Οι ιοί μακροεντολών είναι δυνητικά ανεπιθύμητα προγράμματα που είναι γραμμένα σε γλώσσες μακροεντολών που είναι ενσωματωμένες σε συστήματα επεξεργασίας δεδομένων κειμένου ή γραφικών. Οι πιο κοινές εκδόσεις ιών για Microsoft Word, Excel και Office 97. Δεδομένου ότι η δημιουργία ενός ιού μακροεντολής είναι εύκολη, είναι αρκετά συνηθισμένοι. Θα πρέπει να είστε πολύ προσεκτικοί κατά τη λήψη αμφισβητήσιμων εγγράφων από το Διαδίκτυο. Πολλοί χρήστες υποτιμούν τις δυνατότητες αυτών των προγραμμάτων, κάνοντας ένα τεράστιο λάθος.

Πώς ένας ιός μακροεντολής μολύνει έναν υπολογιστή

Χάρη σε εύκολος τρόποςοι μακροϊοί είναι ικανοί να αναπαραχθούν όσο το δυνατόν συντομότεραχτυπήστε μεγάλο αριθμό αρχείων. Χρησιμοποιώντας τις δυνατότητες των μακρογλωσσών, κατά το άνοιγμα ή το κλείσιμο ενός μολυσμένου εγγράφου, διεισδύουν εύκολα σε όλα τα προγράμματα στα οποία, με τον ένα ή τον άλλο τρόπο, γίνεται πρόσβαση. Δηλαδή αν χρησιμοποιείς επεξεργαστής γραφικών, ανοίξτε την εικόνα και στη συνέχεια ο ιός μακροεντολής θα εξαπλωθεί στα αρχεία αυτού του τύπου. Και ορισμένοι από τους ιούς αυτού του τύπου μπορούν να είναι ενεργοί όσο είναι ανοιχτό ένα πρόγραμμα επεξεργασίας γραφικών ή κειμένου ή ακόμα και μέχρι να απενεργοποιηθεί ο προσωπικός υπολογιστής.

Η δράση των μακροϊών γίνεται σύμφωνα με την ακόλουθη αρχή: όταν εργάζεστε με ένα έγγραφο του Microsoft Word, διαβάζει και εκτελεί διάφορες εντολές που δίνονται στη γλώσσα μακροεντολών. Πρώτα απ 'όλα, το κακόβουλο λογισμικό θα προσπαθήσει να διεισδύσει στο κύριο πρότυπο εγγράφου, χάρη στο οποίο ανοίγουν όλα τα αρχεία. αυτή τη μορφή. Ταυτόχρονα, ο ιός μακροεντολών δημιουργεί ένα αντίγραφο του κώδικά του σε καθολικές μακροεντολές (μακροεντολές που παρέχουν πρόσβαση σε βασικές παραμέτρους). Και όταν βγείτε από το πρόγραμμα που χρησιμοποιείται, αποθηκεύεται αυτόματα σε ένα αρχείο κουκκίδων (χρησιμοποιείται για τη δημιουργία νέων εγγράφων) . Στη συνέχεια, ο ιός εισβάλλει στις τυπικές μακροεντολές του αρχείου για να υποκλέψει εντολές που αποστέλλονται σε άλλα αρχεία, μολύνοντας έτσι και αυτά.

Η μόλυνση με μακροϊό συμβαίνει σε μία από τις τέσσερις περιπτώσεις:

  1. Εάν υπάρχει αυτόματη μακροεντολή στον ιό (εκτελείται αυτόματα κατά την εκκίνηση ή τον τερματισμό του προγράμματος).
  2. Ο ιός περιέχει την κύρια μακροεντολή συστήματος (συνήθως σχετίζεται με στοιχεία μενού).
  3. Ο ιός ενεργοποιείται αυτόματα όταν πατήσετε ένα συγκεκριμένο πλήκτρο ή συνδυασμό.
  4. Η αναπαραγωγή του ιού συμβαίνει μόνο όταν εκτοξεύεται απευθείας.

Οι ιοί μακροεντολών μπορούν να βλάψουν όλα τα αρχεία που είναι συνδεδεμένα με ένα πρόγραμμα σε γλώσσα μακροεντολών.

Τι κακό κάνουν οι μακροϊοί;

Σε καμία περίπτωση δεν πρέπει να υποτιμάτε τους ιούς μακροεντολών, καθώς είναι οι ίδιοι πλήρεις ιοί και δεν μπορούν να προκαλέσουν λιγότερο κακό σε έναν προσωπικό υπολογιστή. Οι ιοί μακροεντολών είναι αρκετά ικανοί να διαγράψουν, να επεξεργαστούν ή να αντιγράψουν αρχεία που περιέχουν προσωπικές πληροφορίες και να τα μεταφέρουν σε άλλο άτομο μέσω e-mail. Και τα ισχυρότερα προγράμματα μπορούν γενικά να διαμορφώσουν τον σκληρό δίσκο και να πάρουν τον έλεγχο του υπολογιστή σας. Έτσι, η άποψη ότι οι μακροϊοί είναι επικίνδυνοι μόνο για συντάκτες κειμένου, λανθασμένο, γιατί συχνά το Word και το Excel έρχονται σε επαφή με τεράστιο ποσόποικίλα προγράμματα.

Πώς να αναγνωρίσετε ένα μολυσμένο αρχείο

Συνήθως είναι αρκετά εύκολο να αναγνωρίσετε αρχεία που επηρεάζονται από έναν ιό μακροεντολών, επειδή δεν λειτουργούν όπως άλλα προγράμματα της ίδιας μορφής.

Η παρουσία μακροϊών μπορεί να προσδιοριστεί από τα ακόλουθα χαρακτηριστικά:

  1. Το έγγραφο του Word δεν αποθηκεύεται σε άλλη μορφή (χρησιμοποιώντας την εντολή "αποθήκευση ως...")
  2. το έγγραφο δεν μπορεί να μετακινηθεί σε άλλο φάκελο ή μονάδα δίσκου
  3. αδυναμία αποθήκευσης αλλαγών στο έγγραφο (χρησιμοποιώντας την εντολή "αποθήκευση")
  4. συχνή εμφάνιση μηνυμάτων σφάλματος συστήματος σχετικά με τη λειτουργία του προγράμματος με τον αντίστοιχο κωδικό
  5. ασυνήθιστη συμπεριφορά εγγράφου
  6. Οι περισσότεροι ιοί μακροεντολών μπορούν να εντοπιστούν οπτικά, καθώς οι δημιουργοί τους συχνά επιθυμούν να περιλαμβάνουν πληροφορίες όπως όνομα προγράμματος, θέμα, κατηγορία, όνομα συγγραφέα και σχόλια στην καρτέλα "Σύνοψη" (που ανοίγει από το μενού περιβάλλοντος).

Πώς να αφαιρέσετε ένα αρχείο που έχει μολυνθεί από ιούς από έναν υπολογιστή

Πρώτα απ 'όλα, εάν βρείτε ένα ύποπτο έγγραφο ή αρχείο, σαρώστε το με ένα πρόγραμμα προστασίας από ιούς. Σχεδόν πάντα, τα antivirus, όταν εντοπιστεί μια απειλή, θα προσπαθήσουν να θεραπεύσουν το αρχείο ή να αποκλείσουν εντελώς την πρόσβαση σε αυτό. Σε πιο σοβαρές περιπτώσεις, όταν ολόκληρος ο υπολογιστής είναι ήδη μολυσμένος, χρησιμοποιήστε έναν δίσκο εγκατάστασης έκτακτης ανάγκης που περιέχει ένα πρόγραμμα προστασίας από ιούς με ενημερωμένη βάση δεδομένων. Θα σαρώσει τον σκληρό δίσκο και θα εξουδετερώσει το κακόβουλο λογισμικό που θα βρει. Σε περίπτωση που το antivirus είναι ανίσχυρο και δεν υπάρχει δίσκος έκτακτης ανάγκης, χρησιμοποιήστε τη μέθοδο "χειροκίνητης" θεραπείας:

  1. Στην καρτέλα "Προβολή", καταργήστε την επιλογή του πλαισίου ελέγχου "Απόκρυψη επέκτασης για όλους τους εγγεγραμμένους τύπους αρχείων".
  2. βρείτε το μολυσμένο αρχείο και αλλάξτε την επέκταση από .doc σε .rtf
  3. διαγράψτε το πρότυπο Κανονικό. τελεία
  4. αλλάξτε ξανά την επέκταση αρχείου και επαναφέρετε τις αρχικές παραμέτρους

Ως αποτέλεσμα αυτών των ενεργειών, αφαιρέσαμε τον ιό από το μολυσμένο έγγραφο, αλλά αυτό δεν σημαίνει ότι δεν μπορούσε να παραμείνει στο σύστημα του υπολογιστή, επομένως, με την πρώτη ευκαιρία, σαρώστε όλα τα αντικείμενα στον υπολογιστή σας με ένα πρόγραμμα προστασίας από ιούς.

Πώς να προστατευτείτε από ιούς μακροεντολών

Η θεραπεία ενός υπολογιστή για ιούς μακροεντολών μπορεί να είναι αρκετά δύσκολη, επομένως είναι καλύτερο να αποτρέψετε τη μόλυνση. Για να το κάνετε αυτό, βεβαιωθείτε ότι το antivirus σας ενημερώνεται τακτικά. Πριν αντιγράψετε αρχεία από άλλα μέσα ή από το Διαδίκτυο, ελέγξτε τα προσεκτικά για κακόβουλο λογισμικό. Εάν έχετε αδύναμο πρόγραμμα προστασίας από ιούς ή καθόλου, αποθηκεύστε έγγραφα σε μορφή .rtf, ώστε ο ιός να μην μπορεί να τα διεισδύσει.

Φυσικά, το να θυμάσαι το καθένα από αυτά «από τη θέα» είναι ένα αδύνατο και περιττό έργο. Ωστόσο, μερικοί εξακολουθούν να αξίζουν να μάθουμε περισσότερα λόγω του κινδύνου και της ευρείας επικράτησης τους. Σε αυτό το υλικό, θα αναλύσουμε ότι πρόκειται για μακροϊούς. Και επίσης γιατί είναι σημαντικό να αξιολογηθεί επαρκώς η απειλή τους.

Οι μακροϊοί είναι...

Το πρώτο μισό του ονόματος του κακόβουλου στοιχείου προέρχεται από τη λέξη "macro". Είναι ένα ενσωματωμένο στοιχείο ενός εγγράφου MS Word ή Excel γραμμένο σε VBA. Η μακροεντολή έχει αρκετά ευρείες δυνατότητες: μπορεί να μορφοποιήσει τον σκληρό δίσκο, να διαγράψει αρχεία, να αντιγράψει εμπιστευτικά δεδομένα από τις πληροφορίες που είναι αποθηκευμένες στον υπολογιστή και να τα στείλει μέσω email. Γραμματοκιβώτιο. Ως εκ τούτου, υπάρχει μεγάλος κίνδυνος να νικήσουμε ένα τέτοιο στοιχείο.

Ένας ιός μακροεντολής είναι ένα πρόγραμμα γραμμένο σε γλώσσα μακροεντολών για περαιτέρω ενσωμάτωση σε έναν αριθμό συστημάτων επεξεργασίας και προγράμματα κειμένουκαι συντάκτες, λογισμικό υπολογιστικών φύλλων, κ.λπ. Η αναπαραγωγή κακόβουλων στοιχείων συμβαίνει λόγω των δυνατοτήτων των γλωσσών μακροεντολών. Επομένως, είναι αρκετά εύκολο να μεταφερθούν από έγγραφο σε έγγραφο, από έναν υπολογιστή σε άλλο. Ποια αρχεία μολύνονται συχνότερα από ιούς μακροεντολών; Κυρίως έγγραφα Word και Excel.

Πώς γίνεται η διανομή;

Η μόλυνση ενός υπολογιστή συμβαίνει πολύ απλά. Το μόνο που έχετε να κάνετε είναι να ανοίξετε ή να κλείσετε ένα αρχείο που επηρεάζεται από ιούς μακροεντολών στον υπολογιστή σας. Ταυτόχρονα, κακόβουλα στοιχεία παρεμποδίζουν τα τυπικά και μετά αρχίζουν να μολύνουν όλα αυτά τα αρχεία στα οποία έχετε πρόσβαση στη συσκευή σας.

Οι μακροϊοί είναι επίσης μόνιμα κακόβουλα στοιχεία. Δηλαδή, είναι ενεργά όχι μόνο τη στιγμή του ανοίγματος/κλεισίματος του εγγράφου, αλλά και σε όλη τη διάρκεια της εργασίας ενός προγράμματος κειμένου, γραφικού ή υπολογιστικού φύλλου! Και μερικοί από αυτούς μπορούν ακόμη και να μείνουν μέσα μνήμη τυχαίας προσπέλασηςυπολογιστή μέχρι να απενεργοποιηθεί.

Θα πρέπει να σημειωθεί ότι είναι εξαιρετικά εύκολο να δημιουργηθούν: ένας εισβολέας πρέπει απλώς να ανοίξει το Word, να μεταβεί στα Εργαλεία και μετά στις Μακροεντολές. Στη συνέχεια, επιλέγει τον επεξεργαστή της Visual Basic, όπου μπορεί ήδη να γράψει ένα κακόβουλο πρόγραμμα στη γλώσσα VBA.

Η αρχή του ιού

Κατά την υλοποίηση μιας συγκεκριμένης εντολής, το Word αναζητά και εκτελεί τις αντίστοιχες μακροεντολές:

  • Αποθήκευση εγγράφου - FileSave.
  • Έξοδος εκτύπωσης - FilePrint.
  • Άνοιγμα αρχείου κειμένου - Αυτόματο άνοιγμα.
  • Κλείσιμο εγγράφου - Αυτόματο Κλείσιμο.
  • Εκκίνηση του ίδιου του προγράμματος - AutoExec.
  • Δημιουργία νέου αρχείου - AutoNew και ούτω καθεξής.

Παρόμοιες μακροεντολές, αλλά με διαφορετικά ονόματα, χρησιμοποιούνται επίσης από το Excel.

Για να μολύνει ένα αρχείο Word, το κακόβουλο λογισμικό χρησιμοποιεί μία από αυτές τις τεχνικές:

  • Ο ιός μακροεντολής περιέχει ήδη μια αυτόματη μακροεντολή.
  • Η ήττα του συστήματος ξεκινά όταν ρυθμίσετε να εκτελέσετε την εργασία που παρέχεται από τον προγραμματιστή του ιού.
  • Μία από τις τυπικές μακροεντολές επαναπροσδιορίζεται. Συνήθως το τελευταίο σχετίζεται με κάποιο στοιχείο του μενού "Word".
  • Πατώντας ένα συγκεκριμένο πλήκτρο ή έναν συνδυασμό τους, χωρίς να το γνωρίζετε, ενεργοποιείτε μια κακόβουλη αυτόματη μακροεντολή. Και ήδη ξεκινά τη «δουλειά» του.

Οι ιοί μακροεντολών μολύνουν αρχεία με τον ακόλουθο τρόπο:

  1. Ανοίγετε το επηρεαζόμενο έγγραφο κειμένου.
  2. Ο κωδικός ιού αντιγράφεται στις καθολικές μακροεντολές του εγγράφου.
  3. Τα τελευταία, ήδη μολυσμένα, εγγράφονται αυτόματα σε ένα έγγραφο κουκκίδων (ένα πρότυπο που ονομάζεται Normal.dot) όταν το αρχείο κλείσει.
  4. Στη συνέχεια, εναπόκειται στον ιό να επαναπροσδιορίσει τις τυπικές μακροεντολές. Αυτό τον βοηθά να υποκλέψει εντολές για εργασία με ηλεκτρονικά έγγραφα.
  5. Όταν καλούνται αυτές οι μακροεντολές από εσάς, το αρχείο στο οποίο εργάζεστε είναι μολυσμένο.

Τώρα ας αποφασίσουμε πώς θα εντοπίσουμε την παρουσία αυτών των κακόβουλων στοιχείων στον υπολογιστή.

Ανίχνευση ιών μακροεντολών

Οι ιοί αρχείων σε κείμενα και πίνακες μπορούν να οριστούν ως εξής:

  • Δεν μπορώ να εγγράψω ένα έγγραφο σε διαφορετική μονάδα δίσκου ή κατάλογο μέσω "Αποθήκευση ως..."
  • Η αδυναμία αποθήκευσης του αρχείου σε διαφορετική μορφή (ελέγχθηκε μέσω της εντολής "Αποθήκευση ως ...").
  • Δεν είναι δυνατή η αποθήκευση των αλλαγών που κάνατε στο αρχείο.
  • Η καρτέλα Επίπεδο ασφαλείας δεν είναι διαθέσιμη. Μπορείτε να το βρείτε κατά μήκος της διαδρομής: "Υπηρεσία" - "Μακροεντολή" - "Ασφάλεια".
  • Όταν εργάζεστε με ένα έγγραφο, μπορεί να εμφανιστεί ένα μήνυμα συστήματος που υποδεικνύει ένα σφάλμα.
  • Το αρχείο συμπεριφέρεται με διαφορετικό τρόπο.
  • Εάν κάνετε δεξί κλικ για κλήση κατάλογος συμφραζόμενωνύποπτο έγγραφο και κάντε κλικ στο "Ιδιότητες" και, στη συνέχεια, στις ενότητες της καρτέλας "Σύνοψη" ο προγραμματιστής κακόβουλο λογισμικόθα υποδεικνύονται τυχαίες πληροφορίες ή απλώς ένα σύνολο χαρακτήρων.

Αντιμετώπιση προβλημάτων

Οποιαδήποτε ατυχία είναι το πιο εύκολο, φυσικά, να προληφθεί. Σε αυτήν την περίπτωση, ο υπολογιστής σας θα πρέπει να διαθέτει ένα σύγχρονο antivirus με μια συνεχώς ενημερωμένη βάση δεδομένων απειλών. Πολλά τέτοια προγράμματα έχουν μια οθόνη φορτωμένη στη μνήμη RAM. Εντοπίζει μολυσμένα αρχεία ήδη σε μια προσπάθεια να τα ανοίξει. Το anti-virus προσπαθεί πρώτα απ 'όλα να θεραπεύσει ένα τέτοιο έγγραφο και εάν αποτύχει (κάτι που συμβαίνει πολύ σπάνια), εμποδίζει την πρόσβαση σε αυτό.

Εάν εντοπίσετε μια απειλή σε έναν μη προστατευμένο υπολογιστή, τότε πρέπει να κατεβάσετε ένα πρόγραμμα προστασίας από ιούς ή ένα κατάλληλο βοηθητικό πρόγραμμα που θα εντοπίσει, θα εξουδετερώσει ή θα διαγράψει το μολυσμένο αρχείο. Είναι επίσης σημαντικό να είστε προσεκτικοί: μην ανοίγετε έγγραφα από πηγές άγνωστες σε εσάς ή, σε ακραίες περιπτώσεις, μην τα σαρώνετε για κακόβουλα στοιχεία προτού το κάνετε.

Οι ιοί μακροεντολών είναι μια απειλή που εξαπλώνεται μέσω αρχείων κειμένου και υπολογιστικών φύλλων. Σήμερα είναι εύκολο να εντοπιστεί και να εξαλειφθεί, κάτι που δεν μειώνει τον κίνδυνο και τη βλάβη που προκαλεί αυτό το κακόβουλο λογισμικό.

Ευγένιος Κάσπερσκι

Μακροϊοί ( μακροϊοί) είναι προγράμματα γραμμένα σε γλώσσες (μακρογλώσσες) ενσωματωμένα σε ορισμένα συστήματα επεξεργασίας δεδομένων (επεξεργαστές κειμένου, υπολογιστικά φύλλα κ.λπ.). Για την αναπαραγωγή τους, τέτοιοι ιοί χρησιμοποιούν τις δυνατότητες μακρογλωσσών και με τη βοήθειά τους μεταφέρονται από ένα μολυσμένο αρχείο (έγγραφο ή πίνακας) σε άλλα. Οι ιοί μακροεντολών για Microsoft Word, Excel και Office 97 είναι οι πιο διαδεδομένοι.

Για την ύπαρξη ιών σε ένα συγκεκριμένο σύστημα (επεξεργαστής), είναι απαραίτητο να υπάρχει μια γλώσσα μακροεντολής ενσωματωμένη στο σύστημα με τις ακόλουθες δυνατότητες:

  1. σύνδεση ενός προγράμματος σε μια μακρογλώσσα με ένα συγκεκριμένο αρχείο.
  2. αντιγραφή προγραμμάτων μακροεντολών από το ένα αρχείο στο άλλο.
  3. αποκτήστε έλεγχο μακροεντολών χωρίς παρέμβαση χρήστη (αυτόματες ή τυπικές μακροεντολές).

Οι περιγραφόμενες προϋποθέσεις πληρούνται από τους επεξεργαστές MS Word, MS Office 97 και AmiPro, καθώς και από υπολογιστικό φύλλο MS Excel. Αυτά τα συστήματα περιέχουν γλώσσες μακροεντολών (MS Word - Word Basic, MS Excel και MS Office 97 - Visual Basic), ενώ:

  1. Τα προγράμματα μακροεντολών είναι προσαρτημένα σε ένα συγκεκριμένο αρχείο (AmiPro) ή βρίσκονται μέσα σε ένα αρχείο (MS Word/Excel/Office 97).
  2. Η γλώσσα μακροεντολών σάς επιτρέπει να αντιγράφετε αρχεία (AmiPro) ή να μετακινείτε προγράμματα μακροεντολών σε αρχεία υπηρεσίας συστήματος και αρχεία επεξεργάσιμα (MSWord / Excel / Office 97).
  3. όταν εργάζεστε με ένα αρχείο υπό ορισμένες συνθήκες (άνοιγμα, κλείσιμο κ.λπ.), καλούνται προγράμματα μακροεντολών (εάν υπάρχουν), τα οποία ορίζονται με ειδικό τρόπο (AmiPro) ή έχουν τυπικά ονόματα (MS Word / Excel / Office 97).

Η τελευταία δυνατότητα προορίζεται για αυτόματη επεξεργασία δεδομένων σε μεγάλους οργανισμούς ή σε παγκόσμια δίκτυακαι σας επιτρέπει να οργανώσετε τη λεγόμενη "αυτοματοποιημένη ροή εργασιών". Από την άλλη, οι δυνατότητες των γλωσσών μακροεντολών τέτοιων συστημάτων επιτρέπουν στον ιό να μεταφέρει τον κώδικά του σε άλλα αρχεία και έτσι να τα μολύνει.

Στα τέσσερα παραπάνω προϊόντα λογισμικούΟι ιοί παίρνουν τον έλεγχο όταν ανοίγουν ή κλείνουν ένα μολυσμένο αρχείο, παρεμποδίζουν τυπικές λειτουργίες αρχείων και, στη συνέχεια, μολύνουν αρχεία στα οποία γίνεται πρόσβαση με κάποιο τρόπο. Κατ' αναλογία με το DOS, μπορούμε να πούμε ότι οι περισσότεροι ιοί μακροεντολών είναι μόνιμοι ιοί: είναι ενεργοί όχι μόνο τη στιγμή που ανοίγει ή κλείνει ένα αρχείο, αλλά όσο ο ίδιος ο επεξεργαστής είναι ενεργός.


γενικές πληροφορίες

Η φυσική θέση του ιού μέσα στο αρχείο εξαρτάται από τη μορφή του, η οποία στην περίπτωση των προϊόντων της Microsoft είναι εξαιρετικά περίπλοκη: κάθε αρχείο εγγράφου Word, Office 97 ή υπολογιστικό φύλλο Excel είναι μια ακολουθία μπλοκ δεδομένων (καθένα από τα οποία έχει επίσης το δικό του μορφή), ενώθηκαν χρησιμοποιώντας μεγάλο όγκο δεδομένων υπηρεσίας. Αυτή η μορφή ονομάζεται OLE2 (Σύνδεση και ενσωμάτωση αντικειμένων). Η δομή των αρχείων Word, Excel και Office 97 (OLE2) μοιάζει πολύπλοκη σύστημα αρχείωνΜονάδες δίσκου DOS: ο "ριζικός κατάλογος" ενός αρχείου εγγράφου ή πίνακα οδηγεί στους κύριους υποκαταλόγους διαφόρων μπλοκ δεδομένων, αρκετοί "πίνακες FAT" περιέχουν πληροφορίες σχετικά με τη θέση των μπλοκ δεδομένων σε ένα έγγραφο κ.λπ.

Εξάλλου, Σύστημα γραφείουΤο Binder, το οποίο υποστηρίζει πρότυπα Word και Excel, σας επιτρέπει να δημιουργείτε αρχεία που περιέχουν ταυτόχρονα ένα ή περισσότερα έγγραφα σε Μορφή Wordκαι ένα ή περισσότερα τραπέζια μέσα μορφή excel, επιπλέον, οι ιοί του Word μπορούν να μολύνουν έγγραφα του Word και οι ιοί του Excel μπορούν να μολύνουν πίνακες του Excel και όλα αυτά είναι δυνατά μέσα σε ένα μόνο αρχείο δίσκου. Το ίδιο ισχύει και για το Office 97.

Θα πρέπει να σημειωθεί ότι οι εκδόσεις 6 και 7 του MS Word σάς επιτρέπουν να κρυπτογραφείτε τις μακροεντολές που υπάρχουν στο έγγραφο. Έτσι, ορισμένοι ιοί του Word υπάρχουν σε μολυσμένα έγγραφα σε κρυπτογραφημένη (μόνο εκτέλεση) μορφή.

Οι περισσότεροι γνωστοί ιοί για το Word δεν είναι συμβατοί με τις εθνικές (συμπεριλαμβανομένων των ρωσικών) εκδόσεις του Word ή, αντίθετα, έχουν σχεδιαστεί μόνο για τοπικές εκδόσεις του Word και δεν λειτουργούν στην αγγλική έκδοση. Ωστόσο, ο ιός στο έγγραφο εξακολουθεί να είναι ενεργός και μπορεί να μολύνει άλλους υπολογιστές με την αντίστοιχη έκδοση του Word εγκατεστημένη σε αυτούς.

Οι ιοί για το Word μπορούν να μολύνουν υπολογιστές οποιασδήποτε κατηγορίας, όχι μόνο υπολογιστές IBM. Η μόλυνση είναι δυνατή εάν αυτός ο υπολογιστήςέχει εγκατασταθεί ένα πρόγραμμα επεξεργασίας κειμένου που είναι πλήρως συμβατό με το Microsoft Word έκδοση 6 ή 7 (για παράδειγμα, MS Word για Macintosh). Το ίδιο ισχύει για το MS Excel και το MS Office 97.

Είναι ενδιαφέρον ότι οι μορφές των εγγράφων του Word, των υπολογιστικών φύλλων του Excel και ειδικά του Office 97 έχουν την ακόλουθη δυνατότητα: τα αρχεία εγγράφων και οι πίνακες περιέχουν "επιπλέον" μπλοκ δεδομένων, δηλαδή δεδομένα που δεν συνδέονται με κανένα τρόπο με το επεξεργασμένο κείμενο ή πίνακες ή αντίγραφα που εμφανίζονται κατά λάθος εκεί άλλα δεδομένα αρχείου. Ο λόγος για την εμφάνιση τέτοιων μπλοκ δεδομένων είναι η ομαδοποιημένη οργάνωση δεδομένων σε έγγραφα και πίνακες OLE2. Ακόμα κι αν έχει εισαχθεί μόνο ένας χαρακτήρας κειμένου, τότε εκχωρούνται ένα ή και πολλά συμπλέγματα δεδομένων για αυτόν. Κατά την αποθήκευση εγγράφων και πινάκων σε συμπλέγματα που δεν είναι γεμάτα με "χρήσιμα" δεδομένα, παραμένουν τα "σκουπίδια", τα οποία εισέρχονται στο αρχείο μαζί με άλλα δεδομένα. Η ποσότητα των "σκουπιδιών" στα αρχεία μπορεί να μειωθεί ακυρώνοντας το στοιχείο ρύθμισης "Να επιτρέπεται η γρήγορη αποθήκευση" Word/Excel, αλλά αυτό μειώνει μόνο τη συνολική ποσότητα "σκουπιδιών", αλλά δεν το αφαιρεί εντελώς.

Θα πρέπει επίσης να σημειωθεί ότι ορισμένες εκδόσεις του OLE2.DLL περιέχουν ένα μικρό ελάττωμα, με αποτέλεσμα, όταν εργάζεστε με έγγραφα Word, Excel και ειδικά του Office 97, τυχαία δεδομένα από το δίσκο, συμπεριλαμβανομένων και εμπιστευτικών (διαγραμμένα αρχεία, κατάλογοι , και κτλ.).

Ιοί MS Word/Excel/Office 97:
αρχές εργασίας

Όταν εργάζεστε με ένα έγγραφο MS Word εκδόσεις 6 και 7, εκτελεί διάφορες ενέργειες: ανοίγει το έγγραφο, αποθηκεύει, εκτυπώνει, κλείνει κ.λπ. Ταυτόχρονα, το Word αναζητά και εκτελεί τις αντίστοιχες ενσωματωμένες μακροεντολές: κατά την αποθήκευση ενός αρχείου χρησιμοποιώντας την εντολή Αρχείο / Αποθήκευση, καλείται η μακροεντολή FileSave, κατά την αποθήκευση με την εντολή File/SaveAs - FileSaveAs, κατά την εκτύπωση εγγράφων - FilePrint κ.λπ., εάν, φυσικά, οριστούν τέτοιες μακροεντολές.

Υπάρχουν επίσης αρκετές "αυτόματες μακροεντολές" που καλούνται αυτόματα υπό διάφορες συνθήκες. Για παράδειγμα, κατά το άνοιγμα έγγραφο του Wordτο ελέγχει για την παρουσία της μακροεντολής AutoOpen. Εάν υπάρχει μια τέτοια μακροεντολή, τότε το Word την εκτελεί. Όταν το έγγραφο είναι κλειστό, το Word εκτελεί τη μακροεντολή AutoClose, όταν ξεκινά το Word, καλείται η μακροεντολή AutoExec, όταν κλείνει, AutoExit και όταν δημιουργεί ένα νέο έγγραφο, AutoNew. Παρόμοιοι μηχανισμοί, αλλά με διαφορετικά ονόματα μακροεντολών και συναρτήσεων, χρησιμοποιούνται επίσης στο Excel/Office 97.

Μακροϊοί που μολύνουν Αρχεία Word, Excel ή Office 97 συνήθως χρησιμοποιούν μία από τις τρεις παραπάνω τεχνικές:

  1. ο ιός έχει αυτόματη μακροεντολή (αυτόματη λειτουργία).
  2. Μία από τις τυπικές μακροεντολές συστήματος (που σχετίζεται με κάποιο στοιχείο μενού) επαναπροσδιορίζεται στον ιό.
  3. η μακροεντολή του ιού καλείται αυτόματα όταν πατήσετε οποιοδήποτε πλήκτρο ή συνδυασμό πλήκτρων.

Υπάρχουν επίσης ημι-ιοί που δεν χρησιμοποιούν τις αναφερόμενες τεχνικές και πολλαπλασιάζονται μόνο εάν ο χρήστης τους εκκινήσει ανεξάρτητα για εκτέλεση.

Οι περισσότεροι ιοί μακροεντολών περιέχουν όλες τις λειτουργίες τους ως τυπικές μακροεντολές MS Word/Excel/Office 97. Υπάρχουν, ωστόσο, ιοί που κρύβουν τον κώδικά τους και αποθηκεύουν τον κώδικά τους ως μη μακροεντολές. Τρεις τέτοιες μέθοδοι είναι γνωστές. Όλοι χρησιμοποιούν τη δυνατότητα των μακροεντολών να δημιουργούν, να επεξεργάζονται και να εκτελούν άλλες μακροεντολές. Κατά κανόνα, τέτοιοι ιοί έχουν ένα μικρό (μερικές φορές πολυμορφικό) macro-loader, ο οποίος καλεί τον ενσωματωμένο επεξεργαστή μακροεντολών, δημιουργεί μια νέα μακροεντολή, τη γεμίζει με τον κύριο κώδικα του ιού, την εκτελεί και στη συνέχεια, κατά κανόνα, την καταστρέφει σε κρύβουν τα ίχνη της παρουσίας του ιού. Ο κύριος κώδικας τέτοιων ιών υπάρχει είτε στο σώμα του ίδιου του ιού με τη μορφή συμβολοσειρές κειμένου, ή αποθηκεύονται στην περιοχή μεταβλητών εγγράφου ή στην περιοχή Αυτόματο κείμενο.

Αλγόριθμος εργασίας
μακροϊοί για το Word

Οι περισσότεροι γνωστοί ιοί του Word (εκδόσεις 6, 7 και Word 97) μετακινούν τον δικό τους κώδικα στην περιοχή καθολικών μακροεντολών ("γενικές" μακροεντολές) του εγγράφου κατά την εκκίνηση.

Όταν πραγματοποιείτε έξοδο από το Word, οι καθολικές μακροεντολές (συμπεριλαμβανομένων των μακροεντολών ιών) εγγράφονται αυτόματα στο αρχείο καθολικών μακροεντολών DOT (συνήθως NORMAL.DOT). Έτσι, ο ιός ενεργοποιείται τη στιγμή που το Word φορτώνει καθολικές μακροεντολές.

Στη συνέχεια, ο ιός επαναπροσδιορίζει (ή περιέχει ήδη) μία ή περισσότερες τυπικές μακροεντολές (για παράδειγμα, FileOpen, FileSave, FileSaveAs, FilePrint) και έτσι παρεμποδίζει εντολές για εργασία με αρχεία. Όταν καλούνται αυτές οι εντολές, το αρχείο στο οποίο προσεγγίζεται είναι μολυσμένο. Για να γίνει αυτό, ο ιός μετατρέπει το αρχείο στη μορφή Template (πράγμα που καθιστά αδύνατη την περαιτέρω αλλαγή της μορφής αρχείου, δηλαδή τη μετατροπή σε οποιαδήποτε μορφή που δεν είναι πρότυπο) και εγγράφει τις μακροεντολές του στο αρχείο, συμπεριλαμβανομένης της αυτόματης μακροεντολής.

Ένας άλλος τρόπος εισαγωγής ενός ιού στο σύστημα βασίζεται στα λεγόμενα αρχεία "Add-in", δηλαδή αρχεία που είναι προσθήκες υπηρεσιών στο Word. Σε αυτήν την περίπτωση, το NORMAL.DOT δεν αλλάζει και το Word φορτώνει μακροεντολές ιών από το αρχείο (ή αρχεία) που προσδιορίζονται ως "Πρόσθετο" κατά την εκκίνηση. Αυτή η μέθοδος επαναλαμβάνει σχεδόν πλήρως τη μόλυνση των καθολικών μακροεντολών, με μόνη εξαίρεση ότι οι μακροεντολές ιών δεν αποθηκεύονται στο NORMAL.DOT, αλλά σε κάποιο άλλο αρχείο.

Είναι επίσης δυνατή η ένεση ενός ιού σε αρχεία που βρίσκονται στον κατάλογο STARTUP. Σε αυτήν την περίπτωση, το Word φορτώνει αυτόματα αρχεία προτύπων από αυτόν τον κατάλογο, αλλά τέτοιοι ιοί δεν έχουν ακόμη συναντηθεί.

Ανίχνευση ιών μακροεντολών

Τα χαρακτηριστικά σημάδια της παρουσίας μακροϊών είναι:

  1. αδυναμία μετατροπής ενός μολυσμένου εγγράφου του Word σε άλλη μορφή.
  2. τα μολυσμένα αρχεία είναι σε μορφή προτύπου, επειδή όταν μολυνθούν, οι ιοί του Word μετατρέπουν αρχεία από τη μορφή εγγράφου του Word σε πρότυπο
  3. την αδυναμία εγγραφής του εγγράφου σε άλλο κατάλογο ή σε άλλο δίσκο με την εντολή "Αποθήκευση ως" (μόνο για το Word 6).
  4. υπάρχουν "ξένα" αρχεία στον κατάλογο STARTUP.
  5. η παρουσία στο Βιβλίο (Βιβλίο) «έξτρα» και κρυφών Φύλλων (Φύλλων).

Μπορείτε να χρησιμοποιήσετε το στοιχείο μενού Εργαλεία/Μακροεντολή για να ελέγξετε το σύστημα για ιούς. Εάν βρεθούν «ξένες μακροεντολές», ενδέχεται να ανήκουν στον ιό. Ωστόσο, αυτή η μέθοδος δεν λειτουργεί στην περίπτωση ιών stealth που «απαγορεύουν» τη λειτουργία αυτού του στοιχείου μενού, κάτι που, με τη σειρά του, είναι επαρκής λόγος για να θεωρηθεί ότι το σύστημα έχει μολυνθεί.

Πολλοί ιοί έχουν σφάλματα ή λειτουργούν λανθασμένα σε διαφορετικές εκδόσεις του Word/Excel, με αποτέλεσμα αυτά τα προγράμματα να δίνουν μηνύματα σφάλματος, για παράδειγμα:

WordBasic Er = αριθμός σφάλματος.

Εάν ένα τέτοιο μήνυμα εμφανίζεται κατά την επεξεργασία ενός νέου εγγράφου ή υπολογιστικού φύλλου και δεν χρησιμοποιούνται προφανώς μακροεντολές χρήστη, αυτό μπορεί επίσης να είναι σημάδι μόλυνσης του συστήματος. Οι αλλαγές στα αρχεία και τις ρυθμίσεις παραμέτρων του συστήματος του Word, του Excel και των Windows αποτελούν επίσης σήμα ιού. Πολλοί ιοί με τον ένα ή τον άλλο τρόπο αλλάζουν τα στοιχεία του μενού Εργαλεία / Επιλογές - ενεργοποιήστε ή απενεργοποιήστε τις λειτουργίες "Προτροπή αποθήκευσης κανονικού προτύπου", "Να επιτρέπεται η γρήγορη αποθήκευση", "Προστασία από ιούς". Ορισμένοι ιοί ορίζουν έναν κωδικό πρόσβασης στα αρχεία όταν είναι μολυσμένα. Ένας μεγάλος αριθμός ιών δημιουργεί νέες ενότητες ή/και επιλογές στο αρχείο διαμόρφωσης των Windows (WIN.INI).

Φυσικά, οι εκδηλώσεις του ιού περιλαμβάνουν τέτοιες «εκπλήξεις», όπως η εμφάνιση μηνυμάτων ή διαλόγων με μάλλον περίεργο περιεχόμενο ή σε γλώσσα που δεν ταιριάζει με τη γλώσσα εγκατεστημένη έκδοση Word/Excel.

Ανάκτηση
επηρεασμένα αντικείμενα

Στις περισσότερες περιπτώσεις, η διαδικασία «θεραπείας» μολυσμένων αρχείων και δίσκων περιορίζεται στην εκτέλεση του κατάλληλου λογισμικού προστασίας από ιούς. Αλλά υπάρχουν περιπτώσεις όπου η εξουδετέρωση του ιού πρέπει να πραγματοποιηθεί ανεξάρτητα, δηλαδή «με το χέρι».

Για να εξουδετερώσετε τους ιούς του Word και του Excel, αρκεί να αποθηκεύσετε όλες τις απαραίτητες πληροφορίες σε μορφή μη εγγράφων και μη υπολογιστικών φύλλων. Η πιο κατάλληλη είναι η μορφή κειμένου RTF, η οποία περιλαμβάνει σχεδόν όλες τις πληροφορίες από τα πρωτότυπα έγγραφα και δεν περιέχει μακροεντολές.

Στη συνέχεια, πραγματοποιήστε έξοδο από το Word/Excel, καταστρέψτε όλα τα μολυσμένα έγγραφα του Word, τα υπολογιστικά φύλλα του Excel, το NORMAL.DOT για το Word και όλα τα έγγραφα/πίνακες στους καταλόγους ΕΚΚΙΝΗΣΗΣ του Word/Excel. Μετά από αυτό, θα πρέπει να ξεκινήσετε το Word / Excel και να επαναφέρετε έγγραφα / πίνακες από αρχεία RTF.

Ως αποτέλεσμα αυτής της διαδικασίας, ο ιός θα αφαιρεθεί από το σύστημα και σχεδόν όλες οι πληροφορίες θα παραμείνουν αμετάβλητες. Ωστόσο, αυτή η μέθοδος έχει μια σειρά από μειονεκτήματα. Το κύριο είναι η πολυπλοκότητα της μετατροπής εγγράφων και πινάκων σε μορφή RTF, εάν ο αριθμός τους είναι μεγάλος. Επιπλέον, στην περίπτωση του Excel, είναι απαραίτητο να μετατρέψετε ξεχωριστά όλα τα Φύλλα σε κάθε αρχείο Excel.

Ένα άλλο σημαντικό μειονέκτημα είναι η απώλεια των κανονικών μακροεντολών που χρησιμοποιούνται στην εργασία. Επομένως, πριν ξεκινήσετε την περιγραφόμενη διαδικασία, θα πρέπει να αποθηκεύσετε το αρχικό τους κείμενο και αφού εξουδετερώσετε τον ιό, να επαναφέρετε τις απαραίτητες μακροεντολές στην αρχική τους μορφή.

Από πού προέρχονται οι ιοί
και πώς να αποφύγετε τη μόλυνση

Η κύρια πηγή ιών σήμερα είναι το Διαδίκτυο. Ο μεγαλύτερος αριθμόςΟι μολύνσεις από ιούς συμβαίνουν κατά την ανταλλαγή επιστολών σε μορφές MS Word / Office 97: ο χρήστης ενός προγράμματος επεξεργασίας που έχει μολυνθεί με έναν ιό μακροεντολής, χωρίς να το γνωρίζει, στέλνει «μολυσμένα» γράμματα στους παραλήπτες του και αυτοί στέλνουν νέα γράμματα κ.λπ.

Ας υποθέσουμε ότι ένας χρήστης βρίσκεται σε αλληλογραφία με πέντε παραλήπτες, καθένας από τους οποίους, με τη σειρά του, είναι επίσης σε αλληλογραφία με πέντε παραλήπτες. Μετά την αποστολή μιας «ιογενούς» επιστολής, και οι πέντε υπολογιστές που την έλαβαν έχουν μολυνθεί. Στο δεύτερο επίπεδο διανομής, 1+5+20=26 υπολογιστές θα έχουν ήδη μολυνθεί. Εάν οι παραλήπτες του δικτύου ανταλλάσσουν επιστολές μία φορά την ημέρα, τότε μέχρι το τέλος της εργάσιμης εβδομάδας (σε 5 ημέρες) θα έχουν μολυνθεί τουλάχιστον 1+5+20+80+320=426 υπολογιστές. Είναι εύκολο να υπολογίσουμε ότι πάνω από εκατό χιλιάδες υπολογιστές θα μολυνθούν σε 10 ημέρες! Και κάθε μέρα ο αριθμός τους θα τετραπλασιάζεται.

Η περιγραφόμενη περίπτωση εξάπλωσης του ιού καταγράφεται συχνότερα από εταιρείες προστασίας από ιούς. Αλλά δεν είναι ασυνήθιστο για ένα μολυσμένο αρχείο εγγράφου ή υπολογιστικό φύλλο Excel να συμπεριλαμβάνεται στις λίστες αλληλογραφίας εμπορικών πληροφοριών μιας μεγάλης εταιρείας λόγω παράβλεψης. Σε αυτή την περίπτωση, όχι πέντε, αλλά εκατοντάδες ή και χιλιάδες συνδρομητές τέτοιων αποστολών θα υποφέρουν, οι οποίοι στη συνέχεια θα στείλουν μολυσμένα αρχεία σε δεκάδες χιλιάδες συνδρομητές τους.

Οι διακομιστές δημόσιων αρχείων και τα ηλεκτρονικά συνέδρια είναι επίσης μία από τις κύριες πηγές ιών. Σχεδόν κάθε εβδομάδα έρχεται ένα μήνυμα ότι κάποιος χρήστης έχει μολύνει τον υπολογιστή του με έναν ιό που ελήφθη από BBS, διακομιστή ftp ή ηλεκτρονική διάσκεψη.

Σε αυτήν την περίπτωση, τα μολυσμένα αρχεία συχνά «ανεβάζονται» από τον συντάκτη του ιού σε πολλά BBS/ftp ή αποστέλλονται σε πολλά συνέδρια υπό το πρόσχημα νέων εκδόσεων κάποιου λογισμικού (συμπεριλαμβανομένων των antivirus).

Οταν μαζική αποστολήΧιλιάδες υπολογιστές μπορούν να επηρεαστούν ταυτόχρονα από έναν ιό σε διακομιστές αρχείων BBS/ftp, ωστόσο, στις περισσότερες περιπτώσεις, οι ιοί DOS ή Windows «αποστέλλονται», το ποσοστό εξάπλωσης των οποίων στις σύγχρονες συνθήκες είναι πολύ χαμηλότερο από αυτό των αντίστοιχων macro . Για το λόγο αυτό, τέτοια περιστατικά σχεδόν ποτέ δεν καταλήγουν σε μαζικές επιδημίες.

Ο τρίτος τρόπος για την ταχεία εξάπλωση των ιών είναι τα τοπικά δίκτυα. Εάν δεν ληφθούν τα απαραίτητα προστατευτικά μέτρα, τότε οι μολυσμένοι σταθμός εργασίαςκατά την είσοδο στο δίκτυο, μολύνει ένα ή περισσότερα αρχεία υπηρεσίας στον διακομιστή, διάφορα λογισμικό, τυπικά έγγραφα προτύπων ή υπολογιστικά φύλλα Excel που χρησιμοποιούνται στην εταιρεία κ.λπ.

Οι υπολογιστές που είναι εγκατεστημένοι σε εκπαιδευτικά ιδρύματα αποτελούν επίσης κίνδυνο. Εάν ένας από τους μαθητές έφερε έναν ιό στις δισκέτες του και μόλυνε οποιονδήποτε από τους εκπαιδευτικούς υπολογιστές, τότε όλοι οι άλλοι μαθητές που εργάζονται σε αυτόν τον υπολογιστή θα λάβουν επίσης μια άλλη «μόλυνση».

Το ίδιο ισχύει και για τους οικιακούς υπολογιστές εάν εργάζονται σε αυτούς περισσότερα από ένα άτομα. Δεν είναι ασυνήθιστο για έναν γιο μαθητή (ή κόρη), που εργάζεται σε έναν υπολογιστή πολλών χρηστών στο ινστιτούτο, να σύρει έναν ιό σε έναν οικιακό υπολογιστή, με αποτέλεσμα ο ιός να εισχωρήσει δίκτυο υπολογιστώνεπιχειρήσεις του πατέρα ή της μητέρας.

Εν κατακλείδι, θα ήθελα να σημειώσω ότι, παρά την φαινομενική πολυπλοκότητα της καταπολέμησης των μακροϊών, δεν είναι τόσο δύσκολο να προστατευτείτε από αυτή τη "λοίμωξη" με μια ήρεμη και ικανή προσέγγιση στο πρόβλημα.

Αρκετά σπάνια, αλλά εξακολουθεί να είναι πολύ πιθανό να μολυνθεί ο υπολογιστής σας με ιό κατά την επισκευή ή την τακτική επιθεώρησή του. Οι επισκευαστές είναι επίσης άνθρωποι, και μερικοί από αυτούς τείνουν να δίνουν δεκάρα στους στοιχειώδεις κανόνες ασφαλείας υπολογιστών.

Οι ιοί μακροεντολών (μακροϊοί) είναι προγράμματα σε γλώσσες (μακρογλωσσικές) ενσωματωμένες σε ορισμένα συστήματα επεξεργασίας δεδομένων (επεξεργαστές κειμένου, υπολογιστικά φύλλα κ.λπ.), καθώς και σε γλώσσες δέσμης ενεργειών όπως το VBA (Visual Basic for Applications) JS ( Java Script). Για την αναπαραγωγή τους, τέτοιοι ιοί χρησιμοποιούν τις δυνατότητες μακρογλωσσών και με τη βοήθειά τους μεταφέρονται από ένα μολυσμένο αρχείο (έγγραφο ή πίνακας) σε άλλα. Οι μακροϊοί είναι οι πιο ευρέως χρησιμοποιούμενοι Το γραφείο της Microsoft. Υπάρχουν επίσης ιοί μακροεντολών που μολύνουν έγγραφα και βάσεις δεδομένων του Ami Pro. Για την ύπαρξη ιών σε ένα συγκεκριμένο σύστημα (επεξεργαστής), είναι απαραίτητο να υπάρχει μια γλώσσα μακροεντολής ενσωματωμένη στο σύστημα με τις ακόλουθες δυνατότητες:

1. δέσμευση ενός προγράμματος σε μια μακρογλώσσα σε ένα συγκεκριμένο αρχείο.
2. Αντιγραφή προγραμμάτων μακροεντολών από το ένα αρχείο στο άλλο.
3. τη δυνατότητα απόκτησης ελέγχου του προγράμματος μακροεντολών χωρίς παρέμβαση του χρήστη (αυτόματες ή τυπικές μακροεντολές).

Αυτές οι προϋποθέσεις πληρούνται από τους επεξεργαστές Microsoft Word, Office και AmiPro, καθώς και ένα υπολογιστικό φύλλο Excel και μια βάση δεδομένων. δεδομένα της Microsoftπρόσβαση. Αυτά τα συστήματα περιέχουν γλώσσες μακροεντολών: Word - Word Basic; Excel, Access - VBA. Εν:

1. Τα προγράμματα μακροεντολών συνδέονται με ένα συγκεκριμένο αρχείο (AmiPro) ή βρίσκονται μέσα σε ένα αρχείο (Word, Excel, Access).
2. Η γλώσσα μακροεντολών σάς επιτρέπει να αντιγράφετε αρχεία (AmiPro) ή να μετακινείτε προγράμματα μακροεντολών σε αρχεία υπηρεσιών συστήματος και αρχεία με δυνατότητα επεξεργασίας (Word, Excel).
3. κατά την εργασία με ένα αρχείο όταν συγκεκριμένες συνθήκες(άνοιγμα, κλείσιμο κ.λπ.) καλούνται προγράμματα μακροεντολών (αν υπάρχουν), τα οποία ορίζονται με ειδικό τρόπο (AmiPro) ή έχουν τυπικά ονόματα (Word, Excel).

Αυτή η δυνατότητα των γλωσσών μακροεντολών έχει σχεδιαστεί για αυτόματη επεξεργασία δεδομένων σε μεγάλους οργανισμούς ή παγκόσμια δίκτυα και σας επιτρέπει να οργανώσετε τη λεγόμενη "αυτοματοποιημένη ροή εργασίας". Από την άλλη πλευρά, οι δυνατότητες των γλωσσών μακροεντολών τέτοιων συστημάτων επιτρέπουν στον ιό να μεταφέρει τον κώδικά του σε άλλα αρχεία και έτσι να τα μολύνει. Οι ιοί παίρνουν τον έλεγχο όταν ανοίγουν ή κλείνουν ένα μολυσμένο αρχείο, παρεμποδίζουν τυπικές λειτουργίες αρχείων και, στη συνέχεια, μολύνουν αρχεία στα οποία γίνεται πρόσβαση με κάποιο τρόπο. Κατ' αναλογία με το MS-DOS, μπορούμε να πούμε ότι οι περισσότεροι ιοί μακροεντολών είναι μόνιμοι: είναι ενεργοί όχι μόνο τη στιγμή του ανοίγματος/κλεισίματος ενός αρχείου, αλλά όσο ο ίδιος ο επεξεργαστής είναι ενεργός.

Ιοί Word/Excel/Office: γενικές πληροφορίες

Η φυσική θέση του ιού μέσα στο αρχείο εξαρτάται από τη μορφή του, η οποία στην περίπτωση των προϊόντων της Microsoft είναι εξαιρετικά περίπλοκη - κάθε αρχείο εγγράφου Word, υπολογιστικό φύλλο Excel είναι μια ακολουθία μπλοκ δεδομένων (καθένα από τα οποία έχει επίσης τη δική του μορφή), διασυνδεδεμένα χρησιμοποιώντας μεγάλο όγκο δεδομένων υπηρεσίας. Αυτή η μορφή ονομάζεται OLE2 - Σύνδεση και ενσωμάτωση αντικειμένων.

Η δομή των αρχείων Word, Excel και Office (OLE2) μοιάζει με ένα εξελιγμένο σύστημα αρχείων δίσκου: ο "ριζικός κατάλογος" ενός αρχείου εγγράφου ή πίνακα οδηγεί στους κύριους υποκαταλόγους διαφόρων μπλοκ δεδομένων, αρκετοί πίνακες FAT περιέχουν πληροφορίες σχετικά με τη θέση του μπλοκ δεδομένων σε ένα έγγραφο και ούτω καθεξής. Επιπλέον, το σύστημα Office Binder, το οποίο υποστηρίζει τα πρότυπα Word και Excel, σας επιτρέπει να δημιουργείτε αρχεία που περιέχουν ταυτόχρονα ένα ή περισσότερα έγγραφα του Word και ένα ή περισσότερα υπολογιστικά φύλλα Excel. Ταυτόχρονα, οι ιοί του Word μπορούν να μολύνουν έγγραφα του Word και οι ιοί του Excel μπορούν να μολύνουν πίνακες του Excel και όλα αυτά είναι δυνατά σε ένα αρχείο δίσκου. Το ίδιο ισχύει και για το Office. Οι περισσότεροι γνωστοί ιοί για το Word δεν είναι συμβατοί με τις εθνικές (συμπεριλαμβανομένων των ρωσικών) εκδόσεις του Word ή το αντίστροφο - έχουν σχεδιαστεί μόνο για τοπικές εκδόσεις του Word και δεν λειτουργούν στην αγγλική έκδοση. Ωστόσο, ο ιός στο έγγραφο εξακολουθεί να είναι ενεργός και μπορεί να μολύνει άλλους υπολογιστές με την αντίστοιχη έκδοση του Word εγκατεστημένη σε αυτούς. Οι ιοί για το Word μπορούν να μολύνουν υπολογιστές οποιασδήποτε κατηγορίας. Η μόλυνση είναι δυνατή εάν έχει εγκατασταθεί ένα πρόγραμμα επεξεργασίας κειμένου σε αυτόν τον υπολογιστή που είναι πλήρως συμβατό με το Microsoft Word έκδοση 6 ή 7 ή νεότερη (για παράδειγμα, MS Word για Macintosh).

Το ίδιο ισχύει για το Excel και το Office. Θα πρέπει επίσης να σημειωθεί ότι η πολυπλοκότητα των μορφών εγγράφων του Word, των υπολογιστικών φύλλων του Excel και ειδικά του Office έχει την εξής ιδιαιτερότητα: υπάρχουν «έξτρα» μπλοκ δεδομένων σε αρχεία εγγράφων και πίνακες, π.χ. δεδομένα που δεν σχετίζονται με το επεξεργασμένο κείμενο ή πίνακες με οποιονδήποτε τρόπο ή είναι αντίγραφα άλλων δεδομένων στο αρχείο που έτυχε να υπάρχουν. Ο λόγος για την εμφάνιση τέτοιων μπλοκ δεδομένων είναι η οργάνωση συμπλέγματος των δεδομένων σε έγγραφα και πίνακες OLE2 - ακόμα κι αν έχει εισαχθεί μόνο ένας χαρακτήρας κειμένου, τότε ένα ή ακόμα και πολλά συμπλέγματα δεδομένων εκχωρούνται για αυτό. Κατά την αποθήκευση εγγράφων και πινάκων σε συμπλέγματα που δεν είναι γεμάτα με "χρήσιμα" δεδομένα, παραμένουν τα "σκουπίδια", τα οποία εισέρχονται στο αρχείο μαζί με άλλα δεδομένα. Ο όγκος των "σκουπιδιών" στα αρχεία μπορεί να μειωθεί καταργώντας την επιλογή "Να επιτρέπεται η γρήγορη αποθήκευση" του Word/Excel, αλλά αυτό μειώνει μόνο τη συνολική ποσότητα "σκουπιδιών", αλλά δεν το αφαιρεί εντελώς. Συνέπεια αυτού είναι το γεγονός ότι κατά την επεξεργασία ενός εγγράφου, το μέγεθός του αλλάζει ανεξάρτητα από τις ενέργειες που εκτελούνται με αυτό - κατά την προσθήκη νέου κειμένου, το μέγεθος του αρχείου μπορεί να μειωθεί και κατά τη διαγραφή μέρους του κειμένου, μπορεί να αυξηθεί.

Το ίδιο συμβαίνει και με τους ιούς μακροεντολών: όταν ένα αρχείο έχει μολυνθεί, το μέγεθός του μπορεί να μειωθεί, να αυξηθεί ή να παραμείνει αμετάβλητο. Θα πρέπει επίσης να σημειωθεί ότι ορισμένες εκδόσεις του OLE2.DLL περιέχουν ένα μικρό ελάττωμα, με αποτέλεσμα, κατά την εργασία με Word, Excel και ειδικά έγγραφα του Office, τυχαία δεδομένα από το δίσκο, συμπεριλαμβανομένων εμπιστευτικών δεδομένων (διαγραμμένα αρχεία, κατάλογοι, κ.λπ.) .δ.). Οι εντολές ιών μπορούν επίσης να εισέλθουν σε αυτά τα μπλοκ. Ως αποτέλεσμα, μετά την απολύμανση των μολυσμένων εγγράφων, ο ενεργός κωδικός του ιού αφαιρείται από το αρχείο, αλλά ορισμένες από τις εντολές του ενδέχεται να παραμείνουν στα μπλοκ "σκουπίδια". Τέτοια ίχνη παρουσίας ιού είναι μερικές φορές ορατά με προγράμματα επεξεργασίας κειμένου και μπορεί ακόμη και να προκαλέσουν την αντίδραση ορισμένων προγραμμάτων προστασίας από ιούς. Ωστόσο, αυτά τα υπολείμματα του ιού είναι εντελώς ακίνδυνα: το Word και το Excel δεν δίνουν καμία σημασία σε αυτά.

Ιοί Word/Excel/Office: πώς λειτουργούν

Όταν εργάζεστε με ένα έγγραφο Εκδόσεις WordΤο 6 και το 7 ή νεότερο εκτελεί διάφορες ενέργειες: ανοίγει το έγγραφο, αποθηκεύει, εκτυπώνει, κλείνει κ.λπ. Ταυτόχρονα, το Word αναζητά και εκτελεί τις αντίστοιχες "ενσωματωμένες μακροεντολές" - κατά την αποθήκευση ενός αρχείου με την εντολή File / Save, καλείται η μακροεντολή FileSave, κατά την αποθήκευση με την εντολή File / SaveAs - FileSaveAs, κατά την εκτύπωση εγγράφων - FilePrint, κ.λπ., εάν, φυσικά, υπάρχουν μακροεντολές ορίζονται. Υπάρχουν επίσης αρκετές "αυτόματες μακροεντολές" που καλούνται αυτόματα υπό διάφορες συνθήκες. Για παράδειγμα, όταν ανοίγετε ένα έγγραφο, το Word το ελέγχει για την παρουσία της μακροεντολής AutoOpen. Εάν υπάρχει μια τέτοια μακροεντολή, τότε το Word την εκτελεί. Όταν το έγγραφο είναι κλειστό, το Word εκτελεί τη μακροεντολή AutoClose, όταν ξεκινά το Word, καλείται η μακροεντολή AutoExec, όταν κλείνει, AutoExit και όταν δημιουργεί ένα νέο έγγραφο, AutoNew.

Παρόμοιοι μηχανισμοί (αλλά με διαφορετικά ονόματα μακροεντολών και συναρτήσεων) χρησιμοποιούνται επίσης στο Excel/Office, στο οποίο ο ρόλος των αυτόματων και των ενσωματωμένων μακροεντολών εκτελείται από τις αυτόματες και ενσωματωμένες συναρτήσεις που υπάρχουν σε οποιαδήποτε μακροεντολή ή μακροεντολές, και πολλές ενσωματωμένες λειτουργίες μπορούν να υπάρχουν σε μία μακροεντολή και αυτόματες λειτουργίες. Αυτόματα (δηλαδή χωρίς παρέμβαση χρήστη) εκτελούνται επίσης μακροεντολές/συναρτήσεις που σχετίζονται με οποιοδήποτε κλειδί ή ώρα ή ημερομηνία, π.χ. Το Word/Excel καλεί μια μακροεντολή/συνάρτηση όταν πατηθεί ένα συγκεκριμένο πλήκτρο (ή συνδυασμός πλήκτρων) ή όταν φτάσει σε ένα συγκεκριμένο χρονικό σημείο. Στο Office, οι δυνατότητες υποκλοπής συμβάντων διευρύνονται κάπως, αλλά η αρχή είναι η ίδια.

Οι ιοί μακροεντολών που μολύνουν αρχεία Word, Excel ή Office χρησιμοποιούν συνήθως μία από τις τρεις μεθόδους που αναφέρονται παραπάνω - είτε υπάρχει μια αυτόματη μακροεντολή (αυτόματη λειτουργία) στον ιό είτε μια από τις τυπικές μακροεντολές συστήματος επαναπροσδιορίζεται (που σχετίζεται με κάποιο μενού στοιχείο) ή η μακροεντολή ιών καλείται αυτόματα όταν πατάτε οποιοδήποτε πλήκτρο ή συνδυασμό πλήκτρων. Υπάρχουν επίσης ημι-ιοί που δεν χρησιμοποιούν όλα αυτά τα κόλπα και πολλαπλασιάζονται μόνο όταν ο χρήστης τους εκκινήσει ανεξάρτητα. Έτσι, εάν το έγγραφο είναι μολυσμένο, όταν ανοίγει το έγγραφο, το Word καλεί τη μολυσμένη μακροεντολή AutoOpen (ή Αυτόματο Κλείσιμο όταν το έγγραφο είναι κλειστό) και έτσι εκτελεί τον κώδικα ιού, εκτός εάν απαγορεύεται από τη μεταβλητή συστήματος DisableAutoMacros. Εάν ο ιός περιέχει μακροεντολές με τυπικά ονόματα, ελέγχονται καλώντας το αντίστοιχο στοιχείο μενού (Αρχείο/Άνοιγμα, Αρχείο/Κλείσιμο, Αρχείο/ΑποθήκευσηAs). Εάν επαναπροσδιοριστεί οποιοδήποτε σύμβολο πληκτρολογίου, τότε ο ιός ενεργοποιείται μόνο αφού πατήσετε το αντίστοιχο πλήκτρο.

Οι περισσότεροι ιοί μακροεντολών περιέχουν όλες τις λειτουργίες τους ως τυπικές μακροεντολές Word/Excel/Office. Υπάρχουν, ωστόσο, ιοί που χρησιμοποιούν κόλπα για να κρύψουν τον κώδικά τους και να αποθηκεύσουν τον κώδικά τους ως μη μακροεντολές. Τρεις τέτοιες τεχνικές είναι γνωστές, όλες χρησιμοποιούν την ικανότητα των μακροεντολών να δημιουργούν, να επεξεργάζονται και να εκτελούν άλλες μακροεντολές. Κατά κανόνα, τέτοιοι ιοί έχουν μια μικρή (μερικές φορές πολυμορφική) μακροεντολή φόρτωσης ιών που καλεί τον ενσωματωμένο επεξεργαστή μακροεντολών, δημιουργεί μια νέα μακροεντολή, τη γεμίζει με τον κύριο κώδικα ιού, την εκτελεί και, κατά κανόνα, την καταστρέφει (για να κρύβουν ίχνη της παρουσίας του ιού). Ο κύριος κώδικας τέτοιων ιών υπάρχει είτε στην ίδια τη μακροεντολή του ιού με τη μορφή συμβολοσειρών κειμένου (μερικές φορές κρυπτογραφημένη), είτε αποθηκεύεται στην περιοχή μεταβλητών εγγράφου ή στην περιοχή Auto-text.

Αλγόριθμος εργασίας μακροϊών Word

Οι περισσότεροι από τους γνωστούς ιούς του Word, όταν εκκινούνται, μεταφέρουν τον κώδικά τους (μακροεντολές) στην παγκόσμια περιοχή μακροεντολών του εγγράφου ("γενικές" μακροεντολές), για αυτό χρησιμοποιούν τις εντολές για την αντιγραφή μακροεντολών MacroCopy, Organizer.Copy ή χρησιμοποιώντας το πρόγραμμα επεξεργασίας μακροεντολών - ο ιός την καλεί, δημιουργεί μια νέα μακροεντολή, εισάγει τον κώδικά της σε αυτήν, τον οποίο αποθηκεύει στο έγγραφο. Όταν πραγματοποιείτε έξοδο από το Word, οι καθολικές μακροεντολές (συμπεριλαμβανομένων των μακροεντολών ιών) εγγράφονται αυτόματα στο αρχείο καθολικών μακροεντολών DOT (συνήθως NORMAL.DOT). Την επόμενη φορά λοιπόν που θα τρέξεις Πρόγραμμα επεξεργασίας MS-Wordο ιός ενεργοποιείται τη στιγμή που το WinWord φορτώνει καθολικές μακροεντολές, π.χ. αμέσως. Στη συνέχεια, ο ιός επαναπροσδιορίζει (ή περιέχει ήδη) μία ή περισσότερες τυπικές μακροεντολές (για παράδειγμα, FileOpen, FileSave, FileSaveAs, FilePrint) και έτσι παρεμποδίζει τις εντολές χειρισμού αρχείων. Όταν καλούνται αυτές οι εντολές, ο ιός μολύνει το αρχείο στο οποίο έχετε πρόσβαση. Για να γίνει αυτό, ο ιός μετατρέπει το αρχείο στη μορφή Template (πράγμα που καθιστά αδύνατη την περαιτέρω αλλαγή της μορφής αρχείου, δηλαδή τη μετατροπή σε οποιαδήποτε μορφή που δεν είναι πρότυπο) και εγγράφει τις μακροεντολές του στο αρχείο, συμπεριλαμβανομένης της αυτόματης μακροεντολής. Έτσι, εάν ένας ιός παρεμποδίσει τη μακροεντολή FileSaveAs, τότε κάθε αρχείο DOC που αποθηκεύεται μέσω της μακροεντολής που παρεμποδίζεται από τον ιό έχει μολυνθεί. Εάν η μακροεντολή FileOpen παρεμποδιστεί, ο ιός εγγράφεται στο αρχείο όταν διαβάζεται από το δίσκο.

Η δεύτερη μέθοδος εισαγωγής ενός ιού στο σύστημα χρησιμοποιείται πολύ λιγότερο συχνά - βασίζεται στα λεγόμενα αρχεία "Add-in", δηλ. αρχεία που είναι προσθήκες υπηρεσιών στο Word. Σε αυτήν την περίπτωση, το NORMAL.DOT δεν αλλάζει και το Word φορτώνει τις μακροεντολές ιών από το αρχείο (ή τα αρχεία) που προσδιορίζεται ως "Πρόσθετο" κατά την εκκίνηση. Αυτή η μέθοδος επαναλαμβάνει σχεδόν πλήρως τη μόλυνση των καθολικών μακροεντολών, με την εξαίρεση ότι οι μακροεντολές ιών αποθηκεύονται όχι στο NORMAL.DOT, αλλά σε κάποιο άλλο αρχείο. Είναι επίσης δυνατή η ένεση ενός ιού σε αρχεία που βρίσκονται στον κατάλογο ΕΚΚΙΝΗΣΗΣ - Το Word φορτώνει αυτόματα αρχεία προτύπων από αυτόν τον κατάλογο, αλλά τέτοιοι ιοί δεν έχουν ακόμη συναντηθεί. Οι παραπάνω μέθοδοι εισαγωγής στο σύστημα είναι κάποιες ανάλογες των μόνιμων ιών DOS. Ένα ανάλογο μη οικιστικότητας είναι οι ιοί μακροεντολών που δεν μεταφέρουν τον κώδικά τους στην περιοχή των μακροεντολών συστήματος - για να μολύνουν άλλα αρχεία εγγράφων, είτε τα αναζητούν χρησιμοποιώντας τις λειτουργίες αρχείων που είναι ενσωματωμένες στο Word είτε αναφέρονται στη λίστα με τα πρόσφατα επεξεργασμένα αρχεία (Λίστα αρχείων που χρησιμοποιήθηκαν πρόσφατα) . Στη συνέχεια, τέτοιοι ιοί ανοίγουν το έγγραφο, το μολύνουν και το κλείνουν.

Αλγόριθμος εργασίας μακροϊών Excel

Οι μέθοδοι διάδοσης των ιών του Excel είναι γενικά παρόμοιες με εκείνες των ιών του Word. Οι διαφορές είναι στις εντολές αντιγραφής μακροεντολών (για παράδειγμα, Sheets.Copy) και ελλείψει NORMAL.DOT - η λειτουργία του (με την ιογενή έννοια) εκτελείται από αρχεία στον κατάλογο ΕΚΚΙΝΗΣΗΣ του Excel. Πρέπει να σημειωθεί ότι υπάρχουν δύο πιθανές επιλογέςτοποθεσίες κώδικα ιών μακροεντολών σε πίνακες Excel. Η συντριπτική πλειοψηφία αυτών των ιών γράφουν τον κώδικά τους σε μορφή VBA (Visual Basic for Applications), αλλά υπάρχουν ιοί που αποθηκεύουν τον κώδικά τους στην παλιά μορφή του Excel 4.0. Τέτοιοι ιοί ουσιαστικά δεν διαφέρουν από τους ιούς VBA, εκτός από τις διαφορές στη μορφή της θέσης των κωδικών ιών στα υπολογιστικά φύλλα του Excel. Αν και οι νεότερες εκδόσεις του Excel (από την έκδοση 5) χρησιμοποιούν πιο προηγμένες τεχνολογίες, η δυνατότητα εκτέλεσης μακροεντολών από παλαιότερες εκδόσεις του Excel έχει διατηρηθεί για τη διατήρηση της συμβατότητας. Για το λόγο αυτό, όλες οι μακροεντολές που είναι γραμμένες σε μορφή Excel 4 είναι πλήρως λειτουργικές σε όλες τις επόμενες εκδόσεις, παρά το γεγονός ότι η Microsoft δεν συνιστά τη χρήση τους και δεν περιλαμβάνει την απαραίτητη τεκμηρίωση με το Excel.

Αλγόριθμος ιών για πρόσβαση

Εφόσον η Access είναι μέρος του πακέτου του Office Pro, οι ιοί για την Access είναι οι ίδιες μακροεντολές Οπτική γλώσσαΒασικό, όπως και άλλοι ιοί που μολύνουν εφαρμογές του Office. Ωστόσο, σε αυτήν την περίπτωση, αντί για αυτόματες μακροεντολές, το σύστημα έχει αυτόματα σενάρια που καλούνται από το σύστημα σε διάφορα συμβάντα (για παράδειγμα, Autoexec). Αυτά τα σενάρια μπορούν στη συνέχεια να καλέσουν διάφορα προγράμματα μακροεντολών. Έτσι, όταν μολύνει τις βάσεις δεδομένων της Access, ο ιός πρέπει να αντικαταστήσει κάποιο αυτόματο σενάριο και να αντιγράψει τις μακροεντολές του στη μολυσμένη βάση δεδομένων. Η μόλυνση σεναρίων χωρίς πρόσθετες μακροεντολές δεν είναι δυνατή, καθώς η γλώσσα δέσμης ενεργειών είναι αρκετά πρωτόγονη και δεν περιέχει τις απαραίτητες λειτουργίες για αυτό.

Θα πρέπει να σημειωθεί ότι όσον αφορά την Access, τα σενάρια ονομάζονται μακροεντολές (macro) και οι μακροεντολές ονομάζονται ενότητες (module), ωστόσο, στο μέλλον, θα χρησιμοποιείται ενοποιημένη ορολογία - σενάρια και μακροεντολές. Η επεξεργασία των βάσεων δεδομένων της Access είναι περισσότερο δύσκολη εργασίααπό την αφαίρεση άλλων ιών μακροεντολών, καθώς στην περίπτωση της Access, είναι απαραίτητο να εξουδετερωθούν όχι μόνο οι μακροεντολές ιών, αλλά και τα αυτόματα σενάρια. Και δεδομένου ότι ένα σημαντικό μέρος της εργασίας της Access ανατίθεται μόνο σε σενάρια και μακροεντολές, τότε η εσφαλμένη διαγραφή ή απενεργοποίηση οποιουδήποτε στοιχείου μπορεί να οδηγήσει στην αδυναμία λειτουργιών με τη βάση δεδομένων. Το ίδιο ισχύει και για τους ιούς - η εσφαλμένη αντικατάσταση των αυτόματων σεναρίων μπορεί να οδηγήσει σε απώλεια δεδομένων που είναι αποθηκευμένα στη βάση δεδομένων.

Ιοί AmiPro

Όταν εργάζεστε με ένα έγγραφο, ο επεξεργαστής AmiPro δημιουργεί δύο αρχεία - το ίδιο το κείμενο του εγγράφου (με την επέκταση ονόματος SAM) και πρόσθετο αρχείο, που περιέχει μακροεντολές εγγράφων και πιθανώς άλλες πληροφορίες (επέκταση ονόματος - SMM). Η μορφή και των δύο αρχείων είναι αρκετά απλή - είναι η συνηθισμένη αρχείο κειμένου, στο οποίο και οι εντολές με δυνατότητα επεξεργασίας και ελέγχου υπάρχουν ως κανονικές συμβολοσειρές κειμένου. Ένα έγγραφο μπορεί να συσχετιστεί με οποιαδήποτε μακροεντολή από ένα αρχείο SMM (εντολή AssignMacroToFile). Αυτή η μακροεντολή είναι ανάλογη με το AutoOpen και το AutoClose στο MS Word και καλείται από τον επεξεργαστή AmiPro όταν ανοίγει ή κλείνει ένα αρχείο. Προφανώς, το AmiPro δεν έχει τη δυνατότητα να τοποθετεί μακροεντολές στην "κοινή" περιοχή, επομένως οι ιοί για το AmiPro μπορούν να μολύνουν το σύστημα μόνο όταν ανοίγει ένα μολυσμένο αρχείο, αλλά όχι όταν το σύστημα εκκινεί, όπως συμβαίνει με το MS-Word μετά τη μόλυνση του Αρχείο NORMAL.DOT. Όπως το MS Word, το AmiPro σάς επιτρέπει να παρακάμπτετε τις μακροεντολές συστήματος (π.χ. SaveAs, Save) με την εντολή ChangeMenuAction. Όταν καλείτε παρακαμφθείσες συναρτήσεις (εντολές μενού), οι μολυσμένες μακροεντολές αναλαμβάνουν τον έλεγχο, π.χ. κωδικός ιού.

Stealth ιοί

Οι εκπρόσωποι αυτής της τάξης χρησιμοποιούν διάφορα μέσα για να κρύψουν την παρουσία τους στο σύστημα. Αυτό συνήθως επιτυγχάνεται με την υποκλοπή ορισμένων λειτουργιών του συστήματος που είναι υπεύθυνες για την εργασία με αρχεία. Οι τεχνολογίες «Stealth» καθιστούν αδύνατο τον εντοπισμό ενός ιού χωρίς ειδικά εργαλεία. Ο ιός καλύπτει τόσο την αύξηση του μήκους του προσβεβλημένου αντικειμένου (αρχείου) όσο και το σώμα του σε αυτό, «αντικαθιστώντας» τον εαυτό του το «υγιεινό» μέρος του αρχείου.

Κατά τη σάρωση υπολογιστή προγράμματα προστασίας από ιούςανάγνωση δεδομένων - αρχείων και περιοχών συστήματος - από σκληροι ΔΙΣΚΟΙκαι δισκέτες, χρησιμοποιώντας τα μέσα λειτουργικό σύστημακαι BIOS. Stealth - οι ιοί ή οι αόρατοι ιοί, μετά την εκκίνηση, αφήνουν ειδικές μονάδες στη μνήμη RAM του υπολογιστή που παρεμποδίζουν την πρόσβαση των προγραμμάτων στο υποσύστημα του δίσκου του υπολογιστή. Εάν μια τέτοια ενότητα εντοπίσει ότι ένα πρόγραμμα χρήστη προσπαθεί να διαβάσει ένα μολυσμένο αρχείο ή περιοχή συστήματος ενός δίσκου, αντικαθιστά τα δεδομένα ανάγνωσης εν κινήσει και έτσι παραμένει απαρατήρητη, εξαπατώντας τα προγράμματα προστασίας από ιούς.

Επίσης, οι ιοί stealth μπορούν να κρύβονται με τη μορφή ροών στο σύστημα και σε άλλες διεργασίες, γεγονός που καθιστά επίσης πολύ πιο δύσκολη την ανίχνευσή τους. Τέτοιοι μυστικοί ιοί δεν μπορούν να φανούν καν στη λίστα με όλους τους τρέχοντες ιούς αυτή τη στιγμή, στο σύστημα διαδικασίας.

Υπάρχει ένας εύκολος τρόπος για να απενεργοποιήσετε τον μηχανισμό κάλυψης ιού stealth. Αρκεί να εκκινήσετε τον υπολογιστή από μια μη μολυσμένη δισκέτα συστήματος και να σαρώσετε τον υπολογιστή με ένα πρόγραμμα προστασίας από ιούς χωρίς να εκτελούνται προγράμματα από το δίσκο του υπολογιστή (μπορεί να αποδειχθεί ότι έχουν μολυνθεί). Σε αυτήν την περίπτωση, ο ιός δεν θα μπορέσει να αποκτήσει έλεγχο και να εγκαταστήσει μια μονάδα μόνιμης μνήμης στη μνήμη RAM που εφαρμόζει έναν stealth αλγόριθμο, το antivirus θα διαβάσει τις πληροφορίες που είναι πραγματικά γραμμένες στο δίσκο και θα εντοπίσει εύκολα τον "βάκιλο".

Τα περισσότερα προγράμματα προστασίας από ιούς εξουδετερώνουν τις προσπάθειες των κρυφών ιών να περάσουν απαρατήρητοι, αλλά για να μην τους αφήσουμε ούτε μια ευκαιρία, πριν ελέγξετε τον υπολογιστή με ένα πρόγραμμα προστασίας από ιούς, ο υπολογιστής θα πρέπει να φορτωθεί από μια δισκέτα, στην οποία -Πρέπει να γράφονται και προγράμματα για ιούς. Πολλά προγράμματα προστασίας από ιούς είναι τόσο επιτυχημένα στο να αντιστέκονται σε κρυφούς ιούς που τους εντοπίζουν όταν προσπαθούν να μεταμφιεστούν. Τέτοια προγράμματα διαβάζουν τα προς έλεγχο αρχεία προγράμματος από το δίσκο χρησιμοποιώντας πολλά διάφορες μεθόδους- για παράδειγμα, χρησιμοποιώντας το λειτουργικό σύστημα και μέσω του BIOS: εάν εντοπιστούν αναντιστοιχίες, τότε συμπεραίνεται ότι πιθανότατα υπάρχει ιός μυστικότητας στη μνήμη RAM.

Πολυμορφικοί ιοί

Οι πολυμορφικοί ιοί περιλαμβάνουν εκείνους των οποίων η ανίχνευση είναι αδύνατη (ή εξαιρετικά δύσκολη) χρησιμοποιώντας τις λεγόμενες υπογραφές ιών - τμήματα ενός μόνιμου κώδικα που είναι συγκεκριμένος για έναν συγκεκριμένο ιό. Αυτό επιτυγχάνεται με δύο βασικούς τρόπους - κρυπτογραφώντας τον κύριο κώδικα ιού με ένα μη μόνιμο κλειδί και ένα τυχαίο σύνολο εντολών αποκρυπτογράφησης ή αλλάζοντας τον ίδιο τον εκτελέσιμο κώδικα ιού. Υπάρχουν επίσης άλλα μάλλον εξωτικά παραδείγματα πολυμορφισμού - ο ιός DOS "Bomber", για παράδειγμα, δεν είναι κρυπτογραφημένος, αλλά η ακολουθία εντολών που μεταφέρει τον έλεγχο στον κώδικα του ιού είναι εντελώς πολυμορφική.

Πολυμορφισμός διαφόρων βαθμών πολυπλοκότητας εντοπίζεται σε ιούς όλων των τύπων - από ιούς DOS εκκίνησης και αρχείων έως ιούς Windows και ακόμη και ιούς μακροεντολών.

Οι περισσότερες ερωτήσεις σχετίζονται με τον όρο «πολυμορφικός ιός». Αυτός ο τύπος ιών υπολογιστών είναι μακράν ο πιο επικίνδυνος.

Οι πολυμορφικοί ιοί είναι ιοί που τροποποιούν τον κώδικά τους σε μολυσμένα προγράμματα με τέτοιο τρόπο ώστε δύο περιπτώσεις του ίδιου ιού να μην ταιριάζουν σε ένα bit.

Τέτοιοι ιοί όχι μόνο κρυπτογραφούν τον κώδικά τους χρησιμοποιώντας διαφορετικές διαδρομές κρυπτογράφησης, αλλά περιέχουν επίσης τον κωδικό δημιουργίας του κρυπτογραφητή και του αποκρυπτογραφητή, που τους διακρίνει από τους συνηθισμένους ιούς κρυπτογράφησης, οι οποίοι μπορούν επίσης να κρυπτογραφήσουν τμήματα του κώδικά τους, αλλά ταυτόχρονα έχουν σταθερό κωδικό του κρυπτογραφητή και του αποκρυπτογραφητή.

Οι πολυμορφικοί ιοί είναι ιοί με αυτοτροποποιούμενους αποκωδικοποιητές. Ο σκοπός αυτής της κρυπτογράφησης είναι ότι εάν έχετε ένα μολυσμένο και πρωτότυπο αρχείο, δεν θα μπορείτε να αναλύσετε τον κώδικά του χρησιμοποιώντας συμβατική αποσυναρμολόγηση. Αυτός ο κώδικας είναι κρυπτογραφημένος και είναι ένα σύνολο εντολών χωρίς νόημα. Η αποκρυπτογράφηση εκτελείται από τον ίδιο τον ιό κατά το χρόνο εκτέλεσης. Ταυτόχρονα, είναι δυνατές επιλογές: μπορεί να αποκρυπτογραφήσει τον εαυτό του ταυτόχρονα ή μπορεί να εκτελέσει μια τέτοια αποκρυπτογράφηση "εν κινήσει", μπορεί και πάλι να κρυπτογραφήσει ήδη επεξεργασμένα τμήματα. Όλα αυτά γίνονται για να είναι δύσκολη η ανάλυση του κώδικα του ιού.

Πολυμορφικοί αποκρυπτογραφητές

Οι πολυμορφικοί ιοί χρησιμοποιούν πολύπλοκους αλγόριθμους για να δημιουργήσουν τον κώδικα των αποκρυπτογραφητριών τους: οι οδηγίες (ή τα ισοδύναμά τους) ανταλλάσσονται από μόλυνση σε μόλυνση, αραιώνονται με εντολές που δεν αλλάζουν τίποτα όπως NOP, STI, CLI, STC, CLC, DEC unused register, XCHG αχρησιμοποίητα μητρώα κ.λπ. δ.

Οι πλήρεις πολυμορφικοί ιοί χρησιμοποιούν ακόμη πιο πολύπλοκους αλγόριθμους, με αποτέλεσμα ο αποκρυπτογραφητής ιών να συναντήσει τις λειτουργίες SUB, ADD, XOR, ROR, ROL και άλλες σε αυθαίρετο αριθμό και σειρά. Η φόρτωση και η αλλαγή κλειδιών και άλλων παραμέτρων κρυπτογράφησης εκτελείται επίσης από ένα αυθαίρετο σύνολο λειτουργιών, στο οποίο μπορούν να βρεθούν σχεδόν όλες οι οδηγίες. Επεξεργαστής Intel(ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP...) με όλες τις δυνατές λειτουργίες διευθυνσιοδότησης. Εμφανίζονται επίσης πολυμορφικοί ιοί, ο αποκρυπτογραφητής των οποίων χρησιμοποιεί οδηγίες μέχρι το Intel386 και το καλοκαίρι του 1997 ανακαλύφθηκε ένας πολυμορφικός ιός 32 bit που μολύνει τα αρχεία EXE των Windows95. Τώρα υπάρχουν ήδη πολυμορφικοί ιοί που μπορούν επίσης να χρησιμοποιήσουν διάφορες εντολές των σύγχρονων επεξεργαστών.

Ως αποτέλεσμα, στην αρχή ενός αρχείου που έχει μολυνθεί με έναν τέτοιο ιό, υπάρχει ένα σύνολο φαινομενικά ανούσιων οδηγιών και ορισμένοι συνδυασμοί που είναι αρκετά αποτελεσματικοί δεν λαμβάνονται από ιδιόκτητους αποσυναρμολογητές (για παράδειγμα, ο συνδυασμός CS:CS: ή CS :ΝΟΠ). Και ανάμεσα σε αυτόν τον «χυλό» εντολών και δεδομένων, περιστασιακά περνούν τα MOV, XOR, LOOP, JMP - οδηγίες που πραγματικά «δουλεύουν».

Επίπεδα πολυμορφισμού

Υπάρχει μια διαίρεση των πολυμορφικών ιών σε επίπεδα ανάλογα με την πολυπλοκότητα του κώδικα που βρίσκεται στους αποκωδικοποιητές αυτών των ιών. Αυτή η διαίρεση προτάθηκε για πρώτη φορά από τον Δρ. Ο Άλαν Σόλομον, μετά από λίγο καιρό ο Βέσελιν Μπόντσεφ το επέκτεινε.

Επίπεδο 1: ιοί που έχουν ένα συγκεκριμένο σύνολο αποκρυπτογραφητών με μόνιμο κωδικό και επιλέγουν έναν από αυτούς όταν μολυνθούν. Τέτοιοι ιοί είναι «ημι-πολυμορφικοί» και ονομάζονται και «ολιγόμορφοι» (ολιγόμορφοι). Παραδείγματα: "Cheeba", "Slovakia", "Whale".
Επίπεδο 2: Ο αποκωδικοποιητής ιών περιέχει μία ή περισσότερες μόνιμες οδηγίες, αλλά το κύριο μέρος του δεν είναι μόνιμο.
Επίπεδο 3: Ο αποκρυπτογραφητής περιέχει αχρησιμοποίητες οδηγίες - "σκουπίδια" όπως NOP, CLI, STI κ.λπ.
Επίπεδο 4: Ο αποκρυπτογραφητής χρησιμοποιεί εναλλάξιμες οδηγίες και εντολές αναδιάταξης (ανακάτεμα). Ο αλγόριθμος αποκρυπτογράφησης δεν αλλάζει.
Επίπεδο 5: χρησιμοποιούνται όλα τα παραπάνω κόλπα, ο αλγόριθμος αποκρυπτογράφησης είναι ασταθής, είναι δυνατή η εκ νέου κρυπτογράφηση του κώδικα του ιού και ακόμη και μερική κρυπτογράφηση του ίδιου του κωδικού αποκρυπτογράφησης.
Επίπεδο 6: μεταβαλλόμενοι ιοί. Ο κύριος κωδικός του ιού υπόκειται σε αλλαγές - χωρίζεται σε μπλοκ, τα οποία αναδιατάσσονται με αυθαίρετη σειρά κατά τη διάρκεια της μόλυνσης. Ο ιός παραμένει ενεργός. Τέτοιοι ιοί μπορεί να είναι μη κρυπτογραφημένοι.

Η παραπάνω διαίρεση δεν είναι απαλλαγμένη από ελλείψεις, καθώς γίνεται σύμφωνα με ένα μόνο κριτήριο - την ικανότητα ανίχνευσης ενός ιού από τον κωδικό αποκρυπτογράφησης χρησιμοποιώντας την τυπική τεχνική μάσκας ιών:

Επίπεδο 1: για τον εντοπισμό ενός ιού, αρκεί να έχετε αρκετές μάσκες

Επίπεδο 2: ανίχνευση μάσκας με χρήση "μπαλαντέρ"

Επίπεδο 3: Ανίχνευση μάσκας μετά την αφαίρεση των οδηγιών σκουπιδιών

Επίπεδο 4: Η μάσκα περιέχει πολλές πιθανές επιλογές κώδικα, π.χ. γίνεται αλγοριθμικός
Επίπεδο 5: αδυναμία εντοπισμού του ιού με μάσκα

Η ανεπάρκεια μιας τέτοιας διαίρεσης αποδείχθηκε στον ιό του 3ου επιπέδου πολυμορφισμού, που ονομάζεται «Επίπεδο 3». Ο ιός αυτός, όντας ένας από τους πιο σύνθετους πολυμορφικούς ιούς, εμπίπτει στο Επίπεδο 3 σύμφωνα με την παραπάνω διαίρεση, αφού έχει έναν σταθερό αλγόριθμο αποκρυπτογράφησης, του οποίου προηγείται μεγάλος αριθμός εντολών «σκουπιδιών». Ωστόσο, σε αυτόν τον ιό, ο αλγόριθμος δημιουργίας "σκουπιδιών" έχει τελειοποιηθεί: σχεδόν όλες οι οδηγίες του επεξεργαστή i8086 βρίσκονται στον κωδικό αποκρυπτογράφησης.

Εάν κάνουμε μια διαίρεση σε επίπεδα όσον αφορά τα antivirus που χρησιμοποιούν αυτόματα συστήματα αποκρυπτογράφησης κωδικών ιών (εξομοιωτές), τότε η διαίρεση σε επίπεδα θα εξαρτηθεί από την πολυπλοκότητα της μίμησης του κώδικα ιών. Είναι επίσης δυνατός ο εντοπισμός ενός ιού με άλλες μεθόδους, για παράδειγμα, αποκρυπτογράφηση χρησιμοποιώντας στοιχειώδεις μαθηματικούς νόμους κ.λπ.

Επομένως, μου φαίνεται πιο αντικειμενικός διαχωρισμός, στον οποίο, εκτός από το κριτήριο των μασκών ιών, συμμετέχουν και άλλες παράμετροι:

Ο βαθμός πολυπλοκότητας του πολυμορφικού κώδικα (το ποσοστό όλων των εντολών του επεξεργαστή που μπορούν να βρεθούν στον κωδικό αποκρυπτογράφησης)
Χρησιμοποιώντας κόλπα κατά του εξομοιωτή
Εμμονή του αλγόριθμου αποκρυπτογράφησης
Σταθερότητα μήκους αποκωδικοποιητή

Αλλαγή του εκτελέσιμου κώδικα

Τις περισσότερες φορές, μια τέτοια μέθοδος πολυμορφισμού χρησιμοποιείται από ιούς μακροεντολών που, όταν δημιουργούν νέα αντίγραφα του εαυτού τους, αλλάζουν τυχαία τα ονόματα των μεταβλητών τους, εισάγουν κενές γραμμές ή αλλάζουν τον κώδικά τους με κάποιον άλλο τρόπο. Έτσι, ο αλγόριθμος του ιού παραμένει αμετάβλητος, αλλά ο κώδικας του ιού αλλάζει σχεδόν εντελώς από μόλυνση σε μόλυνση.

Λιγότερο συχνά, αυτή η μέθοδος χρησιμοποιείται από πολύπλοκους ιούς εκκίνησης. Αυτοί οι ιοί εισάγονται σε τομείς εκκίνησηςμόνο μια αρκετά σύντομη διαδικασία που διαβάζει τον κύριο κώδικα του ιού από το δίσκο και μεταφέρει τον έλεγχο σε αυτόν. Ο κωδικός για αυτήν τη διαδικασία επιλέγεται από πολλές διαφορετικές επιλογές (οι οποίες μπορούν επίσης να αραιωθούν με εντολές "κενές"), οι εντολές αναδιατάσσονται μεταξύ τους και ούτω καθεξής.

Αυτή η τεχνική είναι ακόμη πιο σπάνια για ιούς αρχείων, επειδή πρέπει να αλλάξουν εντελώς τον κώδικά τους και αυτό απαιτεί μάλλον πολύπλοκους αλγόριθμους. Μέχρι σήμερα, μόνο δύο τέτοιοι ιοί είναι γνωστοί, ένας από τους οποίους ("Ply") μετακινεί τυχαία τις εντολές του γύρω από το σώμα του και τις αντικαθιστά με εντολές JMP ή CALL. Ένας άλλος ιός ("TMC") χρησιμοποιεί περισσότερα δύσκολος τρόπος- κάθε φορά που μολύνει, ο ιός ανταλλάσσει μπλοκ του κώδικα και των δεδομένων του, εισάγει "σκουπίδια", ορίζει νέες τιμές μετατόπισης για δεδομένα στις οδηγίες του assembler του, αλλάζει σταθερές κ.λπ. Ως αποτέλεσμα, αν και ο ιός δεν κρυπτογραφεί τον κώδικά του, είναι ένας πολυμορφικός ιός - ο κώδικας δεν περιέχει ένα μόνιμο σύνολο εντολών. Επιπλέον, όταν δημιουργεί νέα αντίγραφα του εαυτού του, ο ιός αλλάζει το μήκος του.

Ιοί ανά τύπο καταστροφικών ενεργειών

Ανάλογα με τον τύπο των καταστροφικών ενεργειών, οι ιοί μπορούν να χωριστούν σε τρεις ομάδες:

Ιοί πληροφοριών (ιοί πρώτης γενιάς)

Οι λεγόμενοι ιοί πρώτης γενιάς είναι όλοι οι υπάρχοντες ιοί των οποίων οι ενέργειες αποσκοπούν στην καταστροφή, την τροποποίηση ή την κλοπή πληροφοριών.

Ιοί υλικού (ιοί δεύτερης γενιάς)

Αυτός ο τύπος ιού μπορεί να καταστρέψει το υλικό του υπολογιστή. Για παράδειγμα, διαγράψτε το BIOS ή καταστρέψτε το, σπάστε τη λογική δομή του σκληρού δίσκου με τέτοιο τρόπο ώστε να είναι δυνατή η επαναφορά του μόνο με μορφοποίηση χαμηλού επιπέδου (και ακόμη και τότε όχι πάντα). Ο μόνος εκπρόσωπος αυτού του τύπου είναι ο πιο επικίνδυνος από όλους όσους υπήρξαν ποτέ, ο ιός Win95.CIH "Chernobl". Κάποτε, αυτός ο ιός απενεργοποίησε εκατομμύρια υπολογιστές. Έσβησε το πρόγραμμα από το BIOS, απενεργοποιώντας έτσι τον υπολογιστή και το ίδιο κατέστρεψε όλες τις πληροφορίες από σκληρός δίσκοςώστε ήταν σχεδόν αδύνατο να το αποκαταστήσει.

Επί του παρόντος, δεν έχουν βρεθεί "άγριοι" ιοί υλικού. Όμως οι ειδικοί προβλέπουν ήδη την εμφάνιση νέων ιών αυτού του είδους που μπορούν να μολύνουν το BIOS. Σχεδιάζεται να γίνει προστασία από τέτοιους ιούς σε κάθε ένα μητρική πλακέταειδικά jumper που θα εμποδίσουν την εγγραφή στο BIOS.

Ψυχοτροπικοί ιοί (ιοί τρίτης γενιάς)

Αυτοί οι ιοί μπορούν να σκοτώσουν ένα άτομο επηρεάζοντάς τον μέσω της οθόνης ή των ηχείων του υπολογιστή. Αναπαράγοντας ορισμένους ήχους, μια δεδομένη συχνότητα ή ένα συγκεκριμένο τρεμόπαιγμα διαφόρων χρωμάτων στην οθόνη, οι ψυχότροποι ιοί μπορούν να προκαλέσουν επιληπτική κρίση (σε άτομα επιρρεπή σε αυτό) ή καρδιακή ανακοπή, εγκεφαλική αιμορραγία.

Ευτυχώς, η πραγματική ύπαρξη τέτοιων ιών δεν είναι γνωστή μέχρι σήμερα. Πολλοί ειδικοί αμφισβητούν τη γενική ύπαρξη αυτού του τύπου ιού. Ένα όμως είναι σίγουρο. Οι ψυχοτρόπες τεχνολογίες έχουν από καιρό επινοηθεί για να επηρεάζουν ένα άτομο μέσω του ήχου ή της εικόνας (δεν πρέπει να συγχέεται με το πλαίσιο 25). Είναι πολύ εύκολο να προκληθεί επιληπτική κρίση σε ένα άτομο επιρρεπές σε αυτό. Πριν από μερικά χρόνια, υπήρξε θόρυβος σε ορισμένα μέσα ενημέρωσης σχετικά με την εμφάνιση ενός νέου ιού που ονομάζεται "666". Αυτός ο ιός, μετά από κάθε 24 καρέ, εμφανίζει έναν ειδικό συνδυασμό χρωμάτων στην οθόνη που μπορεί να αλλάξει τη ζωή του θεατή. Ως αποτέλεσμα, ένα άτομο περνά σε μια υπνωτική έκσταση, ο εγκέφαλος χάνει τον έλεγχο της εργασίας του σώματος, κάτι που μπορεί να οδηγήσει σε μια επώδυνη κατάσταση, μια αλλαγή στον τρόπο λειτουργίας της καρδιάς, πίεση αίματοςκαι ούτω καθεξής. Αλλά οι χρωματικοί συνδυασμοί σήμερα δεν απαγορεύονται από το νόμο. Ως εκ τούτου, μπορούν να εμφανιστούν στην οθόνη αρκετά νόμιμα, αν και τα αποτελέσματα της επίδρασής τους μπορεί να είναι καταστροφικά για όλους μας.

Παράδειγμα τέτοιου αντίκτυπου είναι το καρτούν «Pokemon», μετά την προβολή μιας από τις σειρές στην Ιαπωνία, εκατοντάδες παιδιά κατέληξαν σε νοσοκομεία με τρομερό πονοκέφαλο, εγκεφαλική αιμορραγία. Μερικοί από αυτούς έχουν πεθάνει. Υπήρχαν καρέ στο κινούμενο σχέδιο με μια φωτεινή γενιά μιας συγκεκριμένης παλέτας χρωμάτων, κατά κανόνα, αυτά είναι κόκκινες λάμψεις σε μαύρο φόντο σε μια συγκεκριμένη σειρά. Μετά από αυτό το περιστατικό, αυτό το καρτούν απαγορεύτηκε να προβληθεί στην Ιαπωνία.

Ένα ακόμη παράδειγμα μπορεί να δοθεί. Όλοι μάλλον θυμούνται τι συνέβη στη Μόσχα μετά τη μετάδοση του αγώνα της ποδοσφαιρικής μας ομάδας με την ιαπωνική ομάδα (αν δεν κάνω λάθος). Αλλά επάνω μεγάλη οθόνηυπήρχε μόνο ένα βίντεο που δείχνει πώς ένας άνδρας με ένα ρόπαλο συνθλίβει ένα αυτοκίνητο. Αυτό είναι επίσης ένα ψυχοτρόπο αποτέλεσμα, βλέποντας το βίντεο «οι άνθρωποι» άρχισαν να καταστρέφουν τα πάντα και τους πάντες στο πέρασμά τους.

Τα υλικά και τα δεδομένα ελήφθησαν από τους πόρους:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

  • Για να υποβάλετε σχόλια, παρακαλούμε συνδεθείτε ή εγγραφείτε

Οι ιοί μακροεντολών είναι δυνητικά ανεπιθύμητα βοηθητικά προγράμματα γραμμένα σε μικρογλώσσες που είναι ενσωματωμένα σε συστήματα γραφικών και επεξεργασίας κειμένου. Ποια αρχεία μολύνουν ιούς μακροεντολών; Η απάντηση είναι προφανής. Οι πιο συνηθισμένες εκδόσεις για προγράμματα της Microsoft Excel, Word και Office 97. Αυτοί οι ιοί είναι αρκετά συνηθισμένοι ώστε να δημιουργούνται τόσο εύκολα όσο το ξεφλούδισμα των αχλαδιών. Αυτός είναι ο λόγος για τον οποίο κατά τη λήψη εγγράφων από το Διαδίκτυο, θα πρέπει να είστε εξαιρετικά προσεκτικοί και ακριβείς. Οι περισσότεροι χρήστες τους υποτιμούν, κάνοντας έτσι ένα χονδροειδές λάθος.

Πώς μολύνεται ένας υπολογιστής;

Αφού αποφασίσουμε τι είναι οι ιοί macro, ας δούμε πώς διεισδύουν στο σύστημα και μολύνουν τον υπολογιστή. Ένας απλός τρόπος αναπαραγωγής τους σάς επιτρέπει να χτυπάτε στο συντομότερο δυνατό χρόνο μέγιστο ποσόαντικείμενα. Λόγω των δυνατοτήτων των μακρογλωσσών, όταν κλείνουν ή ανοίγουν ένα μολυσμένο έγγραφο, διεισδύουν στα προγράμματα που καλούνται.

Δηλαδή, όταν χρησιμοποιείτε ένα πρόγραμμα επεξεργασίας γραφικών, οι ιοί μακροεντολών μολύνουν οτιδήποτε συνδέεται με αυτό. Επιπλέον, ορισμένα είναι ενεργά όλη την ώρα ενώ εκτελείται ένα πρόγραμμα επεξεργασίας κειμένου ή γραφικών ή ακόμα και μέχρι να απενεργοποιηθεί τελείως ο υπολογιστής.

Ποια είναι η αρχή της δουλειάς τους

Η δράση τους πραγματοποιείται σύμφωνα με την ακόλουθη αρχή: όταν εργάζεστε με έγγραφα, το Microsoft Word εκτελεί διάφορες εντολές που δίνονται στη γλώσσα μακροεντολών. Πρώτα απ 'όλα, το πρόγραμμα διεισδύει στο κύριο πρότυπο, μέσω του οποίου ανοίγουν όλα τα αρχεία αυτής της μορφής. Σε αυτήν την περίπτωση, ο ιός αντιγράφει τον κώδικά του σε μακροεντολές που παρέχουν πρόσβαση στις κύριες παραμέτρους. Κατά την έξοδο από το πρόγραμμα, το αρχείο αποθηκεύεται αυτόματα σε τελεία (χρησιμοποιείται για τη δημιουργία νέων εγγράφων). Μετά από αυτό, μπαίνει σε τυπικές μακροεντολές, προσπαθώντας να υποκλέψει εντολές που αποστέλλονται σε άλλα αρχεία, μολύνοντάς τα επίσης.

Η μόλυνση εμφανίζεται στις ακόλουθες περιπτώσεις:

  1. Εάν υπάρχει αυτόματη μακροεντολή στον ιό (εκτελείται αυτόματα όταν απενεργοποιηθεί ή ξεκινήσει το πρόγραμμα).
  2. Ο ιός έχει την κύρια μακροεντολή συστήματος (συχνά σχετίζεται με στοιχεία μενού).
  3. Ενεργοποιείται αυτόματα όταν πατάτε συγκεκριμένα πλήκτρα ή συνδυασμούς.
  4. Αναπαράγεται μόνο όταν εκκινηθεί.

Τέτοιοι ιοί συνήθως μολύνουν όλα τα αρχεία που δημιουργούνται και συνδέονται με προγράμματα μακρο-γλωσσών.

Τι κακό κάνουν;

Μην υποτιμάτε τους ιούς μακροεντολών, καθώς είναι πλήρεις ιοί και προκαλούν σημαντική ζημιά στους υπολογιστές. Μπορούν εύκολα να διαγράψουν, να αντιγράψουν ή να επεξεργαστούν αντικείμενα που περιέχουν, συμπεριλαμβανομένων, προσωπικών πληροφοριών. Επιπλέον, μπορούν επίσης να μεταφέρουν πληροφορίες σε άλλα άτομα που χρησιμοποιούν ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ.

Τα ισχυρότερα βοηθητικά προγράμματα μπορούν γενικά να διαμορφώσουν τους σκληρούς δίσκους και να ελέγχουν τη λειτουργία ολόκληρου του υπολογιστή. Γι' αυτό και η άποψη ότι αυτού του είδους ιούς υπολογιστώνεγκυμονούν κίνδυνο αποκλειστικά για επεξεργαστές γραφικών και κειμένων, εσφαλμένα. Εξάλλου, βοηθητικά προγράμματα όπως το Word και το Excel λειτουργούν σε συνδυασμό με μια σειρά από άλλα, τα οποία σε αυτήν την περίπτωση κινδυνεύουν επίσης.

Αναγνώριση μολυσμένου αρχείου

Συχνά, τα αρχεία που έχουν μολυνθεί από ιούς μακροεντολών και υποκύπτουν στην επιρροή τους δεν είναι καθόλου δύσκολο να αναγνωριστούν. Εξάλλου, λειτουργούν αρκετά διαφορετικά από άλλα βοηθητικά προγράμματα της ίδιας μορφής.

Ο κίνδυνος μπορεί να αναγνωριστεί από τα ακόλουθα χαρακτηριστικά:

Επιπλέον, η απειλή συχνά εντοπίζεται εύκολα οπτικά. Οι προγραμματιστές τους συνήθως υποδεικνύουν στην καρτέλα "Σύνοψη" πληροφορίες όπως το όνομα του βοηθητικού προγράμματος, η κατηγορία, το θέμα, τα σχόλια και το όνομα του συγγραφέα, γεγονός που καθιστά πολύ πιο γρήγορη και ευκολότερη την απαλλαγή από έναν ιό μακροεντολής. Μπορείτε να το καλέσετε χρησιμοποιώντας το μενού περιβάλλοντος.

Μέθοδοι αφαίρεσης

Έχοντας βρει ένα ύποπτο αρχείο ή έγγραφο, το πρώτο πράγμα που πρέπει να κάνετε είναι να το σαρώσετε με ένα πρόγραμμα προστασίας από ιούς. Όταν εντοπιστεί μια απειλή, τα προγράμματα προστασίας από ιούς θα προσπαθήσουν να τη θεραπεύσουν και εάν αποτύχει, θα αποκλείσουν εντελώς την πρόσβαση σε αυτήν.

Εάν ολόκληρος ο υπολογιστής έχει μολυνθεί, θα πρέπει να χρησιμοποιήσετε την κατάσταση έκτακτης ανάγκης δίσκος εκκίνησης, το οποίο περιέχει το antivirus με την πιο πρόσφατη βάση δεδομένων. Θα σαρώσει τον σκληρό δίσκο και θα εξουδετερώσει όλες τις απειλές που θα βρει.

Εάν δεν μπορείτε να προστατευθείτε με αυτόν τον τρόπο, το antivirus σας δεν μπορεί να κάνει τίποτα και δεν υπάρχει δίσκος διάσωσης, τότε θα πρέπει να δοκιμάσετε τη μέθοδο "χειροκίνητης" θεραπείας:


Έτσι, θα αφαιρέσετε τον ιό της μακροεντολής από το μολυσμένο έγγραφο, αλλά αυτό σε καμία περίπτωση δεν σημαίνει ότι δεν έχει παραμείνει στο σύστημα. Γι' αυτό συνιστάται η σάρωση ολόκληρου Προσωπικός υπολογιστήςκαι όλα τα δεδομένα του από antivirus ή (το πλεονέκτημά τους είναι ότι δεν απαιτούν εγκατάσταση).

Η διαδικασία θεραπείας και καθαρισμού ενός υπολογιστή από μόλυνση από ιούς μακροεντολών είναι αρκετά περίπλοκη, επομένως είναι καλύτερο να αποτρέψετε τη μόλυνση στα αρχικά στάδια.


Με αυτόν τον τρόπο, θα προστατεύσετε τον εαυτό σας και οι ιοί macro δεν θα διεισδύσουν ποτέ στα αντίστοιχα αρχεία.