Безпека комп'ютера - все про макровіруси

У цій статті мова піде про макровіруси, зокрема, про тих представників цього численного сімейства, які вражають документи Word.

Користувачі ПК часто недооцінюють макровіруси, не враховуючи, що макрос, написаний, наприклад, на мові VBA і інтегрований в документ Word або Excel, володіє всіма тими ж можливостями, що і звичайна програма.

Він може відформатувати Ваш вінчестер, видалити будь-які файли на вибір, скопіювати будь-яку конфіденційну інформацію (наприклад, паролі) і відправити її електронною поштою і т.д.

Макровіруси - це програми, написані на так званих макромови, вбудованих в деякі системи обробки даних (текстові і графічні редактори, електронні таблиці і т.д.).

Для свого розмноження такі віруси використовують можливості макромов, вони переносяться від одного зараженого файлу до іншого. Найбільшого поширення набули макровіруси для Microsoft Word, Excel.

Макровіруси одержують керування при відкритті або закритті інфікованого файлу, перехоплюють стандартні файлові функції і потім заражають файли, до яких яким-небудь чином йде звертання.

Більшість макровірусів є резидентними вірусами: вони активні не тільки в момент відкриття або закриття файлу, але до тих пір, поки активний сам текстовий або табличний редактор (а деякі можуть залишатися в оперативній пам'яті до виключення ПК!).

Легкість створення макровірусів вражає уяву, все знаходиться буквально під рукою: досить запустити Word, вибрати меню Сервіс -> Макрос -> Редактор Visual Basic -> і запуститься програмне середовище VBA (Visual Basic for Application)!

Принцип роботи макровірусів:

При роботі з документом MS Word виконує різні дії: відкриває документ, зберігає, друкує, закриває і т. д. При цьому Word шукає і виконує відповідні вбудовані макроси: при збереженні файлу по команді Файл - Зберегти викликається макрос FileSave, при збереженні за командою Файл -> Зберегти як ... -> FileSaveAs, при друці по команді Друк ... -> FilePrint і т.д.

Існує також кілька макросів, автоматично викликаються при виникненні відповідних ситуацій. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його.

При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завершенні роботи - AutoExit, при створенні нового документа - AutoNew (схожі механізми, але з іншими іменами макросів використовуються і в Excel).

Макровіруси, що вражають файли Word, як правило, користуються одним з чотирьох прийомів:

1. у вірусі присутній автомакрос;

2. у вірусі перевизначений один із стандартних системних макросів (асоційований з яким-небудь пунктом меню);

3. макрос вірусу автоматично викликається при натисканні на яку-небудь клавішу або комбінацію клавіш;

4. вірус починає розмножуватися тільки в тому випадку, якщо користувач запускає його на виконання.

Основний механізм зараження такий: коли ми відкриваємо заражений документ Word, макровірус копіює свій код в область глобальних макросів документа. А при виході з Word'a глобальні макроси (включаючи макроси вірусу) автоматично записуються в dot-файл глобальних макросів (шаблон Normal.dot).

Потім вірус перевизначає стандартні макроси (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і з їх допомогою перехоплює команди роботи з файлами. При виклику цих команд заражається файл, до якого йде звернення.

Як виявити макровіруси?:

Характерними ознаками присутності макровірусів є:

- неможливість збереження зараженого документа Word у інший формат (по команді Зберегти як ...);
- неможливість запису документа в інший каталог або на інший диск командою Зберегти як ...;
- неможливість збереження внесених змін до документа (команда Зберегти);
- недоступність вкладки Рівень безпеки (меню Сервіс - Макрос - Безпека ...);
- так як багато вірусів написані з помилками (або некоректно працюють в різних версіях пакета Microsoft Office), то можлива поява відповідних системних повідомлень з кодом помилки;
- інші «дивності»у поведінці документів Word;
- найчастіше макровіруси можна виявити візуально. Справа втому, що більшість вірусів відрізняються марнославством: у властивостях фaйлaWord (вікно Властивості викликається по кліку правої кнопки миші - вибрати з контекстного меню Властивості) на вкладці Підсумок заповнюють поля введення (Назва, Тема, Автор, Категорія, Ключові слова та Коментар).

Цю інформацію (як правило, в макровіруси вона пишеться сумішшю латиниці з кирилицею і включає - в числі іншого - деякі безглузді слова, типу муніціпалізма і т.д.) можноувідетьпрі наведенні покажчика миші назначок фaйлaWord - вона з'являється в підказці і внизу зліва в папці , у віконці Докладно (якщо включено Використання типових завдань для папок).

Лікування заражених файлів:

Найпростіший спосіб лікування-запуск антивірусної програми. Як правило, сучасний антивірус в числі інших модулів містить антивірусний монітор, постійно завантажений в оперативну пам'ять.

При спробі запуску або перевірки файлу, зараженого макровірусів, антивірус спробує вилікувати файл (при невдалій спробі лікування - блокує доступ до нього, тобто не дасть його відкрити або скопіювати).

Можна також скористатися завантажувальним «аварійним » диском, що містить антивірус зі свіжими базами (попередньо в BIOS потрібно встановити завантаження з CD-ROM'a). Завантажити антивірус, просканує-вать вінчестер, знайдені віруси будуть знешкоджені.

Якщо антивірус не зміг вилікувати файл, заражений макровірусів (що буває дуже й дуже рідко!), або доводиться тимчасово працювати на ПК без встановленого антивіруса, або немає під руками завантажувального «аварійного» диска, а заражений документ Word'а містить цінну інформацію і необхідний як повітря-є дуже ефективний спосіб ручного лікування.

1. Зберігаємо (не відкриваючи!) документ Word у форматі. rtf (rich text format), тобто потрібно поміняти розширення файлу. doc на. rtf. Для цього потрібно запустити Провідник Windows, відкривши будь-яку теку, наприклад клацнувши по значку Мій комп'ютер. Виберіть меню Сервіс -> Властивості папки ... У діалоговому вікні Властивості папки відкрийте вкладку Вигляд. У прокручуваному списку Додаткові параметри зніміть прапорець з рядка Приховувати розширення для зареєстрованих типів файлів. Натисніть ОК.

2. Знайдіть файл, який потрібно вилікувати. Тепер в його назві відображається розширення. doc. Поміняйте в назві файлу розширення. doc на. rtf (текстовий формат. rtf дозволить зберегти всю необхідну інформацію, включаючи текст, малюнки, таблиці, при цьому VBA-надбудова файлу, в якій гніздяться макровіруси, буде вичищена від програмного коду макровіруси). З'явиться попередження системи: «Після зміни розширення імені файлу цей файл може виявитися недоступним. Ви дійсно хочете змінити розширення? Так / Ні ». Санкціонуйте зміну розширення, натиснувши Так.

3. Далі потрібно видалити заражений шаблон Normal, dot (після лікування шаблон Normal.dot буде створено заново при черговому запуску Word) і інші заражені шаблони *. dot в наступних папках (для Windows ХР):

1) \Documents and ЕеМтд5\ім'я_користувача\Application Data\Microsoft\Шaблoни
2) \Documents and ЕеМтд5\ім'я_користувача\Application Data\Microsoft\Word\STARTUP
3) \Documents and ЗеН1пдз\ім'я_користувача\Ша-Блонє

(врахуйте, що папка Application Data - прихована, тому в меню Сервіс -> Властивості папки ... -> Вид -> потрібно поставити перемикач Показувати приховані файли і папки).

Розташування шаблонів для Windows 98/ME:

1) \WINDOWS\Application Data\Microsoft\Шaблoни
2) \WINDOWS\Application Data\Microsoft\Word\
STARTUP

Розташування шаблонів для Windows Vista:

1) \Users\Імя_пoльзoвaтeля\AppData\Roaming\МюгозоА:\Шаблони
2) \Users\Імя_пoльзoвaтeля\AppData\Roaming\Microsoft\Word\STARTUP

4. Міняємо розширення файлу. rtf на. doc. Встановлюємо назад прапорець Приховувати розширення для зареєстрованих типів файлів (Мій комп'ютер -> Сервіс -> Властивості папки ... -> Вид -> Додаткові параметри): це потрібно для того, щоб у вас в подальшому не було незручностей з перейменуванням файлів. Працюємо з файлом за звичайною схемою.

Увага!

У результаті цих дій ми видалимо макровірус з зараженого файлу і Word'a, але він може залишитися в інших документах Word. Тому перед запуском інших документів потрібно просканувати систему антивірусним сканером (або продовжити ручне лікування, що є дуже трудомістким заняттям!).

Як захиститися від макровірусів?:

1. Користуйтеся надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) оновлюваними базами.

2. Не покладайтеся на антивірусний монітор: завжди перед копіюванням і відкриттям перевіряйте антивірусним сканером всі виконувані файли і документи (особливо файли на дискетах, флешки, компакт-дисках, отримані по Інтернету).

3. Частіше робіть так званий «бекап», зберігайте копії найбільш цінної інформації на різних носіях (наприклад, диски CD-RW, флешки і т.д.).

4. Якщо ви працюєте на ПК без антивіруса, то рекомендується зберігати і переносити Word'oвські файли у форматі. rtf.

5. Знайдіть шаблон Normal.dot, клацанням правої кнопки миші викличте контекстне меню, встановіть атрибут Тільки читання -> ОК. Це захистить шаблон від перезапису (і зараження) макровирусами.

6. Майте на увазі, що рекомендований деякими авторами заборона запуску макросів (меню Сервіс -> Макрос -> Безпека ... -> діалогове вікно Безпека -> вкладка Рівень безпеки -> Дуже висока -> ОК) є напівзаходом, так як при цьому не забороняється запуск макросів зі стандартними іменами (FileOpen, FileSave, FileSaveAs, FilePrint, AutoExec), тобто залишається лазівка для макровірусів.