Jaké soubory infikují makro. Které soubory infikují makroviry. Jak se to šíří

Makroviry jsou potenciálně nežádoucí programy, které jsou napsány v makrojazycích vložených do systémů pro zpracování textu nebo grafiky. Nejběžnější verze virů jsou pro Microsoft Word, Excel a Office 97. Vzhledem k tomu, že vytvoření makroviru je snadné, jsou poměrně běžné. Při stahování pochybných dokumentů z internetu byste měli být velmi opatrní. Mnoho uživatelů podceňuje možnosti těchto programů a dělá obrovskou chybu.

Jak makrovirus infikuje počítač

Díky jednoduchému způsobu reprodukce jsou makroviry schopny infikovat velké množství souborů v co nejkratším čase. Pomocí schopností makrojazyků při otevírání nebo zavírání infikovaného dokumentu snadno proniknou do všech programů, ke kterým se přistupuje tak či onak. To znamená, že pokud otevřete obrázek pomocí grafického editoru, pak se makrovirus bude šířit prostřednictvím souborů tohoto typu. A některé viry tohoto typu mohou být aktivní, dokud je otevřený grafický nebo textový editor, nebo dokonce dokud není osobní počítač vypnutý.

Činnost makrovirů probíhá podle následujícího principu: při práci s dokumentem Microsoft Word čte a provádí různé příkazy, které jsou zadány v jazyce maker. Malware se nejprve pokusí proniknout do šablony hlavního dokumentu, díky čemuž se otevírají všechny soubory tohoto formátu. Makrovirus zároveň vytvoří kopii svého kódu do globálních maker (makra, která poskytují přístup ke klíčovým parametrům) A když použitý program ukončíte, automaticky se uloží do tečkového souboru (slouží k vytváření nových dokumentů) . Virus pak napadne standardní makra souboru, aby zachytil příkazy odeslané do jiných souborů, a tím je také infikoval.

K infekci makrovirem dochází v jednom ze čtyř případů:

1. Pokud virus obsahuje automatické makro (spustí se automaticky při spuštění nebo vypnutí programu).
2. Virus obsahuje hlavní systémové makro (obvykle spojené s položkami nabídky).
3. Virus se aktivuje automaticky po stisknutí určité klávesy nebo kombinace.
4. K reprodukci viru dochází pouze při jeho přímém spuštění.

Makroviry mohou poškodit všechny soubory, které jsou propojeny s programem v jazyce maker.

Jaké škody způsobují makroviry?

V žádném případě byste neměli podceňovat makroviry, protože se jedná o stejné plnohodnotné viry a mohou způsobit neméně škody na osobním počítači. Makroviry jsou docela schopné mazat, upravovat nebo kopírovat soubory obsahující osobní informace a přenášet je na jinou osobu prostřednictvím e-mailu. A silnější programy mohou obecně zformátovat pevný disk a převzít kontrolu nad vaším počítačem. Názor, že makroviry jsou nebezpečné pouze pro textové editory, je tedy mylný, protože Word a Excel při práci často přicházejí do styku s obrovským množstvím různých programů.

Jak rozpoznat infikovaný soubor

Obvykle je poměrně snadné identifikovat soubory napadené makrovirem, protože nefungují jako jiné programy stejného formátu.

Přítomnost makrovirů lze určit podle následujících příznaků:

1. Dokument aplikace Word se neuloží do jiného formátu (pomocí příkazu "uložit jako...")
2. dokument nelze přesunout do jiné složky nebo jednotky
3. nemožnost uložit změny do dokumentu (pomocí příkazu "uložit")
4. častý výskyt systémových chybových hlášení o činnosti programu s odpovídajícím kódem
5. neobvyklé chování dokumentu
6. většinu makrovirů lze detekovat vizuálně, protože jejich tvůrci často rádi zahrnou informace, jako je název programu, předmět, kategorie, jméno autora a komentáře na kartě Souhrn (otevřené z místní nabídky).

Jak odstranit soubor napadený virem z počítače

Za prvé, pokud najdete podezřelý dokument nebo soubor, naskenujte jej antivirem. Téměř vždy se antiviry při zjištění hrozby pokusí soubor vyléčit nebo k němu zcela zablokovat přístup. V závažnějších případech, kdy je již napaden celý počítač, použijte nouzový instalační disk obsahující antivirus s aktualizovanou databází. Prohledá pevný disk a neutralizuje malware, který najde. V případě, že je antivirus bezmocný a není po ruce žádný nouzový disk, použijte „ruční“ metodu léčby:

1. Na kartě „Zobrazit“ zrušte zaškrtnutí políčka „Skrýt příponu pro všechny registrované typy souborů“.
2. vyhledejte infikovaný soubor a změňte příponu z .doc na .rtf
3. odstranit šablonu Normální. tečka
4. změňte příponu souboru zpět a obnovte původní parametry

V důsledku těchto akcí jsme virus z infikovaného dokumentu odstranili, ale to neznamená, že nemohl zůstat v počítačovém systému, proto při první příležitosti prohledejte všechny objekty v počítači antivirem.

Jak se chránit před makroviry

Léčba makrovirů v počítači může být poměrně obtížná, proto je nejlepší infekci předcházet. Chcete-li to provést, ujistěte se, že je váš antivirus pravidelně aktualizován. Před kopírováním souborů z jiných médií nebo z internetu pečlivě zkontrolujte, zda v nich není malware. Pokud máte slabý antivirus nebo žádný, ukládejte dokumenty ve formátu .rtf, aby do nich virus nepronikl.

Makroviry jsou infekce, která otráví život každého uživatele. I když jste alespoň třikrát systémový programátor, stále má velkou šanci, že s vámi bude bojovat. Mnozí tuto kategorii virů prostě podceňují a marně, nejsou tak neškodné, jak se zdají. Pokud jde o přežití, lze je srovnávat s krysami a šváby - přizpůsobí se všemu a velmi zřídka umírají. Je čas vypořádat se s makroinfekcí jednou provždy.

Architektura makrovirů

Na začátek jasná definice: makrovirus je virus, který se dokáže množit a ukládat (bez zásahu uživatele) pomocí makrojazyka. Z definice vyplývá, že makroviry mohou žít nejen v dokumentech aplikace Word, ale v JAKÉKOLI kancelářském dokumentu, který implementuje funkce jazyka maker, jako je kopírování maker a jejich ukládání Zde je téměř úplný seznam aplikací náchylných k hrozbě infekce makra: Word ( any), Excel, AmiPro (to je takový textový editor), MS Visio, PowerPoint, MS Access a 1C. Jak je vidět, počet takových programů je poměrně velký a na internetu často najdete články definující makroviry, jako je tento:
"viry, které infikují soubory dokumentů ve formátu
WinWord." Psali nějací idioti!

Nyní si promluvme o struktuře makroviru pod Wordem (jako nejrelevantnější). Tak. Existuje něco jako standardní makra. Patří mezi ně: AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew. Předpona auto- znamená, že se akce provádí automaticky, bez zásahu uživatele (závisí to sice na nastavené úrovni zabezpečení, ale o tom si povíme později). To znamená, že přidáním infekce do makra s tímto názvem jej můžete „oživit“. Každá standardní akce má také své vlastní standardní makro. Například pro tisk FilePrint, pro uložení FileSave, pro uložení v jiném formátu nebo s jiným názvem FileSaveAs. A tato makra mohou být infikována.

Konečným cílem každé makra je mít normal.dot (tam jsou uložena všechna nastavení šablony). Pak budou všechny otevřené soubory infikovány a vaše texty půjdou k čertu.
Word poskytuje několik úrovní zabezpečení: vysoké, střední a nízké. Obsahuje také vestavěný ochranný mechanismus proti makroinfekci. To by podle záměru vývojářů mělo působit na makroviry, jako stříbro na zlé duchy. Může se stát, že to funguje, ne-li na jedno „ale“. Právě kvůli němu se nebudu pouštět do rozdílů mezi úrovněmi zabezpečení a do vnitřního nastavení Wordu. Jde ale o to, že VŠECHNY interní bezpečnostní parametry lze jednoduše ZMĚNIT přes registr. Makrojazyky to naštěstí umožňují
dělat. Nebudu předepisovat konkrétní cestu (kde co hledat), abych nesvedl vaše hravé ruce. Obzvláště nadaní mě mohou kontaktovat mýdlem - dám vám vědět, ale "pouze za účelem seznámení se s touto softwarovou zranitelností, za účelem jejich odstranění" 🙂

Stručně řečeno, struktura makroviru je následující:

1. Předefinujeme jakékoli standardní nebo automatické užitečné makro tak, aby deaktivovalo ochranu a opravilo úroveň zabezpečení.
2. Přidáme tam infekci.
3. Zkontrolujeme, zda je toto makro požadováno, a infekce se množí a musí být zaregistrována v Normal.dot

Všechno je docela jednoduché - kvůli tomu existuje tolik různých variací makrostvoření.

Zabiju holýma rukama!

Existuje několik lidových způsobů, jak zničit makra v již infikovaných dokumentech aplikace Word. Tady jsou skoro všechny:

1. Vytvořte si vlastní makro s tímto kódem:
Podhlavní
Zakázat AutoMacros
konec sub
Tento zázrak uložíte pod názvem AutoExec a stanete se tak nezranitelnými vůči automatickým makrům.

2. Manipulujete s úrovněmi ochrany - pak Word požádá o povolení při provádění maker.

3. Nepoužívejte formát doc. Do RTF lze totiž umístit vše – stejné fonty, design, tabulky, grafiku... A RTF makra z definice neobsahuje. Všechno by bylo perfektní, ale je tu jedno mínus: při ukládání informací ve formátu rtf jsou všechny obrázky automaticky převedeny do formátu bmp. Tento grafický formát váží natolik, že byste to nepřáli ani svému nepříteli. Ztráta velikosti výsledného souboru tak může i po archivaci vést k tomu, že se na disketu jednoduše nevejde (samozřejmě v závislosti na počtu obrázků). Pravda, pokud tam není grafika, tak rtf je ideální.

Těžké dělostřelectvo

Je čas sebrat odvahu a zabít makrostvoření jednou provždy. Tento úkol není tak obtížný: potřebujete neinfikovaný počítač a nejnovější distribuční sadu Kaspersky Anti-Virus. Před několika lety společnost Kaspersky Lab vyvinula modul s názvem Office Guard. Promluvíme si o něm.

Office Guard obvykle není součástí pirátských distribucí, ale s určitou dovedností jej můžete najít. Co je tato věc? Zde je to, co o tom říkají tvůrci:
"Office Guard je zásadně nová technologie pro ochranu před makroviry a makrotrojskými koňmi. Office Guard, navržený pro pokročilé uživatele, implementuje revoluční přístup k antivirové bezpečnosti založený na principech behaviorálního blokátoru. Na rozdíl od "klasického" antiviru použitá ochranná schémata , postavená na základě konvenčního kontextového vyhledávání, Office Guard řeší problém komplexně, s vyloučením samotné možnosti fungování makrovirů na chráněném počítači. Office Guard nerozlišuje makroviry podle vnějších znaků (přítomnost určité sekvence znaky), ale jejich chováním, které je určeno možnostmi programovacího jazyka VBA (Visual Basic for
aplikace)."

Nejlepší funkcí je, že ji není třeba aktualizovat! Jeho použití je však plné mnoha úskalí:

1. Měl by být nainstalován na neinfikovaném počítači.
2. Pokud jste měli nainstalovaný Word, pak jste nainstalovali Office Guard a poté Excel, pak bude chráněn pouze Word. Udělejte si vlastní závěry.
3. Office Guard zachytí viry, ale NELÉČÍ.

Chcete-li vyřešit poslední problém, potřebujete antivirový skener. AVP-skener + Office Guard tedy poskytují úplnou ochranu proti makrovirům. Pokud chcete dokumenty ošetřit, budete si muset čas od času stáhnout aktualizaci pro
AVP.

Buďme však spravedliví – deku nemůžete táhnout směrem ke Kaspersky Lab, jinak dojde k rozhovorům typu:
"A kolik jste dostali zaplaceno za propagaci produktu?"

Jakýkoli aktualizovaný antivirus poskytuje dobré, téměř 100%,
ochrana proti makrogadům. Jen k tomu každý z nich používá jiné technologie. DrWeb například používá vyhledávání signatur a heuristický analyzátor,
o čem jsme mluvili s jeho tvůrci:

Vaše antivirová sada neobsahuje samostatný modul pro boj s makroviry. Proč? Myslíte si, že rezidentní monitor zaručuje bezpečnost proti makrovirům?

Nástroje pro detekci a boj s makroviry jsou nedílnou součástí jádra DrWeb. A protože jádro používá skener i monitor, všechny makroviry jsou detekovány a ošetřeny v obou případech stejně dobře.

WUA obsahuje samostatný modul proti makrovirům v MS Office. Vývojáři tvrdí, že tento modul je založen na behaviorálním blokátoru, který analyzuje akce pacientského programu. Výsledkem je, že tento produkt je 100% bez makrovirů, dokud nebude vydána nová verze VBA. Tito. makrovirus se nevyhledává podle signatur. Výhoda takového
přístup spočívá v tom, že pokud takový modul nainstalujete jednou, není třeba jej aktualizovat. Nyní otázky: DrWeb vyhledává makroviry podle signatur?

DrWeb vyhledává makroviry jak podle signatur, tak pomocí vestavěných
originální výkonný heuristický analyzátor. Nástroj pro vyhledávání a analýzu maker
implementováno na několika úrovních: je také skenován binární kód maker,
jejich zkompilovaný a zdrojový kód. To vám umožní detekovat známé viry,
jejich modifikace, stejně jako neznámé makroviry. Takto,
je možné nejen nezáviset na nainstalované verzi
Balíček MS Office (objevila se schopnost zachytit běžící makra
pouze v Office 2000 a chybí v předchozích verzích), ale obecně od
přítomnost MS Office na počítači, na kterém je skenování prováděno
soubory – například na firemní internetové bráně.

Navíc s pomocí heuristiky
analyzátor, DrWeb je schopen detekovat neznámé trojské koně,
zadní vrátka, internetoví červi, irc, dávka (bat) a skript
(vbs/vbe) viry.

Váš osobní názor: může modul WUA poskytnout 100% bezpečnost proti makroinfekci?

Současná situace je taková, že k účinnému boji s viry je jakákoli moderní
antivirový produkt musí být včas aktualizován. Bohužel,
vytvoření "absolutního" antiviru je nemožné.

Otázky byly zodpovězeny
Sergej Jurijevič Popov
Andrej Vladimirovič Basharimov

Vývojáři antivirových programů z rodiny Dr.WEB.

Makroviry jsou programy v jazycích (makrojazycích) zabudované do některých systémů pro zpracování dat (textové editory, tabulkové procesory atd.). Pro svou reprodukci takové viry využívají schopnosti makro jazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu nebo tabulky) do jiných.

Pro existenci virů v konkrétním systému (editoru) je nutné mít v systému zabudovaný makrojazyk s následujícími schopnostmi:

1. vazba programu v makrojazyku na konkrétní soubor;

2. kopírování programů maker z jednoho souboru do druhého;

schopnost získat kontrolu nad programem maker bez zásahu uživatele (automatická nebo standardní makra).

Síťové počítačové viry .

Síťové viry zahrnují viry, které ke svému šíření aktivně využívají protokoly a možnosti lokálních i globálních sítí. Hlavním principem síťového viru je schopnost nezávisle přenést svůj kód na vzdálený server nebo pracovní stanici. Síťové viry mají zároveň také možnost spustit svůj vlastní kód na vzdáleném počítači nebo donutit uživatele ke spuštění infikovaného souboru.

Existuje velké množství kombinací – například viry spouštějící soubory, které infikují soubory i spouštěcí sektory disků. Takové viry mají zpravidla poměrně složitý algoritmus práce, často používají originální metody pronikání do systému, používají stealth a polymorfní technologie. Dalším příkladem takové kombinace je síťový makrovirus, který nejen infikuje upravované dokumenty, ale také posílá své kopie e-mailem.

Operační systém, který má být infikován(přesněji OS, jehož objekty jsou náchylné k infekci) je druhá úroveň rozdělení virů do tříd. Každý soubor nebo síťový virus infikuje soubory jednoho nebo více operačních systémů.

Makroviry infikují soubory Word, Excel, Office. Boot viry jsou také zaměřeny na specifické formáty pro umístění systémových dat v boot sektorech disků.

Vlastnosti pracovního algoritmu počítačové viry:

1. Bydliště.

2. Použití stealth algoritmů.

3. Samošifrování a polymorfismus.

4. Použití nestandardních technik.

Pod pojmem bydliště se týká schopnosti virů ponechat své kopie v systémové paměti, zachytit určité události (například přístup k souborům nebo diskům) a přitom volat procedury pro infikování detekovaných objektů (souborů a sektorů). Rezidentní viry jsou tedy aktivní nejen během běhu infikovaného programu, ale také poté, co program dokončí svou práci. Rezidentní kopie takových virů zůstávají životaschopné až do příštího restartu, i když jsou všechny infikované soubory na disku zničeny. Často je nemožné zbavit se takových virů obnovením všech kopií souborů z distribučních disků nebo záložních kopií. Rezidentní kopie viru zůstává aktivní a infikuje nově vytvořené soubory. Totéž platí pro boot viry – formátování disku, když je v paměti rezidentní virus, nemusí vždy disk vyléčit, protože mnoho rezidentních virů disk po zformátování znovu infikuje.

Nerezident Naproti tomu viry jsou aktivní poměrně krátkou dobu, pouze při spuštění infikovaného programu. Pro jejich distribuci vyhledávají neinfikované soubory na disku a zapisují na ně. Poté, co kód viru předá kontrolu hostitelskému programu, se vliv viru na provoz operačního systému sníží na nulu až do dalšího spuštění jakéhokoli infikovaného programu.

Stealth viry tak či onak skrývat skutečnost své přítomnosti v systému.

Na polymorfní viry zahrnují ty, jejichž detekce je nemožná (nebo extrémně obtížná) pomocí tzv. virových masek - úseků trvalého kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou skutečného prováděného virového kódu.

Rozličný nestandardní triky často používané ve virech, aby se skryly co nejhlouběji v jádře OC.

Destruktivní možnosti viry lze rozdělit na:

1. Neškodný , které žádným způsobem neovlivňují provoz počítače (kromě zmenšení volného místa na disku v důsledku jeho distribuce).

2. Nehazardní , jehož vliv je omezen na úbytek volného místa na disku a grafické, zvukové a jiné efekty.

Zejména o těch představitelích této početné rodiny, kteří ovlivňují dokumenty Slovo.

Charakteristické znaky přítomnosti jsou:

1) nemožnost uložit infikovaný dokument Slovo do jiného formátu (na příkaz Uložit jako…);

2) nemožnost zápisu dokumentu do jiného adresáře nebo na jiný disk příkazem Uložit jako…;

3) nemožnost uložit změny provedené v dokumentu (příkaz Uložit);

4) nepřístupnost tab Úroveň zabezpečení(Jídelní lístek Služba - Makro - Zabezpečení…);

5), protože mnoho virů je napsáno s chybami (nebo nefungují správně v různých verzích balíčku Microsoft Office), pak se mohou objevit odpovídající zprávy s chybovým kódem;

6) další "podivnost" v chování dokumentů Slovo;

7) lze často detekovat vizuálně. Faktem je, že většina autorů virů se vyznačuje ješitností: ve vlastnostech souboru Slovo(okno Vlastnosti vyvolán kliknutím pravým tlačítkem - vyberte si z Vlastnosti) na kartě souhrn vyplňte vstupní pole ( název, Téma, Autor, Kategorie, Klíčová slova a

Makroviry (makroviry) jsou programy v jazycích (makrojazycích) zabudované do některých systémů pro zpracování dat (textové editory, tabulkové procesory atd.), jakož i ve skriptovacích jazycích, jako je VBA (Visual Basic for Applications) JS ( Java Script). Pro svou reprodukci takové viry využívají schopnosti makrojazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu nebo tabulky) do jiných. Makroviry pro Microsoft Office jsou nejrozšířenější. Existují také makroviry, které infikují dokumenty a databáze Ami Pro. Pro existenci virů v konkrétním systému (editoru) je nutné mít v systému zabudovaný makrojazyk s následujícími schopnostmi:

1. vazba programu v makrojazyku na konkrétní soubor;
2. kopírování programů maker z jednoho souboru do druhého;
3. schopnost získat kontrolu nad programem maker bez zásahu uživatele (automatická nebo standardní makra).

Tyto podmínky splňují editory Microsoft Word, Office a AmiPro, stejně jako tabulkový procesor Excel a databáze Microsoft Access. Tyto systémy obsahují makrojazyky: Word - Word Basic; Excel, Access - VBA. kde:

1. Makro programy jsou svázány s konkrétním souborem (AmiPro) nebo jsou uvnitř souboru (Word, Excel, Access);
2. jazyk maker umožňuje kopírovat soubory (AmiPro) nebo přesouvat programy maker do souborů systémových služeb a upravitelných souborů (Word, Excel);
3. při práci se souborem za určitých podmínek (otevření, zavření atd.) jsou volány makroprogramy (pokud existují), které jsou definovány zvláštním způsobem (AmiPro) nebo mají standardní názvy (Word, Excel).

Tato funkce makro jazyků je navržena pro automatické zpracování dat ve velkých organizacích nebo globálních sítích a umožňuje organizovat takzvaný „automatizovaný pracovní postup“. Na druhou stranu schopnosti makrojazyků takových systémů umožňují viru přenést svůj kód do jiných souborů, a tím je infikovat. Viry přebírají kontrolu při otevírání nebo zavírání infikovaného souboru, zachycují standardní funkce souborů a poté infikují soubory, ke kterým je nějakým způsobem přistupováno. Analogicky s MS-DOS můžeme říci, že většina makrovirů je rezidentních: jsou aktivní nejen v době otevření/zavření souboru, ale dokud je aktivní samotný editor.

Viry Word/Excel/Office: obecné informace

Fyzické umístění viru uvnitř souboru závisí na jeho formátu, který je v případě produktů Microsoft extrémně složitý - každý soubor dokumentu Word, tabulka Excel je sekvence datových bloků (z nichž každý má také svůj vlastní formát), vzájemně propojených pomocí velkého množství servisních dat. Tento formát se nazývá OLE2 - Object Linking and Embedding.

Struktura souborů Word, Excel a Office (OLE2) připomíná sofistikovaný systém souborů na disku: „kořenový adresář“ souboru dokumentu nebo tabulky ukazuje na hlavní podadresáře různých datových bloků, několik tabulek FAT obsahuje informace o umístění datové bloky v dokumentu a tak dále. Systém Office Binder, který podporuje standardy Word a Excel, navíc umožňuje vytvářet soubory, které současně obsahují jeden nebo více dokumentů aplikace Word a jednu nebo více tabulek aplikace Excel. Word viry zároveň mohou infikovat dokumenty aplikace Word a viry Excel mohou infikovat excelové tabulky, a to vše je možné v rámci jednoho souboru na disku. Totéž platí pro Office. Většina známých virů pro Word je nekompatibilní s národními (včetně ruských) verzí Wordu nebo naopak - jsou určeny pouze pro lokalizované verze Wordu a nefungují pod anglickou verzí. Virus v dokumentu je však stále aktivní a může infikovat další počítače s nainstalovanou odpovídající verzí aplikace Word. Viry pro Word mohou infikovat počítače jakékoli třídy. Infekce je možná, pokud je na tomto počítači nainstalován textový editor, který je plně kompatibilní s Microsoft Word verze 6 nebo 7 nebo vyšší (například MS Word pro Macintosh).

Totéž platí pro Excel a Office. Je třeba si také uvědomit, že složitost formátů dokumentů Word, Excel a zejména Office má následující zvláštnost: v souborech dokumentů a tabulkách jsou datové bloky „navíc“, tzn. data, která nijak nesouvisí s upravovaným textem nebo tabulkami, nebo jsou kopiemi jiných dat v souboru, která tam náhodou byla. Důvodem výskytu takových datových bloků je shluková organizace dat v OLE2 dokumentech a tabulkách - i když je zadán pouze jeden znak textu, pak je pro něj alokován jeden nebo dokonce několik datových clusterů. Při ukládání dokumentů a tabulek do clusterů, které nejsou naplněny „užitečnými“ daty, zůstává „smetí“, které se do souboru dostane spolu s dalšími daty. Množství "odpadu" v souborech lze snížit zrušením výběru možnosti "Povolit rychlé ukládání" ve Wordu/Excelu, ale tím se pouze sníží celkové množství "odpadu", ale neodstraní se úplně. Důsledkem toho je skutečnost, že při úpravách dokumentu se jeho velikost mění bez ohledu na akce s ním prováděné – při přidávání nového textu se může velikost souboru zmenšit, při mazání části textu naopak zvětšit.

Totéž s makroviry: když je soubor infikován, jeho velikost se může zmenšit, zvětšit nebo zůstat nezměněna. Je třeba také poznamenat, že některé verze OLE2.DLL obsahují drobnou chybičku, v jejímž důsledku se při práci s dokumenty Wordu, Excelu a zejména Office dokumentů objevují náhodná data z disku včetně důvěrných dat (smazané soubory, adresáře, atd.) .d.). Do těchto bloků se mohou dostat i virové příkazy. Výsledkem je, že po dezinfekci infikovaných dokumentů je aktivní kód viru ze souboru odstraněn, ale některé jeho příkazy mohou zůstat v blocích "smetí". Takové stopy přítomnosti viru jsou někdy viditelné v textových editorech a mohou dokonce způsobit reakci některých antivirových programů. Tyto zbytky viru jsou však zcela neškodné: Word a Excel jim nevěnují žádnou pozornost.

Viry Word/Excel/Office: jak fungují

Provádí různé akce při práci s dokumentem aplikace Word verze 6 a 7 nebo vyšší: otevře dokument, uloží, vytiskne, zavře atd. Word zároveň vyhledává a provádí odpovídající „vestavěná makra“ - při ukládání souboru příkazem Soubor / Uložit je voláno makro FileSave, při ukládání příkazem Soubor / Uložit jako - FileSaveAs, při tisku dokumentů - FilePrint atd., pokud jsou samozřejmě definována makra. Existuje také několik „automatických maker“, která jsou automaticky volána za různých podmínek. Například když otevřete dokument, Word v něm zkontroluje přítomnost makra AutoOpen. Pokud je takové makro přítomno, Word jej spustí. Po zavření dokumentu Word spustí makro AutoClose, při spuštění Wordu se zavolá makro AutoExec, při zavření AutoExit a při vytváření nového dokumentu AutoNew.

Podobné mechanismy (ale s různými názvy maker a funkcí) se používají v Excelu/Office, kde roli automatických a vestavěných maker plní automatické a vestavěné funkce přítomné v jakémkoli makru nebo makrech a několik vestavěné funkce mohou být přítomny v jednom makru a automatické funkce. Automaticky (tj. bez zásahu uživatele) se také provádějí makra/funkce spojené s jakýmkoli klíčem nebo časem nebo datem, tzn. Word/Excel volá makro/funkci, když je stisknuta určitá klávesa (nebo kombinace kláves) nebo když je dosaženo určitého okamžiku. V Office je možnost zachytit události poněkud rozšířena, ale princip je stejný.

Makroviry, které infikují soubory Wordu, Excelu nebo Office, obvykle používají jednu ze tří výše uvedených metod – buď je ve viru přítomno auto-makro (automatická funkce), nebo je předefinováno jedno ze standardních systémových maker (spojené s nějakou nabídkou item) nebo se virové makro zavolá automaticky po stisknutí libovolné klávesy nebo kombinace kláves. Existují také semiviry, které všechny tyto triky nepoužívají a množí se pouze tehdy, když je uživatel samostatně spustí. Pokud je tedy dokument infikován, Word při otevření dokumentu zavolá infikované makro AutoOpen (nebo AutoClose při zavření dokumentu) a spustí tak kód viru, pokud to není zakázáno systémovou proměnnou DisableAutoMacros. Pokud virus obsahuje makra se standardními názvy, jsou ovládána vyvoláním příslušné položky nabídky (Soubor/Otevřít, Soubor/Zavřít, Soubor/Uložit jako). Pokud je některý symbol klávesnice předefinován, pak se virus aktivuje až po stisknutí příslušné klávesy.

Většina makrovirů obsahuje všechny své funkce jako standardní makra Word/Excel/Office. Existují však viry, které používají triky ke skrytí svého kódu a uložení kódu v jiné než makro formě. Jsou známy tři takové techniky, všechny využívají schopnost maker vytvářet, upravovat a spouštět další makra. Takové viry mají zpravidla malé (někdy polymorfní) makro zavaděče virů, které zavolá vestavěný editor maker, vytvoří nové makro, naplní jej hlavním virovým kódem, spustí a poté jej zpravidla zničí (aby skrýt stopy přítomnosti viru). Hlavní kód takových virů je přítomen buď v samotném makru viru ve formě textových řetězců (někdy zašifrovaných), nebo je uložen v oblasti proměnných dokumentu nebo v oblasti Auto-text.

Algoritmus práce makrovirů Word

Většina známých Word virů po svém spuštění přenese svůj kód (makra) do oblasti globálních maker dokumentu ("obecná" makra), k tomu využívají příkazy pro kopírování maker MacroCopy, Organizer.Copy popř. pomocí editoru maker - virus jej zavolá, vytvoří nové makro, vloží do něj svůj kód, který uloží do dokumentu. Při ukončení aplikace Word se globální makra (včetně virových maker) automaticky zapíší do souboru globálních maker DOT (obvykle NORMAL.DOT). Při příštím spuštění editoru MS-Word se tedy virus aktivuje v okamžiku, kdy WinWord načte globální makra, tzn. hned. Poté virus předefinuje (nebo již obsahuje) jedno nebo více standardních maker (například FileOpen, FileSave, FileSaveAs, FilePrint) a zachytí tak příkazy pro manipulaci se soubory. Když jsou tyto příkazy volány, virus infikuje soubor, ke kterému se přistupuje. K tomu virus převede soubor do formátu Template (což znemožňuje další změnu formátu souboru, tedy převod na jakýkoli jiný formát než šablona) a zapíše do souboru svá makra, včetně Auto-makra. Pokud tedy virus zachytí makro FileSaveAs, je infikován každý soubor DOC uložený prostřednictvím makra zachyceného virem. Pokud je makro FileOpen zachyceno, virus se při čtení z disku zapíše do souboru.

Druhý způsob zavádění viru do systému se používá mnohem méně často - je založen na tzv. "Add-in" souborech, tzn. soubory, které jsou doplňkovými službami aplikace Word. V tomto případě se NORMAL.DOT nezmění a Word načte virová makra ze souboru (nebo souborů) zadaného jako "Doplněk" při spuštění. Tato metoda téměř úplně opakuje infekci globálních maker s tou výjimkou, že virová makra nejsou uložena v NORMAL.DOT, ale v nějakém jiném souboru. Je také možné vložit virus do souborů umístěných v adresáři STARTUP - Word automaticky načte soubory šablon z tohoto adresáře, ale s takovými viry se dosud nesetkal. Výše uvedené způsoby zavedení do systému jsou některé analogy rezidentních DOS virů. Obdobou nerezidence jsou makroviry, které nepřenášejí svůj kód do oblasti systémových maker - aby infikovaly jiné soubory dokumentů, buď je hledají pomocí souborových funkcí zabudovaných ve Wordu, nebo odkazují na seznam posledních upravené soubory (seznam naposledy použitých souborů) . Pak takové viry dokument otevřou, infikují a zavřou.

Algoritmus práce excelových makrovirů

Metody šíření virů aplikace Excel jsou obecně podobné metodám šíření virů aplikace Word. Rozdíly jsou v příkazech kopírování makra (například Sheets.Copy) a při absenci NORMAL.DOT - jeho funkci (ve virálním smyslu) plní soubory v adresáři Excel STARTUP. Je třeba poznamenat, že existují dvě možné možnosti umístění kódu makroviru v tabulkách aplikace Excel. Naprostá většina těchto virů píše svůj kód ve formátu VBA (Visual Basic for Applications), ale existují viry, které svůj kód ukládají ve starém formátu Excelu verze 4.0. Takové viry se v podstatě neliší od virů VBA, s výjimkou rozdílů ve formátu umístění virových kódů v excelových tabulkách. Přestože novější verze Excelu (od verze 5) používají pokročilejší technologie, možnost spouštět makra ze starších verzí Excelu byla zachována, aby byla zachována kompatibilita. Z tohoto důvodu jsou všechna makra napsaná ve formátu Excel 4 plně funkční ve všech následujících verzích, a to i přesto, že Microsoft jejich použití nedoporučuje a k Excelu nepřikládá potřebnou dokumentaci.

Virový algoritmus pro Access

Protože je Access součástí balíčku Office Pro, jsou viry Accessu stejná makra v jazyce Visual Basic jako jiné viry, které infikují aplikace Office. V tomto případě však místo automatických maker má systém automatické skripty, které systém volá při různých událostech (například Autoexec). Tyto skripty pak mohou volat různá makra. Při infikování databází Accessu tedy virus potřebuje nahradit nějaký automatický skript a zkopírovat jeho makra do infikované databáze. Infikování skriptů bez dalších maker není možné, protože skriptovací jazyk je dosti primitivní a neobsahuje k tomu potřebné funkce.

Je třeba poznamenat, že z hlediska Accessu se skriptům říká makra (makro) a makra moduly (modul), nicméně v budoucnu se bude používat jednotná terminologie - skripty a makra. Čištění databází Accessu je náročnější úkol než odstraňování jiných makrovirů, protože v případě Accessu je nutné neutralizovat nejen virová makra, ale i auto-skripty. A protože značná část práce Accessu je přiřazena právě skriptům a makrům, může nesprávné smazání nebo deaktivace jakéhokoli prvku vést k nemožnosti operací s databází. Totéž platí pro viry – nesprávné nahrazování automatických skriptů může vést ke ztrátě dat uložených v databázi.

viry AmiPro

Při práci s dokumentem vytváří editor AmiPro dva soubory - samotný text dokumentu (s příponou názvu SAM) a doplňkový soubor obsahující makra dokumentu a případně další informace (přípona názvu - SMM). Formát obou souborů je vcelku jednoduchý – jedná se o prostý textový soubor, ve kterém jsou v podobě obyčejných textových řádků přítomny jak editovatelný text, tak ovládací příkazy. Dokument lze přiřadit libovolnému makru ze souboru SMM (příkaz AssignMacroToFile). Toto makro je analogické s AutoOpen a AutoClose v MS Word a je voláno editorem AmiPro při otevírání nebo zavírání souboru. AmiPro zjevně nemá schopnost umístit makra do "obecné" oblasti, takže viry pro AmiPro mohou infikovat systém pouze při otevření infikovaného souboru, ale ne při nabootování systému, jak se to děje s MS-Wordem po infikování soubor NORMAL.DOT. Stejně jako MS Word, i AmiPro umožňuje přepsat systémová makra (např. SaveAs, Save) pomocí příkazu ChangeMenuAction. Při volání přepsaných funkcí (příkazů nabídky) přebírají kontrolu infikovaná makra, tzn. kód viru.

Stealth viry

Zástupci této třídy používají různé prostředky k maskování své přítomnosti v systému. Toho je obvykle dosaženo zachycením řady systémových funkcí odpovědných za práci se soubory. Technologie „stealth“ znemožňují detekci viru bez speciálních nástrojů. Virus maskuje jak délkový přírůstek postiženého objektu (souboru), tak své vlastní tělo v něm a „nahrazuje“ „zdravou“ část souboru.

Antivirové programy během kontroly počítače čtou data – soubory a systémové oblasti – z pevných disků a disket pomocí operačního systému a systému BIOS. Stealth – viry, neboli neviditelné viry, po spuštění zanechají v paměti RAM počítače speciální moduly, které zachytí přístup programů k diskovému subsystému počítače. Pokud takový modul zjistí, že se uživatelský program pokouší číst infikovaný soubor nebo systémovou oblast disku, nahradí čitelná data za běhu a zůstane tak bez povšimnutí, čímž podvede antivirové programy.

Stealth viry se také mohou skrývat ve formě proudů v systémových a jiných procesech, což také značně ztěžuje jejich detekci. Takové stealth viry nelze vidět ani v seznamu všech aktuálně běžících procesů v systému.

Existuje snadný způsob, jak vypnout mechanismus maskování viru stealth. Stačí nabootovat počítač z neinfikované systémové diskety a prohledat počítač antivirovým programem bez spouštění programů z disku počítače (může se ukázat, že jsou infikované). V tomto případě se viru nepodaří získat kontrolu a nainstalovat do RAM rezidentní modul, který implementuje algoritmus stealth, antivirus přečte informace skutečně zapsané na disku a snadno odhalí „bacil“.

Většina antivirových programů působí proti pokusům stealth virů zůstat bez povšimnutí, ale abychom jim nenechali jedinou šanci, před kontrolou počítače antivirovým programem by měl být počítač nahrán z diskety, na kterou je anti - také by měly být napsány virové programy. Mnoho antivirů je tak úspěšných v odolávání stealth virům, že je odhalí, když se snaží zamaskovat. Takové programy čtou programové soubory, které mají být zkontrolovány, z disku pomocí několika různých metod - například pomocí operačního systému a prostřednictvím systému BIOS: pokud jsou nalezeny neshody, dochází k závěru, že v systému je pravděpodobně skrytý virus. RAM.

Polymorfní viry

Polymorfní viry zahrnují ty, jejichž detekce je nemožná (nebo extrémně obtížná) pomocí tzv. virových signatur – částí trvalého kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou skutečného prováděného virového kódu. Existují i ​​další poněkud exotické příklady polymorfismu – například DOS virus „Bomber“ je nešifrovaný, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.

Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů po Windows viry a dokonce i makroviry.

Většina otázek souvisí s pojmem „polymorfní virus“. Tento typ počítačového viru je zdaleka nejnebezpečnější.

Polymorfní viry jsou viry, které upravují svůj kód v infikovaných programech tak, že se dvě instance stejného viru nemusí v jednom bitu shodovat.

Takové viry nejen šifrují svůj kód různými šifrovacími cestami, ale obsahují také generační kód šifrovače a dešifrovače, což je odlišuje od běžných šifrovacích virů, které dokážou zašifrovat i části svého kódu, ale zároveň mají konstantní kód šifrovače a dešifrovače.

Polymorfní viry jsou viry se samomodifikačními dekodéry. Účelem takového šifrování je, že pokud máte infikovaný a původní soubor, stále nebudete schopni analyzovat jeho kód pomocí konvenčního rozebrání. Tento kód je zašifrovaný a je to nesmyslná sada příkazů. Dešifrování provádí samotný virus za běhu. Možnosti jsou přitom možné: dokáže se dešifrovat sám najednou, nebo takové dešifrování může provádět „za pochodu“, může opět šifrovat již rozpracované úseky. To vše se děje kvůli ztížení analýzy virového kódu.

Polymorfní dešifrovače

Polymorfní viry používají ke generování kódu svých dešifrovačů složité algoritmy: instrukce (nebo jejich ekvivalenty) se vyměňují z infekce na infekci, ředí se příkazy, které nic nemění, jako je NOP, STI, CLI, STC, CLC, DEC nepoužívaný registr, XCHG nepoužité registry atd. d.

Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož se dešifrovač virů může setkat s operacemi SUB, ADD, XOR, ROR, ROL a dalšími v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých mohou probíhat téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows95 EXE. Nyní již existují polymorfní viry, které mohou využívat i různé příkazy moderních procesorů.

Výsledkem je, že na začátku souboru infikovaného takovým virem je sada zdánlivě nesmyslných instrukcí a některé kombinace, které jsou docela účinné, nejsou převzaty proprietárními disassemblery (například kombinace CS:CS: nebo CS :NOP). A mezi touto "kaší" příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP - instrukce, které opravdu "fungují".

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dekodérech těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době Vesselin Bonchev jej rozšířil.

Úroveň 1: viry, které mají určitou sadu dešifrovačů s trvalým kódem a při infekci si jeden z nich vyberou. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“ (oligomorfní). Příklady: "Cheeba", "Slovensko", "Whale".
Úroveň 2: Dekodér viru obsahuje jednu nebo více trvalých instrukcí, ale jejich hlavní část není trvalá.
Úroveň 3: Dešifrovač obsahuje nepoužité instrukce - "smetí" jako NOP, CLI, STI atd.
Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.
Úroveň 5: jsou použity všechny výše uvedené triky, dešifrovací algoritmus je nestabilní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.
Úroveň 6: permutující viry. Hlavní kód viru podléhá změnám - je rozdělen do bloků, které se během infekce přeskupují v libovolném pořadí. Virus zůstává aktivní. Takové viry mohou být nešifrované.

Výše uvedené rozdělení není prosté nedostatků, protože je vyrobeno podle jediného kritéria - schopnosti detekovat virus dešifrovacím kódem pomocí standardní metody virových masek:

Úroveň 1: k detekci viru stačí mít několik masek

Úroveň 2: detekce masky pomocí „zástupných karet“

Úroveň 3: detekce masky po odstranění instrukcí smetí

Úroveň 4: Maska obsahuje několik možných možností kódu, tzn. se stává algoritmickým
Úroveň 5: neschopnost detekovat virus maskou

Nedostatečnost tohoto dělení byla prokázána u viru 3. úrovně polymorfismu, který se nazývá "Level3". Tento virus, který je jedním z nejsložitějších polymorfních virů, spadá do úrovně 3 podle výše uvedeného rozdělení, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. V tomto viru však byl algoritmus generování „odpadků“ doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.

Dělíme-li na úrovně z hlediska antivirů, které využívají systémy pro automatické dešifrování kódu viru (emulátory), pak rozdělení do úrovní bude záviset na složitosti emulace kódu viru. Virus je možné detekovat i jinými metodami, například dešifrováním pomocí elementárních matematických zákonů atd.

Proto se mi zdá objektivnější rozdělení, na kterém se kromě kritéria virových masek podílejí i další parametry:

Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače)
Používání anti-emulátorových triků
Perzistence dešifrovacího algoritmu
Konstanta délky dekodéru

Změna spustitelného kódu

Nejčastěji takovou metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se téměř úplně mění od infekce k infekci.

Méně často tuto metodu používají složité boot viry. Takové viry vnesou do boot sektorů pouze poměrně krátkou proceduru, která načte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup se vybírá z několika různých možností (které lze také zředit "prázdnými" příkazy), příkazy se mezi sebou přeskupují a tak dále.

U souborových virů je tato technika ještě vzácnější, protože musí zcela změnit svůj kód, což vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus ("TMC") používá složitější metodu - pokaždé, když se infikuje, virus prohodí bloky svého kódu a dat, vloží "smetí", nastaví nové hodnoty offsetu pro data ve svých instrukcích assembleru, změní konstanty atd. . Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – kód neobsahuje stálou sadu příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Viry podle typu destruktivních akcí

Podle typu destruktivních akcí lze viry rozdělit do tří skupin:

Informační viry (viry první generace)

Takzvané viry první generace jsou všechny v současnosti existující viry, jejichž činnost je zaměřena na zničení, úpravu nebo krádež informací.

Hardwarové viry (viry druhé generace)

Tento typ viru je schopen poškodit hardware počítače. Například vymazat BIOS nebo jej poškodit, rozbít logickou strukturu pevného disku tak, že jej bude možné obnovit pouze nízkoúrovňovým formátováním (a i to ne vždy). Jediným zástupcem tohoto typu je nejnebezpečnější ze všech, co kdy existoval, virus Win95.CIH "Chernobl". Najednou tento virus vyřadil z provozu miliony počítačů. Vymazal program z BIOSu, čímž deaktivoval počítač, a ten samý zničil všechny informace z pevného disku, takže bylo téměř nemožné je obnovit.

V současné době nebyly nalezeny žádné "divoké" hardwarové viry. Odborníci však již předpovídají výskyt nových virů tohoto druhu, které mohou infikovat BIOS. Pro ochranu před takovými viry se plánuje vytvoření speciálních propojek na každé základní desce, které budou blokovat zápis do BIOSu.

Psychotropní viry (viry třetí generace)

Tyto viry jsou schopny zabít člověka tím, že ho ovlivní prostřednictvím monitoru nebo reproduktorů počítače. Reprodukcí určitých zvuků, dané frekvence nebo určitého blikání různých barev na obrazovce mohou psychotropní viry způsobit epileptický záchvat (u lidí k tomu náchylných), zástavu srdce, mozkové krvácení.

Naštěstí skutečná existence takových virů není dodnes známa. Mnoho odborníků zpochybňuje obecnou existenci tohoto typu viru. Jedno je ale jisté. Psychotropní technologie byly již dlouho vynalezeny k ovlivnění člověka prostřednictvím zvuku nebo obrazu (neplést s rámem 25). U člověka náchylného k tomu je velmi snadné vyvolat epileptický záchvat. Před pár lety se v některých médiích rozkřiklo o vzniku nového viru s názvem „666“. Tento virus po každých 24 snímcích zobrazí na obrazovce speciální kombinaci barev, která může změnit život diváka. V důsledku toho se člověk dostane do hypnotického transu, mozek ztratí kontrolu nad prací těla, což může vést k bolestivému stavu, změně režimu činnosti srdce, krevního tlaku atd. Barevné kombinace ale dnes zákon nezakazuje. Na obrazovce se tedy mohou objevit zcela legálně, ačkoli výsledky jejich dopadu mohou být pro nás všechny katastrofální.

Příkladem takového dopadu je kreslený film „Pokémon“, po představení jednoho ze seriálů v Japonsku skončily stovky dětí v nemocnicích s hroznými bolestmi hlavy, mozkovým krvácením. Někteří z nich zemřeli. V karikatuře byly záběry s jasnou generací určité palety barev, zpravidla se jedná o červené záblesky na černém pozadí v určité sekvenci. Po tomto incidentu byla tato karikatura zakázána promítat v Japonsku.

Lze uvést ještě jeden příklad. Každý si asi pamatuje, co se dělo v Moskvě po odvysílání utkání naší fotbalové reprezentace s japonským týmem (pokud se nepletu). Jenže na velké obrazovce bylo jen video, jak muž s netopýrem drtil auto. To je také psychotropní účinek, vidět video "lidé" začali ničit vše a všechny, kteří jim stáli v cestě.

Materiály a údaje byly převzaty ze zdrojů:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• Chcete-li psát komentáře, přihlaste se nebo zaregistrujte