Советы, инструкции

30.03.2017 16:18

Макровирусы: механизм воздействия и методы обнаружения

Рубрика: Советы, инструкции (49) Автор: RSM-Ремонт

Многие пользователи зачастую недооценивают возможности макровирусов, не придавая им значения, тогда как макрос, написанный на языке VBA (Visual Basic for Applications) и интегрированный в документ Microsoft Word или таблицу Microsoft Excel, обладает полноценными программными функциями и возможностями. Если он сможет проникнуть на компьютер, то ему не составит труда отформатировать винчестер, скопировать конфиденциальную информацию (допустим, пароли от личного кабинета интернет-банка или почтового клиента) и передать её третьим лицам, либо уничтожить интересующие злоумышленника файлы.

Что такое макровирусы?

По сути это вредоносный код, написанный на каком-либо макроязыке и встроенный в систему обработки данных, например, в редактор текста, графики или электронных таблиц.
Чтобы размножаться — переходить от одного зараженного файла к другому, — такие вирусы используют особенности макроязыков. При открытии или закрытии инфицированного объекта макровирусы получают доступ к управлению: они перехватывают стандартные функции файлов, а после заражают другие документы, к которым обращается пользователь.
Подавляющее большинство макровирусов резидентно. Они способны к активности не только в момент закрытия или открытия файла, а оказывают вредоносное воздействие до тех пор, пока запущен тот или иной редактор – текстовый или графический. Многие, кстати, могут находиться в оперативной память вплоть до выключения ПК.
Наиболее распространенными считаются вирусы, поражающие приложения из популярного пакета Microsoft Office — Word и Excel. Причем для их разработки достаточно зайти в один из этих редакторов, выбрать в меню создание макроса и запустить программную среду VBA.

Как они работают?

Для начала разберемся, зачем нужны макросы. Во время работы с документами редактор выполняет множество задач – открыть, закрыть, сохранить, печатать – для чего он ищет встроенные в программу макросы (например, при команде «Файл – Сохранить» идет вызов макроса FileSave). Есть также небольшое число макросов, которые вызываются автоматически, если возникает определенная ситуация. Например, при открытии документа Word проверяет его на макрос AutoOpen. Если таковой присутствует, то Word его выполняет.

Поражающие текстовый редактор Word макровирусы пользуются одной из четырех схем:

  • В вирусе находится переопределенный стандартный макрос системы, который ассоциирован с каким-либо пунктом меню.

  • Происходит автоматический вызов макроса при нажатии какой-то определенной клавиши или же их комбинации.

  • Размножение вируса происходит только после того, как пользователь запустит его выполнение.

  • В самом вирусе уже присутствует автоматический макрос.

Алгоритм заражения

Мы открываем зараженный документ Word, после чего макровирус копирует свой код в его глобальные макросы. Когда мы закрываем документ и выходим из редактора, происходит автоматическая запись всех глобальных макросов вместе с вирусными в dot-файл. После происходит переопределение вирусом стандартных макросов, используемых в текстовом редакторе, с помощью которых вирус перехватывает все команды, обращенные к каким-либо файлам. Как только будет вызвана определенная команда, файл, к которому обращается пользователь, будет заражен.

Как обнаружить макровирус?

Есть несколько ярких признаков того, что ваш компьютер поражен макровирусом:

  • при заражении редактор странно реагирует на команды пользователя;

  • у вас не получается сохранить документ в другом формате через команду «Сохранить как»;

  • вы не можете воспользоваться вкладкой «Уровень безопасности»;

  • недоступна функция записи файла в другой каталог, либо на другой диск при помощи команды «Сохранить как»;

  • не получается сохранять внесенные в документ изменения командой «Сохранить»;

  • поскольку многие вирусы написаны с ошибками и в разных версиях редакторов могут работать не корректно, то периодически во время работы возможно появление всплывающего окна с кодом ошибки;

  • часто вирус можно обнаружить визуально: многие создатели довольно тщеславны, они заполняют поля на вкладке «Сводка», где обычно указывается следующая информация – Название, Тема, Автор, Категория, Ключевые слова и Комментарии.

Есть что добавить? Оставляйте свои комментарии!
Материал подготовлен при участии сервисного центра «RSM-Ремонт»: rsm-remont.ru


Комментарии 0

Добавить

Оставьте свое сообщение

 
Отправляя данную форму, даю согласие на обработку моих персональных данных в соответствии с Политикой в отношении обработки персональных данных.

© 2014-2024. «Мой Сервис-Гид» – проект группы «Текарт».

При любом использовании материалов ресурса ссылка обязательна.

За достоверность информации, размещенной пользователями, портал «Мой Сервис-Гид» ответственности не несет.

Политика в отношении обработки персональных данных

Top.Mail.Ru