Makrovirus är en infektion som förgiftar livet för alla användare. Även om du är en systemprogrammerare minst tre gånger, har hon fortfarande en god chans att slåss mot dig. Många människor underskattar helt enkelt denna kategori av virus och förgäves är de inte så ofarliga som de verkar. När det gäller överlevnadsförmåga kan de jämföras med råttor och kackerlackor - de anpassar sig till allt och dör väldigt sällan. Det är dags att ta itu med makroinfektionen en gång för alla.

Makrovirusarkitektur

Till en början en tydlig definition: ett makrovirus är ett virus som kan reproduceras och lagras på egen hand (utan användarens inblandning), med hjälp av ett makrospråk. Av definitionen följer att makrovirus inte bara kan leva i Word-dokument, utan i ALLA kontorsdokument som implementerar makrospråkfunktioner som att kopiera makron och spara dem. Det är nästan full lista applikationer som är utsatta för hotet om makroinfektion: Word (valfri), Excel, AmiPro (detta är en textredigerare), MS Visio, PowerPoint, MS Access och 1C. Som du kan se är antalet sådana program ganska stort, och på Internet kan du ofta hitta artiklar som definierar makrovirus enligt följande:
"virus som infekterar dokumentfiler i formatet
WinWord". Några idioter skrev det!

Låt oss nu prata om strukturen för ett makrovirus för Word (som det mest relevanta). Så. Det finns något som heter vanliga makron. Dessa inkluderar: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Prefixet auto- betyder att åtgärden utförs automatiskt, utan användaringripande (även om detta beror på den inställda säkerhetsnivån, men vi kommer att prata om detta senare). Det vill säga, genom att lägga till en infektion i ett makro med det namnet kan du "återuppliva" det. Dessutom finns det ett standardmakro för varje standardåtgärd. Till exempel för att skriva ut FilePrint, för att spara FileSave, för att spara i ett annat format eller med ett annat namn FileSaveAs. Och dessa makron kan vara infekterade.

Det slutgiltiga målet för alla makro-rövhål är att knulla normal.dot (den lagrar alla mallinställningar). Då kommer alla öppna filer att infekteras och dina texter kommer att skadas.
Word tillhandahåller flera säkerhetsnivåer: hög, medium och låg. Den innehåller också en inbyggd försvarsmekanism mot makroinfektion. Enligt utvecklarna ska detta verka på makrovirus som silver på onda andar. Det kan vara så att det fungerar, om inte för ett "men". Det är på grund av detta som jag inte kommer att fördjupa mig i skillnaderna mellan säkerhetsnivåer och de interna inställningarna i Word. Men poängen är att ALLA interna säkerhetsparametrar enkelt kan ÄNDRAS genom registret. Lyckligtvis tillåter makrospråk detta
do. Jag kommer inte att föreskriva specifika vägar (var man ska leta efter vad), för att inte fresta dina lekfulla händer. De som är särskilt begåvade kan kontakta mig via e-post - jag kommer att informera dig, men "endast i syfte att bekanta dig med denna sårbarhet programvara, för att eliminera dem" :)

För att sammanfatta det är strukturen för ett makrovirus som följer:

1. Omdefiniera vilket standard- eller automatiskt användbart makro som helst så att det inaktiverar skyddet och korrigerar säkerhetsnivån.
2. Lägg till infektion där.
3. Vi kontrollerar att detta makro är efterfrågat, och att infektionen multipliceras och nödvändigtvis registreras i Normal.dot

Allt är ganska enkelt - det är därför det finns så många olika varianter av makrovarelser.

Jag dödar dig med mina bara händer!

Det finns flera populära sätt att förstöra makrogasmer i redan infekterade Word-dokument. Här är de nästan alla:

1. Skapa ditt eget makro med följande kod:
Sub Main
Inaktivera AutoMacros
Avsluta Sub
Du sparar detta mirakel under namnet AutoExec och blir därmed osårbar för automakron.

2. Om du manipulerar skyddsnivåerna kommer Word att be om tillstånd när makron körs.

3. Använd inte doc-format. Allt kan trots allt placeras i RTF - samma typsnitt, design, tabeller, grafik... Och RTF innehåller per definition inte makron. Allt skulle vara perfekt, men det finns en nackdel: när du sparar information i rtf-format konverteras alla bilder automatiskt till bmp-format. Det här grafiska formatet väger så mycket att du inte önskar det åt din fiende. Som ett resultat, även efter arkivering, kan en förlust av storleken på den resulterande filen leda till att den helt enkelt inte får plats på en diskett (beroende, naturligtvis, på antalet bilder). Det är sant att om det inte finns någon grafik är rtf idealiskt.

Tungt artilleri

Det är dags att vara modig och döda makrovarelserna en gång för alla. Uppgiften är inte så svår att slutföra: du behöver en oinfekterad dator och den senaste distributionen av Kaspersky Anti-Virus. För flera år sedan utvecklade Kaspersky Lab en modul som heter Office Guard. Det är vad vi ska prata om.

Vanligtvis ingår inte Office Guard i piratkopierade distributioner, men med viss skicklighet kan du hitta det. Vad är det här för sak? Här är vad skaparna säger om det:
"Kontorsvakten är i grunden ny teknologi för skydd mot makrovirus och makrotrojaner. Office Guard, som är designat för avancerade användare, implementerar ett revolutionerande tillvägagångssätt för antivirussäkerhet baserat på principerna för en beteendeblockerare. I motsats till de "klassiska" antivirusskyddssystemen som bygger på konventionell kontextsökning, löser Office Guard problemet på ett omfattande sätt och eliminerar själva möjligheten för makrovirus som fungerar på en skyddad dator. Office Guard skiljer makrovirus inte med yttre tecken(närvaron av en viss sekvens av tecken), men av deras beteende, vilket bestäms av funktionerna hos VBA-programmeringsspråket ( Visual Basic för
Ansökan)."

Den coolaste funktionen är att den inte behöver uppdateras! Men dess användning är fylld med många fallgropar:

1. Den ska installeras på en oinfekterad maskin.
2. Om du hade Word installerat, då du installerade Office Guard, och sedan installerade Excel, då kommer bara Word att skyddas. Dra dina egna slutsatser.
3. Office Guard fångar virus, men SKAPAR INTE.

För att lösa det sista problemet behöver du bara en antivirusskanner. Således, AVP scanner + Office Guard ge fullständig säkerhet från makrovirus. Om du vill behandla dokument måste du då och då ladda ner en uppdatering för
AVP.

Men låt oss vara rättvisa - du kan inte dra i filten till förmån för Kaspersky Lab, annars kommer det att bli konversationer som:
"Och hur mycket betalade de dig för att marknadsföra produkten?"

Alla uppdaterade antivirus ger en bra, nästan 100 %,
skydd mot makrogaser. Det är bara att var och en av dem använder olika tekniker för detta. Till exempel använder DrWeb en signatursökning och en heuristisk analysator,
Det här är vad vi pratade om med dess skapare:

Ditt antiviruspaket innehåller inte en separat modul för att bekämpa makrovirus. Varför? Tror du att en bosatt monitor garanterar säkerhet mot makrovirus?

Verktyg för att upptäcka och bekämpa makrovirus är en integrerad del av DrWeb-kärnan. Och eftersom kärnan används av både skannern och monitorn, upptäcks och behandlas alla makrovirus lika bra i båda fallen.

WUA inkluderar en separat modul mot makrovirus i MS Office. Utvecklarna hävdar att denna modul är baserad på en beteendeblockerare som analyserar patientprogrammets åtgärder. Som ett resultat ger denna produkt en 100 % garanti mot makrovirus tills den släpps. en ny version VBA. De där. makrovirus söks inte efter med signaturer. Fördelen med detta
Tillvägagångssättet är att efter att ha installerat en sådan modul en gång behöver den inte uppdateras. Nu frågorna: Söker DrWeb efter makrovirus med signatur?

DrWeb söker efter makrovirus både med signatur och med den inbyggda
original kraftfull heuristisk analysator. Makrosökning och analysmekanism
implementeras på flera nivåer: den binära koden för makron skannas också,
deras sammanställda och källtext. Detta möjliggör upptäckt av kända virus,
deras modifieringar, såväl som okända makrovirus. Således,
Det blir möjligt att inte bara inte bero på versionen av den installerade
MS Office-paketet (möjligheten att fånga upp körande makron har dykt upp
endast i Office 2000 och var inte tillgänglig i tidigare versioner), men också i allmänhet från
tillgängligheten för MS Office på den dator som skanningen utförs på
filer - till exempel på en företagsinternetgateway.

Dessutom använder man en heuristik som bygger på samma principer
analysator, DrWeb kan upptäcka okända trojaner,
bakdörrar, internetmaskar, irc, batch (batch) och script
(vbs/vbe) virus.

Din personliga åsikt: kan en modul från WUA ge 100 % säkerhet mot makroinfektioner?

Den nuvarande situationen är sådan att för att effektivt bekämpa virus, alla moderna
Antivirusprodukten måste uppdateras omgående. Tyvärr,
att skapa ett "absolut" antivirus är omöjligt.

Frågor besvarade
Sergey Yurievich Popov
Andrey Vladimirovich Basharimov

Utvecklare antivirusprogram Dr WEB familj.

Makrovirus är potentiellt oönskade verktyg skrivna på mikrospråk som är inbyggda i grafik- och textbehandlingssystem. Vilka filer är infekterade av makrovirus? Svaret är uppenbart. De vanligaste versionerna för Microsoft-program Excel, Word och Office 97. Dessa virus är ganska vanliga och att skapa dem är lika enkelt som att beskjuta päron. Det är därför du bör vara extremt försiktig och försiktig när du laddar ner dokument från Internet. De flesta användare underskattar dem och gör därmed ett allvarligt misstag.

Hur blir en dator infekterad?

När vi har bestämt vad makrovirus är, låt oss ta reda på hur de penetrerar systemet och infekterar datorn. En enkel metod för deras reproduktion gör att du kan träffa det maximala antalet objekt på kortast möjliga tid. Tack vare funktionerna hos makrospråk, när du stänger eller öppnar ett infekterat dokument, penetrerar de programmen som används.

Det vill säga när man använder en grafisk editor infekterar makrovirus allt som är kopplat till det. Dessutom är vissa aktiva hela tiden medan de sms:ar eller grafikredigerare fungerar, eller tills datorn är helt avstängd.

Vad är principen för deras arbete?

Deras åtgärd sker enligt följande princip: när du arbetar med dokument, Microsoft Word kör olika kommandon på makrospråk. Först och främst penetrerar programmet huvudmallen, genom vilken alla filer i detta format öppnas. I det här fallet kopierar viruset sin kod till makron som ger tillgång till huvudparametrarna. När du avslutar programmet kommer filen in automatiskt läge sparas i punkt (används för att skapa nya dokument). Därefter kommer den in i vanliga makron, försöker fånga upp kommandon som skickas till andra filer och infekterar dem också.

Infektion uppstår i följande fall:

1. Om det finns ett automakro i viruset (utförs automatiskt när programmet stängs av eller startas).
2. Viruset har ett grundläggande systemmakro (ofta förknippat med menyalternativ).
3. Aktiveras automatiskt när du trycker på specifika tangenter eller kombinationer.
4. Den återskapas först när den lanseras.

Sådana virus infekterar vanligtvis alla filer som skapas och associeras med program på ett makrospråk.

Vilken skada gör de?

Makrovirus ska inte underskattas, eftersom de är fullfjädrade virus och orsakar betydande skada på datorer. De kan enkelt ta bort, kopiera eller redigera alla objekt som innehåller bl.a. personlig information. Dessutom kan de också överföra information till andra personer som använder E-post.

Kraftfullare verktyg kan i allmänhet formatera hårddiskar och styra driften av hela datorn. Det är därför uppfattningen att den här typen av datavirus utgör en fara uteslutande för grafik och textredigerare är felaktig. När allt kommer omkring fungerar verktyg som Word och Excel tillsammans med en rad andra, som i det här fallet också är i riskzonen.

Känner igen en infekterad fil

Ofta är filer som är infekterade med makrovirus och som är mottagliga för deras påverkan inte alls svåra att identifiera. När allt kommer omkring fungerar de helt annorlunda än andra verktyg av samma format.

Faran kan identifieras genom följande tecken:

Dessutom är hotet ofta lätt att upptäcka visuellt. Deras utvecklare anger vanligtvis på fliken "Sammanfattning" sådan information som namnet på verktyget, kategorin, ämnet för kommentaren och namnet på författaren, tack vare vilket du kan bli av med ett makrovirus mycket snabbare och enklare. Du kan kalla det med hjälp av snabbmenyn.

Borttagningsmetoder

När du hittar en misstänkt fil eller ett misstänkt dokument ska du först skanna det med ett antivirusprogram. Om ett hot upptäcks kommer antivirus att försöka bota det, och om det misslyckas kommer de att helt blockera åtkomsten till det.

Om hela datorn har blivit infekterad bör du använda nödsituationen startdiskett, som innehåller antivirusprogrammet med den senaste databasen. Den kommer att skanna din hårddisk och neutralisera alla hot den hittar.

Om du inte kan skydda dig själv på det här sättet, ditt antivirus kan inte göra någonting, och det finns ingen räddningsskiva, bör du prova den "manuella" behandlingsmetoden:

På så sätt tar du bort makroviruset från det infekterade dokumentet, men det betyder inte på något sätt att det inte finns kvar i systemet. Det är därför det rekommenderas att skanna hela Personlig dator och alla dess data med antivirus eller (deras fördel är att de inte kräver installation).

Processen att behandla och rengöra en dator från infektion med makrovirus är ganska komplex, så det är bättre att förhindra infektion i de inledande stadierna.

På så sätt kommer du att skydda dig själv och makrovirus kommer aldrig att tränga in i motsvarande filer.

Bland olika virus kan man peka ut makrovirus, som, som inga andra, är farliga inte bara för operativ system, men även för all information som lagras på uppkopplad hårddiskar. Virus är specialskrivna program på makrospråk som är inbyggda i vissa moderna system databehandling (kalkylblad, textredigerare etc.).

Det vill säga allt som används på kontor, hemma osv. för att upprätthålla rapporter, dokumentation och annat. Virus av denna typ är de farligaste när de ses från förlustsidan textinformation. För att reproducera använder de alla funktioner hos makrospråk maximalt och, med alla möjligheter, överför sig själva (eller snarare programkoden) från en infekterad fil (vanligtvis en tabell eller ett dokument) till andra. Idag är vanligast makrovirus för programpaketen Office 97, Microsoft Word och Excel. Det har också utvecklats makrovirus som infekterar databaser Microsoft data Access- och Ami Pro-dokument.

För att makrovirus ska existera i ett visst system (i det här fallet i redigeraren) är det extremt nödvändigt att ha ett speciellt programvarumakrospråk inbyggt i systemet med följande möjligheter:

1. kopiera inspelade makroprogram från en specifik fil till någon annan;

2. binda viruset på ett makrospråk till en specifik fil;

3. en unik möjlighet att få full kontroll över virusmakroprogrammet (automatiska eller standardmakron).

Alla ovanstående villkor är helt uppfyllda av redaktörerna AmiPro, Microsoft Word Office 97, databas Microsoft Access, samt ett Excel-kalkylblad. Alla dessa system innehåller en mängd olika makrospråk: Excel, Office 97 (inklusive Access, Word 97 och Excel 97) - Visual Basic för applikationer och Word - Word Basic.

Idag är fyra helt olika system välkända, för vilka det finns separata virus - Office 97, Microsoft Word, Excel och AmiPro. I dessa system tar makrovirus full kontroll under stängning eller öppning av den infekterade filen. Efter att ha fått kontroll, fångar viruset upp alla filfunktioner, varefter det fritt infekterar filer som är direkt åtkomliga. Således, om du fångade ett sådant virus och kunde identifiera det, rekommenderas det starkt inte att öppna eller generellt arbeta med ovanstående program förrän fullständigt avlägsnande virus. Om du försummar denna regel kan viruset ta bort viktig information(dokument, tabeller etc.). I analogi med MS-DOS kan vi säkert betona att de flesta moderna makrovirus är inhemska: de beter sig aktivt medan själva redigeraren är aktiv, och inte vid öppning/stängning av en fil.

Virus från makrofamiljen

Virus från makrofamiljen använder funktionerna hos makrospråk som är inbyggda i databehandlingssystem (textredigerare, kalkylblad, etc.).

För att virus ska existera i ett visst system är det nödvändigt att ha ett makrospråk inbyggt i det med förmågan att binda ett program på ett makrospråk till en specifik fil, kopiera makroprogram från en fil till en annan och få kontroll över makroprogram utan användaringripande (automatiska eller standardmakron).

Dessa villkor är uppfyllda Microsofts redaktörer Word och AmiPro, samt ett Excel-kalkylblad. Dessa system innehåller makrospråk (Word - Word Basic, Excel - Visual Basic), medan makroprogram är knutna till en specifik fil (AmiPro) eller finns i en fil (Word, Excel), makrospråket låter dig kopiera filer (AmiPro) eller flytta makroprogram till servicesystemfiler (Word, Excel), när man arbetar med en fil under vissa förutsättningar (öppning, stängning etc.) anropas makroprogram (om några) som definieras på ett speciellt sätt (AmiPro) eller har standardnamn (Word, Excel).

Så idag finns det tre kända system för vilka virus finns - Microsoft Word, Excel och AmiPro. I dem tar virus kontroll när en infekterad fil öppnas eller stängs, fångar upp standardfilfunktioner och infekterar sedan filer som nås på något sätt. I analogi med MS-DOS kan vi säga att makrovirus är inhemska - de är aktiva inte bara vid öppning/stängning av en fil, utan också så länge som själva redigeraren (systemet) är aktiv.

Virus för Microsoft Office"97

Macro.Office97.Frenzy

Består av ett enda Frenzy-makro som innehåller AutoOpen auto-funktionen. Infekterar systemet när en infekterad fil öppnas. Sedan skrivs det in i dokument när de öppnas. Beroende på systemets datum och systemets slumpräknare, visar text

Word97.Frenzy av Pyro

Macro.Office97.Minimal

Ett ganska primitivt makrovirus för Office 97. Det innehåller ett enda AutoOpen-makro. Det infekterar systemet när en infekterad fil öppnas, den skrivs också till dokument när de öppnas. Innehåller kommenterad text

Vesselin Bontchev

Macro.Office97.NightShade

Den består av ett enda NightShade-makro som innehåller AutoClose auto-funktionen och infekterar systemet och dokument när filer stängs. Inaktiverar inbyggt virusskydd och låter automatiska funktioner köras. Beroende på aktuellt datum och systemets slumpräknare, visar text

Word97.NightShade av Pyro

På den 13:e lördagen ställer du in NightShade-lösenordet i dokument.

Virus för Microsoft excel

Macro.Excel.Laroux

Infekterar Excel-kalkylblad ( XLS-filer). Innehåller två makron: Auto_Open och Check_Files. När du öppnar en infekterad fil kör Excel automatiskt makrot Auto_Open. I viruset innehåller detta makro bara ett kommando, som definierar Check_Files-makrot som att det körs när någon tabell (ark) aktiveras. Således fångar viruset upp proceduren för att öppna tabeller och när tabellen är aktiverad anropar den infekterade Excel makrot Check_Files, det vill säga viruskoden.

När det väl har kontroll letar makrot Check_Files efter filen PERSONAL.XLS i startkatalogen för Excel och kontrollerar antalet moduler i den aktuella arbetsboken. Om en arbetsbok med ett virus är aktiv och filen PERSONAL.XLS inte existerar (första infektionen), skapar viruset en fil med detta namn i startkatalogen för Excel med kommandot SaveAs. Som ett resultat skrivs viruskoden från den aktuella filen till den. Vid nästa laddar Excel laddar alla XLS-filer från startkatalogen, den infekterade PERSONAL.XLS-filen laddas också in i minnet, viruset tar igen kontroll och när tabeller öppnas kommer Check_Files-makrot från PERSONAL.XLS att anropas igen.

Om antalet moduler i den aktuella arbetsboken är 0 (den infekterade arbetsboken är inte aktiv) och filen PERSONAL.XLS redan finns, så skriver viruset om sin kod till den aktiva arbetsboken. Efter detta blir den aktiva arbetsboken infekterad.

Det är inte svårt att kontrollera ditt system för virus. Om viruset redan har trängt in i datorn bör Excel-katalogen innehålla filen PERSONAL.XLS, där raden laroux (med små bokstäver) är synlig. Samma rad finns också i andra infekterade filer.

Makro.Excel.Legend

Makrovirus infekterar Excel-filer. Innehåller en modul (makro) som heter Legend. Denna modul innehåller två procedurer - Auto_Open och INFECT. Auto_Open är en Excel-procedur som automatiskt anropas när en fil öppnas. När Auto_Open startas installerar den andra virusproceduren (Infect) som en SheetActivate-händelsehanterare, det vill säga när Excel öppnar en tabell anropar Infect-proceduren.

När infekteringsproceduren anropas infekterar den antingen filen PERSONAL.XLS (när en infekterad fil är öppen) eller den aktuella filen (om den ännu inte är infekterad). Efter infektion tar viruset bort objektet Verktyg/Makro från menyn. Om UserName = "Pyro" och OrganizationName = "VBB", slutar viruset omedelbart att fungera och infekterar inga filer. Beroende på aktuell dag och systemets slumpräknare visar viruset en MessageBox:

Du har blivit infekterad av legend!

Macro.Excel.Robocop

Makrovirus som attackerar Excel-filer. Inkluderar två moduler (makron): COP och ROBO. ROBO-modulen innehåller en automatiskt kallad Auto_Open-procedur, som, när ett infekterat dokument öppnas, skriver viruskoden till filen PERSONAL.XLS och ställer in adressen till tabellaktiveringshanteraren (SheetActivate) till viruskoden. Viruset infekterar sedan filer när tabeller öppnas.

ROBOCOP Mardrömsjoker

Makro.Excel.soffa

Infekterar Excel-kalkylblad. Innehåller en modul (makro), vars namn består av 11 blanksteg och därför inte syns i listan över makron i menyn Verktyg/Makro. Modulen innehåller fyra makrofunktioner: Auto_Open, Auto_Range, Current_Open, Auto_Close. Alla virusfunktioner returnerar null som ett resultat.

När du öppnar en infekterad fil utlöses makrofunktionen Auto_Open, som "döper om" Excel - Microsofa Excel visas i rubrikraden istället för Microsoft Excel. Om det inte finns någon BOOK.XLT-fil i katalogen Startup Path (systemet är ännu inte infekterat) visas följande meddelande på skärmen:

Microsoft Excel har upptäckt en skadad tilläggsfil. Klicka på OK för att reparera den här filen.

Oavsett användarens svar skapas en BOOK.XLT-fil som innehåller viruskoden i katalogen Startup Path. Efter infektion visas ett meddelande

Filen har reparerats!

När det är laddat laddar Excel automatiskt ned XLT-filer från startvägen och aktiverar därför viruset. Viruset tilldelar sin Auto_Range-funktion till OnSheetActivate-funktionen och, varje gång tabellen aktiveras, kontrollerar den den aktiva filen för infektion och, om filen inte är infekterad, infekterar den den.

Viruset låter sig inte laddas ur från Excel - när man stänger varje fil tilldelar det samma Auto_Range-funktion till OnWindow-funktionen, det vill säga att det återaktiveras när en ny fil öppnas.

Macro.Excel.Yohimbe

Består av en modul (makro) som heter Exec. Denna modul innehåller tre rutiner: Auto_Open, DipDing, PayLoad och SheetExists-funktionen. Subrutinen Auto_Open anropas automatiskt när en infekterad fil öppnas - viruset infekterar PERSONAL.XLS. Vid eventuella fel skrivs viruset till alla öppna filer(böcker). Innan kontrollen återgår, ställer Auto_Open in DipDing-rutinen till Excel-timern. Denna rutin kallas med start kl 16:00 och infekterar öppna filer.

Viruset skriver strängen Yohimbe till tabellhuvudet. Den ställer också in en timer på PayLoad-subrutinen - den anropas 16:45 och infogar en bild och text i den aktuella tabellen

Makrovirus är program skrivna på språk (makrospråk) inbyggda i vissa databehandlingssystem (textredigerare, kalkylblad, etc.). För att reproducera använder sådana virus funktionerna hos makrospråk och, med deras hjälp, överföra sig själva från en infekterad fil (dokument eller tabell) till andra.

För att virus ska existera i ett specifikt system (redigerare) är det nödvändigt att ha ett makrospråk inbyggt i systemet med följande funktioner:

1. binda ett program på ett makrospråk till en specifik fil;

2. kopiering av makroprogram från en fil till en annan;

möjligheten att få kontroll över ett makroprogram utan användaringripande (automatiska eller standardmakron).

Nätverksdatorvirus .

Nätverksvirus inkluderar virus som aktivt använder protokoll och funktioner för lokala och globala nätverk. Huvudprincipen för ett nätverksvirus är förmågan att självständigt överföra sin kod till en fjärrserver eller arbetsstation. Nätverksvirus har också möjlighet att köra sin kod på fjärrdator eller tryck på användaren att köra en infekterad fil.

Det finns ett stort antal kombinationer - till exempel filstartvirus som infekterar både filer och startsektorer av diskar. Sådana virus har som regel en ganska komplex driftsalgoritm, använder ofta originalmetoder för att penetrera systemet och använder stealth och polymorfa teknologier. Ett annat exempel på en sådan kombination är ett nätverksmakrovirus, som inte bara infekterar dokument som redigeras, utan också skickar kopior av sig själv via e-post.

Infekterat operativsystem(mer exakt, operativsystemet vars objekt är mottagliga för infektion) är den andra nivån av att dela in virus i klasser. Varje fil eller nätverksvirus infekterar filer i ett eller flera operativsystem.

Makrovirus infekterar filer i Word-, Excel- och Office-format. Bootvirus är också inriktade på specifika format för placering av systemdata i startsektorerna för diskar.

Funktioner hos operationsalgoritmen datorvirus:

1. Bostad.

2. Användning av stealth-algoritmer.

3. Självkryptering och polymorfism.

4. Användning av icke-standardiserade tekniker.

Under termen bostad hänvisar till virusens förmåga att lämna kopior av sig själva system minne, fånga upp vissa händelser (till exempel åtkomst till filer eller diskar) och anropsprocedurer för att infektera upptäckta objekt (filer och sektorer). Således är inhemska virus aktiva inte bara medan det infekterade programmet körs, utan även efter att programmet har körts färdigt. Inhemska kopior av sådana virus förblir livskraftiga tills nästa omstart, även om alla infekterade filer på disken förstörs. Ofta är det omöjligt att bli av med sådana virus genom att återställa alla kopior av filer från distributionsdiskar eller säkerhetskopior. Den inhemska kopian av viruset förblir aktiv och infekterar igen genererade filer. Detsamma gäller för startvirus - att formatera en disk när det finns ett inbyggt virus i minnet botar inte alltid disken, eftersom många inhemska virus infekterar disken igen efter att den formaterats.

Icke bosatt virus, tvärtom, är aktiva under en ganska kort tid, bara i det ögonblick som det infekterade programmet startas. För att sprida sig söker de efter oinfekterade filer på disken och skriver till dem. Efter att viruskoden överför kontrollen till värdprogrammet, reduceras virusets påverkan på operativsystemets drift till noll tills nästa lansering av något infekterat program.

Stealth-virus på ett eller annat sätt döljer de det faktum att de är närvarande i systemet.

TILL polymorfa virus Dessa inkluderar de vars upptäckt är omöjlig (eller extremt svår) med hjälp av så kallade virusmasker - delar av konstant kod som är specifik för ett visst virus. Detta uppnås på två huvudsakliga sätt - genom att kryptera huvudviruskoden med en icke-permanent nyckel och en slumpmässig uppsättning dekrypteringskommandon, eller genom att ändra själva den körbara viruskoden.

Olika icke-standardiserade tekniker används ofta i virus för att gömma sig så djupt som möjligt i operativsystemets kärna.

Destruktiva möjligheter virus kan delas in i:

1. Ofarlig , som inte påverkar datorns funktion på något sätt (förutom att det lediga minnet på disken minskar som ett resultat av deras distribution).

2. Icke-farligt , vars inflytande begränsas av en minskning av ledigt diskminne och grafik, ljud och andra effekter.