В этой статье речь пойдет о макровирусах, в частности, о тех представителях этого многочисленного семейства, которые поражают документы Word.
Пользователи ПК зачастую недооценивают макровирусы, не учитывая, что макрос, написанный, например, на языке VBA и интегрированный в документ Word или Excel, обладает всеми теми же возможностями, что и обычная программа. Он может отформатировать Ваш винчестер, удалить любые файлы по выбору, скопировать какую-либо конфиденциальную информацию (например, пароли) и отправить ее по электронной почте и т.д.
Что такое макровирусы
Макровирусы – это программы, написанные на так называемых макроязыках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков, они переносятся от одного зараженного файла к другому. Наибольшее распространение получили макровирусы для MicrosoftWord, Excel. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный редактор (а некоторые могут оставаться в оперативной памяти до выключения ПК!). Легкость создания макровирусов поражает воображение, все находится буквально под рукой: достаточно запустить Word, выбрать меню Сервис – Макрос – Редактор Visual Basic – и запустится программная среда VBA (Visual Basic for Application)!
Принцип «работы» макровирусов
При работе с документом MS Word выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде Файл – Сохранить вызывается макрос FileSave, при сохранении по команде Файл – Сохранить как… – FileSaveAs, при печати по команде Печать… – FilePrint и т. д. Существуют также несколько макросов, автоматически вызываемых при возникновении соответствующих ситуаций. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы – AutoExit, при создании нового документа – AutoNew (похожие механизмы, но с другими именами макросов, используются и в Excel).
Макровирусы, поражающие файлы Word, как правило, пользуются одним из четырех приемов:
1) в вирусе присутствует автомакрос;
2) в вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню);
3) макрос вируса автоматически вызывается при нажатии на какую-либо клавишу или комбинацию клавиш;
4) вирус начинает размножаться только в том случае, если пользователь запускает его на выполнение.
Основной механизм заражения такой: когда мы открываем зараженный документ Word, макровирус копирует свой код в область глобальных макросов документа. А при выходе из Word’а глобальные макросы (включая макросы вируса) автоматически записываются в dot-файл глобальных макросов (шаблон Normal.dot).
Затем вирус переопределяет стандартные макросы (например, FileOpen, FileSave, FileSaveAs, FilePrint) и с их помощью перехватывает команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение.
Как обнаружить макровирусы
Характерными признаками присутствия макровирусов являются:
1) невозможность сохранения зараженного документа Word в другой формат (по команде Сохранить как…);
2) невозможность записи документа в другой каталог или на другой диск командой Сохранить как…;
3) невозможность сохранения внесенных изменений в документ (команда Сохранить);
4) недоступность вкладки «Уровень безопасности» (меню Сервис – Макрос – Безопасность…);
5) т.к. многие вирусы написаны с ошибками (или некорректно работают в различных версиях пакета Microsoft Office), то возможно появление соответствующих системных сообщений с кодом ошибки;
6) другие «странности» в поведении документов Word;
7) зачастую макровирусы можно обнаружить визуально. Дело в том, что большинство вирусописателей отличаются тщеславием: в свойствах файла Word (окно Свойства вызывается по щелчку правой кнопки мыши – выбрать из контекстного меню Свойства) на вкладке Сводка заполняют поля ввода (Название, Тема, Автор, Категория, Ключевые слова и Комментарий). Эту информацию (как правило, в макровирусах она пишется смесью латиницы с кириллицей и включает – в числе прочего – некоторые бессмысленные слова, типа муниципализмо и т.д.) можно увидеть при наведении указателя мыши на значок файла Word – она появляется во всплывающей подсказке и внизу слева в папке, в окошке Подробно (если включено Использование типичных задач для папок).
Иногда при попытке открытия word'овского файла (*.doc или *.rtf) появляется диалоговое окно с сообщением об ошибке «Не удалось прочитать документ. Возможно, он поврежден». Причина возникновения ошибки...
Вышла новая версия программы для компоновки DVD и авторинга. Программа содержит три модуля: для создания DVD на основе видеофайлов, добавления меню и записи результата на диск. Запускать каждый модуль...
Вышла новая версия удобной программы, предназначенной для расширения функций контекстного меню. Программа дает возможность работать более чем с пятьюдесятью вариантами расширений для контекстного меню...