На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

МАКРОВИРУСЫ

Как уже говорилось, макровирусы — это один из наиболее опасных типов ком­пьютерных вирусов. В настоящее время они представляют собой наиболее быс­тро развивающуюся разновидность «компьютерных инфекций», способных пе­ремещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютер­ной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, больше.
а файлы с данными, которых гораздо
Количество макровирусов растет с каждым днем. По официальным данным, в октябре 1996 года было зарегистрировано менее 100 макровирусов. В мае 1997 года их количество достигло 700. Как вы узнаете, макровирус — это небольшая про­грамма, написанная на внутреннем языке программирования (иногда эти языки называют языками разработки сценариев или макроязыками) какого-то приложе­ния. В качестве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие машины вмес­те с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут вы­полняться на любом типе компьютеров. Главное, чтобы на машине была нуж­ная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выпол­няться на различных платформах и под управлением различных операционных систем. показано, как макровирус перемещается между ма­шинами с различными операционными системами.
пользователь
пользователь
Макровирус может перемещаться между машинами.
Внутренние языки программирования наиболее популярных приложений пред­ставляют собой очень эффективное инструментальное средство. С их помощью можно удалять или переименовывать файлы и каталоги, а также изменять содер­жимое файлов. Созданные на таких языках программирования макровирусы могут проделывать те же самые операции.
В настоящее время большинство известных макровирусов написано на Microsoft Word Basic или недавно появившемся Visual Basic for Application (VBA).' WordBasic-это внутренний язык программирования текстового процессора Wordfor Windows
(начиная с версии 6.0) и Won 6.0for Macintosh. Так как при каждом использо­вании программы из пакета Microsoft Office выполняется и VBA, то написанные с его помощью макровирусы представляют для системы чрезвычайную опасность. Другими словами, макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом воз­можностей внутренних языков программирования возрастет и количество новых макровирусов.
Далее приводится список наиболее важных причин создания вирусов с примене­нием Microsoft Word:
Microsoft Word обладает огромными благодаря которым
макровирус может производить различные действия. Кроме того, созда­ны версии этой программы для различных компьютерных платформ: суще­ствуют версии для DOS, Windows 3.1, Windows 95 и Mac OS. Это увеличи­вает поле деятельности макровирусов.
• Общий шаблон (в Windows он хранится в файлеnormal.dot) содержит гло­бальные макрокоманды, всегда доступные в Microsoft Word. Для макрови­руса этот файл представляет собой «плодородную почву». Дело в том, что именно в этом шаблоне обычно и размещается тело макровируса. Именно из него вирус заражает все созданные в текстовом процессоре документы.
• Microsoft Word автоматически выполняет указанные макрокоманды без уча­стия пользователя. Благодаря этому макровирус может выполняться вме­сте с обычными макрокомандами (с помощью обычных макрокоманд про­грамма производит открытие и закрытие документа, а также завершение
своей работы).
• По сравнению с созданием системных вирусов с помощью ассемблера, написать макровирус не так уж сложно. и VBA представляют собой достаточно простые языки программирования.
• Обычно пользователи помещают документы Word в сообщения электрон­ной почты, на ///ьсайты и в листы рассылки. Все это способствует еще более быстрому распространению макровирусов. К сожалению, неподго­товленность пользователей играет на руку создателям макровирусов.
ЩпРИМЕР МАКРОВИРУСА
уже говорилось, создание макровирусов — это достаточ­но простая задача. Чтобы вы лучше представили ситуацию, я приведу конкретный пример макровируса. Первый из них — DeleteАИТетр- выполняется в Word 6.0шт Word'7.0. Его цель -удалить все файлы, расположенные в каталоге windows/temp.
Этот код является телом (payload) макровируса. Именно он размещается в заражаемых документах. Кроме того, для успешного внедрения в создавае­мые документы макровирус должен заново переписать некоторые пункты меню ■Файл: Сохранить, Новый и Сохранить как. Однако это не так уж сложно. Более того, проще создать копию макрокоманды, чем записать копию виру­са в другую макрокоманду. Например, можно заменить пункт Закрыть меню Файл макрокомандой DeleteAllTemp. Полиморфная природа макровирусов заставляет создателей антивирусных программ рассматривать их как доста­точно серьезную угрозу для систем пользователей.
НЕКОТОРЫЕ   РАСПРОСТРАНЕННЫЕ МАКРОВИРУСЫ
Word Macro/Сопсер известный также как Word Prank Macro или WWW6 Macro, — это макровирус, написанный на внутреннем языке Microsoft Word 6.0. На самом деле он состоит из нескольких макрокоманд: AAAZAO, AAAZFS, AutoOpen, FileSaveAs и PayLoad. Хочу обратить ваше внимание на то, что макрокоманды AutoOpen и FileSaveAs являются стандартными. Макровирус пытается заразить общий шаблон документов normal.dot. Если же в процессе заражения вирус об­наружит, что в файле шаблона уже находится макрокоманда PayLoad или FileSaveAs, то он прекратит атаку. Заразив общий шаблон, вирус начинает зара­жать все документы, сохраненные с помощью команды Сохранить как. Для об­наружения вируса воспользуйтесь меню Сервис и выберите в нем пункт Макрос. Если в появившемся окне есть макрокоманда AAAZFS, то, скорее всего, вирус уже поразил вашу систему. показано диалоговое окно, указы­вающее на то, что система заражена.
Можно вылечить систему. Для этого достаточно создать пустую макрокоманду с именем PayLoad — она запишется поверх макрокоманды вируса. Теперь система надежно защищена от заражения. Ведь вирус, обнаружив эту макрокоманду, посчитает, что система уже заражена, и не станет ее заражать. Однако создание макрокоманды-пустышки — это лишь временное решение. Возможно, что именно в этот момент кто-то изменяет Concept так, чтобы он заражал систему, не обра­щая внимания на макрокоманды, расположенные в шаблоне normal.dot.
Word очень похож на Concept. Однако есть и некоторые различия.
Автор этого макровируса зашифровал макрокоманду вируса. Вирус воспроизво­дится во время открытия или сохранения файла. Этот вирус гораздо сложнее
обнаружить, потому что он зашифрован. Он производит два вида разрушений,
похожих по действию, но различных в реализации.
Макровирус активизируется 13 декабря. При этом он пытается удалить все фай­лы из текущего каталога. Вторая активизация наступает в тот момент, когда пользователь запускает команду FileSaveAs, а внутренние часы компьютера пока­зывают 13 секунд. При этом на сохраняемый документ накладывается пароль, и пользователь больше не сможет открыть его. Чтобы остановить действие вируса, нужно отключить автоматическое выполнение макрокоманд или заставить Word запрашивать разрешение на сохранение изменений в normal.dot. Для этого от­кройте меню Сервис и выберите пункт Параметры. Выберите в появившемся диалоговом окне закладку Сохранение и поставьте флажок напротив пункта За­прос на сохранение шаблона «Обычный».
Word Macro/BandungcocTom из шести макрокоманд: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomizen ToolsMacro. При открытии зараженного файла (или запуске Word с зараженным файлом общего шаблона) после 11:00 начиная с двадцатого числа каждого месяца (и до конца месяца) вирус удаляет файлы во всех подкаталогах диска С:, за исключением каталогов \W!NDOWS, \WINWORD или \WINWORD6. Во время этой операции в строке состояния высвечивается сообщение «Reading menu ... Please Wait!». После удаления вирус создает файл c:\pesan.txtn оставляет в нем свое сообщение.
Если при просмотре зараженного документа пользователь выберет меню Сервис, а в нем пункт Макрос, то вирус отобразит на экране диалоговое окно с сообще­нием «Fail on step 29296» (в заголовке окна будет отображена строка Егг@#*(с)и символ STOP). После этого вирус заменит в документе все символы а на #@, а затем сохранит документ. Как вы уже, наверное, догадались, Word никогда не проделывает таких операций.
В 1995 году в одну из групп новостей Usenet был помещен вирус Word Macro/ Colors. Иногда его еще называют Rainbow. Вирус поддерживает в файле win.ini счетчик поколений — он располагается в секции [windows] в строке countersu =. При каждом выполнении макрокоманды значение счетчика увеличивается на единицу. После некоторого значения вирус изменяет установки цветов систе­мы. При следующей загрузке Windows она будет раскрашена в случайно подо­бранные цвета. Этот макровирус заражает документы Word так же, как и мно­гие остальные вирусы. Однако он не полагается на автоматическое выполнение макрокоманд и активизируется даже в том случае, если вы запустите Word с параметром или воспользуетесь средствами защиты шаблонов
от вирусов (они расположены на Web-сайте http://www.microsoft.com).
В таблице        приведен список макрокоманд вируса Colors.
Имена макрокоманд_
Auto Close                  AutoExec AutoOpen FikExit                   FileNew FileSave __FileSaveAs_ToolsMacro_Macros_
Имена макрокоманд вируса Colors.
Во время выполнения одной из этих макрокоманд вирус активизируется и зара­зит файл normal.dot. После открытия зараженного документа вирус будет выпол­няться при каждом создании нового файла, закрытии зараженного файла и со­хранении открытого файла. Кроме того, он будет выполняться и при открытии пункта Макрос меню Сервис. Таким образом, не нужно пользоваться этим пун­ктом для определения вируса. Вместо этого откройте меню Файл и выберите пункт Шаблоны. Откройте с его помощью диалоговое окно Организатор. В
этом окне выберите закладку Макро. Теперь вы сможете спокойно обнаружить и
удалить опасные макрокоманды. Однако не забывайте, что вирус может заново переписать их. Отметим также, что автор этого вируса — достаточно опытный программист: в вирусе даже предусмотрен встроенный режим отладки.
Макровирус WordMacro/Hotодержит четыре макрокоманды. Прежде всего этот вирус создает строку в файле witiword.ini, где записана «горячая дата» — она должна наступить через две недели после заражения. Строка выглядит примерно так:
Начальные имена макрокоманд
AutoOpen DrawBringlnFront InsertPBreak Insert ToolsRepaginat_
Имена макрокоманд вируса   Word Macro/Hot.
Если выбрать в меню Сервис пункт Макрос, то в появившемся диалоговом окне вы увидите имена макрокоманд, расположенные в правом столбце таблицы 14.2.
Спустя несколько дней после наступления «горячей даты» вирус активизируется и удалит выбранные случайным образом файлы. Чтобы избавиться от этого ви­руса, удалите его макрокоманды.
Макровирус WordMacro/MDk содержит всего лишь одну макрокоманду -AutoClose. Этот макровирус заражает все версии WinWord 6.0 и более поздние, причем он действует и на PC, и на Macintosh. Вирус активизируется первого числа каждого месяца. Его действия зависят от компьютерной платформы. На компьютерах Macintosh он пытается удалить все файлы, расположенные в теку­щей папке. Однако из-за ошибки в своем тексте вирус не может выполнить своего предназначения. При этом возникает синтаксическая ошибка, и вирус не приносит никакого вреда. В Windows NT вирус вытирает все файлы в теку­щем каталоге, а также файл c:\shmk. В Windows 95 вирус удаляет файлы c:\shmk, c:\windows\*.hlf и c:\windows\system\*.ср! Кроме того, вирус устанавливает пара­метры Stickykeys и а также сбрасывает параметр выполнения сцена­риев входа в сеть. Из-за ошибки в тексте вирусу не удается установить параметр HighContrast. В Windows 3.1 вирус удаляет файл c:\shmk, а в файле autoexec.bat он размещает следующие строки:
@ echo off deltree /у с:
@ echo You have just been ** expletive deleted ** over by a virus @ echo You are infected with MDMA_DMV. @ echo Brought to you by MDMA.
При попытке перегрузить компьютер вирус удалит все файлы, размещенные на диске c;\.
Очень распространенным является макровирус Как и осталь-
ные макровирусы, он старается заразить основной шаблон документов. Однако он не пытается раскрыть своего присутствия с помощью диалоговых окон. Вместо
этого вирус незаметно инфицирует каждый документ, созданный с помощью
пункта Сохранить как меню Файл. При этом он добавляет к документу свою макрокоманду. Чтобы не быть обнаруженным, при каждом закрытии документа Nuclear сбрасывает флажок Запрос на сохранение шаблона «Обьпный». После этого Word больше не будет запрашивать у пользователя разрешение на сохране­ние изменений файла normal.dot. Благодаря этому вирус становится практически незаметным. Дело в том, что многие пользователи используют этот параметр для защиты от макровирусов. Однако они и не догадываются о том, что вирус может изменить его.
Пятого апреля макрокоманда вируса — Pay Loan — пытается удалить системные файлы io.sys, msdos.sys и command.com. Кроме того, вирус добавляет в конце каждого напечатанного или посланного по факсу (из Word) документа в течение последних пяти секунд каждой минуты следующие строки: «And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC». (A напоследок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ АТОМНЫЕ ИСПЫ­ТАНИЯ В ТИХОМ ОКЕАНЕ). Так как эти строки добавляются только во время печати, то пользователь не может их увидеть во время просмотра документа. Это действие производит макрокоманда вируса Insert Pay Load. Чтобы уничтожить ви­рус, воспользуйтесь пунктом Макрос меню Сервис. Если вы обнаружите там макрокоманду вроде InsertPayLoad, можете смело ее удалять.
Макровирус Word содержит всего лишь одну макрокоманду -
AutoOpen. Поэтому он не зависит от языка. Другими словами, этот макровирус может выполняться в локализованных версиях Word. Вирус Wazzu изменяет со­держание зараженных документов: он перемешивает слова и вставляет слово «wazzu». Трудно определить, откуда пришел этот макровирус. Отмечу лишь то, что аббревиатура Washington State University звучит так же, как и Wazz.u.
НАИЛУЧШИЕ РЕШЕНИЯ для ЗАЩИТЫ от МАКРОВИРУСОВ
Word 7.0для Windows 95 и Windows NT, а также Word 97автоматически предуп­реждают пользователей о том, что открываемый документ содержит макроко­манды. Компания Microsoft создала для Word 6.0 специальное средство борьбы с макровирусами -- MVP (Macro Virus Protection). MVP устанавливает набор защитных макрокоманд, обнаруживающих подозрительные файлы и предупреж­дающих пользователя о потенциальной опасности открываемых файлов. Чтобы загрузить это средство, посетите Web-сайт компании Microsoft, расположенный по адресу http://www.microsoft.com/word/freestuff/mvtool/mvtool2.htm. С помощью этого инструментального средства можно также просматривать все документы Word, поступающие по электронной почте или загруженные из Internet.
Самые последние версии Word (начиная с Word 7.0) менее подвержены дей­ствию Дело в том, что эти версии (вместе с новыми версиями Excel, Access и PowerPoint) поддерживают новый внутренний язык программиро­вания - Visual Basic for Application 5.0 (VBA). Он не совместим с WordBasic. Кроме того, этот язык используется в новых версиях Chameleon" (от NetManage), Photoshop* (от Adobe) и AutoCAD" (от AutoDesk).
Таким образом, большинство старых макровирусов не смогут нормально рабо­тать в рамках нового языка разработки сценариев. Однако тот факт, что один и тот же внутренний язык поддерживается многими приложениями, может приве­сти к появлению нового макровирусов, которые смогут работать и заражать не только Word, но также все остальные приложения и их документы.
Для получения более подробной информации о макровирусах посетите Web-сайт организации CIAC (Computer Incident Advisory Capability), расположенный по адресу http://ciac.llnl.gov/ciac/bulletins/g-10a.shtml. Кроме того, много интересной информации о макровирусах расположено в списке Ричарда Джона Мартина (ftp://ftp.gate.   net/pub/users/ris 1/word.faq).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика