Макро вирусы для word

Макровирусы
(macro viruses) являются программами на языках
(макроязыках), встроенных в некоторые
системы обработки данных (текстовые
редакторы, электронные таблицы и т. д.).
Для своего размножения такие вирусы
используют возможности макроязыков и
при их помощи переносят себя из одного
зараженного файла (документа или таблицы)
в другие. Наибольшее распространение
получили макровирусы для Microsoft Word, Excel
и Office 97.

Для
существования вирусов в конкретной
системе необходимо наличие встроенного
в систему макроязыка с возможностями:

1)
привязки программы на макроязыке к
конкретному файлу;

2)
копирования макропрограмм из одного
файла в другой;

3)
получения управления макропрограммой
без вмешательства пользователя
(автоматические или стандартные макросы).

Данным
условиям удовлетворяют редакторы
Microsoft Word, Office 97 и AmiPro, а также электронная
таблица Excel. Эти системы содержат в себе
макроязыки (Word — Word Basic, Excel и Office 97 —
Visual Basic), a также:

1)
макропрограммы привязаны к конкретному
файлу (AmiPro) или находятся внутри файла
(Word, Excel, Office 97);

2)
макроязык позволяет копировать файлы
(AmiPro) или перемещать макропрограммы в
служебные файлы системы и редактируемые
файлы (Word, Excel, Office 97);

3)
при работе с файлом при определенных
условиях (открытие, закрытие и т. д.)
вызываются макропрограммы (если таковые
есть), которые определены специальным
образом (AmiPro) или имеют стандартные
имена (Word, Excel, Office 97).

Эта
особенность макроязыков предназначена
для автоматической обработки данных в
больших организациях или в глобальных
сетях и позволяет организовать так
называемый «автоматизированный
документооборот». С другой стороны,
возможности макроязыков таких систем
позволяют вирусу переносить свой код
в другие файлы и заражать их.

На
сегодняшний день известны четыре
системы, для которых существуют вирусы,
— Microsoft Word, Excel, Office 97 и AmiPro. В этих системах
вирусы получают управление при открытии
или закрытии зараженного файла,
перехватывают стандартные файловые
функции и затем заражают файлы, к которым
каким-либо образом идет обращение. По
аналогии с MS-DOS можно сказать, что
большинство макровирусов являются
резидентными: они активны не только в
момент открытия/закрытия файла, но до
тех пор, пока активен сам редактор.

2.3.1. Word-, Excel-, Office 97-вирусы

Общие
сведения.
Физическое расположение вируса внутри
файла зависит от его формата, который
в случае продуктов Microsoft чрезвычайно
сложен. Все файлы-документы Word, Office 97
или таблицы Excel представляют собой
последовательность блоков данных
(каждый из которых также имеет свой
формат), объединенных между собой при
помощи большого количества служебных
данных. Этот формат носит название OLE2
— Object Linking and Embedding. Структура файлов
Word, Excel и Office 97 напоминает усложненную
дисковую файловую систему DOS: «корневой
каталог» файла-документа или таблицы
указывает на основные подкаталоги
различных блоков данных, несколько
таблиц FAT содержат информацию о
расположении блоков данных в документе
и т. д.

Более
того, система Office Binder, поддерживающая
стандарты Word и Excel позволяет создавать
файлы, одновременно содержащие один
или несколько документов в формате Word
и одну или несколько таблиц в формате
Excel. При этом Word-вирусы способны поражать
Word-документы, a Excel-вирусы — Excel-таблицы,
и все это возможно в пределах одного
дискового файла. То же справедливо и
для Office 97.

По
причине такой сложности форматов файлов
Word, Excel и Office 97 представить расположение
макровируса в файле можно лишь схематично
(см. рис. 2.11).

Следует
отметить, что Word версий 6 и 7 позволяет
шифровать имеющиеся в документе макросы.
Таким образом, некоторые Word-вирусы
присутствуют в зараженных документах
в зашифрованном (Execute only) виде.

Большинство
известных вирусов для Word несовместимы
с национальными (в том числе с русской)
версиями Word или, наоборот, рассчитаны
только на локализованные версии Word и
не работают под английской версией.
Однако вирус в документе все равно
остается активным и может заражать
другие компьютеры с установленной на
них соответствующими версиями Word.

Рис.
2.11 Расположение макровируса • файле

Вирусы
для Word могут заражать компьютеры любого
класса, а не только IBM PC. Заражение
возможно в том случае, если на данном
компьютере установлен текстовый
редактор, полностью совместимый с
Microsoft Word версии 6 или 7 (например, MS Word for
Macintosh). To же справедливо для Excel и Office 97.

Следует
также отметить, что сложные форматы
документов Word, таблиц Excel и особенно
Office 97 имеют следующую особенность: в
файлах-документах и таблицах присутствуют
«лишние» блоки данных, т. е. данные,
которые никак не связаны с редактируемым
текстом или таблицами либо являются
случайно оказавшимися там копиями
прочих данныу файла. Причиной возникновения
таких блоков данных является кластерная
организация данных в ОЕЕ2-документах и
таблицах, так как даже если введен всего
один символ текста, то под него выделяется
один, а иногда и несколько кластеров
данных. При сохранении документов и
таблиц в кластерах, не заполненных
«полезными» данными, остается
«мусор», который попадает в файл
вместе с прочими данными. Количество
«мусора» в файлах может быть
уменьшено отменой пункта настройки в
Word и Excel «Allow Fast Save», однако это лишь
уменьшает общее количество «мусора»,
но не убирает его полностью.

Следствием
этого является тот факт, что при
редактировании документа его размер
изменяется вне зависимости от производимых
с ним действий: при добавлении нового
текста размер файла может уменьшиться,
а при удалении части текста — увеличиться.
То же и с макровирусами: при заражении
файла его размер может уменьшиться,
увеличиться или остаться неизменным.

Следует
также отметить тот факт, что некоторые
версии OLE2.DLL содержат небольшой недочет,
в результате которого при работе с
документами Word, Excel и особенно Office 97 в
блоки «мусора» могут попасть
случайные данные с диска, включая
конфиденциальные (удаленные файлы,
каталоги и т. д.).

Принципы
работы. При
работе с документом Word версий 6 и 7
выполняет различные действия: открывает
документ, сохраняет, печатает, закрывает
и т. д. При этом Word ищет и выполняет
соответствующие «встроенные макросы»:
при сохранении файла по команде File/Save
вызывается макрос FileSave, при сохранении
по команде File/SaveAs — File-SaveAs, при печати
документов — FilePrint и т. д., если, конечно,
таковые макросы определены.

Существует
также несколько автомакросов, автоматически
вызываемых при различных условиях.
Например, при открытии документа Word
проверяет его на наличие макроса
AutoOpen. Если такой макрос присутствует,
то Word выполняет его. При закрытии
документа Word выполняет макрос AutoClose,
при запуске Word вызывается макрос
AutoExec, при завершении работы — AutoExit, при
создании нового документа — AutoNew.

Похожие
механизмы (но с другими именами макросов
и функций) используются в Excel и Office 97, в
которых роль авто- и встроенных макросов
выполняют авто- и встроенные функции,
имеющиеся в каком-либо макросе или
макросах, причем в одном макросе может
присутствовать несколько встроенных
и автофункций.

Таким
образом, к автоматическим макросам/функциям
относятся:

Имена
некоторых стандартных макросов Word (даны
имена в различных локализованных версиях
Word) приведены ниже:

Автоматически
(т. е. без участия пользователя) выполняются
также макросы/функции, ассоциированные
с какой-либо клавишей либо моментом
времени или датой, т. е. Word и Excel вызывают
макрос-функцию при нажатии на конкретную
клавишу (или комбинацию клавиш) либо
при достижении какого-либо момента
времени. В Office 97 возможности по перехвату
событий несколько расширены, но принцип
используется тот же.

Макровирусы,
поражающие файлы Word, Excel или Office 97, как
правило, пользуются одним из трех
приемов, перечисленных выше: в вирусе
либо присутствует автомакрос (автофункция),
либо переопределен один из стандартных
системных макросов (ассоциированный с
каким-либо пунктом меню), либо макрос
вируса вызывается автоматически при
нажатии на какую-либо клавишу или
комбинацию клавиш. Существуют также
полувирусы, которые не используют всех
этих приемов и размножаются, только
когда пользователь самостоятельно
запускает их на выполнение.

Таким
образом, если документ заражен, при его
открытии Word вызывает зараженный
автоматический макрос AutoOpen (или AutoClose
при закрытии документа) и запускает код
вируса, если это не запрещено системной
переменной DisableAutoMacros. Если вирус содержит
макросы со стандартными именами, они
получают управление при вызове
соответствующего пункта меню (File/Open,
File/Close, File/SaveAs). Если же переопределен
какой-либо символ клавиатуры, то вирус
активизируется только после нажатия
на соответствующую клавишу.

Большинство
макровирусов содержат все свои функции
в виде стандартных макросов Word, Excel,
Office 97. Существуют, однако, вирусы,
скрывающие свой код и хранящие его в
виде немакросов. Известно три подобных
приема, все они используют возможность
макросов создавать, редактировать и
исполнять другие макросы. Как правило,
подобные вирусы имеют небольшой (иногда
— полиморфный) макрос — загрузчик
вируса, который вызывает встроенный
редактор макросов, создает новый макрос,
заполняет его основным кодом вируса,
выполняет и затем, как правило, уничтожает
(чтобы скрыть следы присутствия вируса).
Основной код таких вирусов находится
либо в самом макросе вируса в виде
текстовых строк (иногда — зашифрованных),
либо хранится в области переменных
документа или в области Auto-text.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Макровирусы — это потенциально нежелательные программы, написанные на макроязыке и встроенные в графические и текстовые системы. Это определение дано информатикой.

Какие файлы заражают макровирусы

Ответ: Они встроены в текстовые редакторы, создающие макросы и работающие с ними (Microsoft Excel, Word, Office 97 (Visual Basic), Notepad++ и другие). Эти вирусы довольно распространены, поскольку их легко создать.

Способы проникновения

Выяснив, что такое макровирусы, давайте выясним, как они проникают в систему.

1. При скачивании чего-либо из интернета или почты. Кстати, в 50% случаев заражение компьютера происходит через электронные письма (в основном Мелисса). Поэтому очень важно иметь полноценный антивирус с функцией проверки почты и не открывать подозрительные письма, тем более не переходить по содержащимся в них ссылкам.
2. Когда к ПК подключается накопитель, например, флешка или внешний жесткий диск с вредоносными объектами.

При скачивании документов из Интернета необходимо быть предельно внимательным и точным. Большинство пользователей недооценивают их, тем самым совершая серьезную ошибку.

Одной из особенностей является простой способ размножения, позволяющий заразить максимальное количество объектов за короткое время. Благодаря возможностям макроязыков при открытии или закрытии зараженного документа они проникают в программы, к которым обращаются.

То есть при использовании графического редактора макровирусы заражают все, что с ним связано. Кроме того, некоторые из них активны все время, пока работает текстовый или графический редактор, или даже до полного выключения ПК.

В чем заключается принцип работы

Его действие происходит по следующему принципу: при работе с документами Microsoft Word выполняет различные команды, которые заданы на языке макросов. В первую очередь программа врывается в основной шаблон, через который открываются все файлы данного формата. В этом случае вирус копирует свой код в макросы, дающие доступ к основным параметрам. При выходе из приложения оно автоматически сохраняется в «.dot». Затем он вводит стандартные макросы, перехватывая команды, отправляемые в другие файлы, заражая и их.

Заражение происходит в следующих случаях:

1. Если есть автомакро (выполняется в автоматическом режиме при выключении или запуске программы).
2. Имеет основной системный макрос (часто связанный с пунктами меню).
3. Он автоматически активируется при нажатии определенных клавиш или комбинаций.
4. Играет только при запуске.

Такие вредоносные программы обычно заражают все объекты, созданные и присоединенные к приложениям на макроязыке.

Какой вред наносят

Не стоит недооценивать макровирусы, поскольку они представляют собой полномасштабные вирусы и наносят значительный ущерб компьютерам. Умеет легко удалять, копировать или редактировать объекты, содержащие в том числе личную информацию. Кроме того, у них также есть возможность передавать информацию другим людям по электронной почте. По сути, они чем-то напоминают обычных червей, троянов и рекламное ПО.

Самые мощные утилиты могут отформатировать жесткий диск или взять под контроль ПК. Поэтому ошибочно мнение, что компьютерные вирусы этого типа опасны только для графических и текстовых редакторов. Ведь такие утилиты, как Word и Excel, работают совместно с другими приложениями, которые в этом случае также подвергаются риску.

Как распознать зараженный файл

Как правило, объект, зараженный так называемым макровирусом, достаточно легко обнаружить. Содержит вредоносное ПО, которое блокирует доступ к некоторым известным функциям. Признан за следующие характеристики:

1. Документ Word не хочет сохраняться в другом формате с помощью опции «Сохранить как…».
2. Документ не перемещается на другой диск или в другую папку.
3. Изменения в документе не сохраняются с помощью опции «Сохранить».
4. Вкладка «Уровень безопасности» недоступна (Верхнее меню — Инструменты — Макрос — Безопасность).
5. Чрезмерно частое появление системных сообщений об ошибке в работе приложений с соответствующим кодом.
6. Некорректное и нехарактерное поведение документов.

Кроме того, угрозу часто легко обнаружить визуально. Разработчики часто включают такую ​​информацию, как имя утилиты, категория, тема, комментарии и имя автора, на вкладке «Сводка». Это позволяет намного быстрее и проще избавиться от макровируса. Вызвать его можно с помощью контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первое, что нужно сделать, это проверить его антивирусом. При обнаружении угрозы антивирусы попытаются ее вылечить, а в случае неудачи полностью заблокируют к ней доступ.

Если был заражен весь компьютер, следует использовать аварийный загрузочный диск, содержащий антивирус с последней базой данных. Он просканирует ваш жесткий диск и нейтрализует все обнаруженные угрозы.

Если вы не можете защитить себя таким образом и нет аварийного диска, вам следует попробовать метод лечения «вручную:

1. Откройте «Мой компьютер», в верхнем меню перейдите в «Организовать — Свойства папки».
2. Перейдите на вкладку «Вид». Снимите флажок «Скрыть расширение для всех зарегистрированных типов».
3. Мы нашли вредоносное ПО. Измените его расширение с «.doc» на «.rtf». Благодаря формату «rtf» вы сможете сохранить всю необходимую информацию, при этом плагин VBA будет очищен от вредоносного кода.
4. После этого вы увидите системное сообщение об изменении имени. Нажимаем «ДА».
5. После этого удалите шаблон «Обычный .dot». Вы можете найти его на локальном диске с установленной Windows, обычно на диске «C». Затем перейдите в «Пользователи/имя пользователя/AppData/Roaming/Microsoft/Templates».
6. Снова измените расширение документа. Восстанавливаем исходную конфигурацию.

Таким образом, он удалит макровирус из зараженного документа, но это никоим образом не означает, что он не остался в системе. Поэтому я рекомендую как можно быстрее просканировать компьютер антивирусом или специальными бесплатными сканерами (они не требуют установки и не конфликтуют с другими антивирусными продуктами).

Основные отличия от других типов угроз

Теперь давайте немного поговорим о том, чем они отличаются от других типов угроз.

1. Макровирус активируется только при открытии вредоносного объекта. Чаще всего это Word или Excel. Для разбора нужно получить текст макроса.
2. Загрузочные вирусы начинают свою вредоносную деятельность при запуске системы. Переносится через флешки, жесткие диски.
3. Сетевые черви любят распространяться на все компьютеры в одной сети. Используйте дыры и ошибки в сетевом программном обеспечении.
4. Файловые вирусы заражают исполняемые файлы форматов (apk, msi, exe, bat, cmd и др).
5. Трояны не размножаются сами по себе. Они проникают в систему, загружая полезные и популярные приложения или игры. В большинстве случаев пользователь не понимает, что скачал вредоносное ПО.
6. Шифровщики шифруют (скрывают) исходные копии файлов, делая их нечитаемыми. После этого разработчик программы-вымогателя связывается с вами через .txt или уведомление на рабочем столе и требует выкуп.

Рекомендации по защите

Процедура лечения и очистки ПК достаточно сложна, поэтому на начальных этапах лучше не допускать проникновения вредоносного ПО. Вот список рекомендаций по защите вашего устройства.

• Вам нужно иметь хороший антивирус и регулярно обновлять его.
• Если у вас старый компьютер или ноутбук и вы не хотите еще больше нагружать и без того медленную систему, присмотритесь к легким протекторам. Работают быстро даже на слабых машинах.
• Перед копированием с носителя или загрузкой программ из Интернета внимательно проверьте их, чтобы убедиться, что они не заражены вредоносным ПО.
• Если у вас установлен плохой защитник или вообще его нет, сохраните его в формате «.rtf».
• Храните важные данные сразу в нескольких местах (ПК, флешка, любое облако или файлообменник).

Подробное видео