Макро вирус заражает документы word

Макровирус – это вредоносная программа, которая может заразить любое программное обеспечение, написанное на макроязыке, среди которых такие программы Microsoft Office, как Word и Excel . Макро-вирус использует преимущества макросов, которые запускаются в приложениях Microsoft Office. Самый простой способ защитить себя от этой формы вредоносного ПО – отключить макросы в программах Office.

Вредоносные программы на основе макросов вернулись и снова стали популярными. Поэтому корпорация Майкрософт выпустила новое обновление групповой политики для всех клиентов Office 2016 в сети, которое блокирует загрузку исходных макросов из Интернета в сценариях с высоким риском и, таким образом, помогает администраторам предприятия предотвращать риск макросов.

Если значок файла изменился, или вы не можете сохранить документ, или в вашем списке макросов появляются новые макросы, вы можете предположить, что ваши документы были заражены макровирусом.

Если вы используете хорошее защитное программное обеспечение, шансы получить макровирус минимальны, если только вы не нажмете на зараженный документ или файл. Таким образом, если в результате неудачного поворота событий ваш компьютер Windows заразится макровирусом, то, выполнив эти шаги по удалению макровируса, вы сможете избавиться от вредоносного ПО.

Запустить антивирусное сканирование

В настоящее время все популярные антивирусные программы способны выявлять и удалять макровирус. Таким образом, выполнение глубокого сканирования с помощью программного обеспечения безопасности обязательно полностью удалит макровирус.

Ремонт офиса

Если вы обнаружите, что установка Office не работает нормально, после удаления макровируса вам может потребоваться восстановить Office.

Удалить макровирус в Word вручную

Если вы подозреваете, что ваша программа Word была заражена макро-вирусом, сначала нажмите клавишу Shift , а затем значок, чтобы открыть файл. Это откроет файл Word в безопасном режиме, что предотвратит запуск автоматических макросов и, следовательно, не позволит запустить макровирус. Теперь следуйте инструкциям, изложенным в KB181079. Статья KB может быть устаревшей, но она покажет вам направление работы.

Удаление макровируса в Excel

Макро-вирусы PLDT/CAR/SGV могут заражать документы Excel. Инструкции, написанные в KB176807, могут показать вам направление работы, если вам нужно удалить макровирус вручную.

Это руководство по удалению вредоносных программ содержит общие советы, которые могут помочь вам удалить вирус с компьютера Windows.

Сумасшедший лягушка — Аксель F (Официальное видео)

Technical Details

Многоплатформенный макро-вирус, заражает документы MS Word97, таблицы MS
Excel97 и файлы презентаций MS PowerPoint97. Никак не проявляется и не
содержит деструктивных процедур. Является первым известным вирусом,
заражающим более двух компонент MS Office, и одним из первых макро-вирусов,
заражающих презентации MS PowerPoint.

Вирус отключает антивирусные защиты Word, Excel и PowerPoint. Защита Word
выключается обычными командами VisualBasic. Защиты Excel и PowerPoint
отключаются непосредственно в системном реестре Windows. При этом вирус
отключает их во всех возможных местах расположения в каталогах
CURRENT_USER, LOCAL_MACHINE и USERS.

Вирус содержит три процедуры, написанные на VBA5 (Visual Basic for
Application) – “Document_Close()” для Word 97, “Workbook_Deactivate()” для
Excel 97 and “actionhook()” для PowerPoint97. Каждая из этих процедур при
активизации под соответствующим приложением Office вызывает подпрограмму
размножения вируса, переносящую его в другие объекты данного приложения и в
два других приложения Office.

Известно как минимум 4 различные версии вируса. Две из них практически
совпадают с предыдущими версиями вируса за исключением исправленных ошибок.
Последние версии вируса использует ошибку в защите MS Word97. Специально
подготовленный Word-документ, расположенный на хакерском Web-сервере,
“дотягивал” и загружал в Word зараженный темплейт, расположенный на том же
Web-сервере. Таким образом, при скачивании с сервера и
открытии на локальном компьютере незараженного документа вирус проникал в
компьютер и заражал его. При этом стандартная защита от вирусов, встроенная
в MS Word97, не срабатывала на подобную “обманку”, и вирусный макро-код не
опознавался Word-ом как потенциально опасный.

Вирусы содержат комментарии:

“Triplilcate.a”:
Triplicate v0.1 /1nternal
“Triplilcate.b”:
Triplicate v0.11 /1nternal
“Triplilcate.c”:
Triplicate v0.2 /1nternal
“Triplilcate.d”:
Triplicate v0.21 /1nternal

Заражение из Word-документа

При активизации из зараженного документа Word вирус первым делом отключает
антивирусную защиту Word и проверяет область глобальных макросов (файл
NORMAL.DOT) на зараженность. Если это файл еще не заражен, вирус запускает
процедуру заражения компонентов MS Office. Эта процедура состоит из трех
частей: заражение Word, заражение Excel и заражение PowerPoint.

1. Процедура, заражающая Word, является самой простой в вирусе. Она простым
копированием переносит код вируса в область глобальных макросов Word
(NORMAL.DOT).

2. Заражение Excel является более сложным. Сначала вирус пытается запустить
новый экземпляр Excel, вызвав функцию CreateObject(“Excel.Application”).
Затем вирус ищет в стартовом каталоге Excel файл с именем BOOK1 (файлы из
этого каталога автоматически загружаются при старте Excel). Если такого
файла не обнаружено, вирус переходит к заражению Excel. Во время заражении
вирус отключает встроенную в Excel защиту от макро-вирусов, создает новую
таблицу, копирует в ее область макросов свой код и записывает эту таблицу в
стартовый каталог Excel в файл и именем BOOK1.

3.Процедура заражения PowerPoint во многом похожа на заражение Excel. Вирус
запускает новый экземпляр PowerPoint, ищет в системном шаблоне PowerPoint
(файл с именем ‘Blank Presentation.pot’) модуль, который называется
‘Triplicate’ и, если не находит, заражает этот файл. Заражение происходит
следующим образом: вирус отключает встроенную в PowerPoint защиту от
макро-вирусов, создает новый модуль ‘Triplicate’ в файле ‘Blank
Presentation.pot’, копирует туда свой вирусный код, добавляет в этот же
файл новую скрытую форму и устанавливает процедуру активации этой формы на
свой код (эта процедура вызывается каждый раз, когда пользователь “кликает
мышкой” по данной форме).

В завершение вирус проверят текущий активный документ и заражает его, если
вирусный код в нем не обранужен. Данная часть процедуры заражения
отрабатывает в том случае, когда система уже заражена и Word закрывает
новый еще незараженный документ.

Заражение из таблиц Excel и презентаций PowerPoint

Вирусные процедуры, которые активизируются при открытии зараженных файлов
Excel и PowerPoint, очень похожи друг на друга за исключением некоторых
деталей.

Прежде всего вирус проверяет наличие файла BOOK1 в стартовом каталоге Excel
и, если такой файл не обнаружен, то вирус считает систему еще не
зараженной и внедряется в нее. Первым делом вирус заражает Word.

1. При заражени Word вирус за две попытки получает экземпляр объекта
‘Word.Application’. Сначала вирус пытается получить экземпляр уже
запущенного приложения и использует для этого функцию GetObject(), затем,
если произошла ошибка обращения к объекту, вирус вызывает CreateObject().
Данный прием используется для того, чтобы вирус получил возможэность записи
своего кода в файл NORMAL.DOT, который в случае уже работающего Word
оказывается закрыт на запись. Если Word не активен, вирус получает объект
‘Word.Application’ обычным путем – функцией CreateObject().

Затем вирус удаляет из шаблона NORMAL.DOT весь присутствующий в нем код,
создает там новую процедуру с именем DisableAV(), копирует туда часть
своего кода (весьма короткая процедура – всего 8 команд), затем вызывает и
удаляет ее. Данная процедура отключает антивирусную защиту Excel и
PowerPoint в системном реестре. Затем вирус копирует свой код в область
глобальных макросов (NORMAL.DOT).

2. Заражение Excel/PowerPoint. На этом этапе процедура заражения переносит
код вируса из Excel в PowerPoint или наоборот в зависимости от типа уже
зараженного приложения. Данная процедура совпадает с аналогичной,
использующейся вирусом при заражении Excel и PowerPoint из документа Word.

В случае, если вирус стартовал из таблицы Excel, то в конце своей работы он
также заражает текущую таблицу Excel.

Процедура активации вируса в PowerPoint имеет дополнительную деталь: она
вызывается с вероятностью 1/7 в зависимости от системного датчика случайных
чисел.

Макровирусы
(macro viruses) являются программами на языках
(макроязыках), встроенных в некоторые
системы обработки данных (текстовые
редакторы, электронные таблицы и т. д.).
Для своего размножения такие вирусы
используют возможности макроязыков и
при их помощи переносят себя из одного
зараженного файла (документа или таблицы)
в другие. Наибольшее распространение
получили макровирусы для Microsoft Word, Excel
и Office 97.

Для
существования вирусов в конкретной
системе необходимо наличие встроенного
в систему макроязыка с возможностями:

1)
привязки программы на макроязыке к
конкретному файлу;

2)
копирования макропрограмм из одного
файла в другой;

3)
получения управления макропрограммой
без вмешательства пользователя
(автоматические или стандартные макросы).

Данным
условиям удовлетворяют редакторы
Microsoft Word, Office 97 и AmiPro, а также электронная
таблица Excel. Эти системы содержат в себе
макроязыки (Word — Word Basic, Excel и Office 97 —
Visual Basic), a также:

1)
макропрограммы привязаны к конкретному
файлу (AmiPro) или находятся внутри файла
(Word, Excel, Office 97);

2)
макроязык позволяет копировать файлы
(AmiPro) или перемещать макропрограммы в
служебные файлы системы и редактируемые
файлы (Word, Excel, Office 97);

3)
при работе с файлом при определенных
условиях (открытие, закрытие и т. д.)
вызываются макропрограммы (если таковые
есть), которые определены специальным
образом (AmiPro) или имеют стандартные
имена (Word, Excel, Office 97).

Эта
особенность макроязыков предназначена
для автоматической обработки данных в
больших организациях или в глобальных
сетях и позволяет организовать так
называемый «автоматизированный
документооборот». С другой стороны,
возможности макроязыков таких систем
позволяют вирусу переносить свой код
в другие файлы и заражать их.

На
сегодняшний день известны четыре
системы, для которых существуют вирусы,
— Microsoft Word, Excel, Office 97 и AmiPro. В этих системах
вирусы получают управление при открытии
или закрытии зараженного файла,
перехватывают стандартные файловые
функции и затем заражают файлы, к которым
каким-либо образом идет обращение. По
аналогии с MS-DOS можно сказать, что
большинство макровирусов являются
резидентными: они активны не только в
момент открытия/закрытия файла, но до
тех пор, пока активен сам редактор.

2.3.1. Word-, Excel-, Office 97-вирусы

Общие
сведения.
Физическое расположение вируса внутри
файла зависит от его формата, который
в случае продуктов Microsoft чрезвычайно
сложен. Все файлы-документы Word, Office 97
или таблицы Excel представляют собой
последовательность блоков данных
(каждый из которых также имеет свой
формат), объединенных между собой при
помощи большого количества служебных
данных. Этот формат носит название OLE2
— Object Linking and Embedding. Структура файлов
Word, Excel и Office 97 напоминает усложненную
дисковую файловую систему DOS: «корневой
каталог» файла-документа или таблицы
указывает на основные подкаталоги
различных блоков данных, несколько
таблиц FAT содержат информацию о
расположении блоков данных в документе
и т. д.

Более
того, система Office Binder, поддерживающая
стандарты Word и Excel позволяет создавать
файлы, одновременно содержащие один
или несколько документов в формате Word
и одну или несколько таблиц в формате
Excel. При этом Word-вирусы способны поражать
Word-документы, a Excel-вирусы — Excel-таблицы,
и все это возможно в пределах одного
дискового файла. То же справедливо и
для Office 97.

По
причине такой сложности форматов файлов
Word, Excel и Office 97 представить расположение
макровируса в файле можно лишь схематично
(см. рис. 2.11).

Следует
отметить, что Word версий 6 и 7 позволяет
шифровать имеющиеся в документе макросы.
Таким образом, некоторые Word-вирусы
присутствуют в зараженных документах
в зашифрованном (Execute only) виде.

Большинство
известных вирусов для Word несовместимы
с национальными (в том числе с русской)
версиями Word или, наоборот, рассчитаны
только на локализованные версии Word и
не работают под английской версией.
Однако вирус в документе все равно
остается активным и может заражать
другие компьютеры с установленной на
них соответствующими версиями Word.

Рис.
2.11 Расположение макровируса • файле

Вирусы
для Word могут заражать компьютеры любого
класса, а не только IBM PC. Заражение
возможно в том случае, если на данном
компьютере установлен текстовый
редактор, полностью совместимый с
Microsoft Word версии 6 или 7 (например, MS Word for
Macintosh). To же справедливо для Excel и Office 97.

Следует
также отметить, что сложные форматы
документов Word, таблиц Excel и особенно
Office 97 имеют следующую особенность: в
файлах-документах и таблицах присутствуют
«лишние» блоки данных, т. е. данные,
которые никак не связаны с редактируемым
текстом или таблицами либо являются
случайно оказавшимися там копиями
прочих данныу файла. Причиной возникновения
таких блоков данных является кластерная
организация данных в ОЕЕ2-документах и
таблицах, так как даже если введен всего
один символ текста, то под него выделяется
один, а иногда и несколько кластеров
данных. При сохранении документов и
таблиц в кластерах, не заполненных
«полезными» данными, остается
«мусор», который попадает в файл
вместе с прочими данными. Количество
«мусора» в файлах может быть
уменьшено отменой пункта настройки в
Word и Excel «Allow Fast Save», однако это лишь
уменьшает общее количество «мусора»,
но не убирает его полностью.

Следствием
этого является тот факт, что при
редактировании документа его размер
изменяется вне зависимости от производимых
с ним действий: при добавлении нового
текста размер файла может уменьшиться,
а при удалении части текста — увеличиться.
То же и с макровирусами: при заражении
файла его размер может уменьшиться,
увеличиться или остаться неизменным.

Следует
также отметить тот факт, что некоторые
версии OLE2.DLL содержат небольшой недочет,
в результате которого при работе с
документами Word, Excel и особенно Office 97 в
блоки «мусора» могут попасть
случайные данные с диска, включая
конфиденциальные (удаленные файлы,
каталоги и т. д.).

Принципы
работы. При
работе с документом Word версий 6 и 7
выполняет различные действия: открывает
документ, сохраняет, печатает, закрывает
и т. д. При этом Word ищет и выполняет
соответствующие «встроенные макросы»:
при сохранении файла по команде File/Save
вызывается макрос FileSave, при сохранении
по команде File/SaveAs — File-SaveAs, при печати
документов — FilePrint и т. д., если, конечно,
таковые макросы определены.

Существует
также несколько автомакросов, автоматически
вызываемых при различных условиях.
Например, при открытии документа Word
проверяет его на наличие макроса
AutoOpen. Если такой макрос присутствует,
то Word выполняет его. При закрытии
документа Word выполняет макрос AutoClose,
при запуске Word вызывается макрос
AutoExec, при завершении работы — AutoExit, при
создании нового документа — AutoNew.

Похожие
механизмы (но с другими именами макросов
и функций) используются в Excel и Office 97, в
которых роль авто- и встроенных макросов
выполняют авто- и встроенные функции,
имеющиеся в каком-либо макросе или
макросах, причем в одном макросе может
присутствовать несколько встроенных
и автофункций.

Таким
образом, к автоматическим макросам/функциям
относятся:

Имена
некоторых стандартных макросов Word (даны
имена в различных локализованных версиях
Word) приведены ниже:

Автоматически
(т. е. без участия пользователя) выполняются
также макросы/функции, ассоциированные
с какой-либо клавишей либо моментом
времени или датой, т. е. Word и Excel вызывают
макрос-функцию при нажатии на конкретную
клавишу (или комбинацию клавиш) либо
при достижении какого-либо момента
времени. В Office 97 возможности по перехвату
событий несколько расширены, но принцип
используется тот же.

Макровирусы,
поражающие файлы Word, Excel или Office 97, как
правило, пользуются одним из трех
приемов, перечисленных выше: в вирусе
либо присутствует автомакрос (автофункция),
либо переопределен один из стандартных
системных макросов (ассоциированный с
каким-либо пунктом меню), либо макрос
вируса вызывается автоматически при
нажатии на какую-либо клавишу или
комбинацию клавиш. Существуют также
полувирусы, которые не используют всех
этих приемов и размножаются, только
когда пользователь самостоятельно
запускает их на выполнение.

Таким
образом, если документ заражен, при его
открытии Word вызывает зараженный
автоматический макрос AutoOpen (или AutoClose
при закрытии документа) и запускает код
вируса, если это не запрещено системной
переменной DisableAutoMacros. Если вирус содержит
макросы со стандартными именами, они
получают управление при вызове
соответствующего пункта меню (File/Open,
File/Close, File/SaveAs). Если же переопределен
какой-либо символ клавиатуры, то вирус
активизируется только после нажатия
на соответствующую клавишу.

Большинство
макровирусов содержат все свои функции
в виде стандартных макросов Word, Excel,
Office 97. Существуют, однако, вирусы,
скрывающие свой код и хранящие его в
виде немакросов. Известно три подобных
приема, все они используют возможность
макросов создавать, редактировать и
исполнять другие макросы. Как правило,
подобные вирусы имеют небольшой (иногда
— полиморфный) макрос — загрузчик
вируса, который вызывает встроенный
редактор макросов, создает новый макрос,
заполняет его основным кодом вируса,
выполняет и затем, как правило, уничтожает
(чтобы скрыть следы присутствия вируса).
Основной код таких вирусов находится
либо в самом макросе вируса в виде
текстовых строк (иногда — зашифрованных),
либо хранится в области переменных
документа или в области Auto-text.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #