Makro virusi so okužba, ki zastruplja življenje vsakega uporabnika. Tudi če ste sistemski programer vsaj trikrat, ima še vedno dobre možnosti, da se spopade z vami. Mnogi preprosto podcenjujejo to kategorijo virusov in zaman, niso tako neškodljivi, kot se zdijo. Po preživetju jih lahko primerjamo s podganami in ščurki - prilagajajo se vsemu in zelo redko umrejo. Čas je, da se enkrat za vselej spopademo z makro okužbo.

Arhitektura makro virusa

Na začetku jasna definicija: makro virus je virus, ki se lahko razmnožuje in shranjuje sam (brez posredovanja uporabnika) z uporabo makro jezika. Iz definicije sledi, da makro virusi lahko živijo ne samo v Wordovih dokumentih, temveč v VSEH pisarniških dokumentih, ki izvajajo funkcije makro jezika, kot je kopiranje makrov in njihovo shranjevanje. To je skoraj celoten seznam aplikacije, ki so izpostavljene grožnji makro okužbe: Word (katera koli), Excel, AmiPro (to je urejevalnik besedil), MS Visio, PowerPoint, MS Access in 1C. Kot lahko vidite, je število takih programov precej veliko in na internetu lahko pogosto najdete članke, ki opredeljujejo makro viruse na naslednji način:
"virusi, ki okužijo datoteke dokumentov v formatu
WinWord". Nekateri idioti so to napisali!

Zdaj pa se pogovorimo o strukturi makro virusa za Word (kot najpomembnejšega). torej. Obstaja nekaj takega, kot so standardni makri. Ti vključujejo: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Predpona auto- pomeni, da se dejanje izvede samodejno, brez posredovanja uporabnika (čeprav je to odvisno od nastavljene varnostne stopnje, vendar bomo o tem govorili kasneje). To pomeni, da lahko z dodajanjem okužbe makru s tem imenom "oživite". Za vsako standardno dejanje obstaja tudi standardni makro. Na primer za tiskanje FilePrint, za shranjevanje FileSave, za shranjevanje v drugi obliki ali z drugim imenom FileSaveAs. In ti makri so lahko okuženi.

Končni cilj vsakega makro kretena je zjebati normal.dot (shranjuje vse nastavitve predloge). Potem bodo vse odprte datoteke okužene in vaša besedila bodo poškodovana.
Word ponuja več stopenj varnosti: visoko, srednjo in nizko. Vsebuje tudi vgrajen obrambni mehanizem proti makrookužbam. Po mnenju razvijalcev naj bi to delovalo na makro viruse kot srebro na zle duhove. Lahko se zgodi, da deluje, če ne enega "ampak". Zaradi tega se ne bom poglabljal v razlike med nivoji varnosti in notranjimi nastavitvami Worda. Bistvo pa je, da je VSE notranje varnostne parametre mogoče preprosto SPREMENITI prek registra. Na srečo makro jeziki to omogočajo
narediti. Ne bom predpisoval posebnih poti (kje kaj iskati), da ne premamim vaših igrivih rok. Tisti, ki ste posebej nadarjeni, me lahko kontaktirate po e-pošti - vas bom obvestil, vendar "samo zaradi seznanitve s to ranljivostjo programsko opremo, da jih odpravim" :)

Če povzamemo, je struktura makrovirusa naslednja:

1. Redefinirajte vsak standardni ali samodejni uporaben makro, tako da onemogoči zaščito in popravi raven varnosti.
2. Dodajte okužbo tja.
3. Preverimo, ali je ta makro potreben in ali se okužba množi in je nujno registrirana v Normal.dot

Vse je zelo preprosto - zato obstaja toliko različnih različic makro bitij.

Ubil te bom z golimi rokami!

Obstaja več priljubljenih načinov za uničenje makrogazmov v že okuženih Wordovih dokumentih. Tukaj so skoraj vsi:

1. Ustvarite lasten makro z naslednjo kodo:
Podglavni
Onemogoči samodejne makre
End Sub
To čudo shranite pod imenom AutoExec in tako postanete neranljivi za samodejne makre.

2. Če manipulirate z ravnmi zaščite, bo Word pri izvajanju makrov vprašal za dovoljenje.

3. Ne uporabljajte formata doc. Konec koncev je v RTF mogoče postaviti vse - enake pisave, dizajn, tabele, grafike ... In RTF po definiciji ne vsebuje makrov. Vse bi bilo idealno, vendar obstaja pomanjkljivost: pri shranjevanju informacij v formatu rtf se vse slike samodejno pretvorijo v format bmp. Ta grafična oblika je tako težka, da je ne bi želeli svojemu sovražniku. Posledično lahko tudi po arhiviranju izguba velikosti nastale datoteke privede do dejstva, da preprosto ne bo pristajala na disketo (seveda odvisno od števila slik). Res je, če ni grafike, potem je rtf idealen.

Težko topništvo

Čas je, da ste pogumni in enkrat za vselej ubijete makro-bitja. Naloga ni tako težka za dokončanje: potrebujete neokužen računalnik in najnovejšo distribucijo Kaspersky Anti-Virus. Pred nekaj leti je Kaspersky Lab razvil modul, imenovan Office Guard. O tem bomo govorili.

Običajno Office Guard ni vključen v piratske distribucije, vendar ga lahko z nekaj spretnosti najdete. Kaj je ta stvar? Evo, kaj o tem pravijo ustvarjalci:
"Office Guard je v osnovi nova tehnologija za zaščito pred makro virusi in makro trojanci. Office Guard, ki je zasnovan za napredne uporabnike, izvaja revolucionaren pristop k protivirusni varnosti, ki temelji na principih vedenjskega blokatorja. V nasprotju s »klasičnimi« protivirusnimi zaščitnimi shemami, zgrajenimi na podlagi običajnega kontekstnega iskanja, Office Guard reši problem celovito in odpravi samo možnost delovanja makro virusov na zaščitenem računalniku. Office Guard razlikuje makro viruse ne po zunanji znaki(prisotnost določenega zaporedja znakov), temveč z njihovim obnašanjem, ki je določeno z zmožnostmi programskega jezika VBA ( Visual basic za
Aplikacija).«

Najbolj kul funkcija je, da je ni treba posodabljati! Vendar pa je njegova uporaba polna številnih pasti:

1. Namestiti ga je treba na neokužen stroj.
2. Če ste imeli nameščen Word, potem ste namestili Office Guard in nato še Excel, bo zaščiten samo Word. Potegnite svoje zaključke.
3. Office Guard lovi viruse, vendar jih NE USTVARJA.

Za rešitev zadnje težave potrebujete samo protivirusni skener. Tako daje AVP skener + Office Guard popolna varnost od makrovirusov. Če želite obdelati dokumente, boste morali občasno prenesti posodobitev za
AVP.

Vendar, bodimo pošteni - ne morete potegniti odeje v korist Kaspersky Laba, sicer bodo pogovori, kot so:
"In koliko so vam plačali za promocijo izdelka?"

Vsak posodobljen protivirusni program daje dobro, skoraj 100 %
zaščita pred makroplini. Samo vsak od njih uporablja različne tehnologije za to. DrWeb na primer uporablja iskanje po podpisu in hevristični analizator,
O tem smo se pogovarjali z njegovimi ustvarjalci:

Vaš protivirusni paket ne vključuje ločenega modula za boj proti makro virusom. Zakaj? Ali menite, da rezidenčni monitor zagotavlja varnost pred makro virusi?

Orodja za odkrivanje in boj proti makro virusom so sestavni del jedra DrWeb. In ker jedro uporabljata tako skener kot monitor, so vsi makro virusi odkriti in obravnavani enako dobro v obeh primerih.

WUA vključuje ločen modul proti makro virusom v MS Office. Razvijalci trdijo, da ta modul temelji na vedenjskem blokatorju, ki analizira dejanja pacientovega programa. Kot rezultat, ta izdelek zagotavlja 100-odstotno garancijo proti makro virusom, dokler ni izdan. nova različica VBA. Tisti. makrovirusi se ne iščejo po podpisih. Prednost tega
Pristop je, da po enkratni namestitvi takšnega modula ni treba posodobiti. Zdaj pa vprašanja: Ali DrWeb išče makro viruse po podpisu?

DrWeb išče makro viruse tako po podpisu kot z uporabo vgrajenega
originalni močan hevristični analizator. Mehanizem za iskanje in analizo makrov
izvaja se na več ravneh: skenira se tudi binarna koda makrov,
njihovo sestavljeno in izvorno besedilo. To omogoča odkrivanje znanih virusov,
njihove modifikacije, kot tudi neznani makro virusi. torej
Možno je ne le, da ni odvisno od nameščene različice
Paket MS Office (pojavila se je možnost prestrezanja tekočih makrov
samo v sistemu Office 2000 in ni bil na voljo v prejšnje različice), pa tudi na splošno iz
razpoložljivost MS Office na računalniku, na katerem se izvaja skeniranje
datotek - na primer na internetnem prehodu podjetja.

Poleg tega z uporabo hevristike, zgrajene na istih načelih
analizator, DrWeb lahko zazna neznane trojance,
backdoors, internetni črvi, irc, paket (bat) in skript
(vbs/vbe) virusi.

Vaše osebno mnenje: ali lahko modul iz WUA zagotovi 100% varnost pred makrookužbami?

Trenutne razmere so takšne, da je za učinkovit boj proti virusom vsak sodoben
Protivirusni izdelek je treba nemudoma posodobiti. na žalost,
ustvarjanje "absolutnega" protivirusnega programa je nemogoče.

Odgovori na vprašanja
Sergej Jurijevič Popov
Andrej Vladimirovič Bašarimov

Razvijalci protivirusni programi Dr WEB družina.

Makro virusi so potencialno nezaželeni pripomočki, napisani v mikrojezikih, ki so vgrajeni v sisteme za obdelavo grafike in besedila. Katere datoteke so okužene z makro virusi? Odgovor je očiten. Najpogostejše različice za Microsoft programi Excel, Word in Office 97. Ti virusi so precej pogosti, ustvarjanje pa je preprosto kot luščenje hrušk. Zato bodite zelo previdni in previdni pri nalaganju dokumentov s spleta. Večina uporabnikov jih podcenjuje in s tem naredi hudo napako.

Kako se računalnik okuži?

Ko smo se odločili, kaj so makro virusi, ugotovimo, kako prodrejo v sistem in okužijo računalnik. Preprosta metoda njihove reprodukcije vam omogoča, da zadenete največje število predmetov v najkrajšem možnem času. Zahvaljujoč zmožnostim makro jezikov pri zapiranju ali odpiranju okuženega dokumenta prodrejo v programe, do katerih dostopate.

To pomeni, da pri uporabi grafičnega urejevalnika makro virusi okužijo vse, kar je z njim povezano. Še več, nekateri so aktivni ves čas med pošiljanjem sporočil oz grafični urejevalnik delo ali dokler se računalnik popolnoma ne izklopi.

Kakšen je princip njihovega dela?

Njihovo delovanje poteka po naslednjem principu: pri delu z dokumenti, Microsoft Word izvaja različne ukaze, izdane v makro jeziku. Najprej program prodre v glavno predlogo, skozi katero se odprejo vse datoteke tega formata. V tem primeru virus kopira svojo kodo v makre, ki omogočajo dostop do glavnih parametrov. Ob izhodu iz programa se datoteka v avtomatski način shranjeno v piki (uporablja se za ustvarjanje novih dokumentov). Nato vstopi v standardne makre, poskuša prestreči ukaze, poslane drugim datotekam, in jih tudi okuži.

Okužba se pojavi v naslednjih primerih:

1. Če je v virusu samodejni makro (izvede se samodejno, ko se program izklopi ali zažene).
2. Virus ima osnovni sistemski makro (pogosto povezan z menijskimi elementi).
3. Aktivira se samodejno, ko pritisnete določene tipke ali kombinacije.
4. Reproducira se samo, ko se zažene.

Takšni virusi običajno okužijo vse datoteke, ustvarjene in povezane s programi v makro jeziku.

Kakšno škodo naredijo?

Makro virusov ne smemo podcenjevati, saj so popolni virusi in povzročajo veliko škodo računalnikom. Z lahkoto lahko izbrišejo, kopirajo ali uredijo vse predmete, ki med drugim vsebujejo osebne informacije. Poleg tega lahko podatke prenašajo tudi na druge osebe, ki jih uporabljajo E-naslov.

Zmogljivejši pripomočki lahko na splošno formatirajo trde diske in nadzorujejo delovanje celotnega računalnika. Zato je napačno mnenje, da tovrstni računalniški virusi predstavljajo nevarnost izključno za grafične in besedilne urejevalnike. Navsezadnje pripomočki, kot sta Word in Excel, delujejo v povezavi s številnimi drugimi, ki so v tem primeru prav tako ogroženi.

Prepoznavanje okužene datoteke

Pogosto datotek, okuženih z makro virusi in dovzetnih za njihov vpliv, sploh ni težko prepoznati. Navsezadnje delujejo povsem drugače od drugih pripomočkov istega formata.

Nevarnost je mogoče prepoznati po naslednjih znakih:

Poleg tega je grožnjo pogosto enostavno zaznati vizualno. Njihovi razvijalci običajno na zavihku »Povzetek« navedejo informacije, kot so ime pripomočka, kategorija, tema komentarja in ime avtorja, zaradi česar se lahko makro virusa znebite veliko hitreje in lažje. Pokličete ga lahko s pomočjo kontekstnega menija.

Metode odstranjevanja

Ko najdete sumljivo datoteko ali dokument, ga najprej pregledajte s protivirusnim programom. Če bo zaznana grožnja, jo bodo protivirusni programi poskušali ozdraviti, in če ne bodo uspešni, bodo popolnoma blokirali dostop do nje.

Če je bil okužen celoten računalnik, uporabite nujno pomoč zagonsko disketo, ki vsebuje antivirus z najnovejšo bazo podatkov. Pregledal bo vaš trdi disk in nevtraliziral vse grožnje, ki jih najde.

Če se ne morete zaščititi na ta način, vaš protivirusni program ne more narediti ničesar in ni reševalnega diska, poskusite z "ročno" metodo zdravljenja:

Tako boste makro virus odstranili iz okuženega dokumenta, nikakor pa to ne pomeni, da ne ostane v sistemu. Zato je priporočljivo skenirati celotno Osebni računalnik in vse njegove podatke z antivirusom ali (njihova prednost je, da ne zahtevajo namestitve).

Postopek zdravljenja in čiščenja računalnika pred okužbo z makro virusi je precej zapleten, zato je okužbo bolje preprečiti v začetnih fazah.

Tako se boste zaščitili in makro virusi ne bodo nikoli prodrli v ustrezne datoteke.

Med različnimi virusi lahko izpostavimo makro viruse, ki so kot noben drug nevarni ne le za operacijski sistem, ampak tudi za vse informacije, ki so shranjene na povezanih trdi diski. Virusi so posebej napisani programi v makro jezikih, ki so vgrajeni v nekatere sodobni sistemi obdelava podatkov (preglednice, urejevalniki besedil itd.).

Se pravi vse, kar se uporablja v pisarnah, doma itd. za vodenje poročil, dokumentacije in drugo. Tovrstni virusi so najbolj nevarni, če gledamo s strani izgube besedilne informacije. Za razmnoževanje maksimalno izkoristijo vse zmožnosti makro jezikov in z uporabo vseh možnosti prenašajo sebe (oz. programsko kodo) iz ene okužene datoteke (običajno tabele ali dokumenta) v druge. Danes so najpogostejši makro virusi za programske pakete Office 97, Microsoft Word in Excel. Razviti so bili tudi makro virusi, ki okužijo baze podatkov Microsoftovi podatki Dokumenti Access in Ami Pro.

Za obstoj makro virusov v določenem sistemu (v tem primeru v urejevalniku) je nujno, da je v sistem vgrajen poseben programski makro jezik z naslednjimi zmogljivostmi:

1. kopiranje posnetih makro programov iz določene datoteke v katero koli drugo;

2. vezava virusa v makro jeziku na določeno datoteko;

3. edinstvena priložnost za pridobitev popolnega nadzora nad virusnim makro programom (samodejni ali standardni makri).

Vse zgoraj navedene pogoje v celoti izpolnjujejo uredniki AmiPro, Microsoft Word Office 97, zbirka podatkov Microsoft Access, pa tudi Excelovo preglednico. Vsi ti sistemi vsebujejo različne makro jezike: Excel, Office 97 (vključno z Accessom, Word 97 in Excel 97) - Visual Basic za aplikacije in Word - Word Basic.

Danes so znani štirje povsem različni sistemi, za katere obstajajo ločeni virusi - Office 97, Microsoft Word, Excel in AmiPro. V teh sistemih makro virusi prevzamejo popoln nadzor med zapiranjem ali odpiranjem okužene datoteke. Po prevzemu nadzora virus prestreže vse funkcije datotek, nato pa prosto okuži datoteke, do katerih dostopa neposredno. Torej, če ste ujeli takšen virus in ste ga lahko identificirali, zelo ni priporočljivo odpreti ali na splošno delati z zgornjimi programi, dokler popolna odstranitev virus. Če zanemarite to pravilo, lahko virus izbriše pomembna informacija(dokumenti, tabele itd.). Po analogiji z MS-DOS lahko varno poudarimo, da je večina sodobnih makro virusov rezidenčnih: obnašajo se aktivno, ko je sam urejevalnik aktiven, in ne v trenutku odpiranja/zapiranja datoteke.

Virusi družine Macro

Virusi družine Macro uporabljajo zmožnosti makro jezikov, vgrajenih v sisteme za obdelavo podatkov (urejevalniki besedil, preglednice itd.).

Da bi virusi obstajali v določenem sistemu, je treba imeti vanj vgrajen makro jezik z možnostjo vezave programa v makro jeziku na določeno datoteko, kopiranja makro programov iz ene datoteke v drugo in pridobitve nadzora nad makro program brez posredovanja uporabnika (samodejni ali standardni makri).

Ti pogoji so izpolnjeni Microsoftovi urejevalniki Word in AmiPro ter preglednico Excel. Ti sistemi vsebujejo makro jezike (Word - Word Basic, Excel - Visual Basic), medtem ko so makro programi vezani na določeno datoteko (AmiPro) ali se nahajajo znotraj datoteke (Word, Excel), makro jezik vam omogoča kopiranje datotek (AmiPro) ali premakniti makro programe v storitvene sistemske datoteke (Word, Excel), pri delu z datoteko pod določenimi pogoji (odpiranje, zapiranje itd.) se kličejo makro programi (če obstajajo), ki so definirani na poseben način. (AmiPro) ali imajo standardna imena (Word, Excel).

Tako so danes znani trije sistemi, za katere obstajajo virusi - Microsoft Word, Excel in AmiPro. V njih virusi prevzamejo nadzor, ko se okužena datoteka odpre ali zapre, prestrežejo standardne funkcije datoteke in nato okužijo datoteke, do katerih se na nek način dostopa. Po analogiji z MS-DOS lahko rečemo, da so makro virusi rezidenčni - aktivni so ne samo v trenutku odpiranja/zapiranja datoteke, ampak tudi dokler je aktiven urejevalnik (sistem).

Virusi za Microsoft Office"97

Macro.Office97.Frenzy

Sestavljen je iz enega makra Frenzy, ki vsebuje samodejno funkcijo AutoOpen. Okuži sistem, ko se odpre okužena datoteka. Potem se zapiše v dokumente, ko se odprejo. Odvisno od sistemskega datuma in sistemskega naključnega števca prikaže besedilo

Word97.Frenzy avtorja Pyro

Makro.Office97.Minimalno

Precej primitiven makro virus za Office 97. Vsebuje en sam makro AutoOpen. Sistem okuži ob odprtju okužene datoteke, zapiše pa se tudi v dokumente, ko jih odpremo. Vsebuje komentirano besedilo

Veselin Bončev

Macro.Office97.NightShade

Sestavljen je iz enega samega makra NightShade, ki vsebuje samodejno funkcijo AutoClose in okuži sistem in dokumente, ko so datoteke zaprte. Onemogoči vgrajeno zaščito pred virusi in omogoči zagon samodejnih funkcij. Odvisno od trenutnega datuma in sistemskega naključnega števca prikaže besedilo

Word97.NightShade avtorja Pyro

Ob 13. sobotah nastavi geslo NightShade v dokumentih.

Virusi za Microsoft Excel

Macro.Excel.Laroux

Okuži Excelove preglednice ( datoteke XLS). Vsebuje dva makra: Auto_Open in Check_Files. Ko odprete okuženo datoteko, Excel samodejno zažene makro Auto_Open. V virusu ta makro vsebuje samo en ukaz, ki definira makro Check_Files, ki se izvede, ko je aktivirana katera koli tabela (Sheet). Tako virus prestreže postopek odpiranja tabel in ob aktiviranju tabele okuženi Excel pokliče makro Check_Files, to je kodo virusa.

Ko makro Check_Files prevzame nadzor, poišče datoteko PERSONAL.XLS v Excelovem zagonskem imeniku in preveri število modulov v trenutnem delovnem zvezku. Če je Delovni zvezek z virusom aktiven in datoteka PERSONAL.XLS ne obstaja (prva okužba), potem virus ustvari datoteko s tem imenom v Excelovem zagonskem imeniku z ukazom SaveAs. Posledično se vanj zapiše koda virusa iz trenutne datoteke. Pri naslednjem nalaganje Excela naloži vse datoteke XLS iz zagonskega imenika, okužena datoteka PERSONAL.XLS se prav tako naloži v pomnilnik, virus ponovno prevzame nadzor in pri odpiranju tabel bo znova priklican makro Check_Files iz PERSONAL.XLS.

Če je število modulov v trenutnem delovnem zvezku 0 (okuženi delovni zvezek ni aktiven) in datoteka PERSONAL.XLS že obstaja, potem virus svojo kodo prepiše v aktivni delovni zvezek. Po tem se aktivni delovni zvezek okuži.

Ni težko preveriti vašega sistema za virus. Če je virus že prodrl v računalnik, naj bo v Excelovem imeniku datoteka PERSONAL.XLS, v kateri je vidna vrstica laroux (z malimi črkami). Ista vrstica je prisotna tudi v drugih okuženih datotekah.

Macro.Excel.Legend

Okužba z makro virusi datoteke Excel. Vsebuje en modul (makro) z imenom Legenda. Ta modul vključuje dva postopka - Auto_Open in INFECT. Auto_Open je Excelov postopek, ki se samodejno pokliče, ko se odpre datoteka. Ko se Auto_Open zažene, namesti drugo virusno proceduro (Infect) kot obravnavo dogodkov SheetActivate, kar pomeni, da bo Excel pri odpiranju katere koli tabele poklical proceduro Infect.

Ob klicu postopek Infect okuži datoteko PERSONAL.XLS (ko je okužena datoteka odprta) ali trenutno datoteko (če še ni okužena). Po okužbi virus iz menija odstrani element Orodja/Makro. Če je UserName = "Pyro" in OrganizationName = "VBB", virus takoj preneha delovati in ne okuži nobene datoteke. Glede na trenutni dan in sistemski naključni števec virus prikaže MessageBox:

Legenda vas je okužila!

Macro.Excel.Robocop

Makro virus, ki napada datoteke Excel. Vključuje dva modula (makra): COP in ROBO. Modul ROBO vsebuje samodejno klicano proceduro Auto_Open, ki ob odpiranju okuženega dokumenta zapiše kodo virusa v datoteko PERSONAL.XLS in kodi virusa nastavi naslov upravljalnika aktivacije tabele (SheetActivate). Virus nato okuži datoteke, ko se odprejo tabele.

ROBOCOP Joker iz nočne more

Macro.Excel.Sofa

Okuži Excelove preglednice. Vsebuje en modul (makro), katerega ime je sestavljeno iz 11 presledkov in zato ni viden na seznamu makrov v meniju Orodja/Makri. Modul vsebuje štiri makro funkcije: Auto_Open, Auto_Range, Current_Open, Auto_Close. Vse virusne funkcije kot rezultat vrnejo Null.

Ko odprete okuženo datoteko, se sproži makro funkcija Auto_Open, ki »preimenuje« Excel - v naslovni vrstici se namesto Microsoft Excel pojavi Microsofa Excel. Če v imeniku Startup Path ni datoteke BOOK.XLT (sistem še ni okužen), se na zaslonu prikaže naslednje sporočilo:

Microsoft Excel je zaznal poškodovano datoteko dodatka. Kliknite V redu, da popravite to datoteko.

Ne glede na odziv uporabnika se v imeniku Startup Path ustvari datoteka BOOK.XLT, ki vsebuje virusno kodo. Po okužbi se prikaže sporočilo

Datoteka uspešno popravljena!

Ko se naloži, Excel samodejno prenese datoteke XLT z zagonske poti in ustrezno aktivira virus. Virus svojo funkcijo Auto_Range dodeli funkciji OnSheetActivate in ob vsaki aktivaciji tabele preveri aktivno datoteko za okužbo in jo, če datoteka ni okužena, okuži.

Virus se ne pusti raztovoriti iz Excela - pri zapiranju vsake datoteke funkciji OnWindow dodeli isto funkcijo Auto_Range, torej se ponovno aktivira, ko se odpre nova datoteka.

Macro.Excel.Yohimbe

Sestavljen je iz enega modula (makra) z imenom Exec. Ta modul vsebuje tri rutine: Auto_Open, DipDing, PayLoad in funkcijo SheetExists. Podprogram Auto_Open se samodejno pokliče, ko se odpre okužena datoteka - virus okuži PERSONAL.XLS. V primeru kakršne koli napake se virus zapiše vsem odprte datoteke(knjige). Pred vrnitvijo nadzora Auto_Open nastavi rutino DipDing na Excelov časovnik. Ta rutina se kliče od 16:00 in okuži odprte datoteke.

Virus zapiše niz Yohimbe v glavo tabele. Nastavi tudi časovnik za podprogram PayLoad - pokliče se ob 16:45 in v trenutno tabelo vstavi sliko in besedilo

Makro virusi so programi, napisani v jezikih (makro jezikih), vgrajenih v nekatere sisteme za obdelavo podatkov (urejevalniki besedil, preglednice itd.). Za razmnoževanje takšni virusi uporabljajo zmožnosti makro jezikov in se z njihovo pomočjo prenašajo iz ene okužene datoteke (dokumenta ali tabele) v druge.

Za obstoj virusov v določenem sistemu (urejevalniku) je potrebno imeti v sistemu vgrajen makro jezik z naslednjimi zmogljivostmi:

1. vezava programa v makro jeziku na določeno datoteko;

2. kopiranje makro programov iz ene datoteke v drugo;

možnost pridobitve nadzora nad makro programom brez posredovanja uporabnika (samodejni ali standardni makri).

Omrežni računalniški virusi .

Mrežni virusi vključujejo viruse, ki aktivno uporabljajo protokole in zmogljivosti lokalnih in globalna omrežja. Glavni princip mrežnega virusa je zmožnost samostojnega prenosa svoje kode na oddaljeni strežnik oz delovna postaja. Omrežni virusi imajo tudi možnost zagnati svojo kodo oddaljeni računalnik ali potisnite uporabnika, da zažene okuženo datoteko.

Obstaja veliko kombinacij - na primer virusi za zagon datotek, ki okužijo datoteke in zagonske sektorje diskov. Takšni virusi imajo praviloma precej zapleten algoritem delovanja, pogosto uporabljajo izvirne metode prodiranja v sistem ter uporabljajo prikrite in polimorfne tehnologije. Drug primer takšne kombinacije je omrežni makro virus, ki ne le okuži dokumente, ki se urejajo, ampak tudi pošilja svoje kopije po elektronski pošti.

Okužen operacijski sistem(natančneje OS, katerega objekti so dovzetni za okužbo) je druga stopnja delitve virusov na razrede. Vsak datotečni ali omrežni virus okuži datoteke enega ali več operacijskih sistemov.

Makro virusi okužijo datoteke v formatih Word, Excel in Office. Zagonski virusi so usmerjeni tudi na posebne formate za lokacijo sistemskih podatkov v zagonskih sektorjih diskov.

Značilnosti algoritma delovanja računalniški virusi:

1. Prebivališče.

2. Uporaba prikritih algoritmov.

3. Samošifriranje in polimorfizem.

4. Uporaba nestandardnih tehnik.

Pod izrazom prebivališče se nanaša na sposobnost virusov, da v sebi pustijo svoje kopije sistemski pomnilnik, prestrezajo nekatere dogodke (na primer dostop do datotek ali diskov) in kličejo postopke za okužbo zaznanih objektov (datotek in sektorjev). Tako so rezidenčni virusi aktivni ne samo med izvajanjem okuženega programa, temveč tudi po tem, ko se program konča. Rezidenčne kopije takšnih virusov ostanejo sposobne preživeti do naslednjega ponovnega zagona, tudi če so vse okužene datoteke na disku uničene. Pogosto se takšnih virusov ni mogoče znebiti z obnovitvijo vseh kopij datotek z distribucijskih diskov ali varnostnih kopij. Rezidenčna kopija virusa ostane aktivna in znova okuži ustvarjene datoteke. Enako velja za zagonske viruse - formatiranje diska, ko je v pomnilniku rezidenčni virus, ne ozdravi vedno diska, saj številni rezidenčni virusi disk znova okužijo po formatiranju.

Nerezident virusi pa so, nasprotno, aktivni precej kratek čas, le v trenutku, ko se zažene okuženi program. Za širjenje iščejo neokužene datoteke na disku in pišejo vanje. Ko virusna koda prenese nadzor na gostiteljski program, se vpliv virusa na delovanje operacijskega sistema zmanjša na nič do naslednjega zagona kateregakoli okuženega programa.

Stealth virusi na tak ali drugačen način skrivajo dejstvo svoje prisotnosti v sistemu.

TO polimorfni virusi Sem sodijo tisti, katerih odkrivanje je nemogoče (ali izjemno težko) z uporabo tako imenovanih virusnih mask – odsekov stalne kode, značilne za določen virus. To se doseže na dva glavna načina – s šifriranjem glavne virusne kode z nestalnim ključem in naključnim naborom ukazov za dešifriranje ali s spremembo same izvršljive kode virusa.

Različno nestandardne tehnike se pogosto uporabljajo v virusih, da se skrijejo čim globlje v jedro operacijskega sistema.

Destruktivne možnosti viruse lahko razdelimo na:

1. Neškodljivo , ki na noben način ne vplivajo na delovanje računalnika (razen zmanjšanja prostega pomnilnika na disku zaradi njihove distribucije).

2. Nenevarno , katerega vpliv je omejen z zmanjšanjem prostega pomnilnika na disku ter grafičnih, zvočnih in drugih učinkov.