Makrovīrusi ir infekcija, kas saindē jebkura lietotāja dzīvību. Pat ja jūs esat sistēmas programmētājs vismaz trīs reizes, viņai joprojām ir labas izredzes cīnīties ar jums. Daudzi cilvēki vienkārši nenovērtē šo vīrusu kategoriju, un velti tie nav tik nekaitīgi, kā šķiet. Izdzīvošanas ziņā tos var salīdzināt ar žurkām un tarakāniem - viņi pielāgojas visam un ļoti reti mirst. Ir pienācis laiks vienreiz un uz visiem laikiem tikt galā ar makro infekciju.

Makrovīrusu arhitektūra

Sākumā skaidra definīcija: makrovīruss ir vīruss, kas var vairoties un glabājas pats (bez lietotāja iejaukšanās), izmantojot makro valodu. No definīcijas izriet, ka makro vīrusi var dzīvot ne tikai Word dokumentos, bet JEBKURĀ biroja dokumentā, kas īsteno makro valodas funkcijas, piemēram, makro kopēšanu un saglabāšanu. pilns saraksts lietojumprogrammas, kas pakļautas makroinfekcijas draudiem: Word (jebkura), Excel, AmiPro (tas ir teksta redaktors), MS Visio, PowerPoint, MS Access un 1C. Kā redzat, šādu programmu skaits ir diezgan liels, un internetā bieži var atrast rakstus, kas definē makrovīrusus šādi:
"vīrusi, kas inficē dokumentu failus šādā formātā
WinWord." To uzrakstīja daži idioti!

Tagad parunāsim par Word makrovīrusa struktūru (kā visatbilstošāko). Tātad. Ir tāda lieta kā standarta makro. Tie ietver: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Prefikss auto- nozīmē, ka darbība tiek veikta automātiski, bez lietotāja iejaukšanās (lai gan tas ir atkarīgs no iestatītā drošības līmeņa, bet par to mēs runāsim vēlāk). Tas ir, pievienojot infekciju makro ar šādu nosaukumu, jūs varat to “atdzīvināt”. Turklāt katrai standarta darbībai ir standarta makro. Piemēram, lai drukātu FilePrint, saglabātu FileSave, saglabātu citā formātā vai ar citu nosaukumu FileSaveAs. Un šie makro var būt inficēti.

Jebkuras makrodzeltenas galvenais mērķis ir izdrāzt normal.dot (tajā tiek saglabāti visi veidņu iestatījumi). Tad visi atvērtie faili tiks inficēti un jūsu teksti tiks bojāti.
Word nodrošina vairākus drošības līmeņus: augstu, vidēju un zemu. Tajā ir arī iebūvēts aizsargmehānisms pret makroinfekcijām. Pēc izstrādātāju domām, tam vajadzētu iedarboties uz makrovīrusiem, piemēram, sudrabam uz ļaunajiem gariem. Var jau būt, ka tas darbojas, ja ne vienam “bet”. Tieši šī iemesla dēļ es neiedziļināšos drošības līmeņu un Word iekšējo iestatījumu atšķirībās. Bet būtība ir tāda, ka VISUS iekšējās drošības parametrus var viegli MAINĪT caur reģistru. Par laimi, makro valodas to pieļauj.
darīt. Es nenorādīšu konkrētus ceļus (kur ko meklēt), lai nevilinātu jūsu rotaļīgās rokas. Īpaši apdāvinātie var sazināties ar mani pa e-pastu - es jūs informēšu, bet "tikai ar mērķi iepazīties ar šo ievainojamību programmatūra, lai tās novērstu" :)

Rezumējot, makrovīrusa struktūra ir šāda:

1. No jauna definējiet jebkuru standarta vai automātisko noderīgo makro, lai tas atspējotu aizsardzību un labotu drošības līmeni.
2. Pievienojiet tur infekciju.
3. Mēs pārbaudām, vai šis makro ir pieprasīts, vai infekcija vairojas un ir obligāti reģistrēta vietnē Normal.dot.

Viss ir pavisam vienkārši – tāpēc ir tik daudz dažādu makroradījumu variāciju.

Es tevi nogalināšu ar kailām rokām!

Ir vairāki populāri veidi, kā iznīcināt makrogasmu jau inficētos Word dokumentos. Šeit tie ir gandrīz visi:

1. Izveidojiet savu makro, izmantojot šādu kodu:
Sub Main
DisableAutoMacros
Beigt apakš
Jūs saglabājat šo brīnumu ar nosaukumu AutoExec un tādējādi kļūstat neievainojami pret auto makro.

2. Ja manipulējat ar aizsardzības līmeņiem, Word, izpildot makro, prasīs atļauju.

3. Neizmantojiet doc formātu. Galu galā RTF var ievietot visu - tos pašus fontus, dizainu, tabulas, grafiku... Un RTF pēc definīcijas nesatur makro. Viss būtu ideāli, taču ir trūkums: saglabājot informāciju rtf formātā, visas bildes automātiski tiek konvertētas uz bmp formātu. Šis grafiskais formāts sver tik daudz, ka jūs to nenovēlētu savam ienaidniekam. Tā rezultātā pat pēc arhivēšanas iegūtā faila lieluma zudums var novest pie tā, ka tas vienkārši neietilps disketē (atkarībā, protams, no attēlu skaita). Tiesa, ja nav grafikas, tad rtf ir ideāls.

Smagā artilērija

Ir pienācis laiks būt drosmīgam un uz visiem laikiem nogalināt makroradījumus. Uzdevums nav tik grūti izpildāms: jums ir nepieciešams neinficēts dators un jaunākā Kaspersky Anti-Virus izplatīšana. Pirms vairākiem gadiem Kaspersky Lab izstrādāja moduli ar nosaukumu Office Guard. Par to mēs arī runāsim.

Parasti Office Guard nav iekļauts pirātiskajos izplatījumos, taču ar zināmām prasmēm to var atrast. Kas šī ir par lietu? Lūk, ko par to saka veidotāji:
"Biroja apsardze ir pamatā jauna tehnoloģija aizsardzībai pret makrovīrusiem un makro Trojas zirgiem. Office Guard, kas paredzēts pieredzējušiem lietotājiem, īsteno revolucionāru pieeju pretvīrusu drošībai, kuras pamatā ir uzvedības bloķētāja principi. Atšķirībā no “klasiskajām” pretvīrusu aizsardzības shēmām, kas veidotas uz parastās konteksta meklēšanas bāzes, Office Guard problēmu risina vispusīgi, novēršot pašu iespēju, ka aizsargātā datorā varētu darboties makrovīrusi. Office Guard atšķir makrovīrusus nevis pēc ārējās pazīmes(noteiktas rakstzīmju secības klātbūtne), bet gan to uzvedība, ko nosaka VBA programmēšanas valodas iespējas ( Visual Basic priekš
Pieteikums).

Stilīgākā funkcija ir tā, ka tā nav jāatjaunina! Tomēr tā izmantošana ir saistīta ar daudzām kļūmēm:

1. Tas ir jāinstalē neinficētā mašīnā.
2. Ja jums bija instalēta programma Word, jūs instalējāt Office Guard un pēc tam instalējāt programmu Excel, tad aizsargāts būs tikai Word. Izdariet savus secinājumus.
3. Office Guard ķer vīrusus, bet NERADA.

Lai atrisinātu pēdējo problēmu, jums vienkārši nepieciešams pretvīrusu skeneris. Tādējādi AVP skeneris + Office Guard dod pilnīga drošība no makrovīrusiem. Ja vēlaties apstrādāt dokumentus, laiku pa laikam jums būs jālejupielādē atjauninājums
AVP.

Tomēr būsim godīgi – nevar vilkt segu par labu Kaspersky Lab, pretējā gadījumā būs tādas sarunas kā:
"Un cik viņi jums maksāja par produkta reklamēšanu?"

Jebkurš atjaunināts antivīruss nodrošina labu, gandrīz 100%
aizsardzība pret makrogāzēm. Tas ir tikai tas, ka katrs no viņiem izmanto dažādas tehnoloģijas priekš šī. Piemēram, DrWeb izmanto parakstu meklēšanu un heiristisko analizatoru,
Par to mēs runājām ar tās veidotājiem:

Jūsu pretvīrusu pakotnē nav iekļauts atsevišķs modulis cīņai pret makrovīrusiem. Kāpēc? Vai jūs domājat, ka rezidentu monitors garantē drošību pret makrovīrusiem?

Makrovīrusu noteikšanas un apkarošanas rīki ir DrWeb kodola neatņemama sastāvdaļa. Un tā kā kodolu izmanto gan skeneris, gan monitors, abos gadījumos visi makrovīrusi tiek atklāti un apstrādāti vienlīdz labi.

WUA ietver atsevišķu moduli pret makrovīrusiem programmā MS Office. Izstrādātāji apgalvo, ka šis modulis ir balstīts uz uzvedības bloķētāju, kas analizē pacienta programmas darbības. Rezultātā šis produkts nodrošina 100% garantiju pret makrovīrusiem līdz tā izlaišanai. jauna versija VBA. Tie. makrovīrusi netiek meklēti pēc parakstiem. Šī priekšrocība
Pieeja ir tāda, ka, ja šāds modulis ir instalēts vienu reizi, tas nav jāatjaunina. Tagad jautājumi: vai DrWeb meklē makrovīrusus pēc paraksta?

DrWeb meklē makrovīrusus gan pēc paraksta, gan izmantojot iebūvēto
oriģināls spēcīgs heiristiskais analizators. Makro meklēšanas un analīzes mehānisms
ieviests vairākos līmeņos: tiek skenēts arī makro binārais kods,
to apkopotais un avota teksts. Tas ļauj atklāt zināmus vīrusus,
to modifikācijas, kā arī nezināmi makrovīrusi. Tādējādi
Kļūst iespējams ne tikai nebūt atkarīgs no instalētās versijas
MS Office pakotne (parādījusies iespēja pārtvert darbojošos makro
tikai Office 2000 un nebija pieejams iepriekšējās versijas), bet arī kopumā no
MS Office pieejamība datorā, kurā tiek veikta skenēšana
faili - piemēram, korporatīvajā interneta vārtejā.

Turklāt, izmantojot heiristiku, kas balstīta uz tiem pašiem principiem
analizators, DrWeb spēj atklāt nezināmus Trojas zirgus,
aizmugures durvis, interneta tārpi, irc, partija (sikspārnis) un skripts
(vbs/vbe) vīrusi.

Jūsu personīgais viedoklis: vai WUA modulis var nodrošināt 100% drošību pret makroinfekcijām?

Pašreizējā situācija ir tāda, ka, lai efektīvi cīnītos ar vīrusiem, jebkura mūsdienu
Pretvīrusu produkts ir nekavējoties jāatjaunina. Diemžēl,
nav iespējams izveidot "absolūtu" antivīrusu.

Atbildēti jautājumi
Sergejs Jurijevičs Popovs
Andrejs Vladimirovičs Bašarimovs

Izstrādātāji pretvīrusu programmas Dr WEB ģimene.

Makrovīrusi ir potenciāli nevēlamas utilītas, kas rakstītas mikrovalodās un ir iebūvētas grafikas un teksta apstrādes sistēmās. Kādi faili ir inficēti ar makrovīrusiem? Atbilde ir acīmredzama. Visizplatītākās versijas par Microsoft programmas Excel, Word un Office 97. Šie vīrusi ir diezgan izplatīti, un to izveide ir tikpat vienkārša kā bumbieru lobīšana. Tāpēc, lejupielādējot dokumentus no interneta, jums jābūt īpaši uzmanīgiem un uzmanīgiem. Lielākā daļa lietotāju tos nenovērtē par zemu, tādējādi pieļaujot nopietnu kļūdu.

Kā dators tiek inficēts?

Kad esam izlēmuši, kas ir makrovīrusi, izdomāsim, kā tie iekļūst sistēmā un inficē datoru. Vienkārša to reproducēšanas metode ļauj pēc iespējas īsākā laikā sasniegt maksimālo objektu skaitu. Pateicoties makro valodu iespējām, aizverot vai atverot inficētu dokumentu, tās iekļūst programmās, kurām tiek piekļūts.

Tas ir, izmantojot grafisko redaktoru, makro vīrusi inficē visu, kas ar to saistīts. Turklāt daži ir aktīvi visu laiku, sūtot īsziņas vai grafiskais redaktors strādājiet vai līdz dators ir pilnībā izslēgts.

Kāds ir viņu darba princips?

Viņu darbība notiek pēc šāda principa: strādājot ar dokumentiem, Microsoft Word izpilda dažādas komandas, kas izdotas makro valodā. Pirmkārt, programma iekļūst galvenajā veidnē, caur kuru tiek atvērti visi šī formāta faili. Šajā gadījumā vīruss kopē savu kodu makro, kas nodrošina piekļuvi galvenajiem parametriem. Izejot no programmas, fails tiek ievadīts automātiskais režīms saglabāts punktā (izmanto, lai izveidotu jaunus dokumentus). Pēc tam tas nokļūst standarta makro, mēģinot pārtvert komandas, kas nosūtītas uz citiem failiem, inficējot arī tos.

Infekcija notiek šādos gadījumos:

1. Ja vīrusā ir automātisks makro (tiek izpildīts automātiski, kad programma tiek izslēgta vai startēta).
2. Vīrusam ir pamata sistēmas makro (bieži saistīts ar izvēlnes vienumiem).
3. Aktivizējas automātiski, kad nospiežat noteiktus taustiņus vai kombinācijas.
4. Tas atveido tikai tad, kad tas tiek palaists.

Šādi vīrusi parasti inficē visus failus, kas izveidoti un saistīti ar programmām makro valodā.

Kādu ļaunumu viņi nodara?

Makrovīrusus nedrīkst novērtēt par zemu, jo tie ir pilnvērtīgi vīrusi un nodara būtisku kaitējumu datoriem. Viņi var viegli izdzēst, kopēt vai rediģēt jebkurus objektus, kas satur, cita starpā, Personīgā informācija. Turklāt viņi var arī pārsūtīt informāciju citiem lietotājiem E-pasts.

Jaudīgākas utilītas parasti var formatēt cietos diskus un kontrolēt visa datora darbību. Tāpēc uzskats, ka šāda veida datorvīrusi apdraud tikai grafiskos un teksta redaktorus, ir kļūdains. Galu galā tādas utilītas kā Word un Excel darbojas kopā ar vairākām citām, kuras arī šajā gadījumā ir apdraudētas.

Inficēta faila atpazīšana

Bieži vien failus, kas ir inficēti ar makrovīrusiem un ir jutīgi pret to ietekmi, nemaz nav grūti identificēt. Galu galā tie darbojas pilnīgi atšķirīgi no citiem tāda paša formāta utilītiem.

Bīstamību var identificēt pēc šādām pazīmēm:

Turklāt draudi bieži vien ir viegli pamanāmi vizuāli. To izstrādātāji parasti cilnē “Kopsavilkums” norāda tādu informāciju kā utilīta nosaukums, kategorija, komentāra tēma un autora vārds, pateicoties kuriem jūs varat atbrīvoties no makrovīrusa daudz ātrāk un vienkāršāk. To var izsaukt, izmantojot konteksta izvēlni.

Izņemšanas metodes

Kad atrodat aizdomīgu failu vai dokumentu, vispirms skenējiet to ar pretvīrusu. Ja tiek atklāts drauds, antivīrusi mēģinās to izārstēt, un, ja tas neizdosies, tie pilnībā bloķēs piekļuvi.

Ja viss dators ir inficēts, izmantojiet ārkārtas situāciju sāknēšanas disks, kurā ir antivīruss ar jaunāko datu bāzi. Tas skenēs jūsu cieto disku un neitralizēs visus atrastos draudus.

Ja jūs nevarat sevi aizsargāt šādā veidā, jūsu antivīruss neko nevar izdarīt un nav glābšanas diska, tad jums vajadzētu izmēģināt “manuālo” ārstēšanas metodi:

Tādā veidā jūs noņemsit makro vīrusu no inficētā dokumenta, taču tas nekādā gadījumā nenozīmē, ka tas nepaliek sistēmā. Tāpēc ieteicams skenēt visu Personālais dators un visi tā dati ar antivīrusu vai (to priekšrocība ir tāda, ka tiem nav nepieciešama instalēšana).

Datora apstrādes un tīrīšanas process no inficēšanās ar makrovīrusiem ir diezgan sarežģīts, tāpēc labāk ir novērst inficēšanos sākuma stadijās.

Tādā veidā jūs pasargāsit sevi, un makrovīrusi nekad neiekļūs attiecīgajos failos.

Starp dažādiem vīrusiem var izcelt makro vīrusus, kas, tāpat kā neviens cits, ir bīstami ne tikai operētājsistēma, bet arī visai informācijai, kas tiek glabāta savienojumā cietie diski. Vīrusi ir īpaši rakstītas programmas makro valodās, kas ir iebūvētas dažās programmās modernas sistēmas datu apstrāde (izklājlapas, teksta redaktori utt.).

Tas ir, viss, kas tiek izmantots birojos, mājās utt. atskaišu, dokumentācijas un citu uzturēšanai. Šāda veida vīrusi ir visbīstamākie, skatoties no zaudējuma puses teksta informācija. Lai reproducētu, viņi maksimāli izmanto visas makro valodu iespējas un, izmantojot visas iespējas, pārsūta sevi (vai drīzāk programmas kodu) no viena inficētā faila (parasti tabulas vai dokumenta) uz citiem. Mūsdienās visizplatītākie ir programmatūras pakotņu Office 97, Microsoft Word un Excel makrovīrusi. Ir izstrādāti arī makrovīrusi, kas inficē datu bāzes Microsoft dati Access un Ami Pro dokumenti.

Lai makrovīrusi pastāvētu noteiktā sistēmā (šajā gadījumā redaktorā), ir ārkārtīgi nepieciešams, lai sistēmā būtu iebūvēta īpaša programmatūras makro valoda ar šādām iespējām:

1. ierakstītu makro programmu kopēšana no konkrēta faila uz jebkuru citu;

2. vīrusa saistīšana makro valodā konkrētam failam;

3. unikāla iespēja iegūt pilnīgu kontroli pār vīrusu makro programmu (automātiskie vai standarta makro).

Visus iepriekš minētos nosacījumus pilnībā izpilda redaktori AmiPro, Microsoft Word Office 97, datubāze Microsoft Access, kā arī Excel izklājlapa. Visas šīs sistēmas satur dažādas makro valodas: Excel, Office 97 (tostarp Access, Word 97 un Excel 97) — Visual Basic for Applications un Word — Word Basic.

Mūsdienās ir labi zināmas četras pilnīgi atšķirīgas sistēmas, kurām ir atsevišķi vīrusi - Office 97, Microsoft Word, Excel un AmiPro. Šajās sistēmās makrovīrusi pārņem pilnu kontroli inficētā faila aizvēršanas vai atvēršanas laikā. Pēc kontroles iegūšanas vīruss pārtver visas failu funkcijas, pēc tam brīvi inficē failus, kuriem ir tieša piekļuve. Tādējādi, ja esat noķēris šādu vīrusu un varējāt to identificēt, nav ieteicams atvērt vai vispārīgi strādāt ar iepriekš minētajām programmām līdz plkst. pilnīga noņemšana vīruss. Ja neievērosit šo noteikumu, vīruss var izdzēst svarīga informācija(dokumenti, tabulas utt.). Pēc analoģijas ar MS-DOS varam droši uzsvērt, ka lielākā daļa mūsdienu makrovīrusu ir rezidenti: tie uzvedas aktīvi, kamēr darbojas pats redaktors, nevis faila atvēršanas/aizvēršanas brīdī.

Makro ģimenes vīrusi

Makro saimes vīrusi izmanto datu apstrādes sistēmās (teksta redaktoros, izklājlapās utt.) iebūvētās makro valodu iespējas.

Lai vīrusi pastāvētu noteiktā sistēmā, tajā ir jābūt iebūvētai makro valodai ar iespēju saistīt programmu makro valodā ar noteiktu failu, kopēt makro programmas no viena faila uz citu un iegūt kontroli pār makro programma bez lietotāja iejaukšanās (automātiski vai standarta makro).

Šie nosacījumi ir izpildīti Microsoft redaktori Word un AmiPro, kā arī Excel izklājlapa. Šīs sistēmas satur makro valodas (Word - Word Basic, Excel - Visual Basic), savukārt makro programmas ir piesaistītas noteiktam failam (AmiPro) vai atrodas failā (Word, Excel), makro valoda ļauj kopēt failus. (AmiPro) vai pārvietot makro programmas uz apkalpošanas sistēmas failiem (Word, Excel), strādājot ar failu noteiktos apstākļos (atvēršana, aizvēršana utt.), tiek izsauktas makro programmas (ja tādas ir), kuras tiek definētas īpašā veidā. (AmiPro) vai tiem ir standarta nosaukumi (Word, Excel).

Tātad šodien ir zināmas trīs sistēmas, kurām pastāv vīrusi - Microsoft Word, Excel un AmiPro. Tajos vīrusi pārņem kontroli, kad tiek atvērts vai aizvērts inficētais fails, pārtver standarta failu funkcijas un pēc tam inficē failus, kuriem kaut kādā veidā tiek piekļūts. Pēc analoģijas ar MS-DOS varam teikt, ka makrovīrusi ir rezidenti – tie ir aktīvi ne tikai faila atvēršanas/aizvēršanas brīdī, bet arī tikmēr, kamēr ir aktīvs pats redaktors (sistēma).

Vīrusi Microsoft Office"97

Makro.Birojs97.Neprāts

Sastāv no viena Frenzy makro, kas satur AutoOpen automātisko funkciju. Inficē sistēmu, kad tiek atvērts inficēts fails. Tad tas tiek ierakstīts dokumentos, kad tie tiek atvērti. Atkarībā no sistēmas datuma un sistēmas nejaušības skaitītāja, tiek parādīts teksts

Word97.Frenzy by Pyro

Makro.Birojs97.Minimāls

Diezgan primitīvs makrovīruss Office 97. Tas satur vienu AutoOpen makro. Tas inficē sistēmu, kad tiek atvērts inficēts fails; tas tiek ierakstīts arī dokumentos, kad tie tiek atvērti. Satur komentētu tekstu

Veselīns Bontčevs

Macro.Office97.NightShade

Tas sastāv no viena NightShade makro, kas satur AutoClose automātisko funkciju, un inficē sistēmu un dokumentus, kad faili tiek aizvērti. Atspējo iebūvēto vīrusu aizsardzību un ļauj darboties automātiskajām funkcijām. Atkarībā no pašreizējā datuma un sistēmas nejaušā skaitītāja, tiek parādīts teksts

Word97.NightShade, ko piedāvā Pyro

13. sestdienās dokumentos iestata NightShade paroli.

Vīrusi priekš Microsoft Excel

Makro.Excel.Laroux

Inficē Excel izklājlapas ( XLS faili). Satur divus makro: Auto_Open un Check_Files. Atverot inficētu failu, programma Excel automātiski palaiž makro Auto_Open. Vīrusā šis makro satur tikai vienu komandu, kas nosaka, ka Check_Files makro tiek izpildīts, kad tiek aktivizēta jebkura tabula (lapa). Tādējādi vīruss pārtver tabulu atvēršanas procedūru un, kad tabula tiek aktivizēta, inficētais Excel izsauc makro Check_Files, tas ir, vīrusa kodu.

Tiklīdz tas ir pieejams, makro Check_Files meklē failu PERSONAL.XLS Excel starta direktorijā un pārbauda moduļu skaitu pašreizējā darbgrāmatā. Ja darbgrāmata ar vīrusu ir aktīva un fails PERSONAL.XLS neeksistē (pirmā infekcija), tad vīruss izveido failu ar šādu nosaukumu Excel starta direktorijā, izmantojot komandu SaveAs. Rezultātā tajā tiek ierakstīts vīrusa kods no pašreizējā faila. Nākamajā ielādējot Excel ielādē visus XLS failus no palaišanas direktorija, arī inficētais PERSONAL.XLS fails tiek ielādēts atmiņā, vīruss atkal pārņem vadību un atverot tabulas atkal tiks izsaukts Check_Files makro no PERSONAL.XLS.

Ja pašreizējā darbgrāmatā moduļu skaits ir 0 (inficētā darbgrāmata nav aktīva) un fails PERSONAL.XLS jau pastāv, vīruss pārraksta savu kodu aktīvajā darbgrāmatā. Pēc tam aktīvā darbgrāmata tiek inficēta.

Nav grūti pārbaudīt, vai sistēmā nav vīrusu. Ja vīruss jau ir iekļuvis datorā, tad Excel direktorijā ir jābūt failam PERSONAL.XLS, kurā ir redzama rindiņa laroux (ar maziem burtiem). Tāda pati rinda ir arī citos inficētajos failos.

Makro.Excel.Leģenda

Makrovīrusu inficēšana Excel faili. Satur vienu moduli (makro) ar nosaukumu Leģenda. Šis modulis ietver divas procedūras - Auto_Open un INFECT. Auto_Open ir Excel procedūra, kas tiek automātiski izsaukta, atverot failu. Palaižot, Auto_Open instalē otro vīrusu procedūru (Infect) kā SheetActivate notikumu apdarinātāju, tas ir, atverot jebkuru tabulu, programma Excel izsauks Infect procedūru.

Kad tiek izsaukta procedūra Infect, tā inficē vai nu failu PERSONAL.XLS (kad inficētais fails ir atvērts), vai pašreizējo failu (ja tas vēl nav inficēts). Pēc inficēšanās vīruss izņem no izvēlnes vienumu Rīki/Makro. Ja UserName = "Pyro" un OrganizationName = "VBB", vīruss nekavējoties pārstāj darboties un neinficē nevienu failu. Atkarībā no pašreizējās dienas un sistēmas izlases skaitītāja vīruss parāda MessageBox:

Jūs esat inficēts ar leģendu!

Macro.Excel.Robocop

Makrovīruss, kas uzbrūk Excel failiem. Ietver divus moduļus (makro): COP un ROBO. ROBO modulis satur automātiski izsauktu procedūru Auto_Open, kas, atverot inficētu dokumentu, ieraksta vīrusa kodu PERSONAL.XLS failā un iestata tabulas aktivizācijas apstrādātāja (SheetActivate) adresi vīrusa kodam. Pēc tam vīruss inficē failus, atverot tabulas.

ROBOCOP Murgs Joker

Makro.Excel.Dīvāns

Inficē Excel izklājlapas. Satur vienu moduli (makro), kura nosaukums sastāv no 11 atstarpēm un tāpēc nav redzams makro sarakstā izvēlnē Rīki/Makro. Modulis satur četras makro funkcijas: Auto_Open, Auto_Range, Current_Open, Auto_Close. Rezultātā visas vīrusu funkcijas atgriež Null.

Atverot inficētu failu, tiek aktivizēta Auto_Open makro funkcija, kas “pārdēvē” Excel - Microsoft Excel vietā virsraksta rindā parādās Microsofa Excel. Ja starta ceļa direktorijā nav faila BOOK.XLT (sistēma vēl nav inficēta), ekrānā tiek parādīts šāds ziņojums:

Microsoft Excel ir atklājis bojātu pievienojumprogrammas failu. Noklikšķiniet uz Labi, lai labotu šo failu.

Neatkarīgi no lietotāja atbildes, Startup Path direktorijā tiek izveidots fails BOOK.XLT, kas satur vīrusa kodu. Pēc inficēšanās tiek parādīts ziņojums

Fails veiksmīgi salabots!

Pēc ielādes Excel automātiski lejupielādē XLT failus no Startup Path un attiecīgi aktivizē vīrusu. Vīruss piešķir funkciju Auto_Range funkcijai OnSheetActivate un ikreiz, kad tabula tiek aktivizēta, tas pārbauda, ​​vai aktīvais fails nav inficēts, un, ja fails nav inficēts, to inficē.

Vīruss neļauj sevi izlādēt no Excel - aizverot katru failu, tas OnWindow funkcijai piešķir to pašu Auto_Range funkciju, tas ir, tas tiek atkārtoti aktivizēts, atverot jaunu failu.

Makro.Excel.Yohimbe

Sastāv no viena moduļa (makro) ar nosaukumu Exec. Šis modulis satur trīs rutīnas: Auto_Open, DipDing, PayLoad un SheetExists funkciju. Auto_Open apakšprogramma tiek automātiski izsaukta, kad tiek atvērts inficēts fails – vīruss inficē PERSONAL.XLS. Jebkuras kļūdas gadījumā vīruss tiek ierakstīts visiem atvērt failus(grāmatas). Pirms kontroles atgriešanas Auto_Open iestata DipDing rutīnu uz Excel taimeri. Šī rutīna tiek izsaukta, sākot no pulksten 16:00, un tā inficē atvērtos failus.

Vīruss tabulas galvenē ieraksta virkni Yohimbe. Tas arī iestata taimeri PayLoad apakšprogrammā - tas tiek izsaukts 16:45 un ievieto attēlu un tekstu pašreizējā tabulā

Makrovīrusi ir programmas, kas rakstītas valodās (makro valodās), kas iebūvētas dažās datu apstrādes sistēmās (teksta redaktoros, izklājlapās utt.). Lai pavairotu, šādi vīrusi izmanto makro valodu iespējas un ar to palīdzību pārsūta sevi no viena inficētā faila (dokumenta vai tabulas) uz citiem.

Lai vīrusi pastāvētu noteiktā sistēmā (redaktorā), sistēmā ir jābūt iebūvētai makro valodai ar šādām iespējām:

1. programmas saistīšana makro valodā konkrētam failam;

2. makro programmu kopēšana no viena faila uz citu;

iespēja iegūt kontroli pār makro programmu bez lietotāja iejaukšanās (automātiskie vai standarta makro).

Tīkla datorvīrusi .

Tīkla vīrusi ietver vīrusus, kas aktīvi izmanto protokolus un iespējas vietējā un globālie tīkli. Tīkla vīrusa galvenais princips ir iespēja patstāvīgi pārsūtīt savu kodu uz attālo serveri vai darbstacija. Tīkla vīrusiem ir arī iespēja palaist savu kodu attālais dators vai mudiniet lietotāju palaist inficētu failu.

Ir liels skaits kombināciju - piemēram, failu sāknēšanas vīrusi, kas inficē gan failus, gan disku sāknēšanas sektorus. Šādiem vīrusiem, kā likums, ir diezgan sarežģīts darbības algoritms, tie bieži izmanto oriģinālas metodes, kā iekļūt sistēmā, un izmanto slepenas un polimorfās tehnoloģijas. Vēl viens šādas kombinācijas piemērs ir tīkla makrovīruss, kas ne tikai inficē rediģējamos dokumentus, bet arī nosūta savas kopijas pa e-pastu.

Inficēta operētājsistēma(precīzāk, OS, kuras objekti ir uzņēmīgi pret infekciju) ir otrais vīrusu sadalīšanas līmenis klasēs. Katrs fails vai tīkla vīruss inficē vienas vai vairāku operētājsistēmu failus.

Makrovīrusi inficē failus Word, Excel un Office formātos. Sāknēšanas vīrusi ir vērsti arī uz noteiktiem formātiem sistēmas datu atrašanās vietai disku sāknēšanas sektoros.

Darbības algoritma iezīmes datorvīrusi:

1. Dzīvesvieta.

2. Stealth algoritmu izmantošana.

3. Paššifrēšana un polimorfisms.

4. Nestandarta tehnikas izmantošana.

Saskaņā ar termiņu dzīvesvieta attiecas uz vīrusu spēju atstāt sevi kopijas sistēmas atmiņa, pārtver dažus notikumus (piemēram, piekļuvi failiem vai diskiem) un izsauc procedūras atklāto objektu (failu un sektoru) inficēšanai. Tādējādi rezidentu vīrusi ir aktīvi ne tikai inficētās programmas darbības laikā, bet arī pēc programmas darbības beigām. Šādu vīrusu pastāvīgās kopijas paliek dzīvotspējīgas līdz nākamajai atsāknēšanai, pat ja tiek iznīcināti visi diskā esošie inficētie faili. Bieži vien no šādiem vīrusiem nav iespējams atbrīvoties, atjaunojot visas failu kopijas no izplatīšanas diskiem vai rezerves kopijām. Vīrusa pastāvīgā kopija paliek aktīva un atkal inficējas izveidotos failus. Tas pats attiecas uz sāknēšanas vīrusiem — diska formatēšana, kad atmiņā ir pastāvīgs vīruss, ne vienmēr izārstē disku, jo daudzi pastāvīgie vīrusi atkal inficē disku pēc tā formatēšanas.

Nerezidents vīrusi, gluži pretēji, ir aktīvi diezgan īsu laiku, tikai tajā brīdī, kad tiek palaista inficētā programma. Lai izplatītos, viņi diskā meklē neinficētus failus un raksta uz tiem. Pēc tam, kad vīrusa kods nodod kontroli uz resursdatora programmu, vīrusa ietekme uz operētājsistēmas darbību tiek samazināta līdz nullei līdz nākamajai jebkuras inficētās programmas palaišanai.

Stealth vīrusi vienā vai otrā veidā viņi slēpj savas klātbūtnes faktu sistēmā.

UZ polimorfie vīrusi Tie ietver tos, kuru noteikšana ir neiespējama (vai ārkārtīgi sarežģīta), izmantojot tā sauktās vīrusu maskas - konstanta koda sadaļas, kas raksturīgas konkrētam vīrusam. Tas tiek panākts divos galvenajos veidos – šifrējot galveno vīrusa kodu ar nepastāvīgu atslēgu un nejaušu atšifrētāja komandu kopu, vai arī mainot pašu izpildāmo vīrusa kodu.

Dažādi nestandarta tehnikas bieži tiek izmantoti vīrusos, lai pēc iespējas dziļāk paslēptos OS kodolā.

Destruktīvas iespējas vīrusus var iedalīt:

1. Nekaitīgs , kas nekādi neietekmē datora darbību (izņemot diska brīvās atmiņas samazināšanu to izplatīšanas rezultātā).

2. Nav bīstams , kuras ietekmi ierobežo brīvās diska atmiņas un grafikas, skaņas un citu efektu samazināšanās.