Unde locuiesc macrovirusurile?

Unde locuiesc macrovirusurile?

Abundența instrumentelor pentru un hoț novice în sistemele din această clasă este pur și simplu descurajantă. Utilizatorul este condus într-o situație complet anecdotală, când are mai puține drepturi și oportunități decât codul care nu a apărut de nicăieri. Mai mult decât atât, este mult mai ușor să cauți rău decât să utilizați programul în scopul propus. Care este utilizarea parolelor și a nivelurilor de privilegii, dacă virusul sau, mai rău, troianul deja stă în interior și poate folosi în mod liber toate funcțiile sistemului afectat? Seamănă cu punctul de control al unității militare, în jurul căruia nu există nici o garduri.

Securitatea este sacrificată din nou pentru binele programatorilor. Aparent, aici există un feedback negativ: orientarea către consumatori cu cunoștințe minime de computere reduce cerințele pentru calificarea dezvoltatorilor. Și ce altceva poate explica ignorarea încăpățânată a experienței acumulate? Și cât mai mulți bani vor fi plătiți pentru seif fără un perete din spate?

La crearea Windows 95, Microsoft a încercat să demonstreze că nimic nu este imposibil pentru el. Îmi amintesc în începutul anilor '90, când o epidemie de DOS virusurile desfășurat în vigoare, experții în securitate dezmințit zvonurile despre viruși în documente și e-mail-uri. Sa afirmat că nu există motive de îngrijorare. Oameni naivi. În timp ce ei adoarmă utilizatori, mii de angajați au companie de software nu microscopice falsificate tocmai aceste motive, prin care astăzi Nimda pune pe urechi Internet-comunitare.

Macrovirusurile au fost un efect secundar al ideii de automatizare totală a aplicațiilor. Fără îndoială, este foarte convenabil pentru programatori - nu este necesară reinventarea roții prin aplicarea de soluții gata făcute, după cum este necesar. Un utilizator competent poate extinde, de asemenea, capabilitățile software-ului utilizat. Problema este că nu există limitatori. Miezul automatizării este Visual Basic for Application (VBA) - un aliaj de putere și simplitate. Echipat cu aceasta, aplicația se transformă de fapt într-un interpret de limbă de nivel înalt, la care sunt disponibile toate caracteristicile sistemului de operare. Astăzi este de fapt pe fiecare calculator Windows, ca parte a aplicațiilor populare și oferă condiții favorabile pentru focarele virale.

Dezvoltarea unui program eficient rău intenționat este destul de în puterea unui programator de început. În articolul "Curious Basic" am dat exemple care explică ce se află în spatele fațadei frontale a automatizării "în Redmond". Cuvântul poate fi programat în așa fel încât să devină un manager de sarcini sau să editeze Registrul. De ce este o aplicație de birou? În mod firesc, folosirea unor astfel de abilități se găsește doar în scopuri nedrepte.

Nu răspundeți nemulțumirii crescânde a clienților (ei au supraviețuit până în momentul în care, prin deschiderea unui document, puteți pierde toate informațiile de pe hard disk), Microsoft nu poate și nu dorește să recunoască eroarea pe care o alege. În timp ce ea este limitată la patch-uri cosmetice, în timp ce spală creierul clienților răzvrătiți: problema este, se spune, rezolvată. Potrivit dezvoltatorilor, principala problemă este cea a oamenilor. Ei scriu viruși, trag fiecare coș de gunoi pe calculatorul lor, iar producătorul sărac al software-ului minunat nu este deloc vina.

Ei bine, să aruncăm o privire mai întâi la cele mai populare printre scriitorii de virusuri obiect MS Word. Formatul DOC este acum cel mai comun format pentru schimbul de date. Începând cu cea de-a opta versiune (Word 97), macrocomenzile pot fi conținute atât în ​​șabloane (DOT), cât și în documente obișnuite (DOC). Recomandările de a utiliza pentru trimiterea documentelor formatul RTF, în care macrocomenzile nu ar trebui să fie prin definiție, nu țin cont de un "mic". Dacă documentul conține grafice bitmap, atunci când se convertește la RTF, dintr-un anumit motiv se dovedește a fi în format BMP (nu numai pentru o mai bună compatibilitate, cu cine numai?), Creșterea dimensiunii fișierului de zeci de ori. Deci, proiectul acestui articol cu ​​ilustrații TIF introduse are o dimensiune de 135 kilobytes în format DOC și în RTF - doar "6.19 megabytes". WinRAR la compresie maximă poate să-l împacheteze până la 199 KB, deși originalul DOC este redus la 89 KB. Și aceasta este atunci când se utilizează capturi de ecran, iar când vine vorba de imagini reale, mărimea copiei RTF poate fi de sute de ori mai mare decât sursa!

Pentru a reduce riscul de infecție, în programele pachetului MS Office este anunțat un avertisment despre prezența macrocomenzilor în documentul deschis (Figura 1).

Figura 1. Principala "protecție" de virușii macro.

Figura 4. Șabloane și programe de completare.

Acest instrument este folosit pentru a schimba stiluri, macro-uri, bare de instrumente și elemente autotext între diferite documente și șabloane. Cu toate acestea, nu este necesar să deschideți fișierele în Word. După deschiderea casetei de dialog organizator (Figura 3), faceți clic pe orice buton "Închide fișierul". Numele său va fi schimbat în "Deschide fișierul". Găsiți fișierul suspect și faceți clic pe fila Macrocomenzi. Dacă unul din nume apare în fereastra - AutoExec, AutoNew, AutoOpen, AutoClose sau AutoExit - există o ocazie de a ne gândi serios. Acestea sunt numele macrocomenzilor executate automat de către viruși pentru a fi introduse în șablonul principal - normal.dot.

Prezența macrocomenzilor automate executabile oferă virusilor un mecanism ușor de infectare a șablonului principal și apoi răspândirea prin documentele deschise. Pentru a le bloca, trebuie să țineți apăsată tasta SHIFT atunci când începe Word'a, atunci când creați un document nou atunci când deschideți sau închideți un document, iar când ați terminat lucrul cu un procesor de text. Când vă plictisiți, creați o macrocomandă în șablonul normal.dot cu numele AutoExec, care conține o singură linie:
WordBasic.DisableAutoMacros

Acest lucru va interzice executarea automată a macrocomenziilor în orice caz. Posibila pierdere a funcționalității documentelor individuale este mai mult decât compensată de un risc redus de infectare. Dacă în munca ta sunt necesare mașini, atunci gândește-te că ești ghinionist. Dar, cel puțin, activați cererea de a salva normal.dot (Instrumente-> Opțiuni .... Salvare fila). Cel puțin primiți un avertisment despre schimbarea șablonului principal, cu excepția cazului în care, desigur, virusul nu îl dezactivează (Options.SaveNormalPrompt = False). Prin urmare, trebuie să aveți o copie de rezervă, astfel încât să nu vă faceți griji mai târziu, amintiți-vă de caracteristicile stilurilor dvs., de modificările panourilor și de alte decorațiuni.

Apropieți de faptul că mecanismul de interzicere a executării automate a macrocomenzilor aparține WordBasic-ului, predecesorului VBA și primei platforme pentru virușii macro, lasată pentru compatibilitate până acum. Oare oamenii inteligenți din Redmond nu vor chiar să anuleze o astfel de funcție?

Credeți că zonele vulnerabile sunt epuizate? Nu contează ce este. Micro-oamenii inventivi au venit cu posibilitatea de a descărca automat documente și șabloane când Word a fost lansat. Veți vedea lista lor utilizând Instrumente-> Șabloane și Suplimente ... (Figura 4). Astfel de șabloane ar trebui să fie plasate în dosarul pentru fișierele autoloaded (în Figura 6 - STARTUP).

Figura 6. Dosarele serviciului și căile spre ele.

După cum înțelegeți, există și macrouri și în cantități mari. Mecanismul șabloanelor de auto-deschidere este folosit pentru comunicarea Word cu aplicații externe foarte inteligente: traducători, dicționare, recunoaștere text etc. fără de care lucrarea unui birou modern este de neconceput. În mod implicit, toate aceste fișiere de mediere sunt considerate sigure (Figura 7).

Figura 7. Aveți încredere în toate programele de completare și șabloanele instalate?

Ie Documentul infectat din dosarul de pornire nu este cel mai des verificat. Puțini utilizatori ajung la această setare. Dacă scoateți pasărea de încredere și stabiliți controlul pe motive generale, Word va primi întrebări de fiecare dată când începeți cu un nivel mediu de securitate. Mergând la înălțime, am pierdut avertismentul despre amenințare, iar funcționalitatea este în discuție - nu toate macrocomenzile au o semnătură digitală, care poate fi declarată de încredere.

Încredere, dar verificați. Trucul murdar poate fi în fișier din cea mai fiabilă sursă. În plus, protecția nu este atât de rar una leaky, sărind macros fără avertisment. Și un cod extern arbitrar, folosind proprietățile COM ale Word, poate introduce o macrocomandă direct în normal.dot, ignorând toate barierele de securitate, semnăturile digitale și alte deșeuri liniștitoare.

Articole similare

• Poate un gândac să trăiască fără cap

• Este posibil să trăiți într-un apartament în timp ce există o reparație

• Heinali și Mary Navrotskaya - Doamne, cum vrei să trăiești, versurile cântecului

Trimiteți-le prietenilor: