Що таке макровіруси?

У цій статті мова піде про макровіруси, зокрема, про тих представників цього численного сімейства, які вражають документи Word.

Користувачі ПК часто недооцінюють макровіруси, не враховуючи, що макрос, написаний, наприклад, на мові VBA і інтегрований в документ Word або Excel, володіє всіма тими ж можливостями, що і звичайна програма. Він може відформатувати Ваш вінчестер, видалити будь-які файли з вибору, скопіювати будь-яку конфіденційну інформацію (наприклад, паролі) і відправити її електронною поштою і т.д.

Що таке макровіруси

Макровіруси - це програми, написані на так званих макромови, вбудованих в деякі системи обробки даних (текстові та графічні редактори, електронні таблиці і т. Д.). Для свого розмноження такі віруси використовують можливості макромов, вони переносяться від одного зараженого файлу до іншого. Найбільшого поширення набули макровіруси для Microsoft Word, Excel. Макровіруси отримують управління при відкритті або закритті зараженого файлу, перехоплюють стандартні файлові функції і потім заражають файли, до яких яким-небудь чином йде звернення. Більшість макровірусів є резидентними вірусами: вони активні не тільки в момент відкриття або закриття файлу, але до тих пір, поки активний сам текстовий або табличний редактор (а деякі можуть залишатися в оперативній пам'яті до виключення ПК!). Легкість створення макровірусів вражає уяву, все знаходиться буквально під рукою: досить запустити Word, вибрати меню Сервіс - Макрос - Редактор Visual Basic - І запуститься програмне середовище VBA (Visual Basic for Application)!

Принцип «роботи» макровірусів

При роботі з документом MS Word виконує різні дії: відкриває документ, зберігає, друкує, закриває і т. д. При цьому Word шукає і виконує відповідні вбудовані макроси: при збереженні файлу по команді Файл - Зберегти викликається макрос FileSave, при збереженні по команді Файл - Зберегти як ... - FileSaveAs, при друку по команді Друк... - FilePrint і т. д. Існують також кілька макросів, автоматично викликаються при виникненні відповідних ситуацій. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його. При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завершенні роботи - AutoExit, при створенні нового документа - AutoNew (Схожі механізми, але з іншими іменами макросів, використовуються і в Excel).

Макровіруси, що вражають файли Word, як правило, користуються одним з чотирьох прийомів:

1) у вірусі присутній автомакрос-

2) у вірусі перевизначений один із стандартних системних макросів (асоційований з яким-небудь пунктом меню) -

3) макрос вірусу автоматично викликається при натисканні на яку-небудь клавішу або комбінацію клавіш;

4) вірус починає розмножуватися тільки в тому випадку, якщо користувач запускає його на виконання.

Основний механізм зараження такий: коли ми відкриваємо заражений документ Word, макровірус копіює свій код в область глобальних макросів документа. А при виході з Word'А глобальні макроси (включаючи макроси вірусу) автоматично записуються в dot-файл глобальних макросів (шаблон Normal.dot).

Потім вірус перевизначає стандартні макроси (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) І з їх допомогою перехоплює команди роботи з файлами. При виклику цих команд заражається файл, до якого йде звернення.

Як виявити макровіруси

Характерними ознаками присутності макровірусів є:

1) неможливість збереження зараженого документа Word в інший формат (по команді Зберегти як...) ;

2) неможливість запису документа в інший каталог або на інший диск командою Зберегти як... ;

3) неможливість збереження внесених змін в документ (команда Зберегти) ;

4) недоступність вкладки «Рівень безпеки»(Меню Сервіс - Макрос - Безпека...) ;

5) т.к. багато вірусів написані з помилками (або некоректно працюють в різних версіях пакета Microsoft Office), То можлива поява відповідних системних повідомлень з кодом помилки;

6) інші «дивацтва» в поведінці документів Word;

7) часто макровіруси можна виявити візуально. Справа в тому, що більшість вірусописьменників відрізняються марнославством: у властивостях файлу Word (Вікно Властивості викликається по кліку правої кнопки миші - вибрати з контекстного меню Властивості) На вкладці Зведення заповнюють поля введення (Назва, Тема, Автор, Категорія, Ключові слова і Коментар). Цю інформацію (як правило, в макровіруси вона пишеться сумішшю латиниці з кирилицею і включає - в числі іншого - деякі безглузді слова, типу муніціпалізма і т.д.) можна побачити при наведенні покажчика миші на значок файлу Word - Вона з'являється в підказці і внизу зліва в папці, у віконці Детально (Якщо включено Використання типових задач для папок).

Всього Вам доброго!