Makrovirus er en infeksjon som forgifter livet til enhver bruker. Selv om du er systemprogrammerer minst tre ganger, har hun fortsatt en god sjanse til å kjempe mot deg. Mange mennesker undervurderer ganske enkelt denne kategorien av virus, og forgjeves er de ikke så ufarlige som de ser ut til. Når det gjelder overlevelse, kan de sammenlignes med rotter og kakerlakker - de tilpasser seg alt og dør svært sjelden. Det er på tide å håndtere makroinfeksjonen en gang for alle.

Makrovirusarkitektur

Til å begynne med en klar definisjon: et makrovirus er et virus som kan reproduseres og lagres på egen hånd (uten brukerintervensjon), ved hjelp av et makrospråk. Av definisjonen følger det at makrovirus ikke bare kan leve i Word-dokumenter, men i ALLE kontordokumenter som implementerer makrospråkfunksjoner som å kopiere makroer og lagre dem. Det er nesten full liste applikasjoner utsatt for trusselen om makroinfeksjon: Word (alle), Excel, AmiPro (dette er et tekstredigeringsprogram), MS Visio, PowerPoint, MS Access og 1C. Som du kan se, er antallet slike programmer ganske stort, og på Internett kan du ofte finne artikler som definerer makrovirus som følger:
"virus som infiserer dokumentfiler i formatet
WinWord." Noen idioter skrev det!

La oss nå snakke om strukturen til et makrovirus for Word (som det mest relevante). Så. Det er noe slikt som standard makroer. Disse inkluderer: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Prefikset auto- betyr at handlingen utføres automatisk, uten brukerintervensjon (selv om dette avhenger av det angitte sikkerhetsnivået, men vi vil snakke om dette senere). Det vil si at ved å legge til en infeksjon i en makro med det navnet, kan du "gjenopplive" den. For hver standardhandling er det også en standardmakro. For eksempel for å skrive ut FilePrint, for å lagre FileSave, for å lagre i et annet format eller med et annet navn FileSaveAs. Og disse makroene kan bli infisert.

Det endelige målet for ethvert makro-røvhøl er å knulle normal.dot (den lagrer alle malinnstillingene). Da vil alle åpne filer bli infisert og tekstene dine blir skadet.
Word gir flere sikkerhetsnivåer: høy, middels og lav. Den inneholder også en innebygd forsvarsmekanisme mot makroinfeksjon. Ifølge utviklerne skal dette virke på makrovirus som sølv på onde ånder. Det kan være at det fungerer, hvis ikke for ett "men". Det er på grunn av dette at jeg ikke vil fordype meg i forskjellene mellom sikkerhetsnivåer og de interne innstillingene til Word. Men poenget er at ALLE interne sikkerhetsparametere enkelt kan ENDRES gjennom registeret. Heldigvis tillater makrospråk dette
gjøre. Jeg vil ikke foreskrive spesifikke stier (hvor du skal se etter hva), for ikke å friste dine lekne hender. De som er spesielt begavede kan kontakte meg på e-post - jeg vil informere deg, men "kun for å gjøre deg kjent med denne sårbarheten programvare, for å eliminere dem" :)

For å oppsummere er strukturen til et makrovirus som følger:

1. Omdefiner enhver standard eller automatisk nyttig makro slik at den deaktiverer beskyttelse og korrigerer sikkerhetsnivået.
2. Legg til infeksjon der.
3. Vi sjekker at denne makroen er etterspurt, og at infeksjonen multipliserer og nødvendigvis er registrert i Normal.dot

Alt er ganske enkelt - dette er grunnen til at det er så mange forskjellige varianter av makroskapninger.

Jeg skal drepe deg med mine bare hender!

Det er flere populære måter å ødelegge makrogasmer i allerede infiserte Word-dokumenter. Her er de nesten alle:

1. Lag din egen makro med følgende kode:
Sub Main
Deaktiver AutoMacros
End Sub
Du lagrer dette miraklet under navnet AutoExec og blir dermed usårbar for automakroer.

2. Hvis du manipulerer beskyttelsesnivåene, vil Word be om tillatelse når makroer kjøres.

3. Ikke bruk doc-format. Tross alt kan alt plasseres i RTF - samme fonter, design, tabeller, grafikk... Og RTF inneholder per definisjon ikke makroer. Alt ville være ideelt, men det er en ulempe: når du lagrer informasjon i rtf-format, blir alle bilder automatisk konvertert til bmp-format. Dette grafiske formatet veier så mye at du ikke ønsker det til fienden din. Som et resultat, selv etter arkivering, kan et tap i størrelsen på den resulterende filen føre til at den rett og slett ikke får plass på en diskett (selvfølgelig avhengig av antall bilder). Sant nok, hvis det ikke er grafikk, er rtf ideell.

Tungt artilleri

Det er på tide å være modig og drepe makroskapningene en gang for alle. Oppgaven er ikke så vanskelig å fullføre: du trenger en uinfisert datamaskin og den nyeste distribusjonen av Kaspersky Anti-Virus. For flere år siden utviklet Kaspersky Lab en modul kalt Office Guard. Det er det vi skal snakke om.

Vanligvis er ikke Office Guard inkludert i piratkopierte distribusjoner, men med litt ferdighet kan du finne det. Hva er dette? Her er hva skaperne sier om det:
"Kontorvakt er grunnleggende ny teknologi for beskyttelse mot makrovirus og makrotrojanere. Office Guard, som er designet for avanserte brukere, implementerer en revolusjonerende tilnærming til antivirussikkerhet basert på prinsippene for en atferdsblokkering. I motsetning til de "klassiske" antivirusbeskyttelsesordningene bygget på konvensjonelt kontekstsøk, løser Office Guard problemet omfattende, og eliminerer selve muligheten for makrovirus som opererer på en beskyttet datamaskin. Office Guard skiller makrovirus ikke ved ytre tegn(tilstedeværelsen av en bestemt sekvens av tegn), men av deres oppførsel, som bestemmes av egenskapene til VBA-programmeringsspråket ( Visual Basic til
Applikasjon)."

Den kuleste funksjonen er at den ikke trenger å oppdateres! Imidlertid er bruken full av mange fallgruver:

1. Den skal installeres på en uinfisert maskin.
2. Hvis du hadde Word installert, så installerte du Office Guard, og deretter installerte Excel, da vil kun Word være beskyttet. Trekk dine egne konklusjoner.
3. Office Guard fanger virus, men HURDER dem IKKE.

For å løse det siste problemet trenger du bare en antivirusskanner. Dermed gir AVP scanner + Office Guard fullstendig sikkerhet fra makrovirus. Hvis du ønsker å behandle dokumenter, må du fra tid til annen laste ned en oppdatering for
AVP.

La oss imidlertid være rettferdige - du kan ikke trekke teppet til fordel for Kaspersky Lab, ellers vil det være samtaler som:
"Og hvor mye betalte de deg for å markedsføre produktet?"

Ethvert oppdatert antivirus gir en god, nesten 100 %,
beskyttelse mot makrogasser. Det er bare at hver av dem bruker ulike teknologier for dette. For eksempel bruker DrWeb et signatursøk og en heuristisk analysator,
Dette er hva vi snakket om med skaperne:

Antiviruspakken din inkluderer ikke en egen modul for bekjempelse av makrovirus. Hvorfor? Tror du at en beboermonitor garanterer sikkerhet mot makrovirus?

Verktøy for å oppdage og bekjempe makrovirus er en integrert del av DrWeb-kjernen. Og siden kjernen brukes av både skanneren og monitoren, blir alle makrovirus oppdaget og behandlet like godt i begge tilfeller.

WUA inkluderer en egen modul mot makrovirus i MS Office. Utviklerne hevder at denne modulen er basert på en atferdsblokker som analyserer handlingene til pasientprogrammet. Som et resultat gir dette produktet en 100 % garanti mot makrovirus frem til det er utgitt. en ny versjon VBA. De. makrovirus søkes ikke etter med signaturer. Fordelen med dette
Tilnærmingen er at etter å ha installert en slik modul én gang, trenger den ikke å oppdateres. Nå er spørsmålene: Søker DrWeb etter makrovirus med signatur?

DrWeb søker etter makrovirus både med signatur og ved hjelp av den innebygde
original kraftig heuristisk analysator. Makrosøk og analysemekanisme
implementert på flere nivåer: den binære koden til makroer skannes også,
deres kompilerte tekst og kildetekst. Dette gjør det mulig å oppdage kjente virus,
deres modifikasjoner, samt ukjente makrovirus. Dermed,
Det blir mulig ikke bare å ikke være avhengig av versjonen av den installerte
MS Office-pakken (muligheten til å avskjære løpende makroer har dukket opp
bare i Office 2000 og var ikke tilgjengelig i tidligere versjoner), men også generelt fra
tilgjengeligheten av MS Office på datamaskinen som skanningen utføres på
filer - for eksempel på en bedrifts Internett-gateway.

I tillegg bruker en heuristikk bygget på de samme prinsippene
analysator, DrWeb er i stand til å oppdage ukjente trojanere,
bakdører, Internett-ormer, irc, batch (batch) og script
(vbs/vbe) virus.

Din personlige mening: kan en modul fra WUA gi 100 % sikkerhet mot makroinfeksjoner?

Den nåværende situasjonen er slik at for å effektivt bekjempe virus, noen moderne
Antivirusproduktet må oppdateres umiddelbart. Dessverre,
å lage et "absolutt" antivirus er umulig.

Spørsmål besvart
Sergey Yurievich Popov
Andrey Vladimirovich Basharimov

Utviklere antivirusprogrammer Dr. WEB-familie.

Makrovirus er potensielt uønskede verktøy skrevet på mikrospråk som er innebygd i grafikk- og tekstbehandlingssystemer. Hvilke filer er infisert av makrovirus? Svaret er åpenbart. De vanligste versjonene for Microsoft-programmer Excel, Word og Office 97. Disse virusene er ganske vanlige, og det er like enkelt å lage dem som å avskalle pærer. Dette er grunnen til at du bør være ekstremt forsiktig og forsiktig når du laster ned dokumenter fra Internett. De fleste brukere undervurderer dem, og gjør dermed en alvorlig feil.

Hvordan blir en PC infisert?

Etter at vi har bestemt hva makrovirus er, la oss finne ut hvordan de trenger inn i systemet og infiserer datamaskinen. En enkel metode for reproduksjon lar deg treffe maksimalt antall objekter på kortest mulig tid. Takket være egenskapene til makrospråk, når de lukker eller åpner et infisert dokument, trenger de inn i programmene som åpnes.

Det vil si at når du bruker en grafisk editor, infiserer makrovirus alt som er knyttet til det. Dessuten er noen aktive hele tiden mens de sender tekstmeldinger eller grafikk editor arbeid, eller til PC-en er helt slått av.

Hva er prinsippet for deres arbeid?

Handlingen deres skjer i henhold til følgende prinsipp: når du arbeider med dokumenter, Microsoft Word utfører forskjellige kommandoer utstedt på makrospråk. Først av alt trenger programmet gjennom hovedmalen, som alle filer i dette formatet åpnes gjennom. I dette tilfellet kopierer viruset koden sin til makroer som gir tilgang til hovedparametrene. Når du avslutter programmet, vil filen inn automatisk modus lagret i prikk (brukes til å lage nye dokumenter). Deretter kommer den inn i standard makroer, prøver å avskjære kommandoer sendt til andre filer, og infiserer dem også.

Infeksjon oppstår i følgende tilfeller:

1. Hvis det er en automakro i viruset (utføres automatisk når programmet slås av eller startes).
2. Viruset har en grunnleggende systemmakro (ofte assosiert med menyelementer).
3. Aktiveres automatisk når du trykker på bestemte taster eller kombinasjoner.
4. Den reproduseres bare når den er lansert.

Slike virus infiserer vanligvis alle filer som er opprettet og knyttet til programmer på et makrospråk.

Hvilken skade gjør de?

Makrovirus bør ikke undervurderes, siden de er fullverdige virus og forårsaker betydelig skade på datamaskiner. De kan enkelt slette, kopiere eller redigere alle objekter som inneholder bl.a. personlig informasjon. Dessuten kan de også overføre informasjon til andre som bruker E-post.

Kraftigere verktøy kan generelt formatere harddisker og kontrollere driften av hele PC-en. Det er grunnen til at oppfatningen om at denne typen datavirus utgjør en fare utelukkende for grafikk- og tekstredigerere er feil. Tross alt fungerer verktøy som Word og Excel sammen med en rekke andre, som i dette tilfellet også er i faresonen.

Gjenkjenner en infisert fil

Ofte er det ikke vanskelig å identifisere filer som er infisert med makrovirus og som er utsatt for deres påvirkning. Tross alt fungerer de helt annerledes enn andre verktøy av samme format.

Fare kan identifiseres ved følgende tegn:

I tillegg er trusselen ofte lett å oppdage visuelt. Utviklerne deres angir vanligvis i "Sammendrag" -fanen slik informasjon som navnet på verktøyet, kategorien, emnet for kommentaren og navnet på forfatteren, takket være at du kan bli kvitt et makrovirus mye raskere og enklere. Du kan kalle det ved å bruke kontekstmenyen.

Metoder for fjerning

Når du finner en mistenkelig fil eller et mistenkelig dokument, skann den først med et antivirusprogram. Hvis en trussel oppdages, vil antivirus forsøke å kurere den, og hvis det ikke lykkes, vil de fullstendig blokkere tilgangen til den.

Hvis hele datamaskinen har blitt infisert, bør du bruke nødhjelpen oppstartsdisk, som inneholder antiviruset med den nyeste databasen. Den vil skanne harddisken din og nøytralisere alle trusler den finner.

Hvis du ikke kan beskytte deg selv på denne måten, antivirusprogrammet ditt kan ikke gjøre noe, og det er ingen redningsdisk, bør du prøve den "manuelle" behandlingsmetoden:

På denne måten vil du fjerne makroviruset fra det infiserte dokumentet, men dette betyr på ingen måte at det ikke forblir i systemet. Derfor anbefales det å skanne hele Personlig datamaskin og alle dataene med antivirus eller (deres fordel er at de ikke krever installasjon).

Prosessen med å behandle og rense en datamaskin fra infeksjon med makrovirus er ganske kompleks, så det er bedre å forhindre infeksjon i de innledende stadiene.

På denne måten vil du beskytte deg selv og makrovirus vil aldri trenge inn i de tilsvarende filene.

Blant mangfoldet av virus kan man skille ut makrovirus, som, som ingen andre, er farlige ikke bare for operativsystem, men også for all informasjon som er lagret på tilkoblet harddisk. Virus er spesialskrevne programmer på makrospråk som er innebygd i noen moderne systemer databehandling (regneark, tekstredigerere etc.).

Det vil si alt som brukes på kontorer, hjemme osv. for vedlikehold av rapporter, dokumentasjon og annet. Virus av denne typen er de farligste sett fra tapssiden tekstinformasjon. For å reprodusere bruker de alle funksjonene til makrospråk maksimalt, og ved å bruke alle mulighetene overfører de seg selv (eller snarere programkoden) fra en infisert fil (vanligvis en tabell eller et dokument) til andre. I dag er det vanligste makrovirus for programvarepakkene Office 97, Microsoft Word og Excel. Det er også utviklet makrovirus som infiserer databaser Microsoft data Access- og Ami Pro-dokumenter.

For at makrovirus skal eksistere i et spesifikt system (i i dette tilfellet i editoren), er det ekstremt nødvendig å ha et spesielt programvaremakrospråk innebygd i systemet med følgende funksjoner:

1. kopiering av innspilte makroprogrammer fra en bestemt fil til en hvilken som helst annen;

2. binde viruset på et makrospråk til en spesifikk fil;

3. en unik mulighet til å få full kontroll over virusmakroprogrammet (automatiske eller standardmakroer).

Alle de ovennevnte betingelsene er fullt ut oppfylt av redaktørene AmiPro, Microsoft Word Office 97, database Microsoft Access, samt et Excel-regneark. Alle disse systemene inneholder en rekke makrospråk: Excel, Office 97 (inkludert Access, Word 97 og Excel 97) - Visual Basic for applikasjoner og Word - Word Basic.

I dag er fire helt forskjellige systemer velkjente, som det finnes separate virus for - Office 97, Microsoft Word, Excel og AmiPro. I disse systemene tar makrovirus full kontroll under lukking eller åpning av den infiserte filen. Etter å ha fått kontroll, avskjærer viruset alle filfunksjoner, hvoretter det fritt infiserer filer som er direkte tilgang til. Derfor, hvis du fanget et slikt virus og klarte å identifisere det, anbefales det på det sterkeste ikke å åpne eller generelt arbeide med de ovennevnte programmene før fullstendig fjerning virus. Hvis du forsømmer denne regelen, kan viruset slette viktig informasjon(dokumenter, tabeller osv.). I analogi med MS-DOS kan vi trygt understreke at de fleste moderne makrovirus er residente: de oppfører seg aktivt mens selve editoren er aktiv, og ikke i det øyeblikket en fil åpnes/lukkes.

Virus fra makrofamilien

Virus fra makrofamilien bruker egenskapene til makrospråk innebygd i databehandlingssystemer (tekstredigerere, regneark, etc.).

For at virus skal eksistere i et bestemt system, er det nødvendig å ha et makrospråk innebygd i det med muligheten til å binde et program på et makrospråk til en bestemt fil, kopiere makroprogrammer fra en fil til en annen og få kontroll over makroprogram uten brukerintervensjon (automatiske eller standard makroer).

Disse betingelsene er oppfylt Microsofts redaktører Word og AmiPro, samt et Excel-regneark. Disse systemene inneholder makrospråk (Word - Word Basic, Excel - Visual Basic), mens makroprogrammer er knyttet til en spesifikk fil (AmiPro) eller ligger inne i en fil (Word, Excel), lar makrospråket deg kopiere filer (AmiPro) eller flytt makroprogrammer til servicesystemfiler (Word, Excel), når du arbeider med en fil under visse forhold (åpning, lukking osv.), kalles makroprogrammer (hvis noen), som er definert på en spesiell måte (AmiPro) eller har standardnavn (Word, Excel).

Så i dag er det tre kjente systemer som det finnes virus for - Microsoft Word, Excel og AmiPro. I dem tar virus kontroll når en infisert fil åpnes eller lukkes, fanger opp standard filfunksjoner og infiserer deretter filer som man får tilgang til på en eller annen måte. I analogi med MS-DOS kan vi si at makrovirus er hjemmehørende - de er aktive ikke bare i det øyeblikket en fil åpnes/lukkes, men også så lenge selve editoren (systemet) er aktiv.

Virus for Microsoft Office"97

Macro.Office97.Frenzy

Består av en enkelt Frenzy-makro som inneholder AutoOpen-autofunksjonen. Infiserer systemet når en infisert fil åpnes. Så skrives det inn i dokumenter når de åpnes. Avhengig av systemdatoen og systemets tilfeldige teller, viser tekst

Word97.Frenzy av Pyro

Macro.Office97.Minimal

Et ganske primitivt makrovirus for Office 97. Det inneholder en enkelt AutoOpen-makro. Infiserer systemet når det åpnes infisert fil, skrives også til dokumenter når de åpnes. Inneholder kommentert tekst

Fartøy Bontchev

Macro.Office97.NightShade

Den består av en enkelt NightShade-makro som inneholder AutoClose auto-funksjonen og infiserer systemet og dokumenter når filer lukkes. Deaktiverer innebygd virusbeskyttelse og lar automatiske funksjoner kjøre. Avhengig av dagens dato og systemets tilfeldige teller viser tekst

Word97.NightShade av Pyro

På den 13. lørdager, setter NightShade-passordet i dokumenter.

Virus for Microsoft Excel

Makro.Excel.Laroux

Infiserer elektronisk Excel-tabeller (XLS-filer). Inneholder to makroer: Auto_Open og Check_Files. Når du åpner en infisert fil, kjører Excel automatisk Auto_Open-makroen. I viruset inneholder denne makroen bare én kommando, som definerer Check_Files-makroen som å bli utført når en hvilken som helst tabell (ark) er aktivert. Dermed avskjærer viruset prosedyren for å åpne tabeller, og når tabellen er aktivert, kaller den infiserte Excel-makroen Check_Files, det vil si viruskoden.

Når den har kontroll, ser Check_Files-makroen etter PERSONAL.XLS-filen i Excel Startup Directory og sjekker antall moduler i gjeldende arbeidsbok. Hvis en arbeidsbok med et virus er aktiv og filen PERSONAL.XLS ikke eksisterer (første infeksjon), oppretter viruset en fil med dette navnet i oppstartsmappen for Excel ved hjelp av SaveAs-kommandoen. Som et resultat blir viruskoden fra den gjeldende filen skrevet til den. Ved neste laster inn Excel laster alle XLS-filer fra startkatalogen, den infiserte PERSONAL.XLS-filen lastes også inn i minnet, viruset tar igjen kontroll og når tabeller åpnes, vil Check_Files-makroen fra PERSONAL.XLS bli kalt opp igjen.

Hvis antallet moduler i gjeldende arbeidsbok er 0 (den infiserte arbeidsboken er ikke aktiv) og PERSONAL.XLS-filen allerede eksisterer, skriver viruset om koden sin til den aktive arbeidsboken. Etter dette blir den aktive arbeidsboken infisert.

Det er ikke vanskelig å sjekke systemet for virus. Hvis viruset allerede har penetrert datamaskinen, bør Excel-katalogen inneholde filen PERSONAL.XLS, der linjen laroux (med små bokstaver) er synlig. Den samme linjen finnes også i andre infiserte filer.

Macro.Excel.Legend

Makrovirus infiserer Excel-filer. Inneholder én modul (makro) kalt Legend. Denne modulen inkluderer to prosedyrer - Auto_Open og INFECT. Auto_Open er en Excel-prosedyre som kalles automatisk når en fil åpnes. Når den startes, installerer Auto_Open den andre virusprosedyren (Infect) som en SheetActivate-hendelsesbehandler, det vil si at når du åpner en tabell, vil Excel kalle Infect-prosedyren.

Når den kalles, infiserer Infect-prosedyren enten filen PERSONAL.XLS (når en infisert fil er åpen) eller gjeldende fil (hvis den ikke er infisert ennå). Etter infeksjon fjerner viruset Verktøy/Makro-elementet fra menyen. Hvis UserName = "Pyro" og OrganizationName = "VBB", slutter viruset umiddelbart å virke og infiserer ingen filer. Avhengig av gjeldende dag og systemets tilfeldige teller, viser viruset en meldingsboks:

Du har blitt infisert av legende!

Macro.Excel.Robocop

Makrovirus som angriper Excel-filer. Inkluderer to moduler (makroer): COP og ROBO. ROBO-modulen inneholder en automatisk kalt Auto_Open-prosedyre, som når du åpner et infisert dokument, skriver viruskoden til PERSONAL.XLS-filen og setter adressen til tabellaktiveringsbehandleren (SheetActivate) til viruskoden. Viruset infiserer deretter filer når tabeller åpnes.

ROBOCOP Mareritt Joker

Makro.Excel.sofa

Infiserer Excel-regneark. Inneholder én modul (makro), hvis navn består av 11 mellomrom og derfor ikke er synlig i listen over makroer i Verktøy/Makro-menyen. Modulen inneholder fire makrofunksjoner: Auto_Open, Auto_Range, Current_Open, Auto_Close. Alle virusfunksjoner returnerer Null som et resultat.

Når du åpner en infisert fil, utløses Auto_Open-makrofunksjonen, som "gir nytt navn" til Excel - Microsofa Excel vises i tittellinjen i stedet for Microsoft Excel. Hvis det ikke er noen BOOK.XLT-fil i Startup Path-katalogen (systemet er ikke infisert ennå), vises følgende melding på skjermen:

Microsoft Excel har oppdaget en ødelagt tilleggsfil. Klikk OK for å reparere denne filen.

Uavhengig av brukerens svar, opprettes en BOOK.XLT-fil som inneholder viruskoden i katalogen for oppstartssti. Etter infeksjon vises en melding

Filen ble reparert!

Når den er lastet, laster Excel automatisk ned XLT-filer fra oppstartsbanen og aktiverer følgelig viruset. Viruset tildeler sin Auto_Range-funksjon til OnSheetActivate-funksjonen, og hver gang tabellen aktiveres, sjekker den den aktive filen for infeksjon, og hvis filen ikke er infisert, infiserer den den.

Viruset lar seg ikke laste ut fra Excel - når du lukker hver fil, tildeler det samme Auto_Range-funksjon til OnWindow-funksjonen, det vil si at den aktiveres på nytt når en ny fil åpnes.

Macro.Excel.Yohimbe

Består av en modul (makro) kalt Exec. Denne modulen inneholder tre rutiner: Auto_Open, DipDing, PayLoad og SheetExists-funksjonen. Auto_Open-underrutinen kalles automatisk opp når en infisert fil åpnes - viruset infiserer PERSONAL.XLS. I tilfelle feil blir viruset skrevet til alle åpne filer(bøker). Før du returnerer kontrollen, setter Auto_Open DipDing-rutinen til Excel-timeren. Denne rutinen kalles starter klokken 16:00 og infiserer åpne filer.

Viruset skriver strengen Yohimbe til tabelloverskriften. Den setter også en tidtaker på PayLoad-subrutinen - den kalles opp klokken 16:45 og setter inn et bilde og tekst i gjeldende tabell

Makrovirus er programmer skrevet på språk (makrospråk) innebygd i enkelte databehandlingssystemer (tekstredigerere, regneark, etc.). For å reprodusere bruker slike virus egenskapene til makrospråk og, med deres hjelp, overfører de seg selv fra en infisert fil (dokument eller tabell) til andre.

For at virus skal eksistere i et spesifikt system (editor), er det nødvendig å ha et makrospråk innebygd i systemet med følgende funksjoner:

1. binde et program på et makrospråk til en bestemt fil;

2. kopiering av makroprogrammer fra en fil til en annen;

muligheten til å få kontroll over et makroprogram uten brukerintervensjon (automatiske eller standard makroer).

Nettverksdatavirus .

Nettverksvirus inkluderer virus som aktivt bruker protokoller og muligheter til lokale og globale nettverk. Hoveddriftsprinsippet for et nettverksvirus er muligheten til å overføre koden sin uavhengig til ekstern server eller arbeidsstasjon. Nettverksvirus har også muligheten til å kjøre koden sin på ekstern datamaskin eller press brukeren til å kjøre en infisert fil.

Det finnes et stort antall kombinasjoner - for eksempel filoppstartsvirus som infiserer både filer og oppstartssektorer på disker. Slike virus har som regel en ganske kompleks driftsalgoritme, bruker ofte originale metoder for å penetrere systemet, og bruker stealth og polymorfe teknologier. Et annet eksempel på en slik kombinasjon er et nettverksmakrovirus, som ikke bare infiserer dokumenter som redigeres, men også sender kopier av seg selv via e-post.

Infisert operativsystem(mer presist, operativsystemet hvis objekter er mottakelige for infeksjon) er det andre nivået for å dele virus inn i klasser. Hver fil eller nettverksvirus infiserer filer til ett eller flere operativsystemer.

Makrovirus infiserer filer i Word-, Excel- og Office-formater. Oppstartsvirus er også rettet mot spesifikke formater for lagring av systemdata i oppstartssektorer disker.

Funksjoner av driftsalgoritmen datavirus:

1. Bosted.

2. Bruk av stealth-algoritmer.

3. Selvkryptering og polymorfisme.

4. Bruk av ikke-standard teknikker.

Under begrepet bolig refererer til virusets evne til å legge igjen kopier av seg selv systemminne, fange opp noen hendelser (for eksempel tilgang til filer eller disker) og kalleprosedyrer for å infisere oppdagede objekter (filer og sektorer). Dermed er residente virus aktive ikke bare mens det infiserte programmet kjører, men også etter at programmet er ferdig. Residentkopier av slike virus forblir levedyktige til neste omstart, selv om alle infiserte filer på disken blir ødelagt. Ofte er det umulig å bli kvitt slike virus ved å gjenopprette alle kopier av filer fra distribusjonsdisker eller sikkerhetskopier. Den bosatte kopien av viruset forblir aktiv og infiserer igjen genererte filer. Det samme gjelder for oppstartsvirus - formatering av en disk når det er et fast virus i minnet kurerer ikke alltid disken, siden mange faste virus infiserer disken igjen etter at den er formatert.

Ikke-bosatt virus, tvert imot, er aktive i ganske kort tid, bare i det øyeblikket det infiserte programmet lanseres. For å spre seg søker de etter uinfiserte filer på disken og skriver til dem. Etter at viruskoden overfører kontrollen til vertsprogrammet, reduseres virkningen av viruset på driften av operativsystemet til null frem til neste lansering av et infisert program.

Stealth-virus på en eller annen måte skjuler de det faktum at de er tilstede i systemet.

TIL polymorfe virus Disse inkluderer de hvis oppdagelse er umulig (eller ekstremt vanskelig) ved bruk av såkalte virusmasker - deler av konstant kode som er spesifikke for et bestemt virus. Dette oppnås på to hovedmåter - ved å kryptere hovedviruskoden med en ikke-permanent nøkkel og et tilfeldig sett med dekrypteringskommandoer, eller ved å endre selve den kjørbare viruskoden.

Diverse ikke-standard teknikker brukes ofte i virus for å gjemme seg så dypt som mulig i kjernen til operativsystemet.

Destruktive muligheter virus kan deles inn i:

1. Harmløs , som ikke påvirker driften av datamaskinen på noen måte (bortsett fra å redusere ledig minne på disken som et resultat av distribusjonen).

2. Ufarlig , hvis påvirkning er begrenset av en reduksjon i ledig diskminne og grafikk, lyd og andre effekter.