ما الملفات تصيب الماكرو. الملفات التي تصيب فيروسات الماكرو. كيف ينتشر

من المحتمل أن تكون فيروسات الماكرو برامج غير مرغوب فيها مكتوبة بلغات ماكرو مضمنة في أنظمة معالجة بيانات النص أو الرسوم. أكثر إصدارات الفيروسات شيوعًا هي لـ Microsoft Word و Excel و Office 97. نظرًا لأن إنشاء فيروس ماكرو سهل ، فهي شائعة جدًا. يجب أن تكون حذرًا جدًا عند تنزيل مستندات مشكوك فيها من الإنترنت. يستخف العديد من المستخدمين بقدرات هذه البرامج ، ويرتكبون خطأً فادحًا.

كيف يصيب فيروس الماكرو الكمبيوتر

نظرًا لطريقة الاستنساخ البسيطة ، تستطيع فيروسات الماكرو إصابة عدد كبير من الملفات في أقصر وقت ممكن. باستخدام إمكانيات اللغات الكبيرة ، عند فتح أو إغلاق مستند مصاب ، فإنها تخترق بسهولة جميع البرامج التي يتم الوصول إليها بطريقة أو بأخرى. بمعنى ، إذا قمت بفتح صورة باستخدام محرر رسومي ، فسوف ينتشر فيروس الماكرو عبر ملفات من هذا النوع. ويمكن أن تكون بعض الفيروسات من هذا النوع نشطة طالما أن محرر الرسومات أو النصوص مفتوحًا ، أو حتى يتم إيقاف تشغيل الكمبيوتر الشخصي.

يحدث عمل فيروسات الماكرو وفقًا للمبدأ التالي: عند العمل مع مستند Microsoft Word ، فإنه يقرأ وينفذ الأوامر المختلفة التي يتم تقديمها بلغة الماكرو. بادئ ذي بدء ، سيحاول البرنامج الضار اختراق قالب المستند الرئيسي ، والذي بفضله يتم فتح جميع الملفات بهذا التنسيق. في الوقت نفسه ، يقوم فيروس الماكرو بإنشاء نسخة من الكود الخاص به في وحدات الماكرو العامة (وحدات الماكرو التي توفر الوصول إلى المعلمات الرئيسية). وعند الخروج من البرنامج المستخدم ، يتم حفظه تلقائيًا في ملف نقطي (يُستخدم لإنشاء مستندات جديدة) . ثم يغزو الفيروس وحدات الماكرو القياسية للملف لاعتراض الأوامر المرسلة إلى الملفات الأخرى ، وبالتالي يصيبها أيضًا.

تحدث الإصابة بفيروس ماكرو في واحدة من أربع حالات:

1. في حالة وجود ماكرو تلقائي في الفيروس (يتم تنفيذه تلقائيًا عند بدء تشغيل البرنامج أو إيقاف تشغيله).
2. يحتوي الفيروس على ماكرو النظام الرئيسي (عادة ما يرتبط بعناصر القائمة).
3. يتم تنشيط الفيروس تلقائيًا عند الضغط على مفتاح أو مجموعة معينة.
4. يحدث تكاثر الفيروس فقط عندما يتم إطلاقه مباشرة.

يمكن لفيروسات الماكرو إتلاف جميع الملفات المرتبطة ببرنامج بلغة ماكرو.

ما الضرر الذي تسببه فيروسات الماكرو؟

لا ينبغي بأي حال من الأحوال التقليل من أهمية فيروسات الماكرو ، حيث إنها نفس الفيروسات الكاملة ولا يمكن أن تسبب ضررًا أقل للكمبيوتر الشخصي. فيروسات الماكرو قادرة تمامًا على حذف أو تحرير أو نسخ الملفات التي تحتوي على معلومات شخصية ونقلها إلى شخص آخر عبر البريد الإلكتروني. ويمكن للبرامج الأقوى بشكل عام تهيئة محرك الأقراص الثابتة والتحكم في جهاز الكمبيوتر الخاص بك. لذا فإن الرأي القائل بأن فيروسات الماكرو خطرة فقط لمحرري النصوص هو رأي خاطئ ، لأن Word و Excel غالبًا ما يتلامسان مع عدد كبير من البرامج المختلفة عند العمل.

كيفية التعرف على الملف المصاب

عادة ما يكون من السهل التعرف على الملفات المصابة بفيروس ماكرو ، لأنها لا تعمل مثل البرامج الأخرى من نفس التنسيق.

يمكن تحديد وجود الفيروسات الكبيرة من خلال العلامات التالية:

1. لا يتم حفظ مستند Word بتنسيق آخر (باستخدام الأمر "حفظ باسم ...")
2. لا يمكن نقل المستند إلى مجلد أو محرك أقراص آخر
3. عدم القدرة على حفظ التغييرات على المستند (باستخدام أمر "حفظ")
4. التكرار المتكرر لرسائل خطأ النظام حول تشغيل البرنامج مع الكود المقابل
5. سلوك غير عادي في المستند
6. يمكن اكتشاف معظم فيروسات الماكرو بصريًا ، حيث يرغب منشئوها غالبًا في تضمين معلومات مثل اسم البرنامج والموضوع والفئة واسم المؤلف والتعليقات في علامة تبويب الملخص (المفتوحة من قائمة السياق).

كيفية إزالة ملف مصاب بفيروس من جهاز كمبيوتر

بادئ ذي بدء ، إذا وجدت مستندًا أو ملفًا مريبًا ، فقم بفحصه باستخدام أحد برامج مكافحة الفيروسات. دائمًا تقريبًا ، ستحاول برامج مكافحة الفيروسات ، عند اكتشاف تهديد ، معالجة الملف أو منع الوصول إليه تمامًا. في الحالات الأكثر خطورة ، عندما يكون الكمبيوتر بأكمله مصابًا بالفعل ، استخدم قرص تثبيت للطوارئ يحتوي على مضاد فيروسات بقاعدة بيانات محدثة. سيقوم بفحص القرص الصلب وتحييد البرامج الضارة التي يعثر عليها. في حالة تعطل برنامج مكافحة الفيروسات ، وعدم وجود قرص طوارئ في متناول اليد ، استخدم طريقة العلاج "اليدوية":

1. في علامة التبويب "عرض" ، قم بإلغاء تحديد مربع الاختيار "إخفاء الامتداد لجميع أنواع الملفات المسجلة".
2. ابحث عن الملف المصاب وقم بتغيير الامتداد من .doc إلى .rtf
3. احذف القالب العادي. نقطة
4. قم بتغيير امتداد الملف مرة أخرى واستعادة المعلمات الأصلية

نتيجة لهذه الإجراءات ، قمنا بإزالة الفيروس من المستند المصاب ، لكن هذا لا يعني أنه لا يمكن أن يظل في نظام الكمبيوتر ، لذلك ، في أول فرصة ، قم بفحص جميع الكائنات الموجودة على جهاز الكمبيوتر الخاص بك باستخدام برنامج مكافحة فيروسات.

كيف تحمي نفسك من فيروسات الماكرو

قد يكون علاج الكمبيوتر من فيروسات الماكرو أمرًا صعبًا للغاية ، لذلك من الأفضل منع العدوى. للقيام بذلك ، تأكد من تحديث برنامج مكافحة الفيروسات بانتظام. قبل نسخ الملفات من وسائط أخرى أو من الإنترنت ، افحصها بعناية بحثًا عن البرامج الضارة. إذا كان لديك برنامج مكافحة فيروسات ضعيف أو لم يكن لديك أي برنامج على الإطلاق ، فاحفظ المستندات بتنسيق .rtf ، حتى لا يتمكن الفيروس من اختراقها.

تعد الفيروسات القهقرية عدوى تسمم حياة أي مستخدم. حتى لو كنت مبرمج نظام ثلاث مرات على الأقل ، فلا يزال لديها فرصة جيدة لمحاربتك. كثير من الناس يقللون من شأن هذه الفئة من الفيروسات وعبثًا ، فهم ليسوا ضارين كما يبدو. من حيث البقاء على قيد الحياة ، يمكن مقارنتها بالفئران والصراصير - فهي تتكيف مع كل شيء ونادرًا ما تموت. حان الوقت للتعامل مع عدوى الماكرو مرة واحدة وإلى الأبد.

هندسة ماكروفيروس

في البداية ، هناك تعريف واضح: فيروس ماكرو هو فيروس يمكنه التكاثر وتخزين نفسه (دون تدخل من المستخدم) ، باستخدام لغة ماكرو. يستنتج من التعريف أن فيروسات الماكرو يمكن أن تعيش ليس فقط في مستندات Word ، ولكن في أي مستند مكتب يقوم بتنفيذ وظائف لغة الماكرو مثل نسخ وحدات الماكرو وحفظها. فيما يلي قائمة كاملة تقريبًا بالتطبيقات المعرضة لتهديد الإصابة بالماكرو: Word (أي) ، Excel ، AmiPro (هذا محرر نصوص) ، MS Visio ، PowerPoint ، MS Access و 1C. كما ترى ، فإن عدد هذه البرامج كبير جدًا ، وعلى الإنترنت يمكنك غالبًا العثور على مقالات تحدد فيروسات الماكرو مثل هذا:
الفيروسات التي تصيب ملفات المستندات بالتنسيق
WinWord "كتب بعض الحمقى!

الآن دعنا نتحدث عن هيكل فيروس الماكرو تحت Word (باعتباره الأكثر صلة). لذا. هناك شيء مثل وحدات الماكرو القياسية. وتشمل هذه: فتح تلقائي ، وإغلاق تلقائي ، و AutoExec ، و AutoExit ، و AutoNew. البادئة التلقائية - تعني أن الإجراء يتم تنفيذه تلقائيًا ، دون تدخل المستخدم (على الرغم من أن هذا يعتمد على مستوى الأمان المحدد ، لكننا سنتحدث عن هذا لاحقًا). أي ، عن طريق إضافة إصابة إلى ماكرو بهذا الاسم ، يمكنك "إحياءها". أيضا ، كل إجراء قياسي له ماكرو قياسي خاص به. على سبيل المثال ، لطباعة FilePrint أو حفظ FileSave أو الحفظ بتنسيق مختلف أو باسم مختلف FileSaveAs. ويمكن أن تصاب وحدات الماكرو هذه.

الهدف النهائي لأي ثقب كبير هو الحصول على نقطة normal.dot (حيث يتم تخزين جميع إعدادات القالب). ثم ستصاب جميع الملفات المفتوحة بالعدوى وستذهب رسائلك إلى الجحيم.
يوفر Word عدة مستويات من الأمان: مرتفع ومتوسط ​​ومنخفض. كما أنه يحتوي على آلية حماية مدمجة ضد العدوى الكبيرة. هذا ، وفقًا لنية المطورين ، يجب أن يعمل على فيروسات الماكرو ، مثل الفضة على الأرواح الشريرة. قد يكون ذلك ناجحًا ، إن لم يكن لأحد "لكن". بسببه لن أخوض في الاختلافات بين مستويات الأمان والإعدادات الداخلية لـ Word. ولكن النقطة المهمة هي أنه يمكن تغيير جميع معلمات الأمان الداخلية بسهولة من خلال التسجيل. ولحسن الحظ ، تسمح لغات الماكرو بهذا
صنع. لن أصف مسارًا محددًا (حيث تبحث عن شيء ما) ، حتى لا تغري يديك المرحة. يمكن لأولئك الموهوبين بشكل خاص الاتصال بي عن طريق الصابون - سأخبرك ، ولكن "فقط لغرض التعرف على ثغرة البرنامج هذه ، من أجل القضاء عليها" 🙂

للتلخيص ، فإن هيكل الفيروس الكبير هو كما يلي:

1. نحن نعيد تعريف أي ماكرو قياسي أو تلقائي مفيد بحيث يعطل الحماية ويصحح مستوى الأمان.
2. نضيف عدوى هناك.
3. نتحقق من أن هذا الماكرو مطلوب ، وأن الإصابة تتكاثر ويجب تسجيلها في Normal.dot

كل شيء بسيط للغاية - ولهذا السبب هناك العديد من الاختلافات المختلفة في الإنشاءات الكلية.

سأقتل بيدي العاريتين!

هناك عدة طرق شعبية لتدمير وحدات الماكرو في مستندات Word المصابة بالفعل. ها هم جميعًا تقريبًا:

1. قم بإنشاء الماكرو الخاص بك باستخدام هذا الرمز:
الرئيسية من الباطن
تعطيل AutoMacros
نهاية الفرعية
يمكنك حفظ هذه المعجزة تحت اسم AutoExec وبالتالي تصبح غير معرضة للخطر لوحدات الماكرو الآلية.

2. أنت تتلاعب بمستويات الحماية - سيطلب Word إذنًا عند تنفيذ وحدات الماكرو.

3. لا تستخدم تنسيق doc. بعد كل شيء ، يمكن وضع كل شيء في RTF - نفس الخطوط والتصميم والجداول والرسومات ... ولا يحتوي RTF على وحدات ماكرو بحكم التعريف. سيكون كل شيء مثاليًا ، ولكن هناك ناقص: عند حفظ المعلومات بتنسيق rtf ، يتم تحويل جميع الصور تلقائيًا إلى تنسيق bmp. يزن تنسيق الرسم هذا كثيرًا لدرجة أنك لا ترغب فيه على عدوك. نتيجة لذلك ، حتى بعد الأرشفة ، قد يؤدي فقدان حجم الملف الناتج إلى حقيقة أنه ببساطة لا يتناسب مع قرص مرن (حسب عدد الصور بالطبع). صحيح ، في حالة عدم وجود رسومات ، تكون rtf مثالية.

المدفعية الثقيلة

حان الوقت لحشد الشجاعة لقتل المخلوقات الكبيرة مرة واحدة وإلى الأبد. المهمة ليست صعبة للغاية: فأنت بحاجة إلى جهاز كمبيوتر غير مصاب وأحدث مجموعة توزيع من Kaspersky Anti-Virus. قبل بضع سنوات ، طورت Kaspersky Lab وحدة تسمى Office Guard. سنتحدث عنه.

عادةً ، لا يتم تضمين Office Guard في التوزيعات المقرصنة ، ولكن ببعض المهارات ، يمكنك العثور عليها. ما هذا الشيء؟ إليك ما يقوله المبدعون حول هذا الموضوع:
"Office Guard هي تقنية جديدة في الأساس للحماية من فيروسات الماكرو وأحصنة طروادة الماكرو. وهي مصممة للمستخدمين المتقدمين ، وتنفذ Office Guard نهجًا ثوريًا لأمان مكافحة الفيروسات استنادًا إلى مبادئ مانع السلوك. على عكس برنامج مكافحة الفيروسات" الكلاسيكي " أنظمة الحماية المستخدمة ، المبنية على أساس البحث السياقي التقليدي ، يحل Office Guard المشكلة بشكل شامل ، باستثناء احتمال وجود فيروسات ماكرو تعمل على جهاز كمبيوتر محمي. يميز Office Guard فيروسات الماكرو وليس عن طريق العلامات الخارجية (وجود تسلسل معين من الشخصيات) ، ولكن من خلال سلوكهم ، والذي يتم تحديده من خلال قدرات لغة البرمجة VBA (Visual Basic for
تطبيق)."

أروع ميزة هي أنه لا يحتاج إلى تحديث! ومع ذلك ، فإن استخدامه محفوف بالعديد من المزالق:

1. يجب تثبيته على جهاز غير مصاب.
2. إذا كان برنامج Word مثبتًا لديك ، ثم قمت بتثبيت Office Guard ، ثم قمت بتثبيت Excel ، فسيتم حماية Word فقط. ارسم استنتاجاتك الخاصة.
3. يلتقط Office Guard الفيروسات ، لكنه لا يعالجها.

لحل المشكلة الأخيرة ، تحتاج فقط إلى ماسح ضوئي للفيروسات. وبالتالي ، يوفر AVP-scanner + Office Guard حماية كاملة ضد فيروسات الماكرو. إذا كنت ترغب في التعامل مع المستندات ، فسيتعين عليك من وقت لآخر تنزيل تحديث لـ
AVP.

ومع ذلك ، لنكن منصفين - لا يمكنك سحب البطانية نحو Kaspersky Lab ، وإلا ستكون هناك محادثات مثل:
"وما المبلغ الذي دفعته للترويج للمنتج؟"

أي برنامج مكافحة فيروسات محدث يعطي شيئًا جيدًا ، تقريبًا 100٪ ،
الحماية ضد macrogads. كل ما في الأمر أن كل منهم يستخدم تقنيات مختلفة لهذا الغرض. على سبيل المثال ، يستخدم DrWeb بحث التوقيع والمحلل الإرشادي ،
ما تحدثنا عنه مع مبتكريها:

لا تتضمن مجموعة برامج مكافحة الفيروسات وحدة منفصلة لمكافحة فيروسات الماكرو. لماذا ا؟ هل تعتقد أن مراقب مقيم يضمن الأمان ضد فيروسات الماكرو؟

تعد أدوات اكتشاف فيروسات الماكرو ومكافحتها جزءًا لا يتجزأ من DrWeb الأساسي. ونظرًا لاستخدام النواة بواسطة كل من الماسح والشاشة ، يتم اكتشاف جميع فيروسات الماكرو ومعالجتها بشكل متساوٍ في كلتا الحالتين.

يتضمن WUA وحدة منفصلة ضد فيروسات الماكرو في MS Office. يدعي المطورون أن هذه الوحدة تعتمد على مانع سلوكي يقوم بتحليل إجراءات برنامج المريض. نتيجة لذلك ، يكون هذا المنتج خاليًا بنسبة 100٪ من فيروسات الماكرو حتى يتم إصدار إصدار جديد من VBA. هؤلاء. لا يتم البحث عن فيروس الماكرو بالتوقيعات. ميزة من هذا القبيل
النهج هو أنه من خلال تثبيت مثل هذه الوحدة مرة واحدة ، فإنها لا تحتاج إلى تحديث. الآن الأسئلة: DrWeb يبحث عن فيروسات الماكرو بالتوقيعات؟

يبحث DrWeb عن فيروسات الماكرو عن طريق التوقيعات واستخدام البرنامج المدمج
محلل إرشادي قوي أصلي. محرك بحث وتحليل ماكرو
تم تنفيذه على عدة مستويات: يتم أيضًا فحص الكود الثنائي لوحدات الماكرو ،
المترجمة وشفرة المصدر. يسمح لك هذا باكتشاف الفيروسات المعروفة ،
تعديلاتهم ، وكذلك فيروسات الماكرو غير المعروفة. هكذا،
يصبح من الممكن ليس فقط عدم الاعتماد على إصدار المثبت
حزمة MS Office (ظهرت القدرة على اعتراض وحدات الماكرو قيد التشغيل
فقط في Office 2000 وغائب في الإصدارات السابقة) ، ولكن بشكل عام من
وجود MS Office على الكمبيوتر الذي يتم إجراء الفحص عليه
الملفات - على سبيل المثال ، على بوابة الإنترنت الخاصة بالشركة.

بالإضافة إلى ذلك ، بمساعدة من إرشادي
محلل ، DrWeb قادر على اكتشاف أحصنة طروادة غير المعروفة ،
الأبواب الخلفية ، وديدان الإنترنت ، و irc ، والدُفعات (الخفافيش) والسيناريو
(vbs / vbe) الفيروسات.

رأيك الشخصي: هل يمكن لوحدة WUA أن توفر أمانًا بنسبة 100٪ ضد العدوى الكبيرة؟

الوضع الحالي هو أنه من أجل مكافحة الفيروسات بشكل فعال ، أي حديث
يجب تحديث منتج مكافحة الفيروسات في الوقت المناسب. للأسف،
إنشاء برامج مكافحة الفيروسات "المطلقة" أمر مستحيل.

تم الرد على الأسئلة
سيرجي يوريفيتش بوبوف
أندريه فلاديميروفيتش بشاريموف

مطورو برامج مكافحة الفيروسات لعائلة Dr.WEB.

فيروسات الماكرو هي برامج بلغات (لغات ماكرو) مضمنة في بعض أنظمة معالجة البيانات (برامج تحرير النصوص وجداول البيانات وما إلى ذلك). من أجل استنساخها ، تستخدم هذه الفيروسات قدرات لغات الماكرو وبمساعدتها تنتقل من ملف مصاب (مستند أو جدول) إلى ملفات أخرى.

من أجل وجود فيروسات في نظام معين (محرر) ، من الضروري وجود لغة ماكرو مضمنة في النظام بالقدرات التالية:

1. ربط برنامج بلغة ماكرو بملف معين ؛

2. نسخ برامج الماكرو من ملف إلى آخر.

القدرة على التحكم في برنامج الماكرو دون تدخل المستخدم (وحدات ماكرو تلقائية أو قياسية).

فيروسات كمبيوتر الشبكة .

تشمل فيروسات الشبكة الفيروسات التي تستخدم بروتوكولات وقدرات الشبكات المحلية والعالمية بنشاط لانتشارها. المبدأ الرئيسي لفيروس الشبكة هو القدرة على نقل الكود الخاص به بشكل مستقل إلى خادم أو محطة عمل بعيدة. في الوقت نفسه ، تمتلك فيروسات الشبكة أيضًا القدرة على تشغيل التعليمات البرمجية الخاصة بها على جهاز كمبيوتر بعيد أو دفع المستخدم لتشغيل ملف مصاب.

يوجد عدد كبير من التركيبات - على سبيل المثال ، فيروسات تمهيد الملفات التي تصيب كل من الملفات وقطاعات تمهيد الأقراص. مثل هذه الفيروسات ، كقاعدة عامة ، لديها خوارزمية عمل معقدة نوعًا ما ، وغالبًا ما تستخدم طرقًا أصلية لاختراق النظام ، واستخدام تقنيات التخفي ومتعددة الأشكال. مثال آخر على هذه المجموعة هو فيروس ماكرو الشبكة الذي لا يصيب المستندات المحررة فحسب ، بل يرسل أيضًا نسخًا منه عن طريق البريد الإلكتروني.

إصابة نظام التشغيل(بتعبير أدق ، نظام التشغيل الذي تكون كائناته عرضة للإصابة) هو المستوى الثاني لتقسيم الفيروسات إلى فئات. يصيب كل فيروس ملف أو شبكة ملفات لنظام تشغيل واحد أو أكثر.

تصيب فيروسات الماكرو ملفات Word و Excel و Office. تركز فيروسات التمهيد أيضًا على تنسيقات محددة لموقع بيانات النظام في قطاعات تمهيد الأقراص.

ميزات خوارزمية العملفيروسات الكمبيوتر:

1. الإقامة.

2. استخدام خوارزميات التخفي.

3. التشفير الذاتي وتعدد الأشكال.

4. استخدام تقنيات غير قياسية.

تحت المصطلح الإقامة يشير إلى قدرة الفيروسات على ترك نسخها في ذاكرة النظام ، واعتراض أحداث معينة (على سبيل المثال ، الوصول إلى الملفات أو الأقراص) ، وعند القيام بذلك ، استدعاء الإجراءات الخاصة بإصابة الكائنات المكتشفة (الملفات والقطاعات). وبالتالي ، فإن الفيروسات المقيمة تكون نشطة ليس فقط أثناء تشغيل البرنامج المصاب ، ولكن أيضًا بعد انتهاء البرنامج من عمله. تظل النسخ المقيمة من هذه الفيروسات قابلة للحياة حتى إعادة التشغيل التالية ، حتى إذا تم تدمير جميع الملفات المصابة على القرص. غالبًا ما يكون من المستحيل التخلص من هذه الفيروسات عن طريق استعادة جميع نسخ الملفات من أقراص التوزيع أو النسخ الاحتياطية. تظل النسخة المقيمة من الفيروس نشطة وتصيب الملفات المنشأة حديثًا. وينطبق الشيء نفسه على فيروسات التمهيد - فتهيئة محرك أقراص أثناء وجود فيروس مقيم في الذاكرة لا يعالج محرك الأقراص دائمًا ، حيث أن العديد من الفيروسات المقيمة تعيد إصابة محرك الأقراص بعد تهيئته.

غير مقيممن ناحية أخرى ، تكون الفيروسات نشطة لفترة قصيرة نوعًا ما ، فقط عند بدء تشغيل البرنامج المصاب. لتوزيعها ، يبحثون عن الملفات غير المصابة على القرص ويكتبون عليها. بعد أن يقوم رمز الفيروس بنقل التحكم إلى البرنامج المضيف ، يتم تقليل تأثير الفيروس على تشغيل نظام التشغيل إلى الصفر حتى الإطلاق التالي لأي برنامج مصاب.

فيروسات التخفيبطريقة أو بأخرى إخفاء حقيقة وجودهم في النظام.

ل فيروسات متعددة الأشكال تشمل أولئك الذين يكون اكتشافهم مستحيلًا (أو صعبًا للغاية) باستخدام ما يسمى بأقنعة الفيروسات - أقسام من رمز دائم خاص بفيروس معين. يتم تحقيق ذلك بطريقتين رئيسيتين - عن طريق تشفير رمز الفيروس الرئيسي بمفتاح غير دائم ومجموعة عشوائية من أوامر فك التشفير ، أو عن طريق تغيير رمز الفيروس القابل للتنفيذ نفسه.

متنوع الحيل غير القياسية غالبًا ما تستخدم في الفيروسات لإخفاء نفسها في أعماق نواة OC.

الاحتمالات المدمرةيمكن تقسيم الفيروسات إلى:

1. غير مؤذية ، والتي لا تؤثر على عمل الكمبيوتر بأي شكل من الأشكال (باستثناء تقليل المساحة الخالية على القرص نتيجة توزيعها).

2. غير خطرة ، الذي يقتصر تأثيره على تقليل المساحة الخالية على القرص والتأثيرات الرسومية والصوتية وغيرها.

على وجه الخصوص ، حول هؤلاء الممثلين لهذه العائلة العديدة الذين يؤثرون على الوثائق كلمة.

العلامات المميزة للوجود هي:

1) استحالة حفظ المستند المصاب كلمةإلى تنسيق آخر (حسب الأمر حفظ باسم…);

2) استحالة كتابة الوثيقة على دليل آخر أو قرص آخر مع الأمر حفظ باسم…;

3) عدم القدرة على حفظ التغييرات التي تم إجراؤها على المستند (الأمر يحفظ);

4) عدم إمكانية الوصول إلى علامة التبويب مستوى الأمان(قائمة الخدمة - الماكرو - الأمن…);

5) نظرًا لأن العديد من الفيروسات مكتوبة مع وجود أخطاء (أو لا تعمل بشكل صحيح في إصدارات مختلفة من الحزمة مايكروسوفت أوفيس) ، فقد تظهر الرسائل المقابلة مع رمز الخطأ ؛

6) "غرابة" أخرى في سلوك الوثائق كلمة;

7) يمكن في كثير من الأحيان الكشف عنها بالعين المجردة. الحقيقة هي أن معظم كتاب الفيروسات يتميزون بالغرور: في خصائص الملف كلمة(نافذة او شباك ملكياتدعا عند النقر بزر الماوس الأيمن - اختر من ملكيات) في علامة التبويب ملخصاملأ حقول الإدخال ( اسم, موضوعات, مؤلف, فئة, الكلمات الدالةو

فيروسات الماكرو (فيروسات الماكرو) هي برامج بلغات (لغات ماكرو) مضمنة في بعض أنظمة معالجة البيانات (برامج تحرير النصوص وجداول البيانات وما إلى ذلك) ، وكذلك في لغات البرمجة النصية مثل VBA (Visual Basic for Applications) JS ( جافا سكريبت). من أجل تكاثرها ، تستخدم هذه الفيروسات قدرات اللغات الكبيرة وبمساعدتها تنقل نفسها من ملف مصاب (مستند أو جدول) إلى ملفات أخرى. تعد فيروسات الماكرو الخاصة بـ Microsoft Office هي الأكثر انتشارًا. هناك أيضًا فيروسات ماكرو تصيب مستندات وقواعد بيانات Ami Pro. من أجل وجود فيروسات في نظام معين (محرر) ، من الضروري وجود لغة ماكرو مضمنة في النظام بالقدرات التالية:

1. ربط برنامج بلغة كبيرة بملف معين ؛
2. نسخ برامج ماكرو من ملف إلى آخر.
3. القدرة على التحكم في برنامج الماكرو دون تدخل المستخدم (وحدات ماكرو تلقائية أو قياسية).

يتم استيفاء هذه الشروط من قبل المحررين Microsoft Word و Office و AmiPro ، بالإضافة إلى جدول بيانات Excel وقاعدة بيانات Microsoft Access. تحتوي هذه الأنظمة على لغات الماكرو: Word - Word Basic؛ Excel ، Access - VBA. حيث:

1. ترتبط برامج الماكرو بملف معين (AmiPro) أو تكون داخل ملف (Word ، Excel ، Access) ؛
2. تسمح لك لغة الماكرو بنسخ الملفات (AmiPro) أو نقل برامج الماكرو إلى ملفات خدمة النظام والملفات القابلة للتحرير (Word ، Excel) ؛
3. عند العمل مع ملف في ظل ظروف معينة (فتح ، إغلاق ، إلخ) ، يتم استدعاء برامج الماكرو (إن وجدت) ، والتي يتم تعريفها بطريقة خاصة (AmiPro) أو لها أسماء قياسية (Word ، Excel).

تم تصميم ميزة لغات الماكرو هذه للمعالجة التلقائية للبيانات في المؤسسات الكبيرة أو الشبكات العالمية وتسمح لك بتنظيم ما يسمى بـ "سير العمل الآلي". من ناحية أخرى ، فإن إمكانيات لغات الماكرو لهذه الأنظمة تسمح للفيروس بنقل كوده إلى ملفات أخرى ، وبالتالي إصابتها. تتحكم الفيروسات عند فتح أو إغلاق ملف مصاب ، وتعترض وظائف الملفات القياسية ، ثم تصيب الملفات التي يتم الوصول إليها بطريقة ما. بالقياس مع MS-DOS ، يمكننا القول أن معظم فيروسات الماكرو مقيمة: فهي نشطة ليس فقط في وقت فتح / إغلاق الملف ، ولكن طالما أن المحرر نفسه نشط.

فيروسات Word / Excel / Office: معلومات عامة

يعتمد الموقع الفعلي للفيروس داخل الملف على تنسيقه ، والذي يكون في حالة منتجات Microsoft معقدًا للغاية - كل ملف مستند Word ، جدول بيانات Excel عبارة عن سلسلة من كتل البيانات (لكل منها تنسيقه الخاص أيضًا) ، مترابطة باستخدام كمية كبيرة من بيانات الخدمة. يسمى هذا التنسيق OLE2 - ربط الكائنات وتضمينها.

تشبه بنية ملفات Word و Excel و Office (OLE2) نظام ملفات القرص المعقد: يشير "الدليل الجذر" لملف مستند أو جدول إلى الدلائل الفرعية الرئيسية لكتل ​​البيانات المختلفة ، وتحتوي العديد من جداول FAT على معلومات حول موقع كتل البيانات في مستند ، وما إلى ذلك. علاوة على ذلك ، يتيح لك نظام Office Binder ، الذي يدعم معايير Word و Excel ، إنشاء ملفات تحتوي في وقت واحد على مستند Word واحد أو أكثر وجداول بيانات Excel واحد أو أكثر. في الوقت نفسه ، يمكن أن تصيب فيروسات Word مستندات Word ، ويمكن أن تصيب فيروسات Excel جداول بيانات Excel ، وكل هذا ممكن داخل ملف قرص واحد. وينطبق الشيء نفسه على Office. معظم الفيروسات المعروفة لـ Word غير متوافقة مع الإصدارات الوطنية (بما في ذلك الروسية) من Word ، أو العكس - فهي مصممة فقط للإصدارات المترجمة من Word ولا تعمل تحت الإصدار الإنجليزي. ومع ذلك ، لا يزال الفيروس الموجود في المستند نشطًا ويمكن أن يصيب أجهزة الكمبيوتر الأخرى بإصدار Word المقابل المثبت عليها. يمكن لفيروسات Word أن تصيب أجهزة الكمبيوتر من أي فئة. العدوى ممكنة إذا تم تثبيت محرر نصوص على هذا الكمبيوتر المتوافق تمامًا مع Microsoft Word الإصدار 6 أو 7 أو أعلى (على سبيل المثال ، MS Word لنظام التشغيل Macintosh).

وينطبق الشيء نفسه على Excel و Office. وتجدر الإشارة أيضًا إلى أن تعقيد تنسيقات مستندات Word وجداول بيانات Excel وخاصة Office لها الخصائص التالية: هناك كتل بيانات "إضافية" في ملفات المستندات والجداول ، أي البيانات التي لا تتعلق بالنص المحرر أو الجداول بأي شكل من الأشكال ، أو هي نسخ من بيانات الملف الأخرى التي ظهرت هناك عن طريق الخطأ. سبب حدوث كتل البيانات هذه هو التنظيم العنقودي للبيانات في مستندات وجداول OLE2 - حتى إذا تم إدخال حرف واحد فقط من النص ، فسيتم تخصيص مجموعة بيانات واحدة أو حتى عدة مجموعات بيانات لها. عند حفظ المستندات والجداول في مجموعات غير مملوءة ببيانات "مفيدة" ، تظل "البيانات المهملة" موجودة في الملف مع البيانات الأخرى. يمكن تقليل مقدار "القمامة" في الملفات عن طريق إلغاء تحديد خيار "السماح بالحفظ السريع" في Word / Excel ، ولكن هذا يقلل فقط من إجمالي كمية "القمامة" ، ولكنه لا يزيلها تمامًا. والنتيجة هي حقيقة أنه عند تحرير مستند ، يتغير حجمه بغض النظر عن الإجراءات التي يتم تنفيذها به - عند إضافة نص جديد ، قد ينخفض ​​حجم الملف ، وعند حذف جزء من النص ، قد يزداد.

إنه نفس الأمر مع فيروسات الماكرو: عند إصابة ملف ، قد يتقلص حجمه أو يزيد أو يظل دون تغيير. وتجدر الإشارة أيضًا إلى أن بعض إصدارات OLE2.DLL تحتوي على خلل صغير ، ونتيجة لذلك ، عند العمل مع Word و Excel وخاصة مستندات Office ، فإن البيانات العشوائية من القرص ، بما في ذلك البيانات السرية (الملفات المحذوفة ، الدلائل ، إلخ). د.). أوامر الفيروسات يمكن أن تدخل في هذه الكتل. نتيجة لذلك ، بعد تطهير المستندات المصابة ، يتم إزالة الكود النشط للفيروس من الملف ، ولكن قد تظل بعض أوامره في كتل "المهملات". تظهر آثار وجود الفيروس في بعض الأحيان باستخدام برامج تحرير النصوص وقد تتسبب في رد فعل بعض برامج مكافحة الفيروسات. ومع ذلك ، فإن بقايا الفيروس هذه غير ضارة تمامًا: لا يوليها Word و Excel أي اهتمام.

فيروسات Word / Excel / Office: كيف تعمل

يقوم بتنفيذ إجراءات متنوعة عند العمل باستخدام إصدارات مستند Word 6 و 7 أو أعلى: فتح المستند ، والحفظ ، والطباعة ، والإغلاق ، وما إلى ذلك. في الوقت نفسه ، يبحث Word عن "وحدات الماكرو المضمنة" المقابلة وينفذها - عند حفظ ملف باستخدام الأمر File / Save ، يتم استدعاء ماكرو FileSave ، عند الحفظ باستخدام الأمر File / SaveAs - FileSaveAs ، عند طباعة المستندات - FilePrint ، وما إلى ذلك ، إذا تم تحديد وحدات ماكرو بالطبع. هناك أيضًا العديد من "وحدات الماكرو التلقائية" التي يتم استدعاؤها تلقائيًا في ظل ظروف مختلفة. على سبيل المثال ، عند فتح مستند ، يتحقق Word من وجود ماكرو الفتح التلقائي. إذا كان مثل هذا الماكرو موجودًا ، فسيقوم Word بتنفيذه. عند إغلاق المستند ، ينفذ Word ماكرو الإغلاق التلقائي ، وعند بدء تشغيل Word ، يتم استدعاء ماكرو AutoExec ، عند إغلاقه ، الخروج التلقائي ، وعند إنشاء مستند جديد ، AutoNew.

يتم استخدام آليات مماثلة (ولكن بأسماء مختلفة لوحدات الماكرو والوظائف) في Excel / Office ، حيث يتم تنفيذ دور وحدات الماكرو التلقائية والمضمنة بواسطة وظائف تلقائية ومضمنة موجودة في أي ماكرو أو وحدات ماكرو ، والعديد من يمكن أن تكون الوظائف المدمجة موجودة في ماكرو واحد ، ووظائف تلقائية. تلقائيًا (أي بدون مشاركة المستخدم) يتم أيضًا تنفيذ وحدات الماكرو / الوظائف المرتبطة بأي مفتاح أو وقت أو تاريخ ، أي يستدعي Word / Excel وحدة ماكرو / وظيفة عند الضغط على مفتاح معين (أو مجموعة مفاتيح) ، أو عند الوصول إلى نقطة زمنية معينة. في المكتب ، يتم توسيع إمكانيات اعتراض الأحداث إلى حد ما ، لكن المبدأ هو نفسه.

عادةً ما تستخدم فيروسات الماكرو التي تصيب ملفات Word أو Excel أو Office إحدى الطرق الثلاث المذكورة أعلاه - إما وجود ماكرو تلقائي (وظيفة تلقائية) في الفيروس ، أو إعادة تعريف أحد وحدات ماكرو النظام القياسية (المرتبطة ببعض القوائم item) ، أو يتم استدعاء ماكرو الفيروس تلقائيًا عند الضغط على أي مفتاح أو مجموعة مفاتيح. هناك أيضًا شبه فيروسات لا تستخدم كل هذه الحيل وتتكاثر فقط عندما يقوم المستخدم بتشغيلها بشكل مستقل. وبالتالي ، في حالة إصابة المستند ، عند فتح المستند ، يقوم Word باستدعاء ماكرو الفتح التلقائي المصاب (أو إغلاق تلقائي عند إغلاق المستند) وبالتالي يقوم بتشغيل رمز الفيروس ، ما لم يتم حظره بواسطة متغير النظام DisableAutoMacros. إذا كان الفيروس يحتوي على وحدات ماكرو بأسماء قياسية ، فسيتم التحكم فيها عن طريق استدعاء عنصر القائمة المقابل (ملف / فتح ، ملف / إغلاق ، ملف / حفظ باسم). إذا تم إعادة تعريف أي رمز من رموز لوحة المفاتيح ، فلن يتم تنشيط الفيروس إلا بعد الضغط على المفتاح المقابل.

تحتوي معظم فيروسات الماكرو على جميع وظائفها كوحدات ماكرو Word / Excel / Office قياسية. ومع ذلك ، هناك فيروسات تستخدم الحيل لإخفاء التعليمات البرمجية الخاصة بها وتخزين التعليمات البرمجية الخاصة بها على أنها ليست وحدات ماكرو. هناك ثلاث تقنيات معروفة ، تستخدم جميعها قدرة وحدات الماكرو لإنشاء وحدات ماكرو أخرى وتحريرها وتنفيذها. كقاعدة عامة ، تحتوي مثل هذه الفيروسات على ماكرو صغير (أحيانًا متعدد الأشكال) محمل فيروسات يستدعي محرر الماكرو المضمن ، وينشئ ماكروًا جديدًا ، ويملأه بكود الفيروس الرئيسي ، وينفذ ثم ، كقاعدة عامة ، يدمره (ل إخفاء اثار وجود الفيروس). الكود الرئيسي لهذه الفيروسات موجود إما في ماكرو الفيروس نفسه في شكل سلاسل نصية (مشفرة في بعض الأحيان) ، أو مخزنة في منطقة متغيرات المستند أو في منطقة النص التلقائي.

خوارزمية عمل الورد الكلي فيروسات

عند تشغيل معظم فيروسات Word المعروفة ، تقوم بنقل التعليمات البرمجية الخاصة بها (وحدات الماكرو) إلى منطقة وحدات الماكرو العامة في المستند (وحدات الماكرو "العامة") ، لذلك يستخدمون الأوامر لنسخ وحدات الماكرو MacroCopy أو Organizer.Copy أو باستخدام محرر الماكرو - يسميها الفيروس ، ويخلق ماكروًا جديدًا ، ويدرج الكود الخاص به فيه ، والذي يحفظه في المستند. عند الخروج من Word ، تتم كتابة وحدات الماكرو العمومية (بما في ذلك وحدات ماكرو الفيروسات) تلقائيًا إلى ملف DOT لوحدات الماكرو العمومية (عادةً NORMAL.DOT). وبالتالي ، في المرة التالية التي تبدأ فيها تشغيل محرر MS-Word ، يتم تنشيط الفيروس في الوقت الذي يقوم فيه WinWord بتحميل وحدات الماكرو العالمية ، أي على الفور. ثم يعيد الفيروس تعريف (أو يحتوي بالفعل) واحدًا أو أكثر من وحدات الماكرو القياسية (على سبيل المثال ، FileOpen و FileSave و FileSaveAs و FilePrint) وبالتالي يعترض أوامر معالجة الملفات. عندما يتم استدعاء هذه الأوامر ، يصيب الفيروس الملف الذي يتم الوصول إليه. للقيام بذلك ، يقوم الفيروس بتحويل الملف إلى تنسيق القالب (مما يجعل من المستحيل تغيير تنسيق الملف أكثر ، أي التحويل إلى أي تنسيق غير قالب) ويكتب وحدات الماكرو الخاصة به إلى الملف ، بما في ذلك الماكرو التلقائي. وبالتالي ، إذا اعترض فيروس ماكرو FileSaveAs ، فسيتم إصابة كل ملف DOC محفوظ من خلال الماكرو الذي اعترضه الفيروس. إذا تم اعتراض ماكرو FileOpen ، يكتب الفيروس نفسه إلى الملف عند قراءته من القرص.

يتم استخدام الطريقة الثانية لإدخال فيروس في النظام بشكل أقل - فهي تعتمد على ما يسمى ملفات "الوظائف الإضافية" ، أي الملفات التي هي إضافات خدمة إلى Word. في هذه الحالة ، لا يتم تغيير NORMAL.DOT ، ويقوم Word بتحميل وحدات ماكرو الفيروس من الملف (أو الملفات) المحدد كـ "وظيفة إضافية" عند بدء التشغيل. تكرر هذه الطريقة بشكل شبه كامل إصابة وحدات الماكرو العمومية ، باستثناء أن وحدات الماكرو الخاصة بالفيروسات مخزنة ليس في NORMAL.DOT ، ولكن في ملف آخر. من الممكن أيضًا حقن فيروس في الملفات الموجودة في دليل STARTUP - يقوم Word تلقائيًا بتحميل ملفات القوالب من هذا الدليل ، ولكن لم تتم مصادفة مثل هذه الفيروسات بعد. الطرق المذكورة أعلاه للإدخال في النظام هي بعض التناظرية من فيروسات DOS المقيمة. التناظرية من non-Residency هي فيروسات ماكرو لا تنقل التعليمات البرمجية الخاصة بها إلى منطقة وحدات ماكرو النظام - لإصابة ملفات المستندات الأخرى ، إما أنها تبحث عنها باستخدام وظائف الملفات المضمنة في Word ، أو الرجوع إلى قائمة مؤخرًا الملفات المحررة (قائمة الملفات المستخدمة مؤخرا). ثم تفتح هذه الفيروسات المستند وتصيبه وتغلقه.

خوارزمية عمل اكسل فيروسات الماكرو

تتشابه طرق انتشار فيروسات Excel بشكل عام مع فيروسات Word. الاختلافات في أوامر نسخ الماكرو (على سبيل المثال ، Sheets.Copy) وفي غياب NORMAL.DOT - يتم تنفيذ وظيفتها (بالمعنى الفيروسي) بواسطة ملفات في دليل Excel STARTUP. وتجدر الإشارة إلى أن هناك خيارين محتملين لموقع رمز فيروس الماكرو في جداول بيانات Excel. تكتب الغالبية العظمى من هذه الفيروسات التعليمات البرمجية الخاصة بها بتنسيق VBA (Visual Basic for Applications) ، ولكن هناك فيروسات تخزن التعليمات البرمجية الخاصة بها بتنسيق Excel الإصدار 4.0 القديم. لا تختلف هذه الفيروسات أساسًا عن فيروسات VBA ، باستثناء الاختلافات في تنسيق موقع أكواد الفيروسات في جداول بيانات Excel. على الرغم من أن الإصدارات الأحدث من Excel (منذ الإصدار 5) تستخدم تقنيات أكثر تقدمًا ، فقد تم الاحتفاظ بالقدرة على تشغيل وحدات الماكرو من إصدارات Excel القديمة للحفاظ على التوافق. لهذا السبب ، تعمل جميع وحدات الماكرو المكتوبة بتنسيق Excel 4 بكامل طاقتها في جميع الإصدارات اللاحقة ، على الرغم من حقيقة أن Microsoft لا توصي باستخدامها ولا تتضمن الوثائق اللازمة مع Excel.

خوارزمية الفيروسات للوصول

نظرًا لأن Access جزء من حزمة Office Pro ، فإن فيروسات Access هي نفس وحدات الماكرو في Visual Basic مثل الفيروسات الأخرى التي تصيب تطبيقات Office. ومع ذلك ، في هذه الحالة ، بدلاً من وحدات الماكرو التلقائية ، يحتوي النظام على برامج نصية تلقائية يستدعيها النظام في أحداث مختلفة (على سبيل المثال ، Autoexec). يمكن لهذه البرامج النصية بعد ذلك استدعاء برامج ماكرو متنوعة. وبالتالي ، عند إصابة قواعد بيانات Access ، يحتاج الفيروس إلى استبدال بعض البرامج النصية التلقائية ونسخ وحدات الماكرو الخاصة به في قاعدة البيانات المصابة. لا يمكن إصابة البرامج النصية التي لا تحتوي على وحدات ماكرو إضافية ، لأن لغة البرمجة النصية بدائية تمامًا ولا تحتوي على الوظائف اللازمة لذلك.

تجدر الإشارة إلى أنه فيما يتعلق بالوصول ، تسمى البرامج النصية وحدات الماكرو (الماكرو) ، وتسمى وحدات الماكرو الوحدات النمطية (وحدة نمطية) ، ومع ذلك ، سيتم استخدام المصطلحات الموحدة في المستقبل - البرامج النصية ووحدات الماكرو. يعد تنظيف قواعد بيانات Access مهمة أكثر صعوبة من إزالة فيروسات الماكرو الأخرى ، لأنه في حالة Access ، من الضروري تحييد ليس فقط وحدات ماكرو الفيروسات ، ولكن أيضًا البرامج النصية التلقائية. ونظرًا لأن جزءًا كبيرًا من عمل Access مخصص فقط للنصوص ووحدات الماكرو ، فإن الحذف أو إلغاء التنشيط غير الصحيح لأي عنصر يمكن أن يؤدي إلى استحالة العمليات باستخدام قاعدة البيانات. وينطبق الشيء نفسه على الفيروسات - يمكن أن يؤدي الاستبدال غير الصحيح للنصوص التلقائية إلى فقدان البيانات المخزنة في قاعدة البيانات.

فيروسات AmiPro

عند العمل مع مستند ، يقوم محرر AmiPro بإنشاء ملفين - نص المستند نفسه (بملحق اسم SAM) وملف إضافي يحتوي على وحدات ماكرو للمستند ، وربما معلومات أخرى (ملحق الاسم - SMM). تنسيق كلا الملفين بسيط للغاية - إنهما ملف نصي عادي ، حيث يوجد نص قابل للتحرير وأوامر التحكم في شكل أسطر نصية عادية. يمكن إقران المستند بأي ماكرو من ملف SMM (الأمر AssignMacroToFile). يشبه هذا الماكرو الفتح التلقائي والإغلاق التلقائي في MS Word ويتم استدعاؤه بواسطة محرر AmiPro عند فتح ملف أو إغلاقه. على ما يبدو ، AmiPro ليس لديها القدرة على وضع وحدات الماكرو في المنطقة "العامة" ، لذلك يمكن لفيروسات AmiPro أن تصيب النظام فقط عند فتح ملف مصاب ، ولكن ليس عند بدء تشغيل النظام ، كما يحدث مع MS-Word بعد إصابة ملف NORMAL.DOT. مثل MS Word ، يسمح لك AmiPro بتجاوز وحدات ماكرو النظام (مثل SaveAs ، Save) باستخدام الأمر ChangeMenuAction. عند استدعاء الوظائف المتجاوزة (أوامر القائمة) ، تتحكم وحدات الماكرو المصابة ، أي رمز الفيروس.

فيروسات التخفي

يستخدم ممثلو هذه الفئة وسائل مختلفة لإخفاء وجودهم في النظام. يتم تحقيق ذلك عادةً عن طريق اعتراض عدد من وظائف النظام المسؤولة عن العمل مع الملفات. تقنيات "التخفي" تجعل من المستحيل اكتشاف الفيروس بدون أدوات خاصة. يخفي الفيروس كلاً من الزيادة في طول الكائن المصاب (الملف) والجسم الموجود فيه ، ليحل محل "الجزء" الصحي "من الملف نفسه.

أثناء فحص الكمبيوتر ، تقرأ برامج مكافحة الفيروسات البيانات - الملفات ومناطق النظام - من محركات الأقراص الثابتة والأقراص المرنة باستخدام نظام التشغيل و BIOS. التخفي - الفيروسات ، أو الفيروسات غير المرئية ، بعد الإطلاق ، تترك وحدات خاصة في ذاكرة الوصول العشوائي للكمبيوتر تعترض وصول البرامج إلى نظام القرص الفرعي للكمبيوتر. إذا اكتشفت مثل هذه الوحدة أن برنامج المستخدم يحاول قراءة ملف مصاب أو منطقة نظام على القرص ، فإنها تستبدل البيانات القابلة للقراءة على الفور ، وبالتالي تظل غير ملحوظة ، وتخدع برامج مكافحة الفيروسات.

أيضًا ، يمكن أن تختبئ فيروسات التخفي في شكل تدفقات في النظام والعمليات الأخرى ، مما يجعل اكتشافها أكثر صعوبة. لا يمكن حتى رؤية مثل هذه الفيروسات الخفية في قائمة جميع العمليات الجارية حاليًا في النظام.

هناك طريقة سهلة لإيقاف تشغيل آلية إخفاء الفيروسات الخفية. يكفي تمهيد الكمبيوتر من قرص نظام غير مصاب وفحص الكمبيوتر باستخدام برنامج مكافحة الفيروسات دون تشغيل البرامج من قرص الكمبيوتر (قد يتضح أنها مصابة). في هذه الحالة ، لن يتمكن الفيروس من التحكم وتثبيت وحدة مقيمة في ذاكرة الوصول العشوائي التي تنفذ خوارزمية التخفي ، وسيقوم برنامج مكافحة الفيروسات بقراءة المعلومات المكتوبة بالفعل على القرص ويكتشف بسهولة "العصيات".

معظم برامج مكافحة الفيروسات تتصدى لمحاولات فيروسات التخفي التي تمر دون أن يلاحظها أحد ، ولكن حتى لا تترك لهم فرصة واحدة ، قبل فحص الكمبيوتر ببرنامج مضاد للفيروسات ، يجب تحميل الكمبيوتر من قرص مرن ، عليه مضاد - يجب كتابة برامج الفيروسات. تنجح العديد من مضادات الفيروسات في مقاومة فيروسات التخفي لدرجة أنها تكتشفها عندما تحاول إخفاء نفسها. تقرأ هذه البرامج ملفات البرنامج المراد فحصها من القرص ، وذلك باستخدام عدة طرق مختلفة لهذا - على سبيل المثال ، استخدام نظام التشغيل ومن خلال BIOS: إذا تم العثور على حالات عدم التطابق ، فسيتم استنتاج أنه من المحتمل وجود فيروس خفي في القرص. الرامات " الذاكرة العشوائية في الهواتف والحواسيب.

الفيروسات متعددة الأشكال

تشمل الفيروسات متعددة الأشكال تلك التي يكون اكتشافها مستحيلًا (أو صعبًا للغاية) باستخدام ما يسمى بتوقيعات الفيروس - أقسام من كود دائم خاص بفيروس معين. يتم تحقيق ذلك بطريقتين رئيسيتين - عن طريق تشفير رمز الفيروس الرئيسي بمفتاح غير دائم ومجموعة عشوائية من أوامر فك التشفير ، أو عن طريق تغيير رمز الفيروس القابل للتنفيذ نفسه. هناك أيضًا أمثلة أخرى غريبة نوعًا ما لتعدد الأشكال - فيروس DOS "Bomber" ، على سبيل المثال ، غير مشفر ، لكن تسلسل الأوامر التي تنقل التحكم إلى رمز الفيروس متعدد الأشكال تمامًا.

تم العثور على تعدد الأشكال بدرجات متفاوتة من التعقيد في الفيروسات من جميع الأنواع - من فيروسات التمهيد والملف DOS إلى فيروسات Windows وحتى فيروسات الماكرو.

تتعلق معظم الأسئلة بمصطلح "الفيروس متعدد الأشكال". هذا النوع من فيروسات الكمبيوتر هو الأكثر خطورة إلى حد بعيد.

الفيروسات متعددة الأشكال هي فيروسات تقوم بتعديل كودها في البرامج المصابة بطريقة قد لا تتطابق حالتان من نفس الفيروس في بت واحد.

لا تقوم هذه الفيروسات فقط بتشفير الكود الخاص بها باستخدام مسارات تشفير مختلفة ، ولكنها تحتوي أيضًا على كود إنشاء المشفر وفك التشفير ، والذي يميزها عن فيروسات التشفير العادية ، والتي يمكنها أيضًا تشفير أقسام من التعليمات البرمجية الخاصة بها ، ولكن في نفس الوقت يكون لها رمز ثابت من التشفير وفك التشفير.

الفيروسات متعددة الأشكال هي فيروسات ذات مفكك شفرات ذاتية التعديل. الغرض من هذا التشفير هو أنه إذا كان لديك ملف مصاب وملف أصلي ، فلن تظل قادرًا على تحليل كوده باستخدام التفكيك التقليدي. هذا الرمز مشفر وهو عبارة عن مجموعة أوامر لا معنى لها. يتم تنفيذ فك التشفير بواسطة الفيروس نفسه في وقت التشغيل. في الوقت نفسه ، هناك خيارات ممكنة: يمكنه فك تشفير نفسه دفعة واحدة ، أو يمكنه تنفيذ مثل هذا فك التشفير "أثناء التنقل" ، ويمكنه مرة أخرى تشفير الأقسام التي تم إعدادها بالفعل. يتم كل هذا من أجل جعل من الصعب تحليل كود الفيروس.

أجهزة فك التشفير متعددة الأشكال

تستخدم الفيروسات متعددة الأشكال خوارزميات معقدة لإنشاء رمز لفك تشفيرها: التعليمات (أو ما يعادلها) يتم تبديلها من إصابة إلى أخرى ، مخففة بأوامر لا تغير أي شيء مثل NOP ، STI ، CLI ، STC ، CLC ، DEC غير مستخدم ، XCHG السجلات غير المستخدمة ، إلخ د.

تستخدم الفيروسات متعددة الأشكال الكاملة خوارزميات أكثر تعقيدًا ، ونتيجة لذلك قد يواجه برنامج فك تشفير الفيروسات العمليات SUB و ADD و XOR و ROR و ROL وغيرها بأرقام وترتيب عشوائي. يتم أيضًا تحميل وتغيير المفاتيح ومعلمات التشفير الأخرى بواسطة مجموعة عشوائية من العمليات ، حيث يمكن أن تحدث جميع تعليمات معالج Intel تقريبًا (ADD ، SUB ، TEST ، XOR ، OR ، SHR ، SHL ، ROR ، MOV ، XCHG ، JNZ ، PUSH ، POP. ..) مع جميع أوضاع العنونة الممكنة. تظهر الفيروسات متعددة الأشكال أيضًا ، حيث يستخدم فك التشفير تعليمات تصل إلى Intel386 ، وفي صيف عام 1997 تم اكتشاف فيروس متعدد الأشكال 32 بت يصيب ملفات Windows95 EXE. يوجد الآن بالفعل فيروسات متعددة الأشكال يمكنها أيضًا استخدام أوامر مختلفة من المعالجات الحديثة.

نتيجة لذلك ، في بداية ملف مصاب بهذا الفيروس ، هناك مجموعة من الإرشادات التي تبدو بلا معنى ، وبعض التركيبات التي تعمل بشكل كبير لا يتم أخذها بواسطة أدوات التفكيك الخاصة (على سبيل المثال ، مجموعة CS: CS: أو CS : NOP). ومن بين هذه "عصيدة" الأوامر والبيانات ، تتسلل أحيانًا MOV و XOR و LOOP و JMP - التعليمات التي "تعمل" حقًا.

مستويات تعدد الأشكال

يوجد تقسيم للفيروسات متعددة الأشكال إلى مستويات اعتمادًا على مدى تعقيد الكود الموجود في مفكك تشفير هذه الفيروسات. تم اقتراح هذا التقسيم لأول مرة من قبل د. آلان سليمان ، بعد مرور بعض الوقت قام Vesselin Bonchev بتوسيعه.

المستوى 1: الفيروسات التي لديها مجموعة معينة من برامج فك التشفير برمز دائم واختيار واحد منهم عند الإصابة. هذه الفيروسات "شبه متعددة الأشكال" وتسمى أيضًا "قليلة الأشكال" (oligomorphic). أمثلة: "شيبا" ، "سلوفاكيا" ، "الحوت".
المستوى 2: تحتوي وحدة فك ترميز الفيروس على تعليمات دائمة واحدة أو أكثر ، لكن الجزء الرئيسي منها ليس دائمًا.
المستوى 3: يحتوي برنامج فك التشفير على تعليمات غير مستخدمة - "مهملات" مثل NOP و CLI و STI وما إلى ذلك.
المستوى 4: يستخدم برنامج فك التشفير تعليمات قابلة للتبديل وإعادة ترتيب (خلط) التعليمات. لا تتغير خوارزمية فك التشفير.
المستوى 5: يتم استخدام جميع الحيل المذكورة أعلاه ، وخوارزمية فك التشفير غير مستقرة ، ومن الممكن إعادة تشفير رمز الفيروس وحتى تشفير رمز فك التشفير نفسه جزئيًا.
المستوى 6: تبديل الفيروسات. يخضع الرمز الرئيسي للفيروس للتغيير - فهو مقسم إلى كتل ، يتم إعادة ترتيبها بترتيب تعسفي أثناء الإصابة. يظل الفيروس نشطًا. قد تكون هذه الفيروسات غير مشفرة.

لا يخلو القسم أعلاه من أوجه القصور ، لأنه مصنوع وفقًا لمعيار واحد - القدرة على اكتشاف الفيروس بواسطة رمز فك التشفير باستخدام تقنية قناع الفيروسات القياسية:

المستوى 1: للكشف عن الفيروس يكفي وجود عدة أقنعة

المستوى 2: الكشف عن القناع باستخدام "أحرف البدل"

المستوى 3: كشف القناع بعد إزالة تعليمات القمامة

المستوى 4: يحتوي القناع على العديد من خيارات الكود الممكنة ، أي تصبح خوارزمية
المستوى الخامس: عدم القدرة على اكتشاف الفيروس بالقناع

تم إثبات عدم كفاية هذا التقسيم في فيروس المستوى الثالث من تعدد الأشكال ، والذي يسمى "المستوى 3". هذا الفيروس ، كونه أحد أكثر الفيروسات متعددة الأشكال تعقيدًا ، يقع في المستوى 3 وفقًا للتقسيم أعلاه ، نظرًا لأنه يحتوي على خوارزمية فك تشفير ثابتة ، والتي يسبقها عدد كبير من أوامر "القمامة". ومع ذلك ، في هذا الفيروس ، تم تحسين خوارزمية توليد "البيانات المهملة": يمكن العثور على جميع تعليمات معالج i8086 تقريبًا في كود فك التشفير.

إذا قمنا بإجراء تقسيم إلى مستويات من حيث مضادات الفيروسات التي تستخدم أنظمة فك تشفير رموز الفيروسات التلقائية (المحاكيات) ، فسيعتمد التقسيم إلى مستويات على مدى تعقيد محاكاة رمز الفيروس. من الممكن أيضًا اكتشاف الفيروس بطرق أخرى ، على سبيل المثال ، فك التشفير باستخدام القوانين الرياضية الأولية ، إلخ.

لذلك ، يبدو لي تقسيمًا أكثر موضوعية ، حيث تشارك فيه أيضًا معلمات أخرى ، بالإضافة إلى معيار أقنعة الفيروسات:

درجة تعقيد الشفرة متعددة الأشكال (النسبة المئوية لجميع تعليمات المعالج التي يمكن العثور عليها في كود فك التشفير)
استخدام الحيل المضادة للمحاكي
استمرار خوارزمية فك التشفير
ثبات طول وحدة فك التشفير

تغيير الكود القابل للتنفيذ

في أغلب الأحيان ، تستخدم فيروسات الماكرو طريقة تعدد الأشكال هذه ، والتي عند إنشاء نسخ جديدة من نفسها ، تقوم بتغيير أسماء متغيراتها بشكل عشوائي ، أو إدراج أسطر فارغة ، أو تغيير التعليمات البرمجية الخاصة بها بطريقة أخرى. وبالتالي ، تظل خوارزمية الفيروس دون تغيير ، لكن رمز الفيروس يتغير بالكامل تقريبًا من الإصابة إلى الإصابة.

أقل شيوعًا ، يتم استخدام هذه الطريقة بواسطة فيروسات التمهيد المعقدة. يتم حقن مثل هذه الفيروسات في قطاعات التمهيد فقط بإجراء قصير إلى حد ما يقرأ الرمز الرئيسي للفيروس من القرص وينقل التحكم إليه. يتم تحديد رمز هذا الإجراء من عدة خيارات مختلفة (والتي يمكن أيضًا تخفيفها بأوامر "فارغة") ، ويتم إعادة ترتيب الأوامر فيما بينها ، وما إلى ذلك.

تعد هذه التقنية أكثر ندرة بالنسبة لفيروسات الملفات ، لأنه يتعين عليهم تغيير التعليمات البرمجية الخاصة بهم تمامًا ، وهذا يتطلب خوارزميات معقدة نوعًا ما. حتى الآن ، لا يُعرف سوى نوعين من الفيروسات ، أحدهما ("Ply") ينقل أوامره بشكل عشوائي حول جسمه ويستبدلها بأوامر JMP أو CALL. يستخدم فيروس آخر ("TMC") طريقة أكثر تعقيدًا - في كل مرة يقوم فيها بالعدوى ، يقوم الفيروس بتبديل الكتل من التعليمات البرمجية والبيانات الخاصة به ، وإدراج "البيانات المهملة" ، وتعيين قيم إزاحة جديدة للبيانات في تعليمات المُجمع الخاصة به ، وتغيير الثوابت ، إلخ. . نتيجة لذلك ، على الرغم من أن الفيروس لا يقوم بتشفير الكود الخاص به ، إلا أنه فيروس متعدد الأشكال - لا يحتوي الرمز على مجموعة دائمة من الأوامر. علاوة على ذلك ، عند إنشاء نسخ جديدة لنفسه ، يغير الفيروس طوله.

الفيروسات حسب نوع الأفعال المدمرة

حسب نوع الإجراءات المدمرة ، يمكن تقسيم الفيروسات إلى ثلاث مجموعات:

فيروسات المعلومات (فيروسات الجيل الأول)

ما يسمى بالفيروسات من الجيل الأول هي فيروسات موجودة حاليًا تهدف أفعالها إلى تدمير المعلومات أو تعديلها أو سرقتها.

فيروسات الأجهزة (فيروسات الجيل الثاني)

هذا النوع من الفيروسات قادر على إتلاف أجهزة الكمبيوتر. على سبيل المثال ، قم بمسح BIOS أو إتلافه ، وكسر الهيكل المنطقي للقرص الصلب بطريقة تجعل من الممكن استعادته فقط عن طريق التنسيق منخفض المستوى (وحتى ذلك الحين ليس دائمًا). الممثل الوحيد من هذا النوع هو أخطر فيروس "Chernobl" Win95.CIH. في وقت من الأوقات ، عطّل هذا الفيروس ملايين أجهزة الكمبيوتر. قام بمسح البرنامج من BIOS ، وبالتالي تعطيل الكمبيوتر ، ودمر نفس البرنامج جميع المعلومات من القرص الصلب بحيث كان من المستحيل تقريبًا استعادته.

حاليًا ، لم يتم العثور على فيروسات الأجهزة "البرية". لكن الخبراء يتوقعون بالفعل ظهور فيروسات جديدة من هذا النوع يمكن أن تصيب BIOS. للحماية من هذه الفيروسات ، من المخطط إنشاء وصلات عبور خاصة على كل لوحة أم تمنع الكتابة إلى BIOS.

فيروسات المؤثرات العقلية (فيروسات الجيل الثالث)

هذه الفيروسات قادرة على قتل أي شخص من خلال التأثير عليه من خلال الشاشة أو مكبرات صوت الكمبيوتر. من خلال إعادة إنتاج أصوات معينة ، أو تردد معين ، أو وميض معين بألوان مختلفة على الشاشة ، يمكن للفيروسات المؤثرة على العقل أن تسبب نوبة صرع (لدى الأشخاص المعرضين لذلك) ، أو سكتة قلبية ، ونزيف دماغي.

لحسن الحظ ، فإن الوجود الحقيقي لمثل هذه الفيروسات غير معروف حتى الآن. يشكك العديد من الخبراء في الوجود العام لهذا النوع من الفيروسات. ولكن هناك شيء واحد مؤكد. لطالما تم اختراع تقنيات المؤثرات العقلية للتأثير على الشخص من خلال الصوت أو الصورة (يجب عدم الخلط بينه وبين الإطار 25). من السهل جدًا أن تحدث نوبة صرع لدى شخص معرض لذلك. قبل بضع سنوات ، ثارت ضجة في بعض وسائل الإعلام حول ظهور فيروس جديد يسمى "666". يعرض هذا الفيروس ، بعد كل 24 إطارًا ، مجموعة ألوان خاصة على الشاشة يمكنها تغيير حياة العارض. نتيجة لذلك ، يدخل الشخص في نشوة مغناطيسية ، يفقد الدماغ السيطرة على عمل الجسم ، مما قد يؤدي إلى حالة مؤلمة ، وتغيير في طريقة عمل القلب ، وضغط الدم ، وما إلى ذلك. لكن تركيبات الألوان اليوم لا يحظرها القانون. لذلك ، يمكن أن تظهر على الشاشة بشكل قانوني تمامًا ، على الرغم من أن نتائج تأثيرها يمكن أن تكون كارثية بالنسبة لنا جميعًا.

ومن الأمثلة على هذا التأثير الرسوم المتحركة "بوكيمون" ، بعد عرض إحدى المسلسلات في اليابان ، انتهى الأمر بمئات الأطفال في المستشفيات بصداع رهيب ونزيف في المخ. مات بعضهم. كانت هناك إطارات في الرسوم المتحركة مع جيل مشرق من لوحة ألوان معينة ، كقاعدة عامة ، هذه ومضات حمراء على خلفية سوداء في تسلسل معين. بعد هذه الحادثة ، تم منع هذا الكارتون من الظهور في اليابان.

يمكن إعطاء مثال آخر. ربما يتذكر الجميع ما حدث في موسكو بعد بث المباراة بين فريق كرة القدم لدينا والمنتخب الياباني (إن لم أكن مخطئًا). لكن على الشاشة الكبيرة ، كان هناك مقطع فيديو فقط يظهر كيف قام رجل بمضرب سحق سيارة. هذا أيضًا مؤثر عقلي ، حيث بدأت رؤية مقطع الفيديو "الناس" في تدمير كل شيء وكل شخص في طريقهم.

المواد والبيانات مأخوذة من الموارد:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• لإضافة التعليقات، الرجاء تسجيل الدخول أو التسجيل