Макро вирус нь аливаа хэрэглэгчийн амьдралыг хордуулдаг халдвар юм. Та дор хаяж гурван удаа системийн программист байсан ч тэр тантай тулалдах сайн боломж хэвээр байна. Олон хүмүүс энэ ангиллын вирусыг дутуу үнэлдэг бөгөөд дэмий хоосон, тэдгээр нь харагдах шигээ хор хөнөөлгүй биш юм. Амьд үлдэх чадварын хувьд тэдгээрийг харх, жоомтой харьцуулж болно - тэд бүх зүйлд дасан зохицож, үхэх нь ховор байдаг. Макро халдвартай нэг удаа тэмцэх цаг болжээ.

Макро вирусын бүтэц

Эхэндээ тодорхой тодорхойлолт: макро вирус гэдэг нь макро хэл ашиглан дангаараа (хэрэглэгчийн оролцоогүйгээр) үржиж, хадгалах боломжтой вирус юм. Тодорхойлолтоос харахад макро вирусууд зөвхөн Word баримт бичигт төдийгүй, макро хуулах, хадгалах зэрэг макро хэлний функцийг хэрэгжүүлдэг АЛБАН оффисын баримт бичигт амьдрах боломжтой. бүрэн жагсаалтмакро халдварын аюулд өртсөн програмууд: Word (ямар ч), Excel, AmiPro (энэ нь текст засварлагч), MS Visio, PowerPoint, MS Access болон 1C. Таны харж байгаагаар ийм програмуудын тоо нэлээд олон бөгөөд Интернетээс та макро вирусыг тодорхойлсон нийтлэлүүдийг ихэвчлэн олж болно.
"формат дахь баримт бичгийн файлуудыг халдварладаг вирусууд
WinWord". Зарим тэнэгүүд бичсэн!

Одоо Word-д зориулсан макро вирусын бүтцийн талаар ярилцъя (хамгийн их хамааралтай). Тэгэхээр. Стандарт макро гэж нэг зүйл байдаг. Үүнд: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Автомат угтвар нь хэрэглэгчийн оролцоогүйгээр үйлдлийг автоматаар гүйцэтгэдэг гэсэн үг юм (хэдийгээр энэ нь тогтоосон аюулгүй байдлын түвшингээс хамаарна, гэхдээ бид дараа нь энэ тухай ярих болно). Өөрөөр хэлбэл, ийм нэртэй макрот халдвар нэмснээр та үүнийг "сэргээх" боломжтой. Мөн стандарт үйлдэл бүрийн хувьд стандарт макро байдаг. Жишээлбэл, FilePrint хэвлэх, FileSave хадгалах, өөр форматаар эсвэл өөр нэрээр FileSaveAs хадгалах. Мөн эдгээр макронууд халдвар авах боломжтой.

Ямар ч макро новшийн эцсийн зорилго бол normal.dot-г новшоох явдал юм (энэ нь бүх загварын тохиргоог хадгалдаг). Дараа нь бүх нээгдсэн файлууд халдварлаж, таны бичвэрүүд гэмтэх болно.
Word нь өндөр, дунд, бага зэрэг хэд хэдэн түвшний аюулгүй байдлыг хангадаг. Энэ нь мөн макро халдвараас хамгаалах хамгаалалтын механизмыг агуулдаг. Хөгжүүлэгчдийн үзэж байгаагаар энэ нь муу ёрын сүнснүүдийн эсрэг мөнгөтэй адил макро вируст нөлөөлөх ёстой. Энэ нь нэг "гэхдээ" биш юмаа гэхэд үр дүнтэй байж магадгүй юм. Ийм учраас би Word-ийн аюулгүй байдлын түвшин болон дотоод тохиргооны ялгааг судлахгүй. Гэхдээ гол зүйл бол бүх дотоод аюулгүй байдлын параметрүүдийг бүртгэлээр дамжуулан амархан ӨӨРЧЛӨХ боломжтой юм. Аз болоход макро хэлүүд үүнийг зөвшөөрдөг.
хийх. Хөгжилтэй гараа уруу татахгүйн тулд би тодорхой замыг зааж өгөхгүй (юуг хаанаас хайх). Онцгой авьяастай хүмүүс надтай имэйлээр холбогдож болно - би танд мэдэгдэх болно, гэхдээ "зөвхөн энэ эмзэг байдалтай танилцах зорилгоор" програм хангамж, тэдгээрийг арилгахын тулд" :)

Үүнийг нэгтгэн дүгнэхэд макровирусын бүтэц дараах байдалтай байна.

1. Стандарт эсвэл автомат ашигтай макро дахин тодорхойлсноор хамгаалалтыг идэвхгүй болгож, аюулгүй байдлын түвшинг засна.
2. Тэнд халдвар нэмнэ.
3. Бид энэ макро эрэлт хэрэгцээтэй байгаа, халдвар үржиж, Normal.dot-д заавал бүртгэгдсэн эсэхийг шалгадаг.

Бүх зүйл маш энгийн - ийм учраас макро амьтдын олон янзын хувилбарууд байдаг.

Би чамайг нүцгэн гараараа ална!

Аль хэдийн халдвар авсан Word баримт бичигт макрогазыг устгах хэд хэдэн түгээмэл арга байдаг. Энд тэд бараг бүгд байна:

1. Дараах кодоор өөрийн макро үүсгэнэ үү.
Дэд үндсэн
AutoMacros-ийг идэвхгүй болгох
Төгсгөлийн дэд
Та энэ гайхамшгийг AutoExec нэрээр хадгалж, улмаар автомат макрод халдашгүй болно.

2. Хэрэв та хамгаалалтын түвшинг өөрчилвөл Word програм макро ажиллуулахдаа зөвшөөрөл хүсэх болно.

3. Doc форматыг бүү ашигла. Эцсийн эцэст, бүх зүйлийг RTF-д байрлуулж болно - ижил фонт, дизайн, хүснэгт, график ... Мөн RTF нь тодорхойлолтоор макро агуулаагүй болно. Бүх зүйл тохиромжтой байх болно, гэхдээ сул тал бий: мэдээллийг rtf форматаар хадгалах үед бүх зургийг bmp формат руу автоматаар хөрвүүлдэг. Энэхүү график формат нь маш их жинтэй тул та үүнийг дайсандаа хүсээгүй. Үүний үр дүнд, архивласан ч гэсэн үүссэн файлын хэмжээ алдагдах нь уян дискэнд багтахгүй болоход хүргэдэг (мэдээж зургийн тооноос хамаарна). Үнэн, хэрэв график байхгүй бол rtf нь хамгийн тохиромжтой.

Хүнд их буу

Зоригтой байж, макро амьтдыг нэг удаа, бүрмөсөн устгах цаг болжээ. Даалгаврыг биелүүлэхэд тийм ч хэцүү биш: танд халдваргүй компьютер, Kaspersky Anti-Virus-ийн хамгийн сүүлийн үеийн түгээлт хэрэгтэй. Хэдэн жилийн өмнө Касперскийн лаборатори Office Guard нэртэй модулийг бүтээжээ. Үүнийг л бид ярих болно.

Ерөнхийдөө Office Guard нь хулгайн түгээлтэд ордоггүй, гэхдээ тодорхой ур чадварын тусламжтайгаар та үүнийг олж чадна. Энэ юу вэ? Зохиогчид энэ талаар юу гэж хэлснийг энд харуулав.
"Office Guard бол үндсэндээ шинэ технологимакро вирус болон макро троянаас хамгаалах зориулалттай. Дэвшилтэт хэрэглэгчдэд зориулагдсан Office Guard нь зан үйлийн блокаторын зарчимд суурилсан вирусын эсрэг аюулгүй байдлын хувьсгалт хандлагыг хэрэгжүүлдэг. Ердийн контекст хайлтын үндсэн дээр бүтээгдсэн "сонгодог" вирусын эсрэг хамгаалалтын схемээс ялгаатай нь Office Guard нь асуудлыг цогцоор нь шийдэж, хамгаалагдсан компьютер дээр макро вирус ажиллах магадлалыг арилгадаг. Office Guard нь макро вирусыг ялгадаг гадаад шинж тэмдэг(тэмдэгтүүдийн тодорхой дараалал байгаа эсэх), гэхдээ VBA програмчлалын хэлний чадвараар тодорхойлогддог зан авираар ( Visual Basicтөлөө
өргөдөл)."

Хамгийн гайхалтай онцлог нь үүнийг шинэчлэх шаардлагагүй юм! Гэсэн хэдий ч түүний хэрэглээ нь олон бэрхшээлээр дүүрэн байдаг:

1. Халдваргүй машин дээр суурилуулсан байх ёстой.
2. Хэрэв та Word суулгасан, дараа нь Office Guard суулгасан, дараа нь Excel суулгасан бол зөвхөн Word програмыг хамгаалах болно. Өөрийнхөө дүгнэлтийг гарга.
3. Office Guard вирусыг барьдаг ч ЭМЧИЛГЭЭГҮЙ.

Сүүлийн асуудлыг шийдэхийн тулд танд зөвхөн вирусын эсрэг сканнер хэрэгтэй. Тиймээс AVP сканнер + Office Guard өгдөг бүрэн аюулгүй байдалмакровирусаас. Хэрэв та баримт бичгийг боловсруулахыг хүсч байвал үе үе шинэчлэлтийг татаж авах хэрэгтэй болно
AVP.

Гэсэн хэдий ч шударга байцгаая - та Касперскийн лабораторийн талд хөнжил татах боломжгүй, эс тэгвээс дараахь яриа гарах болно.
"Тэгээд бүтээгдэхүүнээ сурталчилсны төлөө тэд танд хэр их мөнгө төлсөн бэ?"

Аливаа шинэчилсэн антивирус нь сайн, бараг 100% өгдөг.
макрогазаас хамгаалах. Зүгээр л тус бүр нь ашигладаг янз бүрийн технологиудүүний төлөө. Жишээлбэл, DrWeb нь гарын үсгийн хайлт болон эвристик анализаторыг ашигладаг.
Үүнийг бүтээгчидтэй бид ярилцсан:

Таны вирусны эсрэг багцад макро вирустай тэмцэх тусдаа модуль байхгүй. Яагаад? Суурин монитор нь макро вирусын эсрэг аюулгүй байдлыг баталгаажуулдаг гэж та бодож байна уу?

Макро вирусыг илрүүлэх, тэмцэх хэрэгсэл нь DrWeb-ийн үндсэн бүрэлдэхүүн хэсэг юм. Цөмийг сканнер болон монитор хоёуланг нь ашигладаг тул бүх макро вирусыг илрүүлж, хоёуланд нь адилхан сайн эмчилдэг.

WUA нь MS Office дахь макро вирусын эсрэг тусдаа модулийг агуулдаг. Хөгжүүлэгчид энэхүү модулийг өвчтөний програмын үйл ажиллагаанд дүн шинжилгээ хийдэг зан үйлийн хориглогч дээр үндэслэсэн гэж мэдэгджээ. Үүний үр дүнд энэ бүтээгдэхүүн гарах хүртэл макро вирусын эсрэг 100% баталгаа өгдөг. шинэ хувилбар VBA. Тэдгээр. макровирусыг гарын үсгээр хайдаггүй. Үүний давуу тал
Ийм модулийг нэг удаа суулгасны дараа үүнийг шинэчлэх шаардлагагүй болно. Одоо асуултууд: DrWeb макро вирусыг гарын үсгээр хайдаг уу?

DrWeb макро вирусыг гарын үсэг болон суулгасан програмыг ашиглан хайдаг
анхны хүчирхэг эвристик анализатор. Макро хайлт, шинжилгээний механизм
хэд хэдэн түвшинд хэрэгждэг: макро хоёртын кодыг мөн сканнердсан,
тэдгээрийн эмхэтгэсэн болон эх бичвэр. Энэ нь мэдэгдэж буй вирусыг илрүүлэх боломжийг олгодог.
тэдгээрийн өөрчлөлтүүд, түүнчлэн үл мэдэгдэх макро вирусууд. Тиймээс,
Энэ нь зөвхөн суулгасан хувилбараас хамаарахгүй байх боломжтой болно
MS Office багц (ажиллаж байгаа макрог таслах чадвар гарч ирэв
зөвхөн Office 2000 дээр байсан бөгөөд ашиглах боломжгүй өмнөх хувилбарууд), гэхдээ ерөнхийдөө -аас
сканнердсан компьютер дээр MS Office-ийн бэлэн байдал
файлууд - жишээлбэл, корпорацийн интернет гарц дээр.

Нэмж дурдахад ижил зарчим дээр суурилсан эвристикийг ашиглана
анализатор, DrWeb нь үл мэдэгдэх троянуудыг илрүүлэх чадвартай,
арын хаалга, Интернет өт, irc, багц (сарьсан багваахай) болон скрипт
(vbs/vbe) вирусууд.

Таны хувийн бодол: WUA-ийн модуль нь макро халдвараас 100% аюулгүй байдлыг хангаж чадах уу?

Одоогийн нөхцөл байдал нь вирусын эсрэг үр дүнтэй тэмцэхийн тулд ямар ч орчин үеийн
Вирусны эсрэг бүтээгдэхүүнийг яаралтай шинэчлэх шаардлагатай. Харамсалтай нь
"Үнэмлэхүй" антивирусыг бий болгох боломжгүй юм.

Асуултуудад хариулав
Сергей Юрьевич Попов
Андрей Владимирович Башаримов

Хөгжүүлэгчид вирусны эсрэг програмуудДоктор WEB гэр бүл.

Макро вирусууд нь график болон текст боловсруулах системд суурилагдсан бичил хэлээр бичигдсэн хүсээгүй хэрэгслүүд юм. Ямар файлууд макро вирусээр халдварладаг вэ? Хариулт нь ойлгомжтой. Хамгийн түгээмэл хувилбарууд Microsoft програмууд Excel, Word, Office 97. Эдгээр вирусууд нь нэлээд түгээмэл бөгөөд тэдгээрийг үүсгэх нь лийрийг устгахтай адил хялбар юм. Ийм учраас та интернетээс баримт бичгийг татаж авахдаа маш болгоомжтой, болгоомжтой байх хэрэгтэй. Ихэнх хэрэглэгчид тэдгээрийг дутуу үнэлдэг тул ноцтой алдаа гаргадаг.

Компьютер хэрхэн халдварладаг вэ?

Макро вирус гэж юу болохыг шийдсэний дараа тэд системд хэрхэн нэвтэрч, компьютерт халдварладаг болохыг олж мэдье. Тэдгээрийг хуулбарлах энгийн арга нь хамгийн богино хугацаанд хамгийн их тооны объектыг цохих боломжийг олгодог. Макро хэлний чадварын ачаар халдвар авсан баримт бичгийг хаах эсвэл нээх үед тэдгээр нь нэвтэрч буй програмууд руу нэвтэрдэг.

Өөрөөр хэлбэл, график засварлагчийг ашиглах үед макро вирусууд түүнтэй холбоотой бүх зүйлийг халдварладаг. Түүнээс гадна зарим нь мессеж бичиж байхдаа байнга идэвхтэй байдаг график засварлагчажиллах эсвэл компьютер бүрэн унтрах хүртэл.

Тэдний ажлын зарчим юу вэ?

Тэдний үйлдэл нь дараахь зарчмын дагуу явагддаг: баримт бичигтэй ажиллахдаа, Microsoft Wordмакро хэлээр гаргасан янз бүрийн командуудыг гүйцэтгэдэг. Юуны өмнө програм нь үндсэн загварт нэвтэрч, энэ форматын бүх файлыг нээх болно. Энэ тохиолдолд вирус өөрийн кодыг үндсэн параметрүүдэд хандах боломжийг олгодог макро руу хуулдаг. Програмаас гарах үед файл орж ирнэ автомат горимцэгээр хадгалсан (шинэ баримт бичиг үүсгэхэд ашигладаг). Үүний дараа энэ нь стандарт макро руу орж, бусад файл руу илгээсэн командуудыг таслан зогсоохыг оролдож, тэднийг халдварладаг.

Дараах тохиолдолд халдвар үүсдэг.

1. Хэрэв вируст автомат макро байгаа бол (хөтөлбөрийг унтрааж эсвэл эхлүүлэх үед автоматаар хийгддэг).
2. Вирус нь үндсэн системийн макротой (ихэвчлэн цэсийн зүйлтэй холбоотой байдаг).
3. Тодорхой товчлуур эсвэл хослолыг дарахад автоматаар идэвхждэг.
4. Энэ нь хөөргөхөд л үрждэг.

Ийм вирус нь ихэвчлэн макро хэл дээрх программуудтай холбоотой үүсгэсэн бүх файлыг халдварладаг.

Тэд ямар хор хөнөөл учруулдаг вэ?

Макро вирусыг дутуу үнэлж болохгүй, учир нь тэдгээр нь бүрэн хэмжээний вирус бөгөөд компьютерт ихээхэн хор хөнөөл учруулдаг. Тэд бусад зүйлсийн дотор дурын объектыг хялбархан устгах, хуулах, засах боломжтой. хувийн мэдээлэл. Түүнээс гадна тэд ашиглан бусад хүмүүст мэдээлэл дамжуулах боломжтой Имэйл.

Илүү хүчирхэг хэрэгслүүд нь ерөнхийдөө хатуу дискийг форматлаж, бүхэл бүтэн компьютерийн ажиллагааг хянах боломжтой. Тийм ч учраас энэ төрлийн компьютерийн вирусууд нь зөвхөн график болон текст засварлагчдад аюул учруулдаг гэсэн ойлголт буруу юм. Эцсийн эцэст Word, Excel зэрэг хэрэгслүүд нь бусад олон програмуудтай хамтран ажилладаг бөгөөд энэ тохиолдолд эрсдэлтэй байдаг.

Халдвар авсан файлыг таньж байна

Ихэнхдээ макро вирусээр халдварласан, тэдний нөлөөнд өртөмтгий файлуудыг тодорхойлоход тийм ч хэцүү байдаггүй. Эцсийн эцэст тэдгээр нь ижил форматтай бусад хэрэгслүүдээс огт өөр ажилладаг.

Дараах шинж тэмдгээр аюулыг тодорхойлж болно.

Нэмж дурдахад аюул заналыг ихэвчлэн нүдээр амархан илрүүлдэг. Тэдний хөгжүүлэгчид ихэвчлэн "Товч мэдээлэл" таб дээр програмын нэр, ангилал, тайлбарын сэдэв, зохиогчийн нэр гэх мэт мэдээллийг зааж өгдөг бөгөөд үүний ачаар та макро вирусыг илүү хурдан бөгөөд хялбар арилгаж чадна. Та контекст цэсийг ашиглан үүнийг дуудаж болно.

Устгах аргууд

Сэжигтэй файл эсвэл баримт олдвол эхлээд вирусны эсрэг програмаар сканнердах хэрэгтэй. Хэрэв аюул илэрсэн бол вирусны эсрэг програмууд үүнийг арилгахыг оролдох бөгөөд амжилтгүй болвол тэдгээрт хандах хандалтыг бүрмөсөн хаах болно.

Хэрэв компьютер бүхэлдээ халдвар авсан бол яаралтай тусламжийг ашиглах хэрэгтэй ачаалах диск, хамгийн сүүлийн үеийн мэдээллийн сантай антивирусыг агуулсан. Энэ нь таны хатуу дискийг сканнердаж, олсон бүх аюулыг саармагжуулах болно.

Хэрэв та өөрийгөө ингэж хамгаалж чадахгүй, таны антивирус юу ч хийж чадахгүй, аврах диск байхгүй бол "гарын авлагын" эмчилгээний аргыг туршиж үзэх хэрэгтэй.

Ингэснээр та макро вирусыг халдвар авсан баримтаас устгах болно, гэхдээ энэ нь системд үлдэхгүй гэсэн үг биш юм. Ийм учраас бүхэлд нь сканнердахыг зөвлөж байна Хувийн компьютерболон түүний бүх өгөгдөл нь вирусны эсрэг эсвэл (тэдгээрийн давуу тал нь суулгах шаардлагагүй юм).

Компьютерийг макро вирусын халдвараас эмчлэх, цэвэрлэх үйл явц нь нэлээд төвөгтэй тул эхний шатанд халдвараас урьдчилан сэргийлэх нь дээр.

Ингэснээр та өөрийгөө хамгаалах бөгөөд макро вирус холбогдох файл руу хэзээ ч нэвтэрч чадахгүй.

Төрөл бүрийн вирусуудын дотроос макро вирусыг ялгаж салгаж болох бөгөөд эдгээр нь бусадтай адил аюултай төдийгүй үйлдлийн систем, гэхдээ холбогдсон дээр хадгалагдсан бүх мэдээлэлд зориулагдсан хатуу дискүүд. Вирусууд нь макро хэл дээр тусгайлан бичсэн програмууд бөгөөд заримд нь суулгасан байдаг орчин үеийн системүүдөгөгдөл боловсруулах (хүснэгт, текст засварлагчидгэх мэт).

Энэ нь оффис, гэртээ гэх мэт бүх зүйлд ашиглагддаг. тайлан, баримт бичиг болон бусад зүйлийг хадгалахад зориулагдсан. Энэ төрлийн вирусууд нь алдагдал талаас нь харахад хамгийн аюултай байдаг текст мэдээлэл. Хуулбарлахын тулд тэд макро хэлний бүх боломжуудыг дээд зэргээр ашигладаг бөгөөд бүх боломжуудыг ашиглан халдвар авсан нэг файлаас (ихэвчлэн хүснэгт эсвэл баримт бичиг) өөрсдийгөө (эсвэл програмын код) бусдад шилжүүлдэг. Өнөө үед хамгийн түгээмэл нь Office 97, Microsoft Word, Excel програм хангамжийн багцын макро вирусууд юм. Мэдээллийн санг халдварладаг макро вирусууд ч бий болсон Microsoft-ын өгөгдөл Access болон Ami Pro баримтууд.

Макро вирусууд тодорхой системд (энэ тохиолдолд редактор дээр) оршин тогтнохын тулд системд дараахь боломжуудтай тусгай програм хангамжийн макро хэл байх шаардлагатай.

1. бичигдсэн макро программуудыг тодорхой файлаас өөр аль ч файл руу хуулах;

2. вирусыг макро хэлээр тодорхой файлд холбох;

3. вирусын макро программыг бүрэн хянах онцгой боломж (автомат эсвэл стандарт макро).

Дээрх бүх нөхцлийг AmiPro, Microsoft редакторууд бүрэн хангаж байна Word Office 97, мэдээллийн сан Microsoft Access, түүнчлэн Excel хүснэгт. Эдгээр бүх системүүд нь Excel, Office 97 (Access, Word 97, Excel 97 орно) - Visual Basic for Applications, Word - Word Basic зэрэг олон төрлийн макро хэлүүдийг агуулдаг.

Өнөөдөр Office 97, Microsoft Word, Excel, AmiPro гэсэн тусдаа вирусууд байдаг дөрвөн тэс өөр системийг сайн мэддэг. Эдгээр системүүдэд макро вирусууд халдвар авсан файлыг хаах эсвэл нээх үед бүрэн хяналтаа авдаг. Хяналтаа авсны дараа вирус нь файлын бүх функцийг таслан зогсоосны дараа шууд ханддаг файлуудыг чөлөөтэй халдварладаг. Тиймээс, хэрэв та ийм вирус барьж, түүнийг таньж чадсан бол дээрх програмуудыг нээх хүртэл эсвэл ерөнхийдөө ажиллахыг зөвлөдөггүй. бүрэн арилгахвирус. Хэрэв та энэ дүрмийг үл тоомсорловол вирус устгаж болно чухал мэдээлэл(баримт бичиг, хүснэгт гэх мэт). MS-DOS-ийн адилаар орчин үеийн ихэнх макро вирусууд оршин суудаг гэдгийг баттай онцолж болно: тэдгээр нь файл нээх/хаах үед биш харин редактор өөрөө идэвхтэй байх үед идэвхтэй ажилладаг.

Макро гэр бүлийн вирусууд

Макро гэр бүлийн вирусууд нь өгөгдөл боловсруулах системд (текст засварлагч, хүснэгт гэх мэт) суурилуулсан макро хэлний чадварыг ашигладаг.

Вирус тодорхой системд оршин тогтнохын тулд макро хэл дээрх програмыг тодорхой файлд холбох, макро програмыг нэг файлаас нөгөө файл руу хуулах, програмыг хянах чадвартай макро хэлтэй байх шаардлагатай. хэрэглэгчийн оролцоогүйгээр макро програм (автомат эсвэл стандарт макро).

Эдгээр нөхцөлүүд хангагдсан Microsoft редакторууд Word болон AmiPro, мөн Excel хүснэгт. Эдгээр системүүд нь макро хэлүүдийг (Word - Word Basic, Excel - Visual Basic) агуулдаг бол макро програмууд нь тодорхой файлтай (AmiPro) холбогдсон эсвэл файл дотор байрладаг (Word, Excel) макро хэл нь файлуудыг хуулах боломжийг олгодог. (AmiPro) эсвэл макро программуудыг үйлчилгээний системийн файлууд руу шилжүүлэх (Word, Excel), тодорхой нөхцөлд файлтай ажиллахдаа (нээх, хаах гэх мэт) тусгай аргаар тодорхойлогдсон макро програмуудыг (хэрэв байгаа бол) дууддаг. (AmiPro) эсвэл стандарт нэртэй (Word, Excel).

Тиймээс өнөөдөр Microsoft Word, Excel, AmiPro гэсэн гурван вирусын систем байдаг. Тэдгээрийн дотор вирус нь халдвар авсан файлыг нээх эсвэл хаах үед хяналтаа авч, файлын стандарт функцуудыг таслан зогсоож, дараа нь ямар нэгэн байдлаар ханддаг файлуудыг халдварладаг. MS-DOS-той зүйрлэвэл макро вирусууд оршин суудаг гэж хэлж болно - тэдгээр нь зөвхөн файл нээх/хаах үед төдийгүй редактор (систем) өөрөө идэвхтэй байх үед идэвхтэй байдаг.

Microsoft Office-д зориулсан вирусууд"97

Macro.Office97.Frenzy

Автоматаар нээх автомат функцийг агуулсан нэг Frenzy макроноос бүрдэнэ. Халдвар авсан файлыг нээх үед системд халдварладаг. Дараа нь тэдгээрийг нээх үед баримт бичигт бичдэг. Системийн огноо болон системийн санамсаргүй тоолуураас хамааран текстийг харуулна

Word97.Frenzy by Pyro

Макро.Office97.Хамгийн бага

Office 97-д зориулсан нэлээд энгийн макро вирус. Энэ нь нэг AutoOpen макро агуулдаг. Энэ нь халдвар авсан файлыг нээх үед системд халдварладаг бөгөөд үүнийг нээх үед баримт бичигт бичигддэг. Сэтгэгдэл бичсэн текстийг агуулна

Веселин Бончев

Macro.Office97.NightShade

Энэ нь AutoClose автомат функцийг агуулсан нэг NightShade макроноос бүрдэх ба файлуудыг хаах үед систем болон баримт бичгүүдийг халдварладаг. Суурилуулсан вирусын хамгаалалтыг идэвхгүй болгож, автомат функцуудыг ажиллуулах боломжийг олгоно. Одоогийн огноо болон системийн санамсаргүй тоолуураас хамааран текстийг харуулна

Word97.NightShade by Pyro

13 дахь бямба гаригт баримт бичигт NightShade нууц үгийг тохируулна.

Вирусууд Microsoft Excel

Macro.Excel.Laroux

Excel хүснэгтийг халдварладаг ( XLS файлууд). Auto_Open болон Check_Files гэсэн хоёр макро агуулж байна. Та халдвар авсан файлыг нээх үед Excel автоматаар Auto_Open макро ажиллуулдаг. Вирусын хувьд энэ макро нь зөвхөн нэг командыг агуулдаг бөгөөд энэ нь ямар ч хүснэгт (Sheet) идэвхжсэн үед Check_Files макро ажиллана гэж тодорхойлдог. Тиймээс вирус нь хүснэгтийг нээх процедурыг таслан зогсоож, хүснэгтийг идэвхжүүлсэн үед халдвар авсан Excel нь Check_Files макро, өөрөөр хэлбэл вирусын кодыг дууддаг.

Хяналтанд орсны дараа Check_Files макро нь Excel эхлүүлэх лавлахаас PERSONAL.XLS файлыг хайж, одоогийн Ажлын дэвтэр дэх модулийн тоог шалгана. Хэрэв вирус бүхий ажлын ном идэвхтэй бөгөөд PERSONAL.XLS файл байхгүй бол (эхний халдвар) вирус SaveAs командыг ашиглан Excel-ийн эхлүүлэх лавлах хэсэгт ийм нэртэй файл үүсгэдэг. Үүний үр дүнд одоогийн файлын вирусын код түүнд бичигдсэн болно. Дараагийнх нь Excel ачаалж байнаэхлүүлэх лавлахаас бүх XLS файлыг ачаалах, халдвар авсан PERSONAL.XLS файл мөн санах ойд ачаалагдах ба вирус дахин хяналтаа авах ба хүснэгтүүдийг нээх үед PERSONAL.XLS-ийн Check_Files макро дахин дуудагдах болно.

Хэрэв одоогийн ажлын дэвтэр дэх модулийн тоо 0 бол (халдвар авсан ажлын дэвтэр идэвхгүй) ба PERSONAL.XLS файл аль хэдийн байгаа бол вирус идэвхтэй ажлын дэвтэрт өөрийн кодыг дахин бичдэг. Үүний дараа идэвхтэй ажлын дэвтэр халдварладаг.

Таны системд вирус байгаа эсэхийг шалгах нь тийм ч хэцүү биш юм. Хэрэв вирус компьютерт аль хэдийн нэвтэрсэн бол Excel-ийн лавлах нь laroux мөр (жижиг үсгээр) харагдах PERSONAL.XLS файлыг агуулсан байх ёстой. Үүнтэй ижил мөр нь бусад халдвар авсан файлуудад бас байдаг.

Macro.Excel.Legend

Макро вирусын халдвар Excel файлууд. Legend нэртэй нэг модуль (макро) агуулна. Энэ модуль нь Auto_Open болон INFECT гэсэн хоёр процедурыг агуулдаг. Auto_Open бол файл нээх үед автоматаар дуудагддаг Excel процедур юм. Auto_Open програмыг ажиллуулснаар SheetActivate үйл явдал зохицуулагчийн хувьд хоёр дахь вирусын процедурыг (Infect) суулгадаг, өөрөөр хэлбэл ямар ч хүснэгтийг нээх үед Excel нь Infect процедурыг дууддаг.

Дуудлага хийх үед Infect процедур нь PERSONAL.XLS файлыг (халдвартай файл нээлттэй үед) эсвэл одоогийн файлыг (хэрэв халдвар аваагүй бол) халдварладаг. Халдвар авсны дараа вирус цэснээс Tools/Macro зүйлийг устгадаг. Хэрэв UserName = "Pyro" болон OrganizationName = "VBB" байвал вирус шууд ажиллахаа больж, ямар ч файлд халдварладаггүй. Тухайн өдөр болон системийн санамсаргүй тоолуураас хамааран вирус нь MessageBox-ыг харуулдаг.

Та домогт халдвар авсан байна!

Macro.Excel.Robocop

Excel файл руу халддаг макро вирус. COP болон ROBO гэсэн хоёр модуль (макро) багтана. ROBO модуль нь автоматаар автоматаар нэрлэгддэг Auto_Open процедурыг агуулдаг бөгөөд энэ нь халдвар авсан баримтыг нээх үед PERSONAL.XLS файлд вирусын кодыг бичиж, хүснэгтийг идэвхжүүлэх зохицуулагчийн (SheetActivate) хаягийг вирусын код руу тохируулдаг. Дараа нь вирус нь хүснэгтийг нээх үед файлуудыг халдварладаг.

ROBOCOP Хар дарсан зүүд Жокер

Макро.Excel.Буйдан

Excel хүснэгтийг халдварладаг. Нэг модуль (макро) агуулсан бөгөөд нэр нь 11 хоосон зайнаас бүрдэх тул Tools/Macros цэсний макросын жагсаалтад харагдахгүй. Модуль нь дөрвөн макро функцийг агуулна: Auto_Open, Auto_Range, Current_Open, Auto_Close. Вирусын бүх функцууд үр дүнд нь Null-ийг буцаана.

Та халдвар авсан файлыг нээх үед Auto_Open макро функц идэвхждэг бөгөөд энэ нь Excel-ийн нэрийг "өөрчлөх" - Microsoft Excel-ийн оронд Microsofa Excel гарчгийн мөрөнд гарч ирнэ. Хэрэв Startup Path санд BOOK.XLT файл байхгүй бол (системд хараахан халдвар аваагүй) дэлгэц дээр дараах мессеж гарч ирнэ.

Microsoft Excel нь гэмтсэн нэмэлт файлыг илрүүллээ. Энэ файлыг засахын тулд OK дарна уу.

Хэрэглэгчийн хариултаас үл хамааран вирусын код агуулсан BOOK.XLT файлыг Startup Path лавлах хэсэгт үүсгэнэ. Халдварын дараа мессеж гарч ирнэ

Файлыг амжилттай заслаа!

Ачаалах үед Excel нь эхлүүлэх замаас XLT файлуудыг автоматаар татаж, үүний дагуу вирусыг идэвхжүүлдэг. Вирус нь Auto_Range функцээ OnSheetActivate функцэд оноож, хүснэгтийг идэвхжүүлэх бүрт идэвхтэй файлд халдвар авсан эсэхийг шалгаж, хэрэв халдвар аваагүй бол халдварладаг.

Вирус нь өөрийгөө Excel-ээс буулгахыг зөвшөөрдөггүй - файл бүрийг хаахдаа OnWindow функцэд ижил Auto_Range функцийг оноож өгдөг, өөрөөр хэлбэл шинэ файл нээх үед дахин идэвхждэг.

Macro.Excel.Yohimbe

Exec нэртэй нэг модулиас (макро) бүрдэнэ. Энэ модуль нь Auto_Open, DipDing, PayLoad болон SheetExists функц гэсэн гурван горимыг агуулдаг. Халдвар авсан файлыг нээх үед Auto_Open дэд програм автоматаар дуудагддаг - вирус PERSONAL.XLS-д халдварладаг. Алдаа гарсан тохиолдолд вирусыг бүгдэд нь бичдэг файлуудыг нээх(ном). Удирдлагыг буцаахаас өмнө Auto_Open нь DipDing горимыг Excel таймер руу тохируулдаг. Энэ горимыг 16:00 цагаас эхлэн дуудаж, нээлттэй файлуудыг халдварладаг.

Вирус нь хүснэгтийн толгой хэсэгт Yohimbe мөрийг бичдэг. Энэ нь мөн PayLoad дэд программ дээр таймер тохируулдаг - 16:45-д дуудагддаг бөгөөд одоогийн хүснэгтэд зураг, текстийг оруулдаг.

Макро вирусууд нь зарим өгөгдөл боловсруулах системд (текст засварлагч, хүснэгт гэх мэт) суурилагдсан хэлээр (макро хэл) бичигдсэн програмууд юм. Нөхөн үржихийн тулд ийм вирусууд макро хэлний чадварыг ашигладаг бөгөөд тэдгээрийн тусламжтайгаар халдвар авсан нэг файлаас (баримт бичиг эсвэл хүснэгт) бусдад шилжүүлдэг.

Вирус тодорхой системд (редактор) оршин тогтнохын тулд системд дараах боломжуудтай макро хэлийг суулгасан байх шаардлагатай.

1. макро хэл дээрх программыг тодорхой файлд холбох;

2. макро программуудыг нэг файлаас нөгөө файл руу хуулах;

хэрэглэгчийн оролцоогүйгээр макро програмыг хянах чадвар (автомат эсвэл стандарт макро).

Сүлжээний компьютерийн вирусууд .

Сүлжээний вирусууд нь локал болон протоколын чадавхийг идэвхтэй ашигладаг вирусуудыг агуулдаг дэлхийн сүлжээнүүд. Сүлжээний вирусын гол зарчим бол кодыг алсын сервер рүү бие даан дамжуулах чадвар юм ажлын станц. Сүлжээний вирусууд нь мөн өөрийн кодыг ажиллуулах чадвартай байдаг алсын компьютерэсвэл халдвар авсан файлыг ажиллуулахын тулд хэрэглэгчийг түлхэх.

Олон тооны хослолууд байдаг - жишээлбэл, файлууд болон дискний ачаалах секторуудыг хоёуланг нь халдварладаг файл ачаалах вирусууд. Дүрмээр бол ийм вирусууд нь нэлээд төвөгтэй үйлдлийн алгоритмтай, системд нэвтрэх анхны аргыг ихэвчлэн ашигладаг бөгөөд үл үзэгдэх, полиморф технологийг ашигладаг. Ийм хослолын өөр нэг жишээ нь сүлжээний макро вирус бөгөөд энэ нь засварлаж буй баримт бичгүүдийг халдварладаг төдийгүй хуулбарыг цахим шуудангаар илгээдэг.

Халдвар авсан үйлдлийн систем(илүү нарийвчлалтай, объектууд нь халдварт өртөмтгий байдаг үйлдлийн систем) нь вирусыг ангиудад хуваах хоёр дахь түвшин юм. Файл эсвэл сүлжээний вирус бүр нэг буюу хэд хэдэн үйлдлийн системийн файлуудыг халдварладаг.

Макро вирус нь Word, Excel, Office форматын файлуудыг халдварладаг. Ачаалах вирусууд нь мөн дискний ачаалах хэсгүүдэд системийн өгөгдлийн байршлын тодорхой форматуудад чиглэгддэг.

Үйлдлийн алгоритмын онцлог компьютерийн вирусууд:

1. Оршин суух газар.

2. Далд алгоритм ашиглах.

3. Өөрийгөө шифрлэх ба полиморфизм.

4. Стандарт бус техник ашиглах.

Нэр томъёоны дагуу оршин суух газар Энэ нь вирусууд өөрсдийнхөө хуулбарыг үлдээх чадварыг илэрхийлдэг системийн санах ой, зарим үйл явдлыг таслан зогсоох (жишээ нь, файл эсвэл диск рүү нэвтрэх) болон илрүүлсэн объектыг (файл, сектор) халдварлах процедурыг дуудах. Тиймээс резидент вирусууд нь зөвхөн халдвар авсан програм ажиллаж байх үед төдийгүй програм ажиллаж дууссаны дараа идэвхтэй байдаг. Ийм вирусын резидент хуулбарууд нь дискэн дээрх бүх халдвар авсан файлуудыг устгасан ч дараагийн дахин ачаалах хүртэл амьдрах чадвартай хэвээр байна. Ихэнхдээ түгээлтийн диск эсвэл нөөц хуулбараас файлын бүх хуулбарыг сэргээх замаар ийм вирусаас салах боломжгүй байдаг. Вирусын суурин хуулбар идэвхтэй хэвээр байгаа бөгөөд дахин халдварладаг үүсгэсэн файлууд. Ачаалах вирусын хувьд ч мөн адил байдаг - санах ойд оршин суугч вирус байгаа үед дискийг форматлах нь дискийг тэр бүр эдгээдэггүй, учир нь олон тооны вирусууд форматлагдсаны дараа дахин халдварладаг.

Оршин суугч бусвирусууд эсрэгээрээ богино хугацаанд идэвхтэй байдаг, зөвхөн халдвар авсан програмыг эхлүүлэх үед. Тархахын тулд тэд дискэн дээрх халдваргүй файлуудыг хайж, тэдгээрт бичдэг. Вирусын код нь хяналтыг хост програм руу шилжүүлсний дараа вирусын үйлдлийн системийн үйл ажиллагаанд үзүүлэх нөлөөлөл нь халдвар авсан програмыг дараагийн удаа эхлүүлэх хүртэл тэг болж буурдаг.

Сэлс вирусууднэг талаараа тэд системд байгаа гэдгээ нуудаг.

TO полиморф вирусууд Эдгээрт вирусын маск гэж нэрлэгддэг тусгай вирусын байнгын кодын хэсгүүдийг ашиглан илрүүлэх боломжгүй (эсвэл маш хэцүү) хүмүүс орно. Үүнийг үндсэн хоёр аргаар олж авдаг - үндсэн вирусын кодыг байнгын бус түлхүүр болон шифр тайлах командуудын санамсаргүй багцаар шифрлэх, эсвэл гүйцэтгэх боломжтой вирусын кодыг өөрчлөх замаар.

Төрөл бүрийн стандарт бус техник OS-ийн цөмд аль болох гүн нуугдахын тулд вирусуудад ихэвчлэн ашиглагддаг.

Хор хөнөөлтэй боломжуудВирусыг дараахь байдлаар хувааж болно.

1. Хоргүй , энэ нь компьютерийн үйл ажиллагаанд ямар ч байдлаар нөлөөлөхгүй (тэдгээрийг түгээсний үр дүнд дискэн дээрх чөлөөт санах ойг багасгахаас бусад).

2. Аюулгүй , нөлөөлөл нь дискний чөлөөт санах ой, график, дуу авиа болон бусад эффектүүдийн бууралтаар хязгаарлагддаг.