Evgeniy Kaspersky

Makroviren sind in Sprachen (Makrosprachen) geschriebene Programme, die in einige Datenverarbeitungssysteme (Texteditoren, Tabellenkalkulationen usw.) integriert sind. Zur Reproduktion nutzen solche Viren die Fähigkeiten von Makrosprachen und werden mit ihrer Hilfe von einer infizierten Datei (Dokument oder Tabelle) auf andere übertragen. Am weitesten verbreitet sind Makroviren für Microsoft Word

, Excel und Office 97.

1. Damit Viren in einem bestimmten System (Editor) vorhanden sind, muss eine Makrosprache mit den folgenden Fähigkeiten in das System integriert sein:
2. Verknüpfen eines Programms in einer Makrosprache mit einer bestimmten Datei;
3. Kopieren von Makroprogrammen von einer Datei in eine andere;

Erlangung der Kontrolle über ein Makroprogramm ohne Benutzereingriff (automatische oder Standardmakros).

1. Die beschriebenen Bedingungen werden von den Editoren MS Word, MS Office 97 und AmiPro sowie der MS Excel-Tabelle erfüllt.
2. Diese Systeme enthalten Makrosprachen (MS Word – Word Basic, MS Excel und MS Office 97 – Visual Basic), mit:
3. Makroprogramme sind an eine bestimmte Datei gebunden (AmiPro) oder befinden sich in einer Datei (MS Word/Excel/Office 97);

Mit der Makrosprache können Sie Dateien kopieren (AmiPro) oder Makroprogramme in Systemdienstdateien und bearbeitbare Dateien verschieben (MSWord / Excel / Office 97);

Beim Arbeiten mit einer Datei werden unter bestimmten Bedingungen (Öffnen, Schließen usw.) Makroprogramme (sofern vorhanden) aufgerufen, die auf besondere Weise definiert sind (AmiPro) oder Standardnamen haben (MS Word/Excel/Office 97). Letzteres Feature ist für die automatische Datenverarbeitung in großen Organisationen oder in globalen Netzwerken gedacht und ermöglicht die Organisation des sogenannten „automatisierten Dokumentenflusses“. Andererseits ermöglichen die Makrosprachenfähigkeiten solcher Systeme dem Virus, seinen Code auf andere Dateien zu übertragen und diese so zu infizieren. Viren erlangen die Kontrolle, wenn eine infizierte Datei geöffnet oder geschlossen wird, fangen Standarddateifunktionen ab und infizieren dann Dateien, auf die auf irgendeine Weise zugegriffen wird. In Analogie zu DOS können wir sagen, dass die meisten Makroviren residente Viren sind: Sie sind nicht nur in dem Moment aktiv, in dem die Datei geöffnet oder geschlossen wird, sondern solange der Editor selbst aktiv ist.

allgemeine Informationen

Der physische Speicherort des Virus innerhalb der Datei hängt von ihrem Format ab, das im Fall von Microsoft-Produkten äußerst komplex ist: Jede Datei ist eine Word-, Office 97- oder Excel-Tabelle sind eine Folge von Datenblöcken (von denen jeder auch sein eigenes Format hat), die über eine große Menge an Dienstdaten miteinander verbunden sind. Dieses Format heißt OLE2 (Object Linking and Embedding). Die Dateistruktur von Word, Excel und Office 97 (OLE2) gleicht einer komplizierten Dateisystem DOS-Festplatten: Das „Stammverzeichnis“ einer Dokumentdatei oder -tabelle verweist auf die Hauptunterverzeichnisse verschiedener Datenblöcke, mehrere „FAT-Tabellen“ enthalten Informationen über die Position von Datenblöcken im Dokument usw.

Darüber hinaus können Sie mit dem Office Binder-System, das Word- und Excel-Standards unterstützt, Dateien erstellen, die gleichzeitig ein oder mehrere Dokumente im Word-Format und eine oder mehrere Tabellen im Excel-Format enthalten. Word-Viren können Word-Dokumente infizieren, und Excel-Viren können dies auch infizieren Sie Word-Dokumente – Excel-Tabellen, und das alles ist innerhalb einer Festplattendatei möglich. Dasselbe gilt auch für Office 97.

Es ist zu beachten, dass Sie mit den MS Word-Versionen 6 und 7 in einem Dokument vorhandene Makros verschlüsseln können.

Daher sind einige Word-Viren in infizierten Dokumenten in verschlüsselter Form (nur Ausführung) vorhanden. Die meisten bekannten Viren für Word sind mit nationalen (einschließlich russischen) Versionen von Word nicht kompatibel oder sind umgekehrt nur für lokalisierte Versionen von Word konzipiert und funktionieren nicht unter diesen Englische Version

. Der Virus im Dokument bleibt jedoch weiterhin aktiv und kann andere Computer infizieren, auf denen die entsprechende Word-Version installiert ist. Viren für Word können Computer aller Klassen infizieren, nicht nur IBM-PCs. Eine Infektion ist möglich, wenn Dieser Computer

Interessant ist, dass die Formate von Word-Dokumenten, Excel-Tabellen und insbesondere Office 97 folgendes Merkmal aufweisen: Dokumentdateien und Tabellen enthalten „zusätzliche“ Datenblöcke, d. h. Daten, die in keiner Weise mit den bearbeiteten Texten oder Tabellen oder Kopien zusammenhängen das landete versehentlich dort andere Dateidaten. Der Grund für das Auftreten solcher Datenblöcke ist die Clusterorganisation von Daten in OLE2-Dokumenten und -Tabellen. Auch wenn nur ein Textzeichen eingegeben wird, werden diesem ein oder sogar mehrere Datencluster zugeordnet. Beim Speichern von Dokumenten und Tabellen in Clustern, die nicht mit „nützlichen“ Daten gefüllt sind, bleibt „Müll“ zurück, der zusammen mit anderen Daten in der Datei landet.

Die Menge an „Müll“ in Dateien kann durch Deaktivieren der Word/Excel-Einstellung „Schnelles Speichern zulassen“ reduziert werden, allerdings wird dadurch nur die Gesamtmenge an „Müll“ reduziert, aber nicht vollständig entfernt.

Es ist auch zu beachten, dass einige Versionen von OLE2.DLL einen kleinen Fehler enthalten, der dazu führt, dass beim Arbeiten mit Word-, Excel- und insbesondere Office 97-Dokumenten zufällige Daten von der Festplatte gelöscht werden, auch vertrauliche (gelöschte Dateien, Verzeichnisse usw.). usw.).
MS Word/Excel/Office 97-Viren:

Funktionsprinzipien

Beim Arbeiten mit einem Dokument führen die Versionen 6 und 7 von MS Word verschiedene Aktionen aus: Dokument öffnen, speichern, drucken, schließen usw. Gleichzeitig sucht Word nach den entsprechenden integrierten Makros und führt sie aus: beim Speichern einer Datei mit Beim Befehl „File/Save“ wird das Makro „FileSave“ aufgerufen, beim Speichern mit dem Befehl „File/SaveAs“ – „FileSaveAs“, beim Drucken von Dokumenten – „FilePrint“ usw., wenn natürlich solche Makros definiert sind. Es gibt auch mehrere „Auto-Makros“, die unter verschiedenen Bedingungen automatisch aufgerufen werden. Zum Beispiel beim Öffnen Word-Dokument

prüft, ob das AutoOpen-Makro vorhanden ist. Wenn ein solches Makro vorhanden ist, wird es von Word ausgeführt. Beim Schließen eines Dokuments führt Word das AutoClose-Makro aus, beim Starten von Word wird das AutoExec-Makro aufgerufen, beim Herunterfahren - AutoExit und beim Erstellen eines neuen Dokuments - AutoNew.

1. Ähnliche Mechanismen, jedoch mit unterschiedlichen Makro- und Funktionsnamen, werden in Excel/Office 97 verwendet.
2. Makroviren, die Word-, Excel- oder Office 97-Dateien infizieren, verwenden normalerweise eine der drei oben aufgeführten Methoden:
3. Das Virenmakro wird automatisch aufgerufen, wenn Sie eine beliebige Taste oder Tastenkombination drücken.

Es gibt auch Halbviren, die die aufgeführten Techniken nicht nutzen und sich nur vermehren, wenn der Benutzer sie selbstständig zur Ausführung startet.

Die meisten Makroviren enthalten alle ihre Funktionen in Form von Standard-MS Word/Excel/Office 97-Makros. Es gibt jedoch Viren, die Techniken verwenden, um ihren Code zu verbergen und ihn in Form von Nicht-Makros zu speichern. Drei solcher Methoden sind bekannt. Sie alle nutzen die Fähigkeit von Makros, andere Makros zu erstellen, zu bearbeiten und auszuführen. Normalerweise verfügen solche Viren über einen kleinen (manchmal polymorphen) Makrolader, der den integrierten Makro-Editor aufruft, ein neues Makro erstellt, es mit dem Hauptvirencode füllt, ausführt und es dann in der Regel zerstört, um Spuren davon zu verbergen das Virus. Der Hauptcode solcher Viren liegt entweder im Körper des Virus selbst in Form vor Textzeichenfolgen, entweder im Dokumentvariablenbereich oder im Autotextbereich gespeichert.

Arbeitsalgorithmus
Makroviren für Word

Die meisten bekannten Word-Viren (Versionen 6, 7 und Word 97) übertragen beim Start ihren eigenen Code in den globalen Dokumentmakrobereich („allgemeine“ Makros).

Wenn Sie Word beenden, werden globale Makros (einschließlich Virenmakros) automatisch in die DOT-Datei für globale Makros (normalerweise NORMAL.DOT) geschrieben. Somit wird der Virus in dem Moment aktiviert, in dem Word globale Makros lädt.

Dann überschreibt der Virus ein oder mehrere Standardmakros (z. B. FileOpen, FileSave, FileSaveAs, FilePrint) (oder enthält sie bereits) und fängt so Befehle zum Arbeiten mit Dateien ab. Wenn diese Befehle aufgerufen werden, ist die Datei, auf die zugegriffen wird, infiziert. Dazu konvertiert der Virus die Datei in das Template-Format (was weitere Änderungen am Dateiformat, d. h. die Konvertierung in ein beliebiges Nicht-Template-Format, unmöglich macht) und schreibt seine Makros in die Datei, einschließlich des Auto-Makros.

Eine andere Möglichkeit, einen Virus in ein System einzuschleusen, basiert auf sogenannten „Add-in“-Dateien, also Dateien, die Diensterweiterungen zu Word sind. In diesem Fall wird NORMAL.DOT nicht geändert und Word lädt beim Start die Virenmakros aus der Datei (oder den Dateien), die als „Add-in“ definiert ist. Diese Methode reproduziert die Infektion globaler Makros fast vollständig, mit der einzigen Ausnahme, dass die Virenmakros nicht in NORMAL.DOT, sondern in einer anderen Datei gespeichert werden.

Es ist auch möglich, einen Virus in Dateien einzuschleusen, die sich im STARTUP-Verzeichnis befinden. In diesem Fall lädt Word automatisch Vorlagendateien aus diesem Verzeichnis, es sind jedoch noch keine derartigen Viren aufgetreten.

Erkennung von Makroviren

Charakteristische Anzeichen für das Vorhandensein von Makroviren sind:

1. Unfähigkeit, ein infiziertes Word-Dokument in ein anderes Format zu konvertieren;
2. infizierte Dateien liegen im Vorlagenformat vor, da Word-Viren bei einer Infektion Dateien daraus konvertieren Word-Format Dokument in Vorlage
3. Unfähigkeit, ein Dokument mit dem Befehl „Speichern unter“ in ein anderes Verzeichnis oder auf eine andere Festplatte zu schreiben (nur Word 6);
4. das STARTUP-Verzeichnis enthält „fremde“ Dateien;
5. das Vorhandensein von „zusätzlichen“ und versteckten Blättern im Buch.

Um das System auf einen Virus zu überprüfen, können Sie den Menüpunkt Extras/Makro verwenden. Werden „Fremdmakros“ erkannt, könnten diese zu einem Virus gehören. Diese Methode funktioniert jedoch nicht bei Stealth-Viren, die die Bedienung dieses Menüpunkts „verbieten“, was wiederum ein ausreichender Grund ist, das System als infiziert zu betrachten.

Viele Viren haben Fehler oder funktionieren in verschiedenen Versionen von Word/Excel nicht richtig, was dazu führt, dass diese Programme Fehlermeldungen erzeugen, zum Beispiel:

WordBasic Err = Fehlernummer.

Wenn eine solche Meldung angezeigt wird, wenn Sie ein neues Dokument oder eine neue Tabelle bearbeiten, ohne wissentlich benutzerdefinierte Makros zu verwenden, kann dies ebenfalls ein Zeichen einer Systeminfektion sein. Ein weiteres Anzeichen für einen Virus sind auch Änderungen an Dateien und der Systemkonfiguration von Word, Excel und Windows. Viele Viren ändern die Menüelemente „Extras/Optionen“ auf die eine oder andere Weise – indem sie die Funktionen „Zum Speichern einer normalen Vorlage auffordern“, „Schnelles Speichern zulassen“ und „Virenschutz“ zulassen oder deaktivieren. Einige Viren legen bei einer Infektion ein Kennwort für Dateien fest. Große Menge Viren erstellen neue Abschnitte und/oder Optionen in der Datei Windows-Konfiguration(WIN.INI).

Zu den Manifestationen des Virus gehören natürlich solche „Überraschungen“ wie das Erscheinen von Nachrichten oder Dialogen mit eher seltsamem Inhalt oder in einer Sprache, die nicht mit der Sprache übereinstimmt installierte Version Word/Excel.

Erholung
betroffene Objekte

In den meisten Fällen besteht das Verfahren zur „Heilung“ infizierter Dateien und Datenträger darin, geeignete Antivirensoftware auszuführen.

Um Word- und Excel-Viren zu neutralisieren, reicht es aus, alle notwendigen Informationen im Format von Nicht-Dokumenten und Nicht-Tabellen zu speichern. Am besten geeignet ist das RTF-Textformat, das fast alle Informationen aus den Originaldokumenten enthält und keine Makros enthält.

Dann sollten Sie Word/Excel beenden, alle infizierten Word-Dokumente, Excel-Tabellen, NORMAL.DOT für Word und alle Dokumente/Tabellen in den STARTUP-Verzeichnissen von Word/Excel zerstören. Danach sollten Sie Word/Excel starten und Dokumente/Tabellen aus RTF-Dateien wiederherstellen.

Durch diesen Vorgang wird der Virus aus dem System entfernt und nahezu alle Informationen bleiben unverändert. Diese Methode hat jedoch eine Reihe von Nachteilen. Der Hauptgrund ist die Komplexität der Konvertierung von Dokumenten und Tabellen in das RTF-Format, wenn ihre Anzahl groß ist. Darüber hinaus ist es im Fall von Excel erforderlich, alle Tabellenblätter in jeder Excel-Datei separat zu konvertieren.

Ein weiterer wesentlicher Nachteil ist der Verlust normaler Makros, die während des Betriebs verwendet werden.

Bevor Sie mit dem beschriebenen Verfahren beginnen, sollten Sie daher den Originaltext speichern und nach der Neutralisierung des Virus die erforderlichen Makros in ihrer ursprünglichen Form wiederherstellen.
Woher kommen Viren?

und wie man Infektionen vermeidet Die Hauptquelle von Viren ist heute das Internet. Größte Zahl

Beim Austausch von Briefen in den Formaten MS Word/Office 97 kommt es zu Virusinfektionen: Der Benutzer eines mit einem Makrovirus infizierten Editors sendet unwissentlich „infizierte“ Briefe an seine Empfänger, diese versenden neue Briefe usw.

Der beschriebene Fall der Virusverbreitung wird am häufigsten von Antivirenunternehmen registriert. Es ist jedoch nicht ungewöhnlich, dass eine infizierte Dokumentdatei oder Excel-Tabelle aufgrund eines Versehens auf den Mailinglisten für kommerzielle Informationen eines großen Unternehmens landet. In diesem Fall werden nicht fünf, sondern Hunderte oder sogar Tausende von Abonnenten solcher Mailings betroffen sein, die dann infizierte Dateien an Zehntausende ihrer Abonnenten senden.

Öffentliche Dateiserver und elektronische Konferenzen gehören ebenfalls zu den Hauptquellen der Virenverbreitung.

Fast jede Woche erhalten wir die Nachricht, dass einer der Benutzer seinen Computer mit einem Virus infiziert hat, der von einem BBS, einem FTP-Server oder einer elektronischen Konferenz empfangen wurde.

In diesem Fall werden infizierte Dateien vom Autor des Virus häufig unter dem Deckmantel neuer Versionen einiger Software (einschließlich Antivirenprogramme) auf mehrere BBS/FTP „hochgeladen“ oder an mehrere Konferenzen gesendet.

Im Falle einer Massenverbreitung eines Virus über BBS/FTP-Dateiserver können Tausende von Computern gleichzeitig betroffen sein, in den meisten Fällen werden jedoch DOS- oder Windows-Viren „verteilt“, deren Ausbreitungsgeschwindigkeit in modernen Bedingungen sind viel niedriger als die ihrer makroökonomischen Gegenstücke. Aus diesem Grund enden solche Vorfälle fast nie in Massenepidemien. Der dritte Weg für die schnelle Ausbreitung von Viren sind lokale Netzwerke. Wenn Sie nicht die erforderlichen Schutzmaßnahmen ergreifen, infiziert der infizierte Arbeitsplatz beim Betreten des Netzwerks eine oder mehrere Dienstdateien auf dem Server Software

, Standardvorlagendokumente oder im Unternehmen verwendete Excel-Tabellen usw.

Auch in Bildungseinrichtungen installierte Computer stellen eine Gefahr dar. Wenn einer der Schüler einen Virus auf seine Disketten gebracht und einen der Schulcomputer infiziert hat, werden auch alle anderen Schüler, die an diesem Computer arbeiten, eine weitere „Infektion“ erhalten. Gleiches gilt für Heimcomputer, wenn mehr als eine Person daran arbeitet. Es kommt häufig vor, dass ein studentischer Sohn (oder eine studentische Tochter), der an einem Mehrbenutzercomputer an einem Institut arbeitet, einen Virus auf sich zieht Heimcomputer , wodurch das Virus eindringt Computernetzwerk

Papas oder Mamas Firma.

Es kommt recht selten vor, aber es ist dennoch durchaus möglich, dass Ihr Computer während der Reparatur oder routinemäßigen Inspektion mit einem Virus infiziert wird. Auch Handwerker sind Menschen, und einige von ihnen neigen dazu, sich nicht um grundlegende Computersicherheitsregeln zu kümmern.

Makroviren sind potenziell unerwünschte Dienstprogramme, die in Mikrosprachen geschrieben sind und in Grafik- und Textverarbeitungssysteme integriert sind. Welche Dateien sind mit Makroviren infiziert? Die Antwort liegt auf der Hand. Die gängigsten Versionen für Microsoft-Programme Excel, Word und Office 97. Diese Viren kommen recht häufig vor und ihre Erstellung ist so einfach wie das Schälen von Birnen. Deshalb sollten Sie beim Herunterladen von Dokumenten aus dem Internet äußerst vorsichtig und vorsichtig sein. Die meisten Benutzer unterschätzen sie und verpflichten sich dadurch ein schwerer Fehler.

Wie wird ein PC infiziert?

Nachdem wir entschieden haben, was Makroviren sind, wollen wir herausfinden, wie sie in das System eindringen und den Computer infizieren. Eine einfache Methode ihrer Reproduktion ermöglicht eine Infektion in kürzester Zeit. Höchstmenge Objekte. Dank der Fähigkeiten von Makrosprachen dringen sie beim Schließen oder Öffnen eines infizierten Dokuments in die Programme ein, auf die zugegriffen wird.

Das heißt, wenn Sie einen Grafikeditor verwenden, infizieren Makroviren alles, was damit zusammenhängt. Darüber hinaus sind einige ständig aktiv, während sie SMS schreiben oder Grafikeditor funktioniert oder bis der PC vollständig ausgeschaltet ist.

Was ist das Prinzip ihrer Arbeit?

Sie funktionieren nach folgendem Prinzip: Bei der Arbeit mit Dokumenten führt Microsoft Word verschiedene Befehle aus, die in der Makrosprache ausgegeben werden. Zunächst dringt das Programm in die Hauptvorlage ein, über die alle Dateien dieses Formats geöffnet werden. In diesem Fall kopiert der Virus seinen Code in Makros, die Zugriff auf die Hauptparameter ermöglichen. Beim Beenden des Programms wird die Datei in Automatikmodus in dot gespeichert (wird zum Erstellen neuer Dokumente verwendet). Danach dringt es in Standardmakros ein und versucht, an andere Dateien gesendete Befehle abzufangen und diese ebenfalls zu infizieren.

Eine Infektion tritt in folgenden Fällen auf:

1. Wenn der Virus ein Auto-Makro enthält (wird automatisch ausgeführt, wenn das Programm ausgeschaltet oder gestartet wird).
2. Der Virus verfügt über ein grundlegendes Systemmakro (oft mit Menüelementen verknüpft).
3. Wird automatisch aktiviert, wenn Sie bestimmte Tasten oder Kombinationen drücken.
4. Es wird nur reproduziert, wenn es gestartet wird.

Solche Viren infizieren normalerweise alle Dateien, die mit Programmen in einer Makrosprache erstellt und verknüpft werden.

Welchen Schaden richten sie an?

Makroviren sollten nicht unterschätzt werden, da sie vollwertige Viren sind und auf Computern erheblichen Schaden anrichten. Sie können problemlos alle Objekte löschen, kopieren oder bearbeiten, die unter anderem persönliche Informationen enthalten. Darüber hinaus können sie Informationen auch an andere Personen weitergeben E-Mail.

Leistungsstärkere Dienstprogramme können im Allgemeinen Festplatten formatieren und den Betrieb des gesamten PCs steuern. Deshalb ist die Meinung, dass diese Art von Computerviren bergen eine Gefahr ausschließlich für Grafik- und Texteditoren, fehlerhaft. Schließlich arbeiten Dienstprogramme wie Word und Excel mit einer Reihe anderer zusammen, die in diesem Fall ebenfalls gefährdet sind.

Erkennen einer infizierten Datei

Dateien, die mit Makroviren infiziert sind und anfällig für deren Einfluss sind, sind oft gar nicht so schwer zu identifizieren. Schließlich funktionieren sie völlig anders als andere Dienstprogramme desselben Formats.

Eine Gefahr erkennt man an folgenden Zeichen:

Darüber hinaus ist die Bedrohung häufig visuell leicht zu erkennen. Ihre Entwickler geben in der Registerkarte „Zusammenfassung“ normalerweise Informationen wie den Namen des Dienstprogramms, die Kategorie, das Thema des Kommentars und den Namen des Autors an, wodurch Sie einen Makrovirus viel schneller und einfacher entfernen können. Sie können es über das Kontextmenü aufrufen.

Entfernungsmethoden

Wenn Sie eine verdächtige Datei oder ein verdächtiges Dokument finden, scannen Sie es zunächst mit einem Antivirenprogramm. Wenn eine Bedrohung erkannt wird, versuchen Antivirenprogramme, diese zu beseitigen. Gelingt dies nicht, wird der Zugriff darauf vollständig blockiert.

Wenn der gesamte Computer infiziert ist, sollten Sie den Notfall nutzen Bootdiskette, das das Antivirenprogramm mit der neuesten Datenbank enthält. Es scannt Ihre Festplatte und neutralisiert alle gefundenen Bedrohungen.

Wenn Sie sich auf diese Weise nicht schützen können, Ihr Antivirenprogramm nichts kann und keine Rettungsdiskette vorhanden ist, sollten Sie die „manuelle“ Behandlungsmethode ausprobieren:

Auf diese Weise entfernen Sie den Makrovirus aus dem infizierten Dokument, was jedoch keineswegs bedeutet, dass er nicht im System verbleibt. Deshalb empfiehlt es sich, das Ganze zu scannen Personalcomputer und alle seine Daten mit Antivirus oder (ihr Vorteil ist, dass sie keine Installation erfordern).

Der Prozess der Behandlung und Reinigung eines Computers von einer Infektion mit Makroviren ist recht komplex, daher ist es besser, eine Infektion im Anfangsstadium zu verhindern.

Auf diese Weise schützen Sie sich selbst und Makroviren dringen niemals in die entsprechenden Dateien ein.

Unter der Vielfalt der Viren kann man Makroviren hervorheben, die wie kein anderer nicht nur für gefährlich sind Betriebssystem, sondern auch für alle Informationen, die auf angeschlossenen Festplatten gespeichert sind. Viren sind speziell geschriebene Programme in Makrosprachen, die in einige eingebaut sind moderne Systeme Datenverarbeitung (Tabellenkalkulationen, Texteditoren usw.).

Das heißt, alles, was in Büros, zu Hause usw. verwendet wird. zur Pflege von Berichten, Dokumentationen und anderem. Viren dieser Art sind von der Verlustseite aus gesehen am gefährlichsten Textinformationen. Zur Reproduktion nutzen sie maximal alle Möglichkeiten von Makrosprachen und übertragen sich selbst (bzw. den Programmcode) unter Ausnutzung aller Möglichkeiten von einer infizierten Datei (normalerweise einer Tabelle oder einem Dokument) auf andere. Heutzutage sind Makroviren für Software am häufigsten Office-Pakete 97, Microsoft Word, Excel. Es wurden auch Makroviren entwickelt, die Microsoft Access-Datenbanken und Ami Pro-Dokumente infizieren.

Damit Makroviren in einem bestimmten System (in diesem Fall im Editor) existieren, ist es unbedingt erforderlich, dass eine spezielle Software-Makrosprache mit den folgenden Fähigkeiten in das System integriert ist:

1. Kopieren aufgezeichneter Makroprogramme von einer bestimmten Datei in eine andere;

2. Bindung des Virus in einer Makrosprache an eine bestimmte Datei;

3. eine einzigartige Gelegenheit, die volle Kontrolle über das Virenmakroprogramm (automatische oder Standardmakros) zu erlangen.

Alle oben genannten Bedingungen werden von den Herausgebern AmiPro und Microsoft vollständig erfüllt Word-Büro 97, Microsoft Access-Datenbank sowie eine Excel-Tabelle. Alle diese Systeme enthalten eine Vielzahl von Makrosprachen: Excel, Office 97 (einschließlich Access, Word 97 und Excel 97) – Visual Basic für Applikationen und Word – Word Basic.

Heute sind es vier bekannte verschiedene Systeme, für die es separate Viren gibt – Office 97, Microsoft Word, Excel und AmiPro. In diesen Systemen übernehmen Makroviren die volle Kontrolle beim Schließen oder Öffnen der infizierten Datei. Nachdem der Virus die Kontrolle erlangt hat, fängt er alle Dateifunktionen ab und infiziert anschließend frei Dateien, auf die direkt zugegriffen wird. Wenn Sie sich also einen solchen Virus eingefangen haben und ihn identifizieren konnten, wird dringend davon abgeraten, die oben genannten Programme zu öffnen oder generell mit ihnen zu arbeiten vollständige Entfernung Virus. Wenn Sie diese Regel vernachlässigen, kann der Virus gelöscht werden wichtige Informationen(Dokumente, Tabellen usw.). In Analogie zu MS-DOS können wir mit Sicherheit betonen, dass die meisten modernen Makroviren resident sind: Sie verhalten sich aktiv, während der Editor selbst aktiv ist, und nicht beim Öffnen/Schließen einer Datei.

Natürlich ist es eine unmögliche und unnötige Aufgabe, sich jeden von ihnen „vom Sehen“ zu merken. Aufgrund ihrer Gefährlichkeit und ihres weit verbreiteten Vorkommens lohnt es sich jedoch dennoch, über einige dieser Arten mehr zu erfahren. In diesem Material werden wir analysieren, was das für Makroviren sind. Und auch, warum es wichtig ist, ihre Bedrohung angemessen einzuschätzen.

Makroviren sind...

Die erste Hälfte des Namens des bösartigen Elements leitet sich vom Wort „Makro“ ab. Dies ist eine integrierte Komponente eines MS Word- oder Excel-Dokuments, geschrieben in VBA. Das Makro verfügt über eine ganze Reihe von Funktionen: Es kann eine Festplatte formatieren, Dateien löschen, vertrauliche Daten aus auf einem PC gespeicherten Informationen kopieren und per E-Mail versenden. Briefkasten. Daher besteht eine große Gefahr, ein solches Element zu besiegen.

Ein Makrovirus ist ein in einer Makrosprache geschriebenes Programm zur weiteren Integration in eine Reihe von Verarbeitungssystemen und Textprogramme und Editoren, Software zum Arbeiten mit Tabellen usw. Die Reproduktion schädlicher Elemente erfolgt aufgrund der Fähigkeiten von Makrosprachen. Daher können sie ganz einfach von Dokument zu Dokument, von einem Computer auf einen anderen übertragen werden. Welche Dateien werden am häufigsten von Makroviren infiziert? Dabei handelt es sich hauptsächlich um Word- und Excel-Dokumente.

Wie erfolgt die Verteilung?

Einen PC zu infizieren ist ganz einfach. Sie müssen lediglich eine mit einem Makrovirus infizierte Datei auf Ihrem Computer öffnen oder schließen. Schädliche Elemente fangen Standarddateien ab und beginnen dann, alle ähnlichen Dateien zu infizieren, auf die Sie auf Ihrem Gerät zugreifen.

Makroviren sind ebenfalls residente bösartige Elemente. Das heißt, sie sind nicht nur beim Öffnen/Schließen eines Dokuments aktiv, sondern während der gesamten Ausführung eines Text-, Grafik- oder Tabellenkalkulationsprogramms! Und einige davon können sogar im RAM des Computers verbleiben, bis dieser ausgeschaltet wird.

Es sollte auch beachtet werden, dass sie äußerst einfach zu erstellen sind: Ein Angreifer muss lediglich Word öffnen, zu „Service“ und dann zu „Makros“ gehen. Als nächstes wählt er den Visual Basic-Editor aus, wo er bereits ein Schadprogramm in VBA schreiben kann.

Wie der Virus funktioniert

Bei der Implementierung eines bestimmten Befehls sucht Word nach den entsprechenden Makros und führt sie aus:

• Ein Dokument speichern – FileSave.
• Drucken – FilePrint.
• Öffnung Textdatei- AutoOpen.
• Ein Dokument schließen – AutoClose.
• Starten des Programms selbst – AutoExec.
• Erstellen einer neuen Datei – AutoNew usw.

Ähnliche Makros, jedoch mit unterschiedlichen Namen, werden auch in Excel verwendet.

Um eine Word-Datei zu infizieren, verwendet die Malware eine dieser Techniken:

• Ein Makrovirus enthält bereits ein Automakro.
• Die Schädigung des Systems beginnt, wenn Sie die vom Entwickler des Virus vorgesehene Aufgabe ausführen lassen.
• Eines der Standardmakros wird überschrieben. Letzteres ist normalerweise mit einer Art Word-Menüelement verknüpft.
• Durch Drücken einer bestimmten Taste oder einer Tastenkombination lösen Sie unwissentlich ein bösartiges Automakro aus. Und er beginnt bereits mit seiner „Arbeit“.

Makroviren infizieren Dateien auf folgende Weise:

1. Sie öffnen das betroffene Textdokument.
2. Der Virencode wird in globale Dokumentmakros kopiert.
3. Letztere werden, bereits infiziert, beim Schließen der Datei automatisch in ein Dot-Dokument (eine Vorlage namens Normal.dot) geschrieben.
4. Als nächstes ist es Aufgabe des Virus, Standardmakros zu überschreiben. Dies hilft ihm, Befehle zum Arbeiten mit elektronischen Dokumenten abzufangen.
5. Wenn Sie diese Makros aufrufen, wird die Datei, an der Sie arbeiten, infiziert.

Lassen Sie uns nun entscheiden, wie Sie das Vorhandensein dieser schädlichen Elemente auf Ihrem Computer feststellen können.

Erkennung von Makroviren

Dateiviren in Texten und Tabellen lassen sich wie folgt erkennen:

• Ich kann ein Dokument mit „Speichern unter...“ nicht auf eine andere Festplatte oder in ein anderes Verzeichnis schreiben.
• Eine Datei kann nicht in einem anderen Format gespeichert werden (überprüft mit dem Befehl „Speichern unter...“).
• Die von Ihnen vorgenommenen Änderungen können nicht in der Datei gespeichert werden.
• Die Registerkarte „Sicherheitsstufe“ ist nicht mehr verfügbar. Sie finden es im Pfad: „Service“ – „Makro“ – „Sicherheit“.
• Beim Arbeiten mit einem Dokument kann eine Systemmeldung erscheinen, die auf einen Fehler hinweist.
• Die Datei „verhält“ sich anders.
• Wenn Sie per Rechtsklick mit der Maus anrufen Kontextmenü Wenn Sie ein verdächtiges Dokument erstellen und auf „Eigenschaften“ klicken, gibt der Malware-Entwickler in den Abschnitten der Registerkarte „Zusammenfassung“ zufällige Informationen oder nur eine Reihe von Zeichen an.

Fehlerbehebung

Der einfachste Weg, eine Katastrophe zu verhindern, ist natürlich der Fall. In diesem Fall sollte Ihr Computer über ein modernes Antivirenprogramm mit einer ständig aktualisierten Bedrohungsdatenbank verfügen. In viele dieser Programme ist ein Monitor geladen RAM. Es erkennt infizierte Dateien, sobald Sie versuchen, sie zu öffnen. Das Antivirenprogramm versucht zunächst, ein solches Dokument zu reparieren, und wenn dies nicht gelingt (was sehr selten vorkommt), blockiert es den Zugriff darauf.

Wenn Sie auf einem ungeschützten Computer eine Bedrohung entdecken, müssen Sie ein Antivirenprogramm oder ein entsprechendes Dienstprogramm herunterladen, das die infizierte Datei erkennt, neutralisiert oder löscht. Es ist auch wichtig, selbst wachsam zu sein: Öffnen Sie keine Dokumente aus Ihnen unbekannten Quellen und scannen Sie sie als letzten Ausweg vorher auf schädliche Elemente.

Makroviren sind eine Bedrohung, die sich über Text- und Tabellendateien verbreitet. Heutzutage ist es leicht zu erkennen und zu beseitigen, was die Gefahr und den Schaden, die dieses Schadprogramm verursacht, jedoch nicht verringert.

Insbesondere über jene Vertreter dieser großen Familie, die Dokumente betreffen Wort.

Charakteristische Anwesenheitszeichen sind:

1) Unmöglichkeit, ein infiziertes Dokument zu speichern Wort in ein anderes Format konvertieren (per Befehl). Speichern unter…);

2) die Unmöglichkeit, mit dem Befehl ein Dokument in ein anderes Verzeichnis oder auf eine andere Festplatte zu schreiben Speichern unter…;

3) die Unmöglichkeit, am Dokument vorgenommene Änderungen zu speichern (Befehl Speichern);

4) Tab-Unzugänglichkeit Sicherheitsstufe(Speisekarte Service – Makro – Sicherheit…);

5) da viele Viren fehlerhaft geschrieben sind (oder in verschiedenen Versionen des Pakets nicht richtig funktionieren). Microsoft Office), dann können entsprechende Meldungen mit einem Fehlercode erscheinen;

6) andere „Seltsamkeiten“ im Verhalten von Dokumenten Wort;

7) können oft visuell erkannt werden. Tatsache ist, dass sich die meisten Virenschreiber durch ihre Eitelkeit auszeichnen: in den Dateieigenschaften Wort(Fenster Eigenschaften Aufruf per Rechtsklick – auswählen aus Eigenschaften) auf der Registerkarte Zusammenfassung Füllen Sie die Eingabefelder aus ( Name, Thema, Autor, Kategorie, Schlüsselwörter Und