прив'язки програми на макромові до конкретного файлу;
копіювання макропрограми з одного файлу в інший;
отримання управління макропрограми без втручання користувача (автоматичні або стандартні макроси).
макропрограми прив'язані до конкретного файлу (AmiPro) або знаходяться всередині файлу (MS Word / Excel / Office 97);
макромова дозволяє копіювати файли (AmiPro) або переміщати макропрограми в службові файли системи і редаговані файли (MSWord / Excel / Office);
при роботі з файлом за певних умов (відкриття, закриття і т. д.) викликаються макропрограми (якщо такі є), які визначені спеціальним чином (AmiPro) або мають стандартні імена (MS Word / Excel / Office).
Остання особливість призначена для автоматичної обробки даних у великих організаціях або в глобальних мережах і дозволяє організувати так званий «автоматизований документообіг». З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код в інші файли і таким чином заражати їх.
MS Word / Excel / Office - віруси: загальні відомості
Фізичне розташування вірусу всередині файлу залежить від його формату, який в разі продуктів Microsoft надзвичайно складний: кожен файл-документ Word, Office або таблиця Excel являють собою послідовність блоків даних (кожний з яких також має свій формат), об'єднаних між собою за допомогою великої кількості службових даних. Цей формат зветься OLE2 (Object Linking and Embedding). Структура файлів Word, Excel і Office (OLE2) нагадує ускладнену файлову систему дисків DOS: «кореневої каталог» файлу-документа або таблиці вказує на основні підкаталоги різних блоків даних, кілька «таблиць FAT» містять інформацію про розташування блоків даних в документі і т. д.
Більш того, система Office Binder, що підтримує стандарти Word і Excel, дозволяє створювати файли, одночасно містять один або кілька документів в форматі Word і одну або кілька таблиць в форматі Excel, причому Word-віруси здатні при цьому вражати Word-документи, а Excel- віруси - Excel-таблиці, і все це можливо в межах одного дискового файлу. Те ж справедливо і для Office 97.
Слід зазначити, що MS Word версій 6 і 7 дозволяє шифрувати присутні в документі макроси. Таким чином, деякі Word-віруси присутні в заражених документах у зашифрованому (Execute only) вигляді.
Більшість відомих вірусів для Word несумісні з національними (в тому числі з російської) версіями Word або, навпаки, розраховані тільки на локалізовані версії Word і не працюють під англійською версією. Однак вірус в документі все одно залишається активним і може заражати інші комп'ютери зі встановленою на них відповідної версією Word.
Цікаво, що формати документів Word, таблиць Excel і особливо Office мають таку особливість: в файлах-документах і таблицях присутні «зайві» блоки даних, т. Е. Дані, ніяк не пов'язані з редагований текст або таблицями, або випадково опинилися там копії інших даних файлу. Причиною виникнення таких блоків даних є кластерна організація даних в OLE2-документах і таблицях. Навіть якщо введений всього один символ тексту, то під нього виділяється один або навіть кілька кластерів даних. При збереженні документів і таблиць в кластерах, не заповнених «корисними» даними, залишається «сміття», який потрапляє в файл разом з іншими даними. Кількість «сміття» в файлах може бути зменшено скасуванням пункту настройки Word / Excel «Allow Fast Save», однак це лише зменшує загальну кількість «сміття», але не прибирає його повністю.
ледует також відзначити той факт, що деякі версії OLE2.DLL містять невеликий недолік, в результаті якого при роботі з документами Word, Excel і особливо Office в блоки «сміття» можуть потрапити випадкові дані з диска, включаючи конфіденційні (видалені файли, каталоги і т . д.).
MS Word / Excel / Office -віруси: принципи роботи
При роботі з документом MS Word версій 6 і 7 виконує різні дії: відкриває документ, зберігає, друкує, закриває і т. Д. При цьому Word шукає і виконує відповідні вбудовані макроси: при збереженні файлу по команді File / Save викликається макрос FileSave, при збереженні по команді File / SaveAs - FileSaveAs, при друку документів - FilePrint і т. д. якщо, звичайно, такі макроси визначені.
Існують також кілька «автомакрос», автоматично викликаються при різних умовах. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його. При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завершенні роботи - AutoExit, при створенні нового документа - AutoNew. Схожі механізми, але з іншими іменами макросів і функцій, використовуються і в Excel / Office.
Макровіруси, що вражають файли Word, Excel або Office. як правило користуються одним з трьох перерахованих вище прийомів:
у вірусі присутній автомакрос (автофункція);
у вірусі перевизначений один із стандартних системних макросів (асоційований з яким-небудь пунктом меню); макрос вірусу автоматично викликається при натисканні на будь-яку клавішу або комбінацію клавіш.
Бувають також полувіруси, які не використовують перераховані прийоми і розмножуються, тільки якщо користувач самостійно запускає їх на виконання.
Алгоритм роботи макровірусів для Word
Більшість відомих Word-вірусів (версій 6, 7 і Word 97) під час запуску переносять власний код в область глобальних макросів документа ( «загальні» макроси).
При виході з Word глобальні макроси (включаючи макроси вірусу) автоматично записуються в DOT-файл глобальних макросів (зазвичай таким файлом є NORMAL.DOT). Таким чином, вірус активізується в той момент, коли Word вантажить глобальні макроси.
Потім вірус перевизначає (або вже містить в собі) один або кілька стандартних макросів (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і перехоплює таким чином команди роботи з файлами. При виклику цих команд заражається файл, до якого йде звернення. Для цього вірус конвертує файл в формат Template (що робить неможливими подальші зміни формату файлу, т. Е. Конвертація в якийсь або не-Template формат) і записує в файл свої макроси, включаючи Auto-макрос.
Інший спосіб впровадження вірусу в систему базується на так званих «Add-in» файлах, т. Е. Файлах, які є службовими доповненнями до Word. В цьому випадку NORMAL.DOT не змінюється, а Word при запуску завантажує макроси вірусу з файлу (або файлів), визначеного як «Add-in». Цей спосіб практично повністю повторює зараження глобальних макросів за тим лише винятком, що макроси вірусу зберігаються не в NORMAL.DOT, а в будь-якому іншому файлі.
Можливо також впровадження вірусу в файли, розташовані в каталозі STARTUP. В цьому випадку Word автоматично завантажує файли-шаблони з цього каталогу, але такі віруси поки не зустрічалися.
виявлення макровірусу
Характерними ознаками присутності макровірусів є:
неможливість конвертації зараженого документа Word в інший формат;
заражені файли мають формат Template (шаблон), оскільки при зараженні Word-віруси конвертують файли з формату Word Document в Template неможливість запису документа в інший каталог або на інший диск командою «Save As» (тільки для Word 6);
в STARTUP-каталозі присутні «чужі» файли;
наявність в Книзі (Book) «зайвих» і прихованих Листів (Sheets).
Для перевірки системи на предмет наявності вірусу можна використовувати пункт меню Tools / Macro. Якщо виявлені «чужі макроси», то вони можуть належати вірусу. Однак цей метод не працює в разі стелс-вірусів, які «забороняють» роботу цього пункту меню, що, в свою чергу, є достатньою підставою вважати систему зараженої.
Багато віруси мають помилки або некоректно працюють в різних версіях Word / Excel, в результаті чого ці програми видають повідомлення про помилку, наприклад:
WordBasic Err = номер помилки.
Якщо таке повідомлення з'являється при редагуванні нового документа або таблиці і при цьому свідомо не використовуються будь-які призначені для користувача макроси, то це також може служити ознакою зараження системи. Також сигналом про вірус є зміни в файлах і системної конфігурації Word, Excel і Windows. Багато віруси тим чи іншим чином змінюють пункти меню Tools / Options - дозволяють або забороняють функції «Prompt to Save Normal Template», «Allow Fast Save», «Virus Protection». Деякі віруси встановлюють на файли пароль при їх зараженні. Велика кількість вірусів створюють нові секції і / або опції в файлі конфігурації Windows (WIN.INI).
Відновлення уражених об'єктів
У більшості випадків процедура «лікування» заражених файлів і дисків зводиться до запуску відповідного антивірусного програмного забезпечення. Але бувають ситуації, коли знешкодження вірусу доводиться здійснювати самостійно, т. Е. «Руками».
Для знешкодження вірусів Word і Excel досить зберегти всю необхідну інформацію в форматі не-документів і не-таблиць. Найбільш підходящим є текстовий RTF-формат, що включає практично всю інформацію з первинних документів і не містить макросів.
Потім слід вийти з Word / Excel, знищити все заражені Word-документи, Excel-таблиці, NORMAL.DOT для Word і всі документи / таблиці в STARTUP-каталогах Word / Excel. Після цього слід запустити Word / Excel і відновити документи / таблиці з RTF-файлів.
В результаті цієї процедури вірус буде видалений з системи, а практично вся інформація залишиться без змін. Однак цей метод має ряд недоліків. Основним є трудомісткість конвертування документів і таблиць в RTF-формат, якщо їх число велике. До того ж у разі Excel необхідно окремо конвертувати все Листи (Sheets) в кожному Excel-файлі.
Іншим істотним недоліком є втрата нормальних макросів, що використовуються при роботі. Тому перед запуском описаної процедури слід зберегти їх вихідний текст, а після знешкодження вірусу відновити необхідні макроси в первісному вигляді.
Звідки беруться віруси і як уникнути зараження
Описаний випадок поширення вірусу найбільш часто реєструється антивірусними компаніями. Але нерідкі випадки, коли заражений файл-документ або таблиця Excel через недогляду потрапляє в списки розсилки комерційної інформації будь-якої великої компанії. В цьому випадку постраждають вже не п'ять, а сотні або навіть тисячі абонентів таких розсилок, які потім розішлють заражені файли десяткам тисячам своїх абонентів.
Файл-сервери загального користування та електронні конференції також служать одним з основних джерел поширення вірусів. Практично щотижня приходить повідомлення про те, що хтось із користувачів заразив свій комп'ютер вірусом, який був отриманий з BBS, ftp-сервера або електронній конференції.
У разі масової розсилки вірусу по файл-серверам BBS / ftp ураженими одночасно можуть виявитися тисячі комп'ютерів, однак у більшості випадків «розсилаються» DOS- або Windows-віруси, швидкість поширення яких в сучасних умовах значно нижче, ніж у їх макрособратьев. З цієї причини подібні інциденти практично ніколи не закінчуються масовими епідеміями.
Третій шлях швидкого поширення вірусів - локальні мережі. Якщо не брати необхідних заходів захисту, то заражена робоча станція при вході в мережу заражає один або кілька службових файлів на сервері, різне програмне забезпечення, стандартні документи-шаблони або Excel-таблиці, що застосовуються в фірмі, і т. Д.
Небезпеку становлять також комп'ютери, встановлені в навчальних закладах. Якщо один зі студентів приніс на своїх дискетах вірус і заразив будь-якої з навчальних комп'ютерів, то чергову «заразу» отримають і всі інші студенти, що працюють на цьому комп'ютері.
Те саме можна сказати і до домашніх комп'ютерів, якщо на них працює більше однієї людини. Нерідкі ситуації, коли син-студент (або дочка), працюючи на багато користувачів комп'ютері в інституті, перетягують вірус на домашній комп'ютер, в результаті чого вірус потрапляє в комп'ютерну мережу фірми тата або мами.
На закінчення хочеться відзначити, що, не дивлячись на складність боротьби з макровірусами, убезпечити себе від цієї «інфекції» при спокійному і грамотному підході до проблеми не такі вже й складно.