매크로 바이러스도 개발되었습니다. 마이크로소프트 데이터액세스 및 Ami Pro 문서.

특정 시스템(이 경우 편집기)에 매크로 바이러스가 존재하려면 다음 기능을 갖춘 특수 소프트웨어 매크로 언어가 시스템에 내장되어 있어야 합니다.

1. 기록된 매크로 프로그램을 특정 파일에서 다른 파일로 복사합니다.

2. 매크로 언어로 바이러스를 특정 파일에 바인딩합니다.

3. 바이러스 매크로 프로그램(자동 또는 표준 매크로)을 완전히 제어할 수 있는 특별한 기회입니다.

위의 모든 조건은 편집자 AmiPro, Microsoft에 의해 완전히 만족됩니다. 워드 오피스 97, 데이터베이스 마이크로소프트 액세스, Excel 스프레드시트도 마찬가지입니다. 이러한 모든 시스템에는 Excel, Office 97(Access, Word 97 및 Excel 97 포함) - Visual Basic for Application 및 Word - Word Basic과 같은 다양한 매크로 언어가 포함되어 있습니다.

오늘날 완전히 다른 네 가지 시스템이 잘 알려져 있으며 여기에는 Office 97, Microsoft Word, Excel 및 AmiPro라는 별도의 바이러스가 있습니다. 이러한 시스템에서 매크로 바이러스는 감염된 파일을 닫거나 여는 동안 모든 권한을 갖습니다. 바이러스는 제어권을 얻은 후 모든 파일 기능을 가로채고 직접 액세스하는 파일을 자유롭게 감염시킵니다. 따라서 이러한 바이러스를 발견하고 식별할 수 있는 경우, 그 때까지 위 프로그램을 열거나 일반적으로 사용하지 않는 것이 좋습니다. 완전한 제거바이러스. 이 규칙을 무시하면 바이러스가 삭제될 수 있습니다. 중요한 정보(문서, 표 등). MS-DOS와 유사하게 대부분의 최신 매크로 바이러스는 상주하고 있다는 점을 확실히 강조할 수 있습니다. 즉, 파일을 열거나 닫는 순간이 아니라 편집기 자체가 활성화되어 있는 동안 활발하게 작동합니다.

매크로 계열의 바이러스

매크로 계열의 바이러스는 데이터 처리 시스템(텍스트 편집기, 스프레드시트 등)에 내장된 매크로 언어 기능을 사용합니다.

특정 시스템에 바이러스가 존재하려면 매크로 언어로 된 프로그램을 특정 파일에 바인딩하고, 한 파일에서 다른 파일로 매크로 프로그램을 복사하고, 해당 시스템에 대한 제어권을 얻을 수 있는 매크로 언어가 내장되어 있어야 합니다. 사용자 개입 없이 매크로 프로그램(자동 또는 표준 매크로).

이러한 조건이 충족됩니다. 마이크로소프트 편집자 Word, AmiPro, Excel 스프레드시트. 이러한 시스템에는 매크로 언어(Word - Word Basic, Excel - Visual Basic)가 포함되어 있는 반면, 매크로 프로그램은 특정 파일(AmiPro)에 연결되거나 파일(Word, Excel) 내부에 위치하며, 매크로 언어를 사용하면 파일을 복사할 수 있습니다. (AmiPro) 또는 매크로 프로그램을 서비스 시스템 파일(Word, Excel)로 이동합니다. 특정 조건(열기, 닫기 등)에서 파일 작업을 할 때 특별한 방법으로 정의된 매크로 프로그램(있는 경우)이 호출됩니다. (AmiPro) 또는 표준 이름(Word, Excel)을 갖습니다.

따라서 오늘날 바이러스가 존재하는 세 가지 알려진 시스템, 즉 Microsoft Word, Excel 및 AmiPro가 있습니다. 이 경우 바이러스는 감염된 파일을 열거나 닫을 때 제어권을 갖고 표준 파일 기능을 가로채고 어떤 방식으로든 액세스되는 파일을 감염시킵니다. MS-DOS와 유사하게 매크로 바이러스는 상주한다고 말할 수 있습니다. 매크로 바이러스는 파일을 열거나 닫는 순간뿐만 아니라 편집기(시스템) 자체가 활성화되어 있는 동안에도 활성화됩니다.

Microsoft Office"97용 바이러스

Macro.Office97.Frenzy

AutoOpen 자동 기능을 포함하는 단일 Frenzy 매크로로 구성됩니다. 감염된 파일을 열면 시스템을 감염시킵니다. 그런 다음 문서를 열 때 문서에 기록됩니다. 시스템 날짜와 시스템 랜덤 카운터에 따라 텍스트를 표시합니다.

Pyro의 Word97.Frenzy

Macro.Office97.Minimal

Office 97용 다소 원시적인 매크로 바이러스입니다. 단일 AutoOpen 매크로가 포함되어 있습니다. 감염된 파일을 열면 시스템을 감염시키고, 문서를 열면 문서에도 기록됩니다. 주석이 달린 텍스트가 포함되어 있습니다.

베셀린 본체프

Macro.Office97.NightShade

AutoClose 자동 기능을 포함하는 단일 NightShade 매크로로 구성되며 파일이 닫힐 때 시스템과 문서를 감염시킵니다. 내장된 바이러스 보호 기능을 비활성화하고 자동 기능을 실행하도록 허용합니다. 현재 날짜와 시스템 랜덤 카운터에 따라 텍스트를 표시합니다.

Pyro의 Word97.NightShade

13번째 토요일에 문서에 NightShade 비밀번호를 설정합니다.

바이러스 마이크로 소프트 엑셀

매크로.엑셀.라루

Excel 스프레드시트( XLS 파일). Auto_Open 및 Check_Files라는 두 개의 매크로가 포함되어 있습니다. 감염된 파일을 열면 Excel은 자동으로 Auto_Open 매크로를 실행합니다. 바이러스에서 이 매크로에는 테이블(시트)이 활성화될 때 실행되는 Check_Files 매크로를 정의하는 명령이 하나만 포함되어 있습니다. 따라서 바이러스는 테이블을 여는 과정을 가로채고 테이블이 활성화되면 감염된 엑셀은 Check_Files 매크로, 즉 바이러스 코드를 호출하게 된다.

일단 제어되면 Check_Files 매크로는 Excel 시작 디렉터리에서 PERSONAL.XLS 파일을 찾고 현재 통합 문서의 모듈 수를 확인합니다. 바이러스가 있는 통합 문서가 활성화되어 있고 PERSONAL.XLS 파일이 존재하지 않는 경우(첫 번째 감염) 바이러스는 SaveAs 명령을 사용하여 Excel 시작 디렉터리에 이 이름의 파일을 생성합니다. 결과적으로 현재 파일의 바이러스 코드가 기록됩니다. 다음에는 엑셀 로딩시작 디렉터리에서 모든 XLS 파일을 로드하고, 감염된 PERSONAL.XLS 파일도 메모리에 로드되고, 바이러스가 다시 제어권을 갖게 되며, 테이블을 열 때 PERSONAL.XLS의 Check_Files 매크로가 다시 호출됩니다.

현재 통합 문서의 모듈 수가 0이고(감염된 통합 문서가 활성 상태가 아님) PERSONAL.XLS 파일이 이미 존재하는 경우 바이러스는 해당 코드를 활성 통합 문서에 다시 작성합니다. 그 후에는 활성 통합 문서가 감염됩니다.

시스템에서 바이러스를 검사하는 것은 어렵지 않습니다. 바이러스가 이미 컴퓨터에 침투한 경우 Excel 디렉터리에는 laroux(소문자) 줄이 표시되는 PERSONAL.XLS 파일이 포함되어 있어야 합니다. 다른 감염된 파일에도 동일한 줄이 있습니다.

매크로.엑셀.범례

매크로 바이러스 감염 엑셀 파일. Legend라는 하나의 모듈(매크로)이 포함되어 있습니다. 이 모듈에는 Auto_Open 및 INFECT라는 두 가지 프로시저가 포함되어 있습니다. Auto_Open은 파일을 열 때 자동으로 호출되는 Excel 프로시저입니다. Auto_Open이 시작되면 두 번째 바이러스 프로시저(Infect)를 SheetActivate 이벤트 처리기로 설치합니다. 즉, 테이블을 열 때 Excel에서 Infect 프로시저를 호출합니다.

호출되면 Infect 프로시저가 PERSONAL.XLS 파일(감염된 파일이 열려 있는 경우) 또는 현재 파일(아직 감염되지 않은 경우)을 감염시킵니다. 감염 후 바이러스는 메뉴에서 도구/매크로 항목을 제거합니다. UserName = "Pyro"이고 OrganizationName = "VBB"인 경우 바이러스는 즉시 작동을 멈추고 파일을 감염시키지 않습니다. 현재 날짜와 시스템 무작위 카운터에 따라 바이러스는 MessageBox를 표시합니다.

당신은 전설에 감염되었습니다!

매크로.엑셀.로보캅

Excel 파일을 공격하는 매크로 바이러스. COP와 ROBO의 두 가지 모듈(매크로)이 포함되어 있습니다. ROBO 모듈에는 감염된 문서를 열 때 바이러스 코드를 PERSONAL.XLS 파일에 기록하고 테이블 활성화 처리기(SheetActivate)의 주소를 바이러스 코드로 설정하는 자동으로 호출되는 Auto_Open 프로시저가 포함되어 있습니다. 그런 다음 테이블이 열릴 때 바이러스가 파일을 감염시킵니다.

ROBOCOP 나이트메어 조커

매크로.엑셀.소파

Excel 스프레드시트를 감염시킵니다. 하나의 모듈(매크로)이 포함되어 있으며 이름은 11개의 공백으로 구성되어 있으므로 도구/매크로 메뉴의 매크로 목록에 표시되지 않습니다. 모듈에는 Auto_Open, Auto_Range, Current_Open, Auto_Close의 네 가지 매크로 기능이 포함되어 있습니다. 모든 바이러스 기능은 결과적으로 Null을 반환합니다.

감염된 파일을 열면 Excel의 이름을 바꾸는 Auto_Open 매크로 기능이 실행됩니다. 제목 줄에 Microsoft Excel 대신 Microsofa Excel이 나타납니다. 시작 경로 디렉터리에 BOOK.XLT 파일이 없으면(시스템이 아직 감염되지 않은 경우) 다음 메시지가 화면에 표시됩니다.

Microsoft Excel에서 손상된 추가 기능 파일을 발견했습니다. 이 파일을 복구하려면 확인을 클릭하세요.

사용자의 응답에 관계없이 바이러스 코드가 포함된 BOOK.XLT 파일이 시작 경로 디렉터리에 생성됩니다. 감염 후 메시지가 표시됩니다

파일이 성공적으로 복구되었습니다!

로드되면 Excel은 시작 경로에서 XLT 파일을 자동으로 다운로드하고 이에 따라 바이러스를 활성화합니다. 바이러스는 Auto_Range 기능을 OnSheetActivate 기능에 할당하고 테이블이 활성화될 때마다 활성 파일의 감염 여부를 확인하고 파일이 감염되지 않은 경우 감염시킵니다.

바이러스는 Excel에서 자체적으로 언로드되는 것을 허용하지 않습니다. 각 파일을 닫을 때 동일한 Auto_Range 기능을 OnWindow 기능에 할당합니다. 즉, 새 파일을 열면 다시 활성화됩니다.

매크로.엑셀.요힘베

Exec이라는 하나의 모듈(매크로)로 구성됩니다. 이 모듈에는 Auto_Open, DipDing, PayLoad 및 SheetExists 함수의 세 가지 루틴이 포함되어 있습니다. Auto_Open 서브루틴은 감염된 파일이 열릴 때 자동으로 호출됩니다. 바이러스는 PERSONAL.XLS를 감염시킵니다. 오류가 발생하면 바이러스가 모든 파일에 기록됩니다. 열린 파일(서적). 제어권을 반환하기 전에 Auto_Open은 DipDing 루틴을 Excel 타이머로 설정합니다. 이 루틴은 16:00부터 호출되며 열려 있는 파일을 감염시킵니다.

바이러스는 테이블 헤더에 Yohimbe라는 문자열을 씁니다. 또한 PayLoad 서브루틴에 타이머를 설정합니다. 16:45에 호출되어 현재 테이블에 이미지와 텍스트를 삽입합니다.

매크로 바이러스는 일부 데이터 처리 시스템(텍스트 편집기, 스프레드시트 등)에 내장된 언어(매크로 언어)로 작성된 프로그램입니다. 복제를 위해 이러한 바이러스는 매크로 언어의 기능을 사용하고 도움을 받아 감염된 파일(문서 또는 테이블)에서 다른 파일로 자신을 전송합니다.

특정 시스템(편집기)에 바이러스가 존재하려면 다음 기능을 갖춘 매크로 언어가 시스템에 내장되어 있어야 합니다.

1. 매크로 언어로 된 프로그램을 특정 파일에 바인딩합니다.

2. 한 파일에서 다른 파일로 매크로 프로그램을 복사합니다.

사용자 개입 없이 매크로 프로그램(자동 또는 표준 매크로)을 제어할 수 있는 기능입니다.

네트워크 컴퓨터 바이러스 .

네트워크 바이러스에는 로컬 및 네트워크의 프로토콜과 기능을 적극적으로 사용하는 바이러스가 포함됩니다. 글로벌 네트워크. 네트워크 바이러스의 주요 원리는 코드를 원격 서버로 독립적으로 전송하거나 워크스테이션. 네트워크 바이러스는 또한 다음에서 코드를 실행할 수 있는 능력을 가지고 있습니다. 원격 컴퓨터또는 사용자에게 감염된 파일을 실행하도록 강요합니다.

예를 들어 파일과 디스크의 부팅 섹터를 모두 감염시키는 파일 부팅 바이러스와 같은 다양한 조합이 있습니다. 일반적으로 이러한 바이러스는 다소 복잡한 운영 알고리즘을 가지고 있으며 시스템에 침투하는 독창적인 방법을 사용하고 은폐 및 다형성 기술을 사용하는 경우가 많습니다. 이러한 조합의 또 다른 예는 편집 중인 문서를 감염시킬 뿐만 아니라 이메일로 자신의 복사본을 보내는 네트워크 매크로 바이러스입니다.

감염된 운영 체제(보다 정확하게는 개체가 감염되기 쉬운 OS)는 바이러스를 클래스로 나누는 두 번째 수준입니다. 각 파일 또는 네트워크 바이러스는 하나 이상의 운영 체제의 파일을 감염시킵니다.

매크로 바이러스는 Word, Excel 및 Office 형식의 파일을 감염시킵니다. 부트 바이러스는 또한 디스크 부트 섹터의 시스템 데이터 위치에 대한 특정 형식을 표적으로 삼습니다.

운영 알고리즘의 특징 컴퓨터 바이러스:

1. 거주.

2. 스텔스 알고리즘의 사용.

3. 자체 암호화 및 다형성.

4. 비표준 기술의 사용.

해당 기간에 따라 거주 바이러스가 자신의 복사본을 남길 수 있는 능력을 말합니다. 시스템 메모리, 일부 이벤트(예: 파일 또는 디스크에 대한 액세스)를 가로채고 감지된 개체(파일 및 섹터)를 감염시키기 위한 절차를 호출합니다. 따라서 상주 바이러스는 감염된 프로그램이 실행되는 동안뿐만 아니라 프로그램 실행이 완료된 후에도 활성화됩니다. 이러한 바이러스의 상주 복사본은 디스크의 감염된 파일이 모두 삭제되더라도 다음 재부팅 때까지 실행 가능한 상태로 남아 있습니다. 배포 디스크나 백업 복사본에서 모든 파일 복사본을 복원하여 이러한 바이러스를 제거하는 것은 불가능한 경우가 많습니다. 바이러스의 상주 복사본이 활성 상태로 유지되어 다시 감염됩니다. 생성된 파일. 부트 바이러스의 경우에도 마찬가지입니다. 메모리에 상주 바이러스가 있을 때 디스크를 포맷한다고 해서 항상 디스크가 치료되는 것은 아닙니다. 왜냐하면 많은 상주 바이러스가 포맷된 후 디스크를 다시 감염시키기 때문입니다.

비거주자반대로 바이러스는 감염된 프로그램이 실행되는 순간에만 다소 짧은 시간 동안 활성화됩니다. 확산하려면 디스크에서 감염되지 않은 파일을 검색하여 기록합니다. 바이러스 코드가 호스트 프로그램으로 제어권을 넘긴 후에는 감염된 프로그램이 다음에 실행될 때까지 운영 체제 작동에 대한 바이러스의 영향이 0으로 줄어듭니다.

스텔스 바이러스어떤 식으로든 그들은 시스템에 자신이 존재한다는 사실을 숨깁니다.

에게 다형성 바이러스 여기에는 소위 바이러스 마스크(특정 바이러스에 특정한 일정한 코드 섹션)를 사용하여 탐지가 불가능하거나 매우 어려운 바이러스가 포함됩니다. 이는 두 가지 주요 방법으로 이루어집니다. 즉, 비영구 키와 임의의 암호 해독 명령 세트를 사용하여 주요 바이러스 코드를 암호화하거나 실행 가능한 바이러스 코드 자체를 변경하는 것입니다.

다양한 비표준 기술 OS 커널에서 가능한 한 깊이 숨기기 위해 바이러스에 자주 사용됩니다.

파괴적인 가능성바이러스는 다음과 같이 나눌 수 있습니다.

1. 해가없는 , 어떤 식으로든 컴퓨터 작동에 영향을 미치지 않습니다(배포로 인해 디스크의 여유 메모리가 줄어드는 경우는 제외).

2. 위험하지 않음 , 그 영향은 여유 디스크 메모리와 그래픽, 사운드 및 기타 효과의 감소로 제한됩니다.