obligarea unui program pe o macro-limbă la un anumit fișier;
copierea programelor macro de la un fișier la altul;
obțineți controlul programului macro fără intervenția utilizatorului (macrocomenzi automate sau standard).
programele macro sunt legate de un anumit fișier (AmiPro) sau sunt localizate în interiorul fișierului (MS Word / Excel / Office 97);
Limba macro vă permite să copiați fișierele (AmiPro) sau să mutați macro-urile în fișiere de sistem și fișiere editabile (MSWord / Excel / Office);
Când se lucrează cu un fișier în anumite condiții (deschidere, închidere etc.) sunt numite macroprograme (dacă există), care sunt definite într-un mod special (AmiPro) sau au nume standard (MS Word / Excel / Office).
Această caracteristică din urmă este concepută pentru procesarea automată a datelor în organizații mari sau în rețele globale și vă permite să organizați așa-numitul "flux de lucru automatizat". Pe de altă parte, capacitățile de limba macro a unor astfel de sisteme permit virusului să își transfere codul în alte fișiere și astfel să le infecteze.
MS Word / Excel / Office - viruși: informații generale
Locația fizică a virusului într-un fișier depinde de dimensiunea sa, care, în cazul produselor Microsoft este extrem de complex: fiecare document Word fișier, Office sau Excel tabel este o secvență de blocuri de date (din care fiecare are de asemenea propriul format), conectate între ele prin intermediul unui număr mare de date de serviciu. Acest format este numit OLE2 (Legarea și încorporarea obiectelor). Structura Word, Excel și Office (OLE2) seamănă cu un complicat sistem de fișiere pe disc DOS „rădăcină“ fișier document sau tabel indică principalele subdirectoarele diverse blocuri de date, unele „tabelele FAT“ conține informații privind localizarea blocurilor de date într-un document, și așa mai departe. d.
Mai mult decât atât, Biroul de sistem Binder care acceptă standardele Word și Excel, vă permite să creați fișiere în același timp, care conțin unul sau mai multe documente în format Word și unul sau mai multe tabele în Excel și Word-viruși pot lovind astfel Word-document și Excel virușii sunt foi de calcul Excel și toate acestea sunt posibile într-un singur fișier de disc. Același lucru este valabil și pentru Office 97.
Trebuie remarcat faptul că versiunile MS Word 6 și 7 vă permit să criptați macrocomenzile prezente în document. Astfel, unii Word-viruși sunt prezenți în documentele infectate într-un formular criptat (Execute only).
Majoritatea virusurilor cunoscute pentru Word sunt incompatibile cu versiunile naționale (inclusiv ruse) ale Word sau, dimpotrivă, sunt calculate numai pentru versiunile localizate ale Word și nu funcționează sub versiunea în limba engleză. Cu toate acestea, virusul din document rămâne activ și poate infecta alte computere cu versiunea corespunzătoare a Word instalată pe ele.
Interesant, formatul de documente Word, foi de calcul Excel, și în special Oficiul are următoarele caracteristici: în fișierele-documente și tabele sunt prezentate „extra“ blocuri de date, de exemplu, date care nu sunt legate de text editabil sau tabele, sau o coincidență că există o copie a celuilalt .. fișier de date. Cauza acestor blocuri de date este organizarea cluster a datelor în documentele și tabelele OLE2. Chiar dacă este introdus un singur caracter al textului, unul sau chiar mai multe clustere de date îi sunt alocate. Când salvați documente și tabele în grupuri care nu sunt completate cu date "utile", există un "gunoi" care intră în fișier împreună cu alte date. Numărul de fișiere „gunoi“ poate fi redus prin anularea articolului Setări Word / Excel «Permite rapidă Salvare», dar reduce numai cantitatea totală de „gunoi“, dar nu-l elimina complet.
De asemenea, trebuie remarcat faptul explorează faptul că unele versiuni OLE2.DLL conțin un defect mic, care a avut ca rezultat atunci când se lucrează cu documente Word, Excel și Office în special în blocuri de „gunoi“ pot obține date aleatoare de pe disc, inclusiv confidențiale (fișiere șterse, directoare, etc. . d.).
MS Word / Excel / Office-viruses: principii de lucru
Atunci când se lucrează cu versiunile de documente MS Word 6 și 7 efectuează o varietate de acțiuni: deschiderea unui document, salvați, de imprimare, huse, etc. În acest caz, Word caută și execută macro-uri încorporate în documentele corespunzătoare .. Când salvați un fișier de pe File / Save comanda este invocat FileSave macro, atunci când salvarea prin comanda File / SaveAs - FileSaveAs, atunci când se imprimă documente - FilePrint etc., dacă, desigur, sunt definite astfel de macrocomenzi.
Există, de asemenea, mai multe "automocros" declanșate automat în condiții diferite. De exemplu, când deschideți un document, Word verifică prezența macrocomenzii AutoOpen. Dacă există o astfel de macrocomandă, atunci Word o execută. Când documentul este închis, Word execută macrocomanda AutoClose, când Word pornește, macro-ul AutoExec este apelat, când AutoExit este închis, când AutoNew este creat, atunci când creați un document nou. Mecanisme similare, dar cu nume diferite de macro și funcții, sunt utilizate în Excel / Office.
Macrovirusuri care infectează fișiere Word, Excel sau Office. de regulă, utilizați una dintre cele trei metode de mai sus:
în virus există o mașină (auto-funcție);
în virus, una dintre macrocomenzile de sistem standard (asociate cu unele elemente de meniu) este redefinită; macro-ul de virus este apelat automat atunci când apăsați o combinație de taste sau chei.
Există și jumătăți de virusuri care nu utilizează tehnicile listate și se înmulțește numai dacă utilizatorul le execută în mod independent pentru execuție.
Macro virus algoritm pentru Word
Cele mai cunoscute Word-Virusuri (versiunile 6, 7 și Word 97), la început, transferă propriul cod în zona macrocomenzilor globale ale documentului (macrocomenzi "comune").
Când închideți Word, macrocomenzile globale (inclusiv macrocomenzile de virus) sunt scrise automat în fișierul DOT al macrocomenzilor globale (de obicei un astfel de fișier este NORMAL.DOT). Astfel, virusul este activat în momentul în care Word încarcă macrocomenzi globale.
Apoi, virusul redefinește (sau conține deja) una sau mai multe macrocomenzi standard (de exemplu, FileOpen, FileSave, FileSaveAs, FilePrint) și interceptează comenzile de manipulare a fișierelor. Când aceste comenzi sunt apelate, fișierul care este accesat este infectat. Pentru a face acest lucru, virusul convertește fișierul în formatul de șablon (ceea ce face imposibilă modificarea în continuare a formatului de fișier, adică conversia într-un format non-șablon) și scrie macro-urile sale, inclusiv Macro-ul automat, în fișier.
O altă modalitate de a introduce un virus în sistem se bazează pe așa-numitele fișiere "Add-in", adică fișiere care sunt adăugiri de servicii către Word. În acest caz, NORMAL.DOT nu se modifică și Word la pornire încarcă macrocomenzile de virusi din fișierul (sau fișierele) definit ca "Add-in". Această metodă replică aproape complet infectarea macrocomenzilor globale, cu excepția faptului că macrocomenzile de virus nu sunt stocate în NORMAL.DOT, ci într-un alt fișier.
De asemenea, este posibil să introduceți virusul în fișierele din directorul STARTUP. În acest caz, Word încarcă automat fișierele șablon din acest director, dar astfel de viruși nu au fost încă întâlnite.
Detectarea virusului macro
Semnele caracteristice ale prezenței macrovirusurilor sunt:
Incapacitatea de a converti un document Word infectat într-un alt format;
fișierele infectate sunt în format Șablon, deoarece atunci când Word este infectat, virușii convertesc fișierele din format Word Document în Șablon, capacitatea de a scrie un document în alt director sau pe alt disc cu comanda "Salvează ca" (numai Word 6);
În directorul STARTUP există fișiere "străine";
Prezența în Cartea foilor "extra" și ascunse.
Pentru a verifica prezența virusului în sistem, puteți utiliza elementul de meniu Instrumente / Macro. Dacă se găsesc "macro-uri străine", acestea pot aparține virusului. Cu toate acestea, această metodă nu funcționează în cazul virușilor stealth care "interzic" funcționarea acestui element de meniu, ceea ce, la rândul său, este un motiv suficient pentru a considera că sistemul este infectat.
Multe viruși au erori sau funcționează incorect în diferite versiuni de Word / Excel, ca urmare a cărora aceste programe produc mesaje de eroare, de exemplu:
WordBasic Err = număr de eroare.
Dacă apare un astfel de mesaj când se editează un document nou sau o tabelă și nu se cunosc macrocomenzi de utilizatori, acest lucru poate fi, de asemenea, un semn de infectare a sistemului. De asemenea, un semnal despre virus este schimbările în fișierele și configurația sistemului de Word, Excel și Windows. Multe viruși modifică elementele de meniu Instrumente / Opțiuni într-un fel sau altul - permit sau interzice funcțiile "Prompt pentru salvarea șablonului normal", "Permite salvarea rapidă", "Protecția împotriva virușilor". Anumiți viruși instalați o parolă pe fișiere atunci când sunt infectați. Un număr mare de viruși creează noi secțiuni și / sau opțiuni în fișierul de configurare Windows (WIN.INI).
Restaurarea obiectelor afectate
În cele mai multe cazuri, procedura de "tratare" a fișierelor și a discurilor infectate este redusă la rularea software-ului antivirus adecvat. Dar există situații în care virusul trebuie neutralizat, adică prin "mâini".
Pentru a dezinfecta virușii Word și Excel, este suficient să salvați toate informațiile necesare în format non-documente și non-tabele. Cel mai potrivit format de text este RTF, care include aproape toate informațiile din documentele originale și nu conține nicio macrocomandă.
Apoi, trebuie să ieșiți din Word / Excel, să distrugeți toate documentele Word infectate, foile de calcul Excel, NORMAL.DOT pentru Word și toate documentele / tabelele din STARTUP-directoarele Word / Excel. După aceasta, porniți Word / Excel și restaurați documentele / tabelele din fișierele RTF.
Ca urmare a acestei proceduri, virusul va fi eliminat din sistem, iar practic toate informațiile rămân neschimbate. Cu toate acestea, această metodă are o serie de dezavantaje. Principalul este complexitatea conversiei documentelor și a tabelelor în formatul RTF, dacă numărul lor este mare. În plus, în cazul programului Excel, trebuie să convertiți separat toate foile în fiecare fișier Excel.
Un alt dezavantaj semnificativ este pierderea macrocomenzilor normale utilizate în lucrare. Prin urmare, înainte de a începe procedura descrisă, ar trebui să salvați codul sursă și, după neutralizarea virusului, restaurați macrocomenzile necesare în forma lor originală.
De unde vin virusii și cum să eviți infecția?
Cazul descris de răspândirea virusului este cel mai adesea înregistrat de companiile anti-virus. Dar nu este neobișnuit ca un fișier de document infectat sau un tabel Excel să fie inclus în listele de corespondență a informațiilor comerciale ale unei companii mari din cauza unei supravegheri. În acest caz, nu vor fi afectate cinci, dar sute sau chiar mii de abonați de astfel de trimiteri, care vor trimite apoi fișiere infectate la zeci de mii de abonați.
Serverele de fișiere publice și e-conferințele servesc, de asemenea, ca una dintre principalele surse de viruși. Aproape în fiecare săptămână apare un mesaj că unul dintre utilizatori a infectat computerul cu un virus care a fost obținut de la un server BBS, un server ftp sau o conferință electronică.
În cazul virusului mass-mail pentru serverele de fișiere BBS / ftp copleșit în același timp, poate fi mii de computere, dar, în cele mai multe cazuri „trimise» DOS--ul sau Windows-viruși, viteza de propagare a care, în condiții moderne, este semnificativ mai mică decât makrosobratev lor. Din acest motiv, astfel de incidente aproape că nu se termină niciodată în epidemiile de masă.
Al treilea mod de răspândire rapidă a virușilor este reprezentat de rețelele locale. Dacă nu luați măsurile de protecție necesare, atunci stația de lucru infectată când infectează rețeaua infectează unul sau mai multe fișiere de serviciu pe server, diverse programe, documente standard de șablon sau foi de calcul Excel utilizate în companie și așa mai departe.
Pericolul este prezent și în calculatoarele instalate în instituțiile de învățământ. Dacă unul dintre studenți a adus un virus pe dischetele lor și a infectat una dintre computerele de antrenament, atunci toți ceilalți studenți care lucrează pe acest computer vor primi o altă "infecție".
Același lucru este valabil și pentru computerele acasă, dacă mai multe persoane lucrează la acestea. Nu este neobișnuit ca un fiu student (sau fiică), care lucrează la un computer cu mai mulți utilizatori la institut, să tragă virusul într-un computer de acasă, ceea ce duce la intrarea virusului în rețeaua de calculatoare a companiei tatălui sau a mamei.
În concluzie, aș dori să menționez că, în ciuda complexității aparente a luptei cu macrovirusurile, nu este atât de dificil să vă asigurați de această "infecție" cu o abordare calmă și competentă a problemei.
Articole similare
Trimiteți-le prietenilor: