มัลแวร์และไวรัส (ไวรัสมาโคร ไวรัสล่องหน และไวรัสโพลีมอร์ฟิก) ไวรัสมาโคร ไวรัสมาโครทำงานอย่างไร

ไวรัสมาโครคือการติดเชื้อที่เป็นพิษต่อชีวิตของผู้ใช้ แม้ว่าคุณจะเป็นโปรแกรมเมอร์ระบบอย่างน้อยสามครั้ง เธอก็ยังมีโอกาสที่ดีที่จะต่อสู้กับคุณ หลายๆ คนดูถูกดูแคลนไวรัสประเภทนี้และก็ไม่ได้ไม่เป็นอันตรายอย่างที่คิด ในแง่ของความอยู่รอดสามารถเปรียบเทียบได้กับหนูและแมลงสาบ - พวกมันปรับตัวเข้ากับทุกสิ่งและแทบตายน้อยมาก ถึงเวลาจัดการกับการติดเชื้อมาโครครั้งแล้วครั้งเล่า

สถาปัตยกรรมไวรัสมาโคร

ในตอนแรก ให้คำจำกัดความที่ชัดเจน: ไวรัสมาโครคือไวรัสที่สามารถแพร่พันธุ์และจัดเก็บได้ด้วยตัวเอง (โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ) โดยใช้ภาษามาโคร จากคำจำกัดความดังกล่าวมาโครไวรัสสามารถมีชีวิตอยู่ได้ไม่เพียงแต่ในเอกสาร Word เท่านั้น แต่ยังอยู่ในเอกสารสำนักงานใดๆ ที่ใช้ฟังก์ชันภาษามาโคร เช่น การคัดลอกมาโครและการบันทึก เกือบแล้ว รายการทั้งหมดแอปพลิเคชันที่เสี่ยงต่อการติดเชื้อมาโคร: Word (ใดก็ได้), Excel, AmiPro (นี่คือโปรแกรมแก้ไขข้อความ), MS Visio, PowerPoint, MS Access และ 1C อย่างที่คุณเห็นจำนวนโปรแกรมดังกล่าวมีขนาดค่อนข้างใหญ่และบนอินเทอร์เน็ตคุณมักจะพบบทความเกี่ยวกับไวรัสมาโครดังนี้:
“ไวรัสที่แพร่ระบาดในไฟล์เอกสารในรูปแบบ
WinWord" คนโง่บางคนเขียนไว้!

ตอนนี้เรามาพูดถึงโครงสร้างของมาโครไวรัสสำหรับ Word (ตามที่เกี่ยวข้องมากที่สุด) ดังนั้น. มีสิ่งเช่นมาโครมาตรฐาน ซึ่งรวมถึง: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew คำนำหน้าอัตโนมัติ- หมายความว่าการดำเนินการจะดำเนินการโดยอัตโนมัติโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (แม้ว่าจะขึ้นอยู่กับระดับความปลอดภัยที่ตั้งไว้ แต่เราจะพูดถึงเรื่องนี้ในภายหลัง) นั่นคือโดยการเพิ่มการติดไวรัสให้กับมาโครด้วยชื่อนั้น คุณสามารถ "ฟื้นฟู" มันได้ นอกจากนี้ สำหรับการดำเนินการมาตรฐานแต่ละรายการจะมีมาโครมาตรฐานด้วย ตัวอย่างเช่น เมื่อต้องการพิมพ์ FilePrint เพื่อบันทึก FileSave เพื่อบันทึกในรูปแบบอื่นหรือด้วยชื่ออื่น FileSaveAs และมาโครเหล่านี้สามารถติดไวรัสได้

เป้าหมายสูงสุดของไอ้เวรนั่นก็คือการเย็ดกับ Normal.dot (มันเก็บการตั้งค่าเทมเพลตทั้งหมดไว้) จากนั้นไฟล์ที่เปิดอยู่ทั้งหมดจะติดไวรัสและข้อความของคุณจะเสียหาย
Word มีการรักษาความปลอดภัยหลายระดับ: สูง ปานกลาง และต่ำ นอกจากนี้ยังมีกลไกการป้องกันการติดเชื้อมาโครในตัว ตามที่นักพัฒนาระบุว่าสิ่งนี้ควรดำเนินการกับไวรัสมาโครเช่นเงินต่อวิญญาณชั่วร้าย มันอาจจะได้ผลถ้าไม่ใช่เพื่อ "แต่" เป็นเพราะเหตุนี้ที่ฉันจะไม่เจาะลึกความแตกต่างระหว่างระดับความปลอดภัยและการตั้งค่าภายในของ Word แต่ประเด็นก็คือว่าพารามิเตอร์ความปลอดภัยภายในทั้งหมดสามารถเปลี่ยนได้อย่างง่ายดายผ่านรีจิสทรี โชคดีที่ภาษามาโครอนุญาตสิ่งนี้
ทำ. ฉันจะไม่กำหนดเส้นทางเฉพาะ (จะมองหาอะไร) เพื่อไม่ให้ล่อลวงมือขี้เล่นของคุณ ผู้ที่มีพรสวรรค์เป็นพิเศษสามารถติดต่อฉันได้ทางอีเมล - ฉันจะแจ้งให้คุณทราบ แต่ "เพื่อวัตถุประสงค์ในการทำความคุ้นเคยกับช่องโหว่นี้เท่านั้น ซอฟต์แวร์เพื่อกำจัดพวกมัน" :)

โดยสรุป โครงสร้างของมาโครไวรัสมีดังนี้:

1. กำหนดมาโครที่เป็นประโยชน์แบบมาตรฐานหรือแบบอัตโนมัติใหม่ เพื่อปิดใช้งานการป้องกันและแก้ไขระดับความปลอดภัย
2. เพิ่มการติดเชื้อที่นั่น
3. เราตรวจสอบว่ามาโครนี้เป็นที่ต้องการ และการติดไวรัสนั้นทวีคูณและจำเป็นต้องลงทะเบียนใน Normal.dot

ทุกอย่างค่อนข้างง่าย - นี่คือเหตุผลว่าทำไมสัตว์มาโครจึงมีหลากหลายรูปแบบ

ฉันจะฆ่าแกด้วยมือเปล่า!

มีหลายวิธีในการทำลาย Macrogasms ในเอกสาร Word ที่ติดไวรัสอยู่แล้ว นี่คือเกือบทั้งหมด:

1. สร้างมาโครของคุณเองด้วยรหัสต่อไปนี้:
หลักย่อย
ปิดการใช้งานมาโครอัตโนมัติ
จบหมวดย่อย
คุณบันทึกปาฏิหาริย์นี้ภายใต้ชื่อ AutoExec และทำให้คงกระพันต่อมาโครอัตโนมัติ

2. หากคุณจัดการระดับการป้องกัน Word จะขออนุญาตเมื่อเรียกใช้แมโคร

3. ห้ามใช้รูปแบบ doc ท้ายที่สุดแล้วทุกอย่างสามารถวางใน RTF ได้ - แบบอักษรการออกแบบตาราง กราฟิก... และ RTF ตามคำจำกัดความไม่มีมาโคร ทุกอย่างจะสมบูรณ์แบบ แต่มีข้อเสียคือ เมื่อบันทึกข้อมูลในรูปแบบ rtf รูปภาพทั้งหมดจะถูกแปลงเป็นรูปแบบ bmp โดยอัตโนมัติ รูปแบบกราฟิกนี้มีน้ำหนักมากจนคุณไม่ต้องการให้ศัตรูเห็น ด้วยเหตุนี้แม้หลังจากการเก็บถาวรแล้ว การสูญเสียขนาดของไฟล์ผลลัพธ์อาจนำไปสู่ความจริงที่ว่าไฟล์นั้นจะไม่พอดีกับฟล็อปปี้ดิสก์ (ขึ้นอยู่กับจำนวนรูปภาพ) จริงอยู่ หากไม่มีกราฟิก rtf ก็เหมาะสมที่สุด

ปืนใหญ่หนัก

ถึงเวลาที่จะต้องกล้าหาญและฆ่าสัตว์มาโครทันทีและตลอดไป งานสำเร็จได้ไม่ยาก: คุณต้องมีคอมพิวเตอร์ที่ไม่ติดเชื้อและ Kaspersky Anti-Virus เวอร์ชันล่าสุด เมื่อหลายปีก่อน Kaspersky Lab ได้พัฒนาโมดูลที่เรียกว่า Office Guard นั่นคือสิ่งที่เราจะพูดถึง

โดยปกติแล้ว Office Guard จะไม่รวมอยู่ในการแจกจ่ายแบบละเมิดลิขสิทธิ์ แต่ด้วยทักษะบางอย่างที่คุณสามารถค้นหาได้ สิ่งนี้คืออะไร? นี่คือสิ่งที่ผู้สร้างพูดเกี่ยวกับเรื่องนี้:
“Office Guard เป็นพื้นฐาน เทคโนโลยีใหม่สำหรับการป้องกันไวรัสมาโครและโทรจันมาโคร Office Guard ซึ่งได้รับการออกแบบมาสำหรับผู้ใช้ขั้นสูง ใช้แนวทางการปฏิวัติด้านความปลอดภัยของแอนติไวรัสตามหลักการของตัวบล็อกพฤติกรรม ตรงกันข้ามกับแผนการป้องกันไวรัส "คลาสสิก" ที่สร้างขึ้นบนพื้นฐานของการค้นหาบริบททั่วไป Office Guard แก้ปัญหาได้อย่างครอบคลุม โดยขจัดความเป็นไปได้ที่ไวรัสมาโครจะทำงานบนคอมพิวเตอร์ที่ได้รับการป้องกัน Office Guard แยกแยะไวรัสแมโครไม่ได้ สัญญาณภายนอก(การมีอยู่ของลำดับอักขระเฉพาะ) แต่โดยพฤติกรรมซึ่งกำหนดโดยความสามารถของภาษาการเขียนโปรแกรม VBA ( วิชวลเบสิกสำหรับ
แอปพลิเคชัน)."

ฟีเจอร์เด็ดที่สุดคือไม่ต้องอัปเดต! อย่างไรก็ตาม การใช้งานเต็มไปด้วยข้อผิดพลาดหลายประการ:

1. ควรติดตั้งบนเครื่องที่ไม่ติดเชื้อ
2. หากคุณติดตั้ง Word แล้วคุณได้ติดตั้ง Office Guard แล้วติดตั้ง Excel จากนั้นจะมีการป้องกันเฉพาะ Word เท่านั้น วาดข้อสรุปของคุณเอง
3. Office Guard จับไวรัส แต่ไม่สามารถรักษาไวรัสได้

เพื่อแก้ไขปัญหาสุดท้าย คุณเพียงแค่ต้องมีเครื่องสแกนป้องกันไวรัส ดังนั้น AVP Scanner + Office Guard จึงให้ ปลอดภัยอย่างสมบูรณ์จากมาโครไวรัส หากคุณต้องการจัดการเอกสารคุณจะต้องดาวน์โหลดการอัพเดตเป็นครั้งคราว
รองประธาน.

อย่างไรก็ตาม เอาจริงเอาจัง - คุณไม่สามารถดึงผ้าห่มมาสนับสนุน Kaspersky Lab ได้ ไม่เช่นนั้นจะมีการสนทนาเช่น:
“และพวกเขาจ่ายเงินให้คุณเท่าไหร่สำหรับการโปรโมตผลิตภัณฑ์”

แอนตี้ไวรัสที่อัพเดตใดๆ ให้ผลดีเกือบ 100%
ป้องกันก๊าซแมคโคร เพียงแต่ว่าแต่ละคนใช้ เทคโนโลยีที่แตกต่างกันสำหรับสิ่งนี้. ตัวอย่างเช่น DrWeb ใช้การค้นหาลายเซ็นและการวิเคราะห์พฤติกรรม
นี่คือสิ่งที่เราพูดคุยกับผู้สร้าง:

แพ็คเกจป้องกันไวรัสของคุณไม่มีโมดูลแยกต่างหากสำหรับการต่อสู้กับไวรัสมาโคร ทำไม คุณคิดว่า Resident Monitor รับประกันความปลอดภัยจากไวรัสมาโครหรือไม่ เพราะเหตุใด

เครื่องมือสำหรับการตรวจจับและต่อสู้กับมาโครไวรัสเป็นส่วนสำคัญของแกนหลักของ DrWeb และเนื่องจากเคอร์เนลถูกใช้โดยทั้งสแกนเนอร์และมอนิเตอร์ ไวรัสมาโครทั้งหมดจึงถูกตรวจพบและปฏิบัติอย่างดีเท่าเทียมกันในทั้งสองกรณี

WUA มีโมดูลแยกต่างหากสำหรับต่อต้านไวรัสแมโครใน MS Office นักพัฒนาอ้างว่าโมดูลนี้อิงตามตัวบล็อกพฤติกรรมที่วิเคราะห์การกระทำของโปรแกรมผู้ป่วย ด้วยเหตุนี้ผลิตภัณฑ์นี้จึงรับประกันไวรัสมาโครได้ 100% จนกว่าจะมีการเผยแพร่ เวอร์ชันใหม่วีบีเอ เหล่านั้น. Macroviruses จะไม่ถูกค้นหาด้วยลายเซ็น ข้อดีของสิ่งนี้
แนวทางคือเมื่อติดตั้งโมดูลดังกล่าวเพียงครั้งเดียวก็ไม่จำเป็นต้องอัปเดต ตอนนี้คำถาม: DrWeb ค้นหาไวรัสมาโครด้วยลายเซ็นหรือไม่?

DrWeb ค้นหาไวรัสมาโครทั้งจากลายเซ็นและการใช้ในตัว
เครื่องวิเคราะห์การศึกษาพฤติกรรมอันทรงพลังแบบดั้งเดิม กลไกการค้นหาและวิเคราะห์มาโคร
นำไปใช้ในหลายระดับ: สแกนรหัสไบนารี่ของมาโครด้วย
เรียบเรียงและข้อความต้นฉบับของพวกเขา ช่วยให้สามารถตรวจจับไวรัสที่รู้จัก
การปรับเปลี่ยนรวมถึงไวรัสมาโครที่ไม่รู้จัก ดังนั้น,
เป็นไปได้ไม่เพียงแต่ไม่ต้องขึ้นอยู่กับเวอร์ชันของการติดตั้งเท่านั้น
แพ็คเกจ MS Office (ความสามารถในการสกัดกั้นแมโครที่ทำงานอยู่ปรากฏขึ้น
เฉพาะใน Office 2000 และไม่มีให้บริการใน รุ่นก่อนหน้า) แต่โดยทั่วไปแล้วจาก
ความพร้อมใช้งานของ MS Office บนคอมพิวเตอร์ที่ทำการสแกน
ไฟล์ต่างๆ - ตัวอย่างเช่น บนอินเทอร์เน็ตเกตเวย์ขององค์กร

นอกจากนี้การใช้ฮิวริสติกที่สร้างขึ้นบนหลักการเดียวกัน
ตัววิเคราะห์ DrWeb สามารถตรวจจับโทรจันที่ไม่รู้จัก
แบ็คดอร์, เวิร์มอินเทอร์เน็ต, irc, แบทช์ (ค้างคาว) และสคริปต์
(vbs/vbe) ไวรัส

ความคิดเห็นส่วนตัวของคุณ: โมดูลจาก WUA สามารถให้ความปลอดภัย 100% จากการติดเชื้อมาโครได้หรือไม่

สถานการณ์ปัจจุบันเป็นเช่นนั้นเพื่อให้สามารถต่อสู้กับไวรัสสมัยใหม่ได้อย่างมีประสิทธิภาพ
ผลิตภัณฑ์ป้องกันไวรัสจะต้องได้รับการอัปเดตทันที น่าเสียดาย,
การสร้างโปรแกรมป้องกันไวรัส "แบบสมบูรณ์" นั้นเป็นไปไม่ได้

ตอบคำถามแล้ว
เซอร์เกย์ ยูริเยวิช โปปอฟ
อันเดรย์ วลาดิมีโรวิช บาชาริมอฟ

นักพัฒนา โปรแกรมป้องกันไวรัสครอบครัว ดร.เว็บ.

ไวรัสมาโครเป็นโปรแกรมอรรถประโยชน์ที่อาจไม่พึงประสงค์ซึ่งเขียนด้วยภาษาไมโครซึ่งติดตั้งอยู่ในระบบกราฟิกและประมวลผลข้อความ ไฟล์ใดบ้างที่ติดไวรัสมาโคร คำตอบนั้นชัดเจน รุ่นที่พบบ่อยที่สุดสำหรับ โปรแกรมไมโครซอฟต์ Excel, Word และ Office 97 ไวรัสเหล่านี้พบได้ทั่วไป และการสร้างไวรัสเหล่านี้ก็ง่ายพอๆ กับการปอกเปลือกลูกแพร์ นี่คือเหตุผลที่คุณควรใช้ความระมัดระวังและระมัดระวังอย่างยิ่งเมื่อดาวน์โหลดเอกสารจากอินเทอร์เน็ต ผู้ใช้ส่วนใหญ่ดูถูกดูแคลนพวกเขา จึงทำให้เกิดข้อผิดพลาดร้ายแรง

พีซีติดไวรัสได้อย่างไร?

หลังจากที่เราตัดสินใจว่ามาโครไวรัสคืออะไรแล้ว เรามาดูกันว่าพวกมันเจาะระบบและแพร่ระบาดในคอมพิวเตอร์ได้อย่างไร วิธีการสร้างซ้ำอย่างง่ายช่วยให้คุณเข้าถึงวัตถุจำนวนสูงสุดในเวลาที่สั้นที่สุด ด้วยความสามารถของภาษามาโคร เมื่อปิดหรือเปิดเอกสารที่ติดไวรัส ภาษาเหล่านี้จะเจาะเข้าไปในโปรแกรมที่กำลังเข้าถึง

นั่นคือเมื่อใช้โปรแกรมแก้ไขกราฟิก ไวรัสมาโครจะแพร่เชื้อทุกสิ่งที่เกี่ยวข้อง นอกจากนี้บางคนยังใช้งานอยู่ตลอดเวลาขณะส่งข้อความหรือ โปรแกรมแก้ไขกราฟิกทำงานหรือจนกว่าพีซีจะปิดสนิท

หลักการทำงานของพวกเขาคืออะไร?

การกระทำของพวกเขาเกิดขึ้นตามหลักการดังต่อไปนี้: เมื่อทำงานกับเอกสาร ไมโครซอฟต์ เวิร์ดรันคำสั่งต่าง ๆ ที่ออกในภาษามาโคร ก่อนอื่นโปรแกรมจะแทรกซึมเข้าไปในเทมเพลตหลักซึ่งจะเปิดไฟล์ทั้งหมดในรูปแบบนี้ ในกรณีนี้ ไวรัสจะคัดลอกโค้ดลงในมาโครที่ให้การเข้าถึงพารามิเตอร์หลัก เมื่อออกจากโปรแกรมไฟล์จะเข้า โหมดอัตโนมัติบันทึกเป็นจุด (ใช้เพื่อสร้างเอกสารใหม่) หลังจากนั้นมันจะเข้าสู่มาโครมาตรฐานโดยพยายามสกัดกั้นคำสั่งที่ส่งไปยังไฟล์อื่นและติดไวรัสเช่นกัน

การติดเชื้อเกิดขึ้นในกรณีต่อไปนี้:

  1. หากมีมาโครอัตโนมัติในไวรัส (ดำเนินการโดยอัตโนมัติเมื่อโปรแกรมปิดหรือเริ่มทำงาน)
  2. ไวรัสมีมาโครระบบพื้นฐาน (มักเกี่ยวข้องกับรายการเมนู)
  3. เปิดใช้งานโดยอัตโนมัติเมื่อคุณกดปุ่มหรือชุดค่าผสมเฉพาะ
  4. มันจะแพร่พันธุ์เฉพาะเมื่อมีการเปิดตัวเท่านั้น

ไวรัสดังกล่าวมักจะติดไฟล์ทั้งหมดที่สร้างและเกี่ยวข้องกับโปรแกรมในภาษามาโคร

พวกเขาทำอันตรายอะไร?

ไม่ควรประมาทไวรัสมาโครเนื่องจากเป็นไวรัสที่มีคุณสมบัติครบถ้วนและก่อให้เกิดอันตรายร้ายแรงต่อคอมพิวเตอร์ พวกเขาสามารถลบ คัดลอก หรือแก้ไขออบเจ็กต์ใดๆ ที่มี เหนือสิ่งอื่นใด ข้อมูลส่วนบุคคล. นอกจากนี้ยังสามารถถ่ายโอนข้อมูลไปยังบุคคลอื่นที่ใช้งานได้อีกด้วย อีเมล.

ยูทิลิตี้ที่มีประสิทธิภาพมากขึ้นสามารถฟอร์แมตฮาร์ดไดรฟ์และควบคุมการทำงานของพีซีทั้งหมดได้ นั่นคือเหตุผลที่ความเห็นที่ว่าไวรัสคอมพิวเตอร์ประเภทนี้เป็นอันตรายต่อกราฟิกและโปรแกรมแก้ไขข้อความโดยเฉพาะนั้นถือเป็นความผิดพลาด ท้ายที่สุดแล้วยูทิลิตี้เช่น Word และ Excel ทำงานร่วมกับโปรแกรมอื่น ๆ จำนวนมากซึ่งในกรณีนี้ก็มีความเสี่ยงเช่นกัน

การรับรู้ไฟล์ที่ติดไวรัส

บ่อยครั้งที่ไฟล์ที่ติดไวรัสมาโครและไวต่ออิทธิพลนั้นไม่ได้ระบุได้ยากเลย ท้ายที่สุดแล้วมันทำงานแตกต่างอย่างสิ้นเชิงจากยูทิลิตี้อื่น ๆ ในรูปแบบเดียวกัน

อันตรายสามารถระบุได้ด้วยสัญญาณต่อไปนี้:

นอกจากนี้ ภัยคุกคามมักจะตรวจพบได้ง่ายด้วยสายตา นักพัฒนาของพวกเขามักจะระบุข้อมูลเช่นชื่อของยูทิลิตี้หมวดหมู่หัวข้อความคิดเห็นและชื่อผู้เขียนในแท็บ "สรุป" ซึ่งคุณสามารถกำจัดไวรัสมาโครได้เร็วและง่ายขึ้นมาก คุณสามารถเรียกมันได้โดยใช้เมนูบริบท

วิธีการกำจัด

เมื่อคุณพบไฟล์หรือเอกสารที่น่าสงสัย ให้สแกนด้วยโปรแกรมป้องกันไวรัสก่อน หากตรวจพบภัยคุกคาม โปรแกรมป้องกันไวรัสจะพยายามแก้ไข และหากไม่สำเร็จ พวกเขาจะบล็อกการเข้าถึงโดยสมบูรณ์

หากคอมพิวเตอร์ทั้งเครื่องติดไวรัส คุณควรใช้กรณีฉุกเฉิน ดิสก์สำหรับบูตซึ่งมีโปรแกรมป้องกันไวรัสพร้อมฐานข้อมูลล่าสุด มันจะสแกนฮาร์ดไดรฟ์ของคุณและต่อต้านภัยคุกคามทั้งหมดที่พบ

หากคุณไม่สามารถป้องกันตัวเองได้ด้วยวิธีนี้ โปรแกรมป้องกันไวรัสของคุณไม่สามารถทำอะไรได้เลย และไม่มีดิสก์ช่วยเหลือ คุณควรลองใช้วิธีการรักษา "ด้วยตนเอง":


ด้วยวิธีนี้ คุณจะลบไวรัสมาโครออกจากเอกสารที่ติดไวรัส แต่ไม่ได้หมายความว่าจะไม่มีไวรัสอยู่ในระบบ ด้วยเหตุนี้จึงแนะนำให้สแกนทั้งหมด คอมพิวเตอร์ส่วนบุคคลและข้อมูลทั้งหมดที่มีโปรแกรมป้องกันไวรัสหรือ (ข้อดีคือไม่ต้องติดตั้ง)

กระบวนการรักษาและทำความสะอาดคอมพิวเตอร์จากการติดไวรัสมาโครนั้นค่อนข้างซับซ้อนดังนั้นจึงควรป้องกันการติดเชื้อในระยะเริ่มแรกจะดีกว่า


ด้วยวิธีนี้ คุณจะป้องกันตัวเองและไวรัสมาโครจะไม่เจาะไฟล์ที่เกี่ยวข้อง

ในบรรดาไวรัสที่หลากหลาย เราสามารถแยกไวรัสมาโครออกมาได้ ซึ่งไม่เหมือนกับไวรัสอื่นๆ ที่อันตรายไม่เพียงแต่สำหรับเท่านั้น ระบบปฏิบัติการแต่ยังรวมไปถึงข้อมูลทั้งหมดที่เก็บไว้ในการเชื่อมต่อ ฮาร์ดไดรฟ์. ไวรัสเป็นโปรแกรมที่เขียนขึ้นเป็นพิเศษในภาษามาโครซึ่งมีอยู่ในบางภาษา ระบบที่ทันสมัยการประมวลผลข้อมูล (สเปรดชีต โปรแกรมแก้ไขข้อความฯลฯ)

นั่นก็คือทุกอย่างที่ใช้ในสำนักงาน ที่บ้าน ฯลฯ สำหรับเก็บรักษารายงาน เอกสาร และอื่นๆ ไวรัสประเภทนี้อันตรายที่สุดเมื่อมองจากด้านที่สูญเสีย ข้อมูลข้อความ. ในการทำซ้ำพวกเขาใช้ความสามารถทั้งหมดของภาษามาโครให้เกิดประโยชน์สูงสุดและใช้ความเป็นไปได้ทั้งหมดเพื่อถ่ายโอนตัวเอง (หรือมากกว่ารหัสโปรแกรม) จากไฟล์ที่ติดไวรัสไฟล์เดียว (โดยปกติจะเป็นตารางหรือเอกสาร) ไปยังไฟล์อื่น ปัจจุบัน ไวรัสมาโครที่พบบ่อยที่สุดสำหรับชุดซอฟต์แวร์ Office 97, Microsoft Word และ Excel ไวรัสมาโครยังได้รับการพัฒนาที่แพร่ระบาดไปยังฐานข้อมูล ข้อมูลไมโครซอฟต์เข้าถึงและเอกสาร Ami Pro

เพื่อให้มาโครไวรัสมีอยู่ในระบบบางระบบ (ในกรณีนี้คือในตัวแก้ไข) จำเป็นอย่างยิ่งที่จะต้องมีภาษามาโครซอฟต์แวร์พิเศษที่ติดตั้งอยู่ในระบบโดยมีความสามารถดังต่อไปนี้:

1. การคัดลอกโปรแกรมมาโครที่บันทึกไว้จากไฟล์ใดไฟล์หนึ่งไปยังไฟล์อื่น ๆ

2. การเชื่อมโยงไวรัสในภาษามาโครกับไฟล์เฉพาะ

3. โอกาสพิเศษในการควบคุมโปรแกรมมาโครไวรัสอย่างสมบูรณ์ (มาโครอัตโนมัติหรือมาโครมาตรฐาน)

บรรณาธิการ AmiPro, Microsoft ปฏิบัติตามเงื่อนไขข้างต้นทั้งหมด สำนักงานคำ 97 ฐานข้อมูล ไมโครซอฟต์ แอคเซสรวมถึงสเปรดชีต Excel ระบบทั้งหมดเหล่านี้ประกอบด้วยภาษามาโครที่หลากหลาย: Excel, Office 97 (รวมถึง Access, Word 97 และ Excel 97) - Visual Basic สำหรับแอปพลิเคชัน และ Word - Word Basic

วันนี้สี่ระบบที่แตกต่างกันอย่างสิ้นเชิงเป็นที่รู้จักกันดีซึ่งมีไวรัสแยกกัน - Office 97, Microsoft Word, Excel และ AmiPro ในระบบเหล่านี้ ไวรัสมาโครจะควบคุมได้อย่างสมบูรณ์ในระหว่างการปิดหรือเปิดไฟล์ที่ติดไวรัส หลังจากได้รับการควบคุมแล้ว ไวรัสจะดักฟังฟังก์ชันของไฟล์ทั้งหมด หลังจากนั้นจะแพร่เชื้อไปยังไฟล์ที่เข้าถึงโดยตรงได้อย่างอิสระ ดังนั้นหากคุณติดไวรัสดังกล่าวและสามารถระบุได้ ไม่แนะนำอย่างยิ่งให้เปิดหรือทำงานกับโปรแกรมข้างต้นโดยทั่วไปจนกว่า การกำจัดที่สมบูรณ์ไวรัส. หากคุณละเลยกฎนี้ไวรัสก็สามารถลบได้ ข้อมูลสำคัญ(เอกสาร ตาราง ฯลฯ) โดยการเปรียบเทียบกับ MS-DOS เราสามารถเน้นย้ำได้อย่างปลอดภัยว่ามาโครไวรัสสมัยใหม่ส่วนใหญ่มีอยู่: พวกมันทำงานอย่างแข็งขันในขณะที่ตัวแก้ไขทำงานอยู่ ไม่ใช่ในขณะที่เปิด/ปิดไฟล์

ไวรัสในตระกูลมาโคร

ไวรัสในตระกูล Macro ใช้ความสามารถของภาษามาโครที่มีอยู่ในระบบประมวลผลข้อมูล (โปรแกรมแก้ไขข้อความ สเปรดชีต ฯลฯ)

เพื่อให้ไวรัสมีอยู่ในระบบใดระบบหนึ่ง จำเป็นต้องมีภาษามาโครในตัว ซึ่งสามารถผูกโปรแกรมในภาษามาโครกับไฟล์เฉพาะ คัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง และรับการควบคุมของ โปรแกรมมาโครที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (มาโครอัตโนมัติหรือมาโครมาตรฐาน)

เป็นไปตามเงื่อนไขเหล่านี้ บรรณาธิการของไมโครซอฟต์ Word และ AmiPro รวมถึงสเปรดชีต Excel ระบบเหล่านี้ประกอบด้วยภาษามาโคร (Word - Word Basic, Excel - Visual Basic) ในขณะที่โปรแกรมมาโครเชื่อมโยงกับไฟล์เฉพาะ (AmiPro) หรืออยู่ภายในไฟล์ (Word, Excel) ภาษามาโครช่วยให้คุณคัดลอกไฟล์ได้ (AmiPro) หรือย้ายโปรแกรมแมโครไปยังไฟล์ระบบบริการ (Word, Excel) เมื่อทำงานกับไฟล์ภายใต้เงื่อนไขบางประการ (การเปิด, ปิด ฯลฯ ) โปรแกรมแมโคร (ถ้ามี) จะถูกเรียกใช้ซึ่งกำหนดไว้ในลักษณะพิเศษ (AmiPro) หรือมีชื่อมาตรฐาน (Word, Excel)

ดังนั้นในปัจจุบันจึงมีระบบที่รู้จักสามระบบที่มีไวรัสอยู่ ได้แก่ Microsoft Word, Excel และ AmiPro ในนั้น ไวรัสจะเข้าควบคุมเมื่อเปิดหรือปิดไฟล์ที่ติดไวรัส ขัดขวางการทำงานของไฟล์มาตรฐาน จากนั้นจึงแพร่เชื้อไฟล์ที่มีการเข้าถึงด้วยวิธีใดวิธีหนึ่ง โดยการเปรียบเทียบกับ MS-DOS เราสามารถพูดได้ว่ามาโครไวรัสนั้นอาศัยอยู่ - พวกมันจะทำงานไม่เพียงแต่ในขณะที่เปิด/ปิดไฟล์เท่านั้น แต่ยังตราบใดที่ตัวแก้ไข (ระบบ) ยังทำงานอยู่อีกด้วย

ไวรัสสำหรับ Microsoft Office"97

มาโคร.Office97.Frenzy

ประกอบด้วยมาโคร Frenzy เดียวที่มีฟังก์ชัน AutoOpen อัตโนมัติ ทำให้ระบบติดไวรัสเมื่อมีการเปิดไฟล์ที่ติดไวรัส จากนั้นจะเขียนลงในเอกสารเมื่อเปิด ขึ้นอยู่กับวันที่ของระบบและตัวนับสุ่มของระบบ ข้อความจะแสดง

Word97.Frenzy โดย ไพโร

มาโคร.Office97.ขั้นต่ำ

ไวรัสแมโครที่ค่อนข้างดั้งเดิมสำหรับ Office 97 ประกอบด้วยแมโคร AutoOpen ตัวเดียว มันแพร่ระบาดไปยังระบบเมื่อมีการเปิดไฟล์ที่ติดไวรัสและจะถูกเขียนลงในเอกสารเมื่อเปิดไฟล์ด้วย มีข้อความแสดงความคิดเห็น

เวสเซลิน บอนชอฟ

มาโคร.Office97.NightShade

ประกอบด้วยมาโคร NightShade เดียวที่มีฟังก์ชัน AutoClose และทำให้ระบบและเอกสารติดไวรัสเมื่อไฟล์ถูกปิด ปิดใช้งานการป้องกันไวรัสในตัวและอนุญาตให้ฟังก์ชันอัตโนมัติทำงาน ขึ้นอยู่กับวันที่ปัจจุบันและตัวนับสุ่มของระบบ จะแสดงข้อความ

Word97.NightShade โดย ไพโร

ในวันเสาร์ที่ 13 ให้ตั้งรหัสผ่าน NightShade ในเอกสาร

ไวรัสสำหรับ ไมโครซอฟต์ เอ็กเซล

มาโคร.Excel.Laroux

ติดไวรัสสเปรดชีต Excel ( ไฟล์ XLS). ประกอบด้วยมาโครสองตัว: Auto_Open และ Check_Files เมื่อคุณเปิดไฟล์ที่ติดไวรัส Excel จะเรียกใช้แมโคร Auto_Open โดยอัตโนมัติ ในไวรัส แมโครนี้มีเพียงคำสั่งเดียวเท่านั้น ซึ่งกำหนดแมโคร Check_Files ที่กำลังดำเนินการเมื่อมีการเปิดใช้งานตาราง (ชีต) ใดๆ ดังนั้นไวรัสจะดักจับขั้นตอนการเปิดตารางและเมื่อตารางถูกเปิดใช้งาน Excel ที่ติดไวรัสจะเรียกแมโคร Check_Files นั่นคือรหัสไวรัส

เมื่อควบคุมได้แล้ว มาโคร Check_Files จะค้นหาไฟล์ PERSONAL.XLS ในไดเรกทอรีเริ่มต้นของ Excel และตรวจสอบจำนวนโมดูลในสมุดงานปัจจุบัน หากสมุดงานที่มีไวรัสทำงานอยู่และไม่มีไฟล์ PERSONAL.XLS อยู่ (การติดไวรัสครั้งแรก) ไวรัสจะสร้างไฟล์ที่มีชื่อนี้ในไดเร็กทอรีเริ่มต้นของ Excel โดยใช้คำสั่ง SaveAs เป็นผลให้รหัสไวรัสจากไฟล์ปัจจุบันถูกเขียนลงไป ต่อไป กำลังโหลด Excelโหลดไฟล์ XLS ทั้งหมดจากไดเร็กทอรีเรียกใช้ ไฟล์ PERSONAL.XLS ที่ติดไวรัสจะถูกโหลดลงในหน่วยความจำ ไวรัสจะเข้าควบคุมอีกครั้ง และเมื่อเปิดตาราง มาโคร Check_Files จาก PERSONAL.XLS จะถูกเรียกอีกครั้ง

หากจำนวนโมดูลในสมุดงานปัจจุบันเป็น 0 (สมุดงานที่ติดไวรัสไม่ทำงาน) และมีไฟล์ PERSONAL.XLS อยู่แล้ว ไวรัสจะเขียนโค้ดใหม่ลงในสมุดงานที่ใช้งานอยู่ หลังจากนี้ Workbook ที่ใช้งานอยู่จะติดไวรัส

การตรวจสอบไวรัสในระบบของคุณไม่ใช่เรื่องยาก หากไวรัสเข้าสู่คอมพิวเตอร์แล้วไดเร็กทอรี Excel ควรมีไฟล์ PERSONAL.XLS ซึ่งมองเห็นบรรทัด laroux (ตัวอักษรตัวเล็ก) บรรทัดเดียวกันนี้ยังปรากฏในไฟล์อื่นๆ ที่ติดไวรัส

มาโคร Excel ตำนาน

การติดเชื้อไวรัสมาโคร ไฟล์ Excel. มีหนึ่งโมดูล (มาโคร) ชื่อ Legend โมดูลนี้มีสองขั้นตอน - Auto_Open และ INFECT Auto_Open เป็นขั้นตอนของ Excel ที่ถูกเรียกโดยอัตโนมัติเมื่อเปิดไฟล์ เมื่อเปิดตัว Auto_Open จะติดตั้งขั้นตอนไวรัสที่สอง (Infect) เป็นตัวจัดการเหตุการณ์ SheetActivate นั่นคือเมื่อเปิดตารางใดๆ Excel จะเรียกขั้นตอน Infect

เมื่อเรียก ขั้นตอน Infect จะติดไวรัสในไฟล์ PERSONAL.XLS (เมื่อเปิดไฟล์ที่ติดไวรัส) หรือไฟล์ปัจจุบัน (หากยังไม่ติดไวรัส) หลังจากการติดเชื้อ ไวรัสจะลบรายการ Tools/Macro ออกจากเมนู หาก UserName = "Pyro" และ OrganizationName = "VBB" ไวรัสจะหยุดทำงานทันทีและไม่แพร่เชื้อไปยังไฟล์ใดๆ ขึ้นอยู่กับวันปัจจุบันและตัวนับสุ่มของระบบ ไวรัสจะแสดงกล่องข้อความ:

คุณติดเชื้อจากตำนานแล้ว!

มาโคร Excel โรโบคอป

ไวรัสมาโครที่โจมตีไฟล์ Excel ประกอบด้วยสองโมดูล (มาโคร): COP และ ROBO โมดูล ROBO มีขั้นตอนที่เรียกว่า Auto_Open โดยอัตโนมัติ ซึ่งเมื่อเปิดเอกสารที่ติดไวรัส จะเขียนรหัสไวรัสลงในไฟล์ PERSONAL.XLS และตั้งค่าที่อยู่ของตัวจัดการการเปิดใช้งานตาราง (SheetActivate) ให้เป็นรหัสไวรัส ไวรัสจะติดไฟล์เมื่อเปิดตาราง

โรโบคอป ไนท์แมร์ โจ๊กเกอร์

มาโคร Excel โซฟา

ติดไวรัสสเปรดชีต Excel ประกอบด้วยหนึ่งโมดูล (มาโคร) ชื่อประกอบด้วยช่องว่าง 11 ช่อง ดังนั้นจึงไม่ปรากฏให้เห็นในรายการแมโครในเมนูเครื่องมือ/มาโคร โมดูลประกอบด้วยฟังก์ชันมาโครสี่ฟังก์ชัน: Auto_Open, Auto_Range, Current_Open, Auto_Close ผลลัพธ์ของฟังก์ชันไวรัสทั้งหมดจะคืนค่า Null

เมื่อคุณเปิดไฟล์ที่ติดไวรัส ฟังก์ชันมาโคร Auto_Open จะถูกทริกเกอร์ ซึ่ง "เปลี่ยนชื่อ" Excel - Microsofa Excel จะปรากฏในบรรทัดหัวเรื่องแทนที่จะเป็น Microsoft Excel หากไม่มีไฟล์ BOOK.XLT ในไดเร็กทอรี Startup Path (ระบบยังไม่ติดไวรัส) ข้อความต่อไปนี้จะปรากฏขึ้นบนหน้าจอ:

Microsoft Excel ตรวจพบไฟล์ Add-in ที่เสียหาย คลิก ตกลง เพื่อซ่อมแซมไฟล์นี้

ไม่ว่าผู้ใช้จะตอบสนองอย่างไร ไฟล์ BOOK.XLT ที่มีรหัสไวรัสจะถูกสร้างขึ้นในไดเร็กทอรี Startup Path หลังจากการติดเชื้อข้อความจะปรากฏขึ้น

ซ่อมแซมไฟล์สำเร็จแล้ว!

เมื่อโหลดแล้ว Excel จะดาวน์โหลดไฟล์ XLT จากเส้นทางเริ่มต้นโดยอัตโนมัติและเปิดใช้งานไวรัสตามนั้น ไวรัสจะกำหนดฟังก์ชัน Auto_Range ให้กับฟังก์ชัน OnSheetActivate และทุกครั้งที่เปิดใช้งานตาราง มันจะตรวจสอบไฟล์ที่ใช้งานอยู่สำหรับการติดไวรัส และหากไฟล์ไม่ได้ติดไวรัส ก็จะติดไวรัสด้วย

ไวรัสไม่อนุญาตให้ยกเลิกการโหลดจาก Excel - เมื่อปิดแต่ละไฟล์ มันจะกำหนดฟังก์ชัน Auto_Range เดียวกันให้กับฟังก์ชัน OnWindow นั่นคือจะถูกเปิดใช้งานอีกครั้งเมื่อเปิดไฟล์ใหม่

มาโคร. Excel. Yohimbe

ประกอบด้วยหนึ่งโมดูล (มาโคร) ชื่อ Exec โมดูลนี้ประกอบด้วยสามขั้นตอน: Auto_Open, DipDing, PayLoad และฟังก์ชัน SheetExists รูทีนย่อย Auto_Open จะถูกเรียกโดยอัตโนมัติเมื่อเปิดไฟล์ที่ติดไวรัส - ไวรัสจะติดไวรัส PERSONAL.XLS ในกรณีที่มีข้อผิดพลาดใดๆ ไวรัสจะถูกเขียนถึงทุกคน เปิดไฟล์(หนังสือ) ก่อนที่จะคืนการควบคุม Auto_Open จะตั้งค่ารูทีน DipDing เป็นตัวจับเวลาของ Excel รูทีนนี้เรียกว่าเริ่มต้นเวลา 16:00 น. และแพร่ระบาดไปยังไฟล์ที่เปิดอยู่

ไวรัสเขียนสตริง Yohimbe ไปที่ส่วนหัวของตาราง นอกจากนี้ยังตั้งเวลาในรูทีนย่อย PayLoad โดยเรียกว่าเวลา 16:45 น. และแทรกรูปภาพและข้อความลงในตารางปัจจุบัน

ไวรัสมาโครคือโปรแกรมที่เขียนด้วยภาษา (ภาษามาโคร) ที่สร้างไว้ในระบบประมวลผลข้อมูลบางระบบ (โปรแกรมแก้ไขข้อความ สเปรดชีต ฯลฯ) ในการทำซ้ำ ไวรัสดังกล่าวใช้ความสามารถของภาษามาโครและถ่ายโอนตัวเองจากไฟล์ที่ติดไวรัสไฟล์หนึ่ง (เอกสารหรือตาราง) ไปยังไฟล์อื่นด้วยความช่วยเหลือ

เพื่อให้ไวรัสมีอยู่ในระบบเฉพาะ (ตัวแก้ไข) จำเป็นต้องมีภาษามาโครอยู่ในระบบโดยมีความสามารถดังต่อไปนี้:

1. การเชื่อมโยงโปรแกรมในภาษามาโครกับไฟล์เฉพาะ

2. การคัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง

ความสามารถในการควบคุมโปรแกรมมาโครโดยไม่ต้องมีการแทรกแซงจากผู้ใช้ (มาโครอัตโนมัติหรือมาตรฐาน)

ไวรัสคอมพิวเตอร์บนเครือข่าย .

ไวรัสเครือข่ายประกอบด้วยไวรัสที่ใช้โปรโตคอลและความสามารถของท้องถิ่นและ เครือข่ายทั่วโลก. หลักการสำคัญของไวรัสเครือข่ายคือความสามารถในการถ่ายโอนรหัสไปยังเซิร์ฟเวอร์ระยะไกลหรือได้อย่างอิสระ เวิร์กสเตชัน. ไวรัสเครือข่ายยังสามารถเรียกใช้โค้ดได้อีกด้วย คอมพิวเตอร์ระยะไกลหรือผลักดันให้ผู้ใช้เรียกใช้ไฟล์ที่ติดไวรัส

มีการรวมกันจำนวนมาก - ตัวอย่างเช่นไวรัสสำหรับบูตไฟล์ที่ติดทั้งไฟล์และเซกเตอร์สำหรับบูตของดิสก์ ตามกฎแล้วไวรัสดังกล่าวมีอัลกอริธึมการทำงานที่ค่อนข้างซับซ้อน มักจะใช้วิธีการดั้งเดิมในการเจาะระบบ และใช้เทคโนโลยีการซ่อนตัวและโพลีมอร์ฟิก อีกตัวอย่างหนึ่งของการผสมผสานดังกล่าวคือไวรัสแมโครเครือข่าย ซึ่งไม่เพียงแพร่ระบาดในเอกสารที่กำลังแก้ไข แต่ยังส่งสำเนาของตัวเองทางอีเมลด้วย

ระบบปฏิบัติการที่ติดไวรัส(แม่นยำยิ่งขึ้นคือระบบปฏิบัติการที่มีวัตถุไวต่อการติดเชื้อ) คือระดับที่สองของการแบ่งไวรัสออกเป็นคลาส แต่ละไฟล์หรือไวรัสเครือข่ายจะติดไฟล์ของระบบปฏิบัติการตั้งแต่หนึ่งระบบขึ้นไป

ไวรัสมาโครจะติดไฟล์ในรูปแบบ Word, Excel และ Office ไวรัสสำหรับบูตยังกำหนดเป้าหมายไปที่รูปแบบเฉพาะสำหรับตำแหน่งของข้อมูลระบบในเซกเตอร์สำหรับบูตของดิสก์

คุณสมบัติของอัลกอริทึมการทำงาน ไวรัสคอมพิวเตอร์:

1. ที่พักอาศัย.

2. การใช้อัลกอริธึมการซ่อนตัว

3. การเข้ารหัสด้วยตนเองและความหลากหลาย

4. การใช้เทคนิคที่ไม่ได้มาตรฐาน

ภายใต้เงื่อนไข ถิ่นที่อยู่ หมายถึงความสามารถของไวรัสในการทิ้งสำเนาของตัวเองไว้ หน่วยความจำระบบสกัดกั้นเหตุการณ์บางอย่าง (เช่น การเข้าถึงไฟล์หรือดิสก์) และขั้นตอนการเรียกสำหรับการแพร่เชื้ออ็อบเจ็กต์ที่ตรวจพบ (ไฟล์และเซกเตอร์) ดังนั้นไวรัสประจำถิ่นจะทำงานไม่เพียงแต่ในขณะที่โปรแกรมที่ติดไวรัสกำลังทำงานอยู่เท่านั้น แต่ยังรวมถึงหลังจากที่โปรแกรมทำงานเสร็จแล้วด้วย สำเนาของไวรัสดังกล่าวที่อาศัยอยู่จะยังคงทำงานได้จนกว่าจะรีบูตครั้งถัดไป แม้ว่าไฟล์ที่ติดไวรัสทั้งหมดบนดิสก์จะถูกทำลายก็ตาม บ่อยครั้งเป็นไปไม่ได้ที่จะกำจัดไวรัสดังกล่าวด้วยการกู้คืนสำเนาของไฟล์ทั้งหมดจากดิสก์การแจกจ่ายหรือสำเนาสำรอง สำเนาไวรัสที่มีถิ่นที่อยู่ยังคงทำงานอยู่และแพร่เชื้ออีกครั้ง ไฟล์ที่สร้างขึ้น. เช่นเดียวกับไวรัสสำหรับบูต การฟอร์แมตดิสก์เมื่อมีไวรัสที่อาศัยอยู่ในหน่วยความจำไม่สามารถรักษาดิสก์ได้เสมอไป เนื่องจากไวรัสที่มีถิ่นที่อยู่จำนวนมากจะติดดิสก์อีกครั้งหลังจากฟอร์แมตแล้ว

ไม่ใช่ผู้มีถิ่นที่อยู่ในทางกลับกันไวรัสจะทำงานในช่วงเวลาสั้น ๆ เฉพาะในขณะที่เปิดตัวโปรแกรมที่ติดไวรัสเท่านั้น ในการแพร่กระจาย พวกเขาจะค้นหาไฟล์ที่ไม่ติดไวรัสบนดิสก์และเขียนลงไป หลังจากที่รหัสไวรัสถ่ายโอนการควบคุมไปยังโปรแกรมโฮสต์ ผลกระทบของไวรัสต่อการทำงานของระบบปฏิบัติการจะลดลงเหลือศูนย์จนกว่าจะมีการเปิดตัวโปรแกรมที่ติดไวรัสครั้งถัดไป

ไวรัสซ่อนตัวไม่ทางใดก็ทางหนึ่งพวกเขาซ่อนความจริงของการมีอยู่ในระบบ

ถึง ไวรัสโพลีมอร์ฟิก ซึ่งรวมถึงผู้ที่การตรวจจับเป็นไปไม่ได้ (หรือยากมาก) โดยใช้สิ่งที่เรียกว่ามาสก์ไวรัส - ส่วนของโค้ดคงที่เฉพาะสำหรับไวรัสชนิดใดชนิดหนึ่ง สิ่งนี้สามารถทำได้ในสองวิธีหลัก - โดยการเข้ารหัสรหัสไวรัสหลักด้วยคีย์ที่ไม่ถาวรและชุดคำสั่งถอดรหัสแบบสุ่มหรือโดยการเปลี่ยนรหัสไวรัสที่ปฏิบัติการได้เอง

หลากหลาย เทคนิคที่ไม่ได้มาตรฐาน มักใช้ในไวรัสเพื่อซ่อนตัวเองให้ลึกที่สุดในเคอร์เนลของระบบปฏิบัติการ

ความเป็นไปได้ในการทำลายล้างไวรัสสามารถแบ่งออกเป็น:

1. ไม่เป็นอันตราย ซึ่งไม่ส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ แต่อย่างใด (ยกเว้นการลดหน่วยความจำว่างบนดิสก์อันเป็นผลมาจากการกระจาย)

2. ไม่เป็นอันตราย ซึ่งอิทธิพลนี้ถูกจำกัดโดยการลดลงของหน่วยความจำดิสก์ว่างและกราฟิก เสียง และเอฟเฟกต์อื่น ๆ