Головна  /  Windows 7  /  Макровіруси проникають у систему. Шкідливі програми та віруси (макро-віруси, стелс та поліморфні віруси)

Макровіруси проникають у систему. Шкідливі програми та віруси (макро-віруси, стелс та поліморфні віруси)

Windows 7
01.04.2023

Звичайно, пам'ятати кожну з них "в обличчя" - неможливе, та й непотрібне завдання. Однак про деяких все ж таки варто знати побільше через їхню небезпеку і широку поширеність. У цьому матеріалі ми розберемо, що це макровіруси. А також чому важливо адекватно оцінювати їхню загрозу.

Макровіруси – це...

Перша половина назви шкідливого елемента походить від слова "макрос". Це інтегрована складова документа MS Word чи Excel, написана мовою VBA. Макрос має досить широкі можливості: може відформатувати вінчестер, видалити файли, скопіювати з інформації, що зберігається на ПК, конфіденційні дані і відправити їх через електронний Поштова скринька. Звідси виходить велика небезпека ураження такого елемента.

Макровірус - це програма, написана на макромові для подальшого вбудовування в ряд систем обробки та текстові програми та редактори, софт по роботі з таблицями і т. д. Розмноження шкідливих елементів відбувається за рахунок можливостей макромов. Тому вони легко переносяться з документа в документ, від одного комп'ютера до іншого. Які файли заражають макровіруси найчастіше? Здебільшого це документи Word, Excel.

Як відбувається розповсюдження?

Зараження ПК відбувається досить легко. Вам достатньо відкрити або закрити файл на комп'ютері. А далі вони починають заражати всі подібні файли, до яких ви звертаєтеся на своєму пристрої.

Макровіруси – це ще й резидентні шкідливі елементи. Тобто вони активні не тільки в момент відкриття/закриття документа, а й протягом всієї роботи текстової, графічної або табличні програми! А деякі з них здатні навіть залишатися в оперативної пам'ятікомп'ютера до його вимкнення.

Треба відзначити і надзвичайну легкість їх створення: зловмисникові достатньо відкрити "Ворд", зайти до "Сервісу", після чого до "Макросів". Далі він обирає редактор Visual Basicде вже може писати шкідливу програму мовою VBA.

Принцип роботи вірусу

При реалізації тієї чи іншої команди Word шукає та виконує відповідні макроси:

  • Збереження документа - FileSave.
  • Висновок друку - FilePrint.
  • Відкриття текстового файлу- AutoOpen.
  • Закриття документа – AutoClose.
  • Запуск самої програми – AutoExec.
  • Створення нового файлу - AutoNew та ін.

Подібні макроси, але з іншими назвами застосовуються і додатком Excel.

Щоб вразити ордівський файл, шкідлива програма користується одним із даних прийомів:

  • Макровірус вже містить автомакрос.
  • Поразка системи починається, коли ви ставите виконання завдання, передбачену розробником вірусу.
  • Відбувається перевизначення одного із стандартних макросів. Зазвичай останній асоційований із якимось пунктом меню "Ворда".
  • Натискаючи на певну клавішу або їхню комбінацію, ви, самі того не знаючи, запускаєте в дію шкідливий автомакрос. А він уже розпочинає свою "роботу".

Макровіруси заражають файли в такий спосіб:

  1. Ви відкриваєте уражений текстовий документ.
  2. Відбувається копіювання коду вірусу на глобальні макроси документа.
  3. Останні, вже заражені, під час закриття файлу автоматично записуються в dot-документ (шаблон під назвою Normal.dot).
  4. Далі річ за перевизначенням вірусом стандартних макросів. Це допомагає йому перехоплювати команди роботи з електронними документами.
  5. Коли ці макроси викликаються вами, заражається файл, над яким ви працюєте.

Тепер визначимося, як встановити наявність на комп'ютері цих шкідливих елементів.

Виявлення макровірусів

Файлові віруси в текстах та таблицях можна визначити таким чином:

  • Неможливо записати документ на інший диск або каталог через "Зберегти як..."
  • Неможливість збереження файлу в іншому форматі (перевіряється через команду "Зберегти як...").
  • Не вдається зберегти у файлі внесені вами зміни.
  • Вкладка "Рівень безпеки" стає недоступною. Знайти її можна шляхом: "Сервіс" - "Макрос" - "Безпека".
  • Під час роботи з документом може з'являтися системне повідомлення, що свідчить про помилку.
  • Файл по-іншому дивно поводиться.
  • Якщо ви викликаєте клацанням правою клавішеюмишки контекстне меню підозрюваного документа і натиснете на "Властивості", то в розділах вкладки "Зведення" розробником шкідливої ​​програми буде вказана рандомна інформація або просто набір символів.

Усунення проблеми

Будь-якому лиху найпростіше, звичайно, запобігти. В даному випадку на вашому комп'ютері повинен стояти сучасний антивірус з базою загроз, що постійно оновлюється. Багато таких програм мають монітор, завантажений в оперативну пам'ять. Він визначає заражені файли на спробі їх відкриття. Антивірус намагається насамперед вилікувати такий документ, що при неуспішності (що трапляється дуже рідко) блокує доступ до нього.

Якщо ви виявили загрозу на незахищеному комп'ютері, необхідно завантажити антивірус або відповідну утиліту, яка виявить, знешкодить або видалити заражений файл. Важливо також проявляти пильність і самим: не відкривати документи з невідомих вам джерел або ж, крайньому випадкуперед цим сканувати їх на наявність шкідливих елементів.

Макровіруси - загроза, що розповсюджується через текстові та табличні файли. Її сьогодні легко виявити та усунути, що при цьому не применшує небезпеки та шкоди, які приносить ця шкідлива програма.

1. Як проникають у систему макровирусы?

а) за електронній пошті;

б) будь-яким способом разом із зараженими ними файлами;

в) зловмисник повинен вручну внести вірус у систему;

г) через Інтернет, використовуючи помилки у мережевих програмах;

д) через знімні носії даних під час спрацювання автозавантаження з них.

2. Яку вимогу повинен задовольняти пароль для протидії атаці за персональним словником?

а) при вигадуванні пароля не повинні використовуватися особисті дані;

3. Які недоліки мають системи виявлення вторгнень, що працюють на основі виявлення аномалій?

а) високий відсоток хибних спрацьовувань;

б) не здатні контролювати ситуацію у всій мережі;

в) нездатні аналізувати ступінь проникнення;

г) робота утруднена при високому завантаженні мережі;

д) знижується ефективність роботи сервера, де вони встановлені.

4. Тунель-канал між двома вузлами, захищений за рахунок шифрування трафіку, що проходить по ньому.

5. Як називаються віруси, які автоматично запускаються у момент старту операційної системиі таким чином постійно функціонують в оперативній пам'яті?

а) резидентні віруси;

б) стелс-віруси;

в) макровіруси;

г) поліморфні віруси;

д) троянські коні.

6. До якого класу відносяться міжмережеві екрани, які відстежують поточні з'єднання та пропускають лише такі пакети, які задовольняють логіку та алгоритми роботи відповідних протоколів та додатків?

а) Працюючі на мережевому рівні;

б) працюючі на сеансовому рівні;

в) Працюючі лише на рівні додатків;

7. Як називаються антивіруси, які працюють резидентно, запобігаючи зараженню файлів?

а) детектори;

в) ревізори;

г) вакцини;

д) фільтри.

8. Які віруси заражають носії даних?

а) файлові віруси;

б) завантажувальні віруси;

в) макровіруси;

г) мережеві черви;

д) троянські коні.

9. Як називаються VPN, за допомогою яких на основі ненадійної мережі створюється надійна та захищена підмережа?

а) Внутрішньокорпоративний;

б) захищені;

в) З віддаленим доступом;

г) Довірчі;

д) Міжкорпоративні.

10. Яку вимогу повинен задовольняти пароль для протидії фішингу?

а) пароль не повинен бути похідним від слів будь-якої природної мови;

б) довжина пароля має становити 12 і більше символів;



в) пароль не можна відкривати нікому;

г) різні сервісиповинні захищатись різними паролями;

д) пароль повинен включати символи різних алфавітів та регістрів, цифри, розділові знаки тощо.

11. Що таке VPN?

а) система виявлення вторгнень;

б) протокол обміну ключами;

в) трансляція мережевих адрес;

г) віртуальна приватна мережа;

д) протокол захисту потоку, що передається.

12. Який основний недолік виявлення вірусів шляхом евристичного сканування?

а) значна ймовірність хибного спрацьовування;

б) вкрай повільна робота антивірусу;

в) неможливість виявлення нових вірусів;

г) необхідність трудомісткої ручного налаштуванняантивірусу

Пофарбувала:

зеленим кольором правильні відповіді у Ваших відповідях

Червоним кольором виділила не вибрані правильні відповіді

В останні роки різко зросла кількість вірусів на корпоративних вузлах. Це пов'язано з поширенням однієї з нових типів вірусів - макровирусов. Наприкінці 1999 року кількість макровірусів становила дві третини від загальної кількостікомп'ютерних вірусів [КАВА99].

Ці віруси особливо небезпечні з кількох причин.

1. Макровіруси є незалежними від платформи. Багато макровірусів заражають документи, створені в редакторі Microsoft Word. Всі апаратні платформи та операційні системи, що підтримують Word, заражені.

    Макровіруси заражають не виконувану частину коду, а документи. Більшість інформації, що міститься в комп'ютерній системі, знаходиться у формі документів, а не у формі програм.

    Макровіруси легко поширюються. Дуже часто для цього використовується електронна пошта.

Макровіруси використовують можливість застосування макросів у Microsoft Word та інших. офісних додатках, таких як Microsoft Excel. Макрос є програмою, що виконується, вставленою в електронний документ або файл іншого типу. Зазвичай користувачі застосовують макроси для автоматизації завдань і збереження часу, що довелося б витратити на введення тексту і команд. Як правило, основою макромови є різновид мови програмування Basic. Користувач може визначити в макросі послідовність натискання клавіш і налаштувати макрос так, щоб він викликався при натисканні функціональної клавіші або деякої спеціальної комбінації клавіш на клавіатурі.

Можливість створення макровируса визначається наявністю самозапускающихся макросів, тобто. таких макросів, які викликаються власними силами, без будь-яких явних дій із боку пользователя. Запуск таких макросів зазвичай відбувається при відкритті файлу, його закритті або при запуску програми. Макрос в процесі роботи може копіювати себе в інші документи, видаляти файли, а також завдавати іншої шкоди користувачам системи. У додатку Microsoft Word існують макроси трьох видів, що самозапускаються.

    Автоматично виконується(Autoexecute).

    Якщо макрос у шаблоні "normal.dot" або у глобальному шаблоні, який зберігається в каталозі ініціалізації (startup directory) програми Word, має ім'я AutoExec, він завжди запускається під час запуску Word.Автомакро

    (Automacro).Автомакро запускається в результаті настання певної події. Такою подією може бути відкриття або закриття документа, створення нового документа або вихід із програми Word.

Командний макрос

Наступні один за одним випуски Word забезпечують все більш надійний захист від макровірусів. Наприклад, фірма Microsoft пропонує інструмент Macro Virus Protection, що встановлюється за бажанням, який виявляє підозрілі файли у форматі Word і попереджає клієнта про потенційний ризик, що виникає при відкритті файлів з макросами. Інші виробники антивірусних програмних продуктів також мають у своєму арсеналі інструменти для виявлення та усунення макровірусів. У боротьбі з макровірусами відбувається така ж "перегонка озброєнь", як і щодо вірусів інших типів.

Макровіруси є потенційно небажані програми, які написані на макромовах, вбудованих у текстові чи графічні системи обробки даних. Найпоширеніші версії вірусів для Microsoft Word, Excel і Office 97. Так як створити макровірус простіше простого, зустрічаються вони досить часто. Слід бути дуже обережним при завантаженні сумнівних документів з Інтернету. Багато користувачів недооцінюють можливості даних програм, при цьому величезну помилку.

Як макровірус заражає комп'ютер

Завдяки простому способурозмноження макровіруси здатні в найкоротший термінвразити велику кількість файлів. Використовуючи можливості макромов, вони, при відкритті або закритті зараженого документа, з легкістю проникають у всі програми, до яких так чи інакше йде звернення. Тобто, якщо ви, використовуючи графічний редактор, відкриваєте зображення, то макровірус поширюватиметься файлами даного типу. А деякі з вірусів цього виду можуть бути активними доти, доки відкрито графічний або текстовий редактор, або зовсім до вимкнення персонального комп'ютера.

Дія макровірусів відбувається за таким принципом: при роботі з документом Microsoft Word зчитує та виконує різні команди, які віддаються мовою макрос. Насамперед шкідлива програма намагатиметься проникнути в головний шаблон документа, завдяки якому відбувається відкриття всіх файлів даного формату. При цьому макровірус створює копію свого коду в глобальні макроси (макроси, що забезпечують доступ до ключових параметрів). А при виході з програми автоматично зберігається в dot - файл (використовується для створення нових документів). Після цього вірус вторгається в стандартні макроси файлу з метою перехопити команди, що посилаються іншим файлам, таким чином, заражаючи і їх теж.

Зараження макровірусом відбувається в одному з чотирьох випадків:

  1. За наявності у вірусі авто макросу (виконується автоматично під час запуску або вимкнення програми).
  2. У вірусі є основний системний макрос (зазвичай пов'язаний з пунктами в меню).
  3. Активація вірусу відбувається автоматично при натисканні на певну клавішу або комбінацію.
  4. Розмноження вірусу відбувається лише за його прямому запуску.

Пошкодити макровіруси можуть усі файли, які прив'язані до програми на макромові.

Яку шкоду зазнають макровіруси

У жодному разі не варто недооцінювати макровіруси, оскільки вони є такими ж повноцінними вірусами і можуть завдати персонального комп'ютеране менша шкода. Макровіруси цілком можуть видалити, редагувати або скопіювати файли, що містять особисту інформацію і передати її іншій людині електронною поштою. А сильніші програми можуть взагалі відформатувати вінчестер і взяти під контроль ваш комп'ютер. Тому думка про те, що макровіруси небезпечні тільки для текстових редакторів, помилкове, адже найчастіше Word і Excel під час роботи контактують із величезною кількістю різноманітних програм.

Як розпізнати заражений файл

Зазвичай файли, що піддалися впливу макровірусу, визначити досить просто, адже вони працюють не так, як інші програми того самого формату.

Наявність макровірусів можна визначити за такими ознаками:

  1. документ Word не зберігається в інший формат (використовуючи команду «зберегти як…»)
  2. документ неможливо перемістити в іншу папку або на інший диск
  3. відсутність можливості збереження змін у документі (використовуючи команду «зберегти»)
  4. часте поява системних повідомлень про помилку роботи програми з відповідним кодом
  5. нехарактерна поведінка документів
  6. більшість макровірусів можна виявити візуально, тому що їх творці часто люблять вказувати у вкладці Зведення (відкривається за допомогою контекстного меню) такі дані, як назва програми, тема, категорія, ім'я автора та коментарі.

Як видалити заражений вірусом файл із комп'ютера

Насамперед при виявленні підозрілого документа або файлу відскануйте його за допомогою антивірусу. Практично завжди антивіруси при виявленні загрози постараються вилікувати файл або повністю перекриють до нього доступ. У більш важких випадках, коли вже заражений весь комп'ютер скористайтеся аварійним настановним диском, що містить антивірус з оновленою базою даних Він відсканує вінчестер та знешкодить шкідливі програми, які знайде. Якщо антивірус безсилий, а аварійного диска під рукою немає, скористайтеся методом «ручного» лікування:

  1. у вкладці "Вид" знімаємо галочку з "Приховувати розширення для всіх зареєстрованих типів файлів".
  2. знайдіть заражений файл і змініть розширення с.doc до.rtf
  3. видаліть шаблон Normal. dot
  4. змінюємо розширення файлу назад та відновлюємо вихідні параметри

В результаті цих дій ми видалили вірус із зараженого документа, але це не означає, що він не міг залишитися в системі комп'ютера, тому при першій же можливості проскануйте антивірусом всі об'єкти вашого ПК.

Як уберегтися від макровірусів

Лікування комп'ютера від макровірусів може бути досить складним, тому краще не допускати зараження. Для цього слідкуйте за тим, щоб ваш антивірус регулярно оновлювався. Перед копіюванням файлів з інших інформаційних носіївабо з Інтернету ретельно перевірте їх на наявність шкідливих програм. Якщо у вас слабкий антивірус або його зовсім немає, зберігайте документи у форматі.rtf, таким чином вірус не зможе проникнути в них.