ไฟล์ใดติดมาโคร ไฟล์ใดติดไวรัสมาโคร แพร่กระจายอย่างไร

ไวรัสมาโครเป็นโปรแกรมที่ไม่ต้องการซึ่งเขียนด้วยภาษามาโครที่ฝังอยู่ในระบบประมวลผลข้อมูลข้อความหรือกราฟิก เวอร์ชันของไวรัสที่พบบ่อยที่สุดคือ Microsoft Word, Excel และ Office 97 เนื่องจากการสร้างไวรัสมาโครนั้นง่าย พวกมันจึงเป็นเรื่องธรรมดา คุณควรระมัดระวังในการดาวน์โหลดเอกสารที่น่าสงสัยจากอินเทอร์เน็ต ผู้ใช้หลายคนดูถูกความสามารถของโปรแกรมเหล่านี้ ทำให้เกิดความผิดพลาดครั้งใหญ่

ไวรัสแมโครติดคอมพิวเตอร์ได้อย่างไร

เนื่องจากวิธีการทำซ้ำที่เรียบง่าย ไวรัสมาโครจึงสามารถแพร่เชื้อไปยังไฟล์จำนวนมากได้ในเวลาที่สั้นที่สุด การใช้ความสามารถของภาษามาโครในการเปิดหรือปิดเอกสารที่ติดไวรัส พวกเขาสามารถเจาะเข้าไปในโปรแกรมทั้งหมดที่เข้าถึงได้ไม่ทางใดก็ทางหนึ่ง นั่นคือ หากคุณเปิดรูปภาพโดยใช้โปรแกรมแก้ไขกราฟิก ไวรัสมาโครจะแพร่กระจายผ่านไฟล์ประเภทนี้ และไวรัสประเภทนี้บางชนิดสามารถทำงานตราบเท่าที่เปิดโปรแกรมแก้ไขกราฟิกหรือข้อความ หรือแม้กระทั่งจนกว่าคอมพิวเตอร์ส่วนบุคคลจะปิด

การกระทำของไวรัสมาโครเกิดขึ้นตามหลักการต่อไปนี้: เมื่อทำงานกับเอกสาร Microsoft Word จะอ่านและดำเนินการคำสั่งต่างๆ ที่ได้รับในภาษามาโคร ก่อนอื่นมัลแวร์จะพยายามเจาะเทมเพลตเอกสารหลักด้วยการเปิดไฟล์ทั้งหมดในรูปแบบนี้ ในเวลาเดียวกัน ไวรัสมาโครสร้างสำเนาของรหัสลงในมาโครสากล (มาโครที่ให้การเข้าถึงพารามิเตอร์หลัก) และเมื่อคุณออกจากโปรแกรมที่ใช้ ไฟล์นั้นจะถูกบันทึกโดยอัตโนมัติในไฟล์ dot (ใช้สร้างเอกสารใหม่) . จากนั้นไวรัสจะบุกรุกมาโครมาตรฐานของไฟล์เพื่อสกัดกั้นคำสั่งที่ส่งไปยังไฟล์อื่น ดังนั้นจึงติดไวรัสด้วยเช่นกัน

การติดเชื้อมาโครไวรัสเกิดขึ้นในหนึ่งในสี่กรณี:

1. หากมีแมโครอัตโนมัติในไวรัส (มันทำงานโดยอัตโนมัติเมื่อโปรแกรมเริ่มทำงานหรือปิดตัวลง)
2. ไวรัสประกอบด้วยมาโครระบบหลัก (มักเกี่ยวข้องกับรายการเมนู)
3. ไวรัสจะเปิดใช้งานโดยอัตโนมัติเมื่อคุณกดแป้นหรือชุดค่าผสมบางแป้น
4. การแพร่พันธุ์ของไวรัสจะเกิดขึ้นก็ต่อเมื่อมีการเปิดตัวโดยตรงเท่านั้น

ไวรัสมาโครสามารถสร้างความเสียหายให้กับไฟล์ทั้งหมดที่เชื่อมโยงกับโปรแกรมในภาษามาโคร

ไวรัสมาโครทำอันตรายอะไร?

ไม่ว่าในกรณีใดคุณไม่ควรประมาทไวรัสมาโครเนื่องจากเป็นไวรัสที่เต็มเปี่ยมเหมือนกันและอาจทำให้เกิดอันตรายต่อคอมพิวเตอร์ส่วนบุคคลได้ไม่น้อย ไวรัสมาโครค่อนข้างสามารถลบ แก้ไข หรือคัดลอกไฟล์ที่มีข้อมูลส่วนบุคคลและถ่ายโอนไปยังบุคคลอื่นผ่านอีเมลได้ และโปรแกรมที่แรงกว่านั้นสามารถฟอร์แมตฮาร์ดไดรฟ์และควบคุมคอมพิวเตอร์ของคุณได้ ดังนั้นความคิดเห็นที่ว่าไวรัสมาโครเป็นอันตรายสำหรับโปรแกรมแก้ไขข้อความเท่านั้นจึงเป็นสิ่งที่ผิดพลาด เนื่องจาก Word และ Excel มักจะสัมผัสกับโปรแกรมต่างๆ จำนวนมากเมื่อทำงาน

วิธีรับรู้ไฟล์ที่ติดไวรัส

การระบุไฟล์ที่ได้รับผลกระทบจากไวรัสมาโครนั้นค่อนข้างง่าย เนื่องจากใช้งานไม่ได้เหมือนกับโปรแกรมอื่นๆ ที่มีรูปแบบเดียวกัน

การมีอยู่ของไวรัสมาโครสามารถกำหนดได้โดยคุณสมบัติดังต่อไปนี้:

1. เอกสาร Word ไม่ถูกบันทึกเป็นรูปแบบอื่น (โดยใช้คำสั่ง "บันทึกเป็น...")
2. เอกสารไม่สามารถย้ายไปยังโฟลเดอร์อื่นหรือไดรฟ์
3. ไม่สามารถบันทึกการเปลี่ยนแปลงในเอกสารได้ (โดยใช้คำสั่ง "บันทึก")
4. ข้อความแสดงข้อผิดพลาดของระบบเกิดขึ้นบ่อยครั้งเกี่ยวกับการทำงานของโปรแกรมด้วยรหัสที่เกี่ยวข้อง
5. พฤติกรรมเอกสารที่ผิดปกติ
6. ไวรัสมาโครส่วนใหญ่สามารถตรวจพบได้ด้วยสายตา เนื่องจากผู้สร้างมักต้องการรวมข้อมูล เช่น ชื่อโปรแกรม หัวเรื่อง หมวดหมู่ ชื่อผู้เขียน และความคิดเห็นในแท็บ สรุป (เปิดจากเมนูบริบท)

วิธีลบไฟล์ที่ติดไวรัสออกจากคอมพิวเตอร์

ก่อนอื่น หากคุณพบเอกสารหรือไฟล์ที่น่าสงสัย ให้สแกนด้วยโปรแกรมป้องกันไวรัส เกือบทุกครั้ง เมื่อตรวจพบภัยคุกคาม แอนตี้ไวรัสจะพยายามแก้ไขไฟล์หรือบล็อกการเข้าถึงโดยสมบูรณ์ ในกรณีที่ร้ายแรงกว่านั้น เมื่อคอมพิวเตอร์ทั้งเครื่องติดไวรัสแล้ว ให้ใช้ดิสก์การติดตั้งฉุกเฉินที่มีโปรแกรมป้องกันไวรัสพร้อมฐานข้อมูลที่อัปเดต มันจะสแกนฮาร์ดไดรฟ์และกำจัดมัลแวร์ที่พบ ในกรณีที่โปรแกรมป้องกันไวรัสไม่มีอำนาจ และไม่มีดิสก์ฉุกเฉินอยู่ในมือ ให้ใช้วิธีการรักษาแบบ "ด้วยตนเอง":

1. ในแท็บ "มุมมอง" ให้ยกเลิกการเลือกช่องทำเครื่องหมาย "ซ่อนนามสกุลสำหรับประเภทไฟล์ที่ลงทะเบียนทั้งหมด"
2. ค้นหาไฟล์ที่ติดไวรัสและเปลี่ยนนามสกุลจาก .doc เป็น .rtf
3. ลบเทมเพลตปกติ จุด
4. เปลี่ยนนามสกุลไฟล์กลับและกู้คืนพารามิเตอร์เดิม

จากการกระทำเหล่านี้ เราได้ลบไวรัสออกจากเอกสารที่ติดไวรัส แต่ไม่ได้หมายความว่าไวรัสนั้นไม่สามารถคงอยู่ในระบบคอมพิวเตอร์ได้ ดังนั้นในโอกาสแรก ให้สแกนวัตถุทั้งหมดบนพีซีของคุณด้วยโปรแกรมป้องกันไวรัส

วิธีป้องกันตัวเองจากไวรัสมาโคร

การดูแลคอมพิวเตอร์สำหรับไวรัสมาโครอาจค่อนข้างยาก ดังนั้นจึงเป็นการดีที่สุดที่จะป้องกันการติดไวรัส ในการทำเช่นนี้ ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสของคุณได้รับการอัปเดตเป็นประจำ ก่อนคัดลอกไฟล์จากสื่ออื่นหรือจากอินเทอร์เน็ต ให้ตรวจสอบมัลแวร์อย่างระมัดระวัง หากคุณมีโปรแกรมป้องกันไวรัสที่อ่อนแอหรือไม่มีเลย ให้บันทึกเอกสารในรูปแบบ .rtf เพื่อให้ไวรัสไม่สามารถเจาะเข้าไปได้

Macroviruses คือการติดเชื้อที่เป็นพิษต่อชีวิตของผู้ใช้ แม้ว่าคุณจะเป็นโปรแกรมเมอร์ระบบอย่างน้อยสามครั้ง เธอก็ยังมีโอกาสที่ดีที่จะต่อสู้กับคุณ หลายคนดูถูกดูแคลนไวรัสประเภทนี้และไร้ประโยชน์ พวกมันไม่ได้เป็นอันตรายอย่างที่คิด ในแง่ของความอยู่รอด พวกมันสามารถเปรียบได้กับหนูและแมลงสาบ พวกมันปรับตัวเข้ากับทุกสิ่งและแทบไม่ตายเลย ได้เวลาจัดการกับการติดเชื้อมาโครครั้งแล้วครั้งเล่า

สถาปัตยกรรมมาโครไวรัส

ในตอนเริ่มต้น คำจำกัดความที่ชัดเจน: ไวรัสมาโครคือไวรัสที่สามารถทำซ้ำและจัดเก็บตัวเองได้ (โดยไม่ต้องอาศัยการแทรกแซงจากผู้ใช้) โดยใช้ภาษามาโคร จากคำจำกัดความที่ว่าไวรัสมาโครสามารถมีชีวิตอยู่ได้ไม่เพียงแค่ในเอกสาร Word เท่านั้น แต่ในเอกสารสำนักงานใดๆ ก็ตามที่ใช้ฟังก์ชันภาษาแมโคร เช่น การคัดลอกมาโครและการบันทึก ต่อไปนี้คือรายการแอปพลิเคชันเกือบทั้งหมดที่เสี่ยงต่อภัยคุกคามจากการติดไวรัสมาโคร: Word (ใดๆ), Excel, AmiPro (เช่น โปรแกรมแก้ไขข้อความ), MS Visio, PowerPoint, MS Access และ 1C อย่างที่คุณเห็น จำนวนของโปรแกรมดังกล่าวค่อนข้างมาก และบนอินเทอร์เน็ต คุณมักจะพบบทความที่กำหนด ไวรัสมาโครเช่นนี้:
"ไวรัสที่ติดไฟล์เอกสารในรูปแบบ
WinWord" คนงี่เง่าบางคนเขียน!

ตอนนี้เรามาพูดถึงโครงสร้างของไวรัสมาโครภายใต้ Word (ตามความเกี่ยวข้องมากที่สุด) ดังนั้น. มีสิ่งเช่นมาโครมาตรฐาน ซึ่งรวมถึง: เปิดอัตโนมัติ, ปิดอัตโนมัติ, AutoExec, ออกอัตโนมัติ, สร้างใหม่อัตโนมัติ คำนำหน้าอัตโนมัติ- หมายถึงการดำเนินการจะดำเนินการโดยอัตโนมัติ โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (แม้ว่าจะขึ้นอยู่กับระดับความปลอดภัยที่ตั้งไว้ แต่เราจะพูดถึงเรื่องนี้ในภายหลัง) กล่าวคือ การเพิ่มการติดไวรัสลงในมาโครด้วยชื่อนี้ คุณจะสามารถ "ชุบชีวิต" ได้ นอกจากนี้ การดำเนินการมาตรฐานแต่ละรายการมีมาโครมาตรฐานของตัวเอง ตัวอย่างเช่น ในการพิมพ์ FilePrint เพื่อบันทึก FileSave เพื่อบันทึกในรูปแบบอื่น หรือด้วยชื่ออื่น FileSaveAs และมาโครเหล่านี้สามารถติดไวรัสได้

เป้าหมายสูงสุดของ macroasshole คือการมี normal.dot (นั่นคือที่ที่การตั้งค่าเทมเพลตทั้งหมดถูกเก็บไว้) จากนั้นไฟล์ที่เปิดอยู่ทั้งหมดจะติดไวรัสและข้อความของคุณจะตกนรก
Word มีความปลอดภัยหลายระดับ: สูง ปานกลาง และต่ำ นอกจากนี้ยังมีกลไกการป้องกันการติดเชื้อมาโครในตัวอีกด้วย ตามความตั้งใจของนักพัฒนาควรดำเนินการกับไวรัสมาโครเช่นเงินกับวิญญาณชั่วร้าย อาจเป็นไปได้ว่าใช้งานได้ถ้าไม่ใช่สำหรับ "แต่" เป็นเพราะเขาที่ฉันจะไม่เจาะลึกถึงความแตกต่างระหว่างระดับความปลอดภัยและการตั้งค่าภายในของ Word แต่ประเด็นก็คือพารามิเตอร์ความปลอดภัยภายในทั้งหมดสามารถเปลี่ยนแปลงได้อย่างง่ายดายผ่านรีจิสทรี โชคดีที่ภาษามาโครอนุญาตสิ่งนี้
ทำ. ฉันจะไม่กำหนดเส้นทางเฉพาะ (ที่จะมองหาบางสิ่ง) เพื่อไม่ให้มือขี้เล่นของคุณ ผู้ที่มีพรสวรรค์เป็นพิเศษสามารถติดต่อฉันได้โดยใช้สบู่ - ฉันจะแจ้งให้คุณทราบ แต่ "เพื่อจุดประสงค์ในการทำความคุ้นเคยกับช่องโหว่ของซอฟต์แวร์นี้เท่านั้นเพื่อกำจัดพวกเขา" 🙂

เพื่อสรุปโครงสร้างของแมโครไวรัสมีดังนี้:

1. เรากำหนดมาโครมาตรฐานหรืออัตโนมัติที่มีประโยชน์ใหม่เพื่อปิดการใช้งานการป้องกันและแก้ไขระดับความปลอดภัย
2. เราเพิ่มการติดเชื้อที่นั่น
3. เราตรวจสอบว่ามาโครนี้เป็นที่ต้องการ และการติดเชื้อทวีคูณและต้องลงทะเบียนใน Normal.dot

ทุกอย่างค่อนข้างง่าย - เป็นเพราะเหตุนี้จึงมีสิ่งมีชีวิตมหภาคหลากหลายรูปแบบ

ฉันจะฆ่าด้วยมือเปล่า!

มีหลายวิธีในการทำลายมาโครในเอกสาร Word ที่ติดไวรัสอยู่แล้ว นี่คือเกือบทั้งหมด:

1. สร้างมาโครของคุณเองด้วยรหัสนี้:
ย่อยหลัก
DisableAutoMacros
จบย่อย
คุณบันทึกปาฏิหาริย์นี้ไว้ภายใต้ชื่อ AutoExec และกลายเป็นคงกระพันสำหรับมาโครอัตโนมัติ

2. คุณจัดการกับระดับการป้องกัน - จากนั้น Word จะขออนุญาตเมื่อเรียกใช้แมโคร

3. ห้ามใช้รูปแบบเอกสาร ท้ายที่สุด ทุกอย่างสามารถวางใน RTF ได้ - ฟอนต์ การออกแบบ ตาราง กราฟิกเหมือนกัน ... และ RTF ไม่มีมาโครตามคำจำกัดความ ทุกอย่างจะสมบูรณ์แบบ แต่มีข้อเสีย: เมื่อบันทึกข้อมูลในรูปแบบ rtf รูปภาพทั้งหมดจะถูกแปลงเป็นรูปแบบ bmp โดยอัตโนมัติ รูปแบบกราฟิกนี้มีน้ำหนักมากจนคุณไม่ต้องการให้ศัตรูเห็น เป็นผลให้แม้หลังจากเก็บถาวรการสูญเสียขนาดของไฟล์ผลลัพธ์อาจนำไปสู่ความจริงที่ว่ามันไม่พอดีกับฟลอปปีดิสก์ (ขึ้นอยู่กับจำนวนรูปภาพ) จริงอยู่หากไม่มีกราฟิก rtf ก็เหมาะ

ปืนใหญ่

ถึงเวลารวบรวมความกล้าที่จะฆ่าพวกสัตว์มหัสจรรย์ครั้งแล้วครั้งเล่า งานนี้ทำได้ไม่ยาก: คุณต้องใช้คอมพิวเตอร์ที่ไม่ติดไวรัสและชุดแจกจ่าย Kaspersky Anti-Virus รุ่นล่าสุด เมื่อไม่กี่ปีที่ผ่านมา Kaspersky Lab ได้พัฒนาโมดูลที่เรียกว่า Office Guard เราจะพูดถึงเขา

โดยทั่วไป Office Guard จะไม่รวมอยู่ในการแจกจ่ายที่ละเมิดลิขสิทธิ์ แต่ด้วยทักษะบางอย่างที่คุณสามารถหาได้ สิ่งนี้คืออะไร? นี่คือสิ่งที่ครีเอเตอร์พูดถึงเรื่องนี้:
"Office Guard เป็นเทคโนโลยีพื้นฐานใหม่สำหรับการป้องกันไวรัสมาโครและโทรจันมาโคร ออกแบบมาสำหรับผู้ใช้ขั้นสูง Office Guard นำแนวทางการปฏิวัติด้านความปลอดภัยในการป้องกันไวรัสมาใช้ตามหลักการของตัวบล็อกพฤติกรรม ซึ่งแตกต่างจากโปรแกรมป้องกันไวรัส "แบบคลาสสิก" รูปแบบการป้องกันที่ใช้ ซึ่งสร้างขึ้นบนพื้นฐานของการค้นหาตามบริบททั่วไป Office Guard สามารถแก้ปัญหาได้อย่างครอบคลุม ยกเว้นความเป็นไปได้ที่ไวรัสมาโครจะทำงานบนคอมพิวเตอร์ที่ได้รับการป้องกัน Office Guard แยกแยะไวรัสมาโครไม่ได้โดยสัญญาณภายนอก (การมีอยู่ของลำดับเฉพาะของ อักขระ) แต่ตามพฤติกรรมซึ่งกำหนดโดยความสามารถของภาษาการเขียนโปรแกรม VBA (Visual Basic for
แอปพลิเคชัน)."

ฟีเจอร์เด็ดสุดคือไม่ต้องอัพเดท! อย่างไรก็ตาม การใช้งานนั้นเต็มไปด้วยข้อผิดพลาดหลายประการ:

1. ควรติดตั้งบนเครื่องที่ไม่ติดเชื้อ
2. หากคุณติดตั้ง Word ไว้ แสดงว่าคุณติดตั้ง Office Guard แล้วจึงติดตั้ง Excel เฉพาะ Word เท่านั้นที่จะได้รับการป้องกัน วาดข้อสรุปของคุณเอง
3. Office Guard จับไวรัสได้ แต่ไม่สามารถรักษาได้

เพื่อแก้ปัญหาสุดท้าย เพียงแค่ต้องมีเครื่องสแกนไวรัส ดังนั้น AVP-scanner + Office Guard จึงสามารถป้องกันแมโครไวรัสได้อย่างสมบูรณ์ หากคุณต้องการจัดการเอกสาร คุณจะต้องดาวน์โหลดการอัปเดตสำหรับ
ผู้ช่วยกรรมการผู้จัดการใหญ่

อย่างไรก็ตาม พูดตามตรง คุณไม่สามารถลากผ้าห่มไปที่ Kaspersky Lab ไม่เช่นนั้นจะมีการสนทนาเช่น:
"แล้วคุณได้รับเงินเท่าไหร่เพื่อโปรโมตผลิตภัณฑ์"

โปรแกรมป้องกันไวรัสที่อัปเดตใด ๆ ให้ผลดีเกือบ 100%
ป้องกันแมคโครกาด เพียงแต่ว่าแต่ละคนใช้เทคโนโลยีที่แตกต่างกันสำหรับสิ่งนี้ ตัวอย่างเช่น DrWeb ใช้การค้นหาลายเซ็นและตัววิเคราะห์ฮิวริสติก
สิ่งที่เราพูดคุยกับผู้สร้าง:

ชุดโปรแกรมป้องกันไวรัสของคุณไม่มีโมดูลแยกต่างหากสำหรับการต่อสู้กับไวรัสมาโคร ทำไม คุณคิดว่าการตรวจสอบประจำบ้านรับประกันความปลอดภัยจากไวรัสมาโครหรือไม่?

เครื่องมือสำหรับตรวจจับและต่อสู้กับไวรัสมาโครเป็นส่วนสำคัญของ DrWeb core และเนื่องจากทั้งเครื่องสแกนและจอภาพใช้เคอร์เนล ไวรัสมาโครทั้งหมดจึงถูกตรวจพบและปฏิบัติอย่างเท่าเทียมกันในทั้งสองกรณี

WUA มีโมดูลแยกต่างหากจากไวรัสมาโครใน MS Office นักพัฒนาอ้างว่าโมดูลนี้ใช้ตัวบล็อกพฤติกรรมที่วิเคราะห์การกระทำของโปรแกรมผู้ป่วย ด้วยเหตุนี้ ผลิตภัณฑ์นี้จึงปราศจากไวรัสมาโคร 100% จนกว่าจะมีการเปิดตัว VBA เวอร์ชันใหม่ เหล่านั้น. ไวรัสมาโครไม่ถูกค้นหาด้วยลายเซ็น ข้อดีของการเช่น
วิธีการคือการติดตั้งโมดูลดังกล่าวเพียงครั้งเดียวก็ไม่จำเป็นต้องอัปเดต ตอนนี้คำถาม: DrWeb ค้นหาไวรัสมาโครด้วยลายเซ็น?

DrWeb ค้นหาไวรัสมาโครทั้งโดยใช้ลายเซ็นและการใช้ในตัว
เครื่องวิเคราะห์ฮิวริสติกที่ทรงพลังดั้งเดิม เครื่องมือค้นหาและวิเคราะห์มาโคร
ดำเนินการในหลายระดับ: สแกนรหัสไบนารีของมาโครด้วย
คอมไพล์และซอร์สโค้ดของพวกเขา สิ่งนี้ช่วยให้คุณตรวจจับไวรัสที่รู้จัก
การปรับเปลี่ยน รวมทั้งแมโครไวรัสที่ไม่รู้จัก ดังนั้น,
เป็นไปได้ไม่เพียงแต่จะไม่ขึ้นอยู่กับรุ่นของการติดตั้ง
แพ็คเกจ MS Office (ความสามารถในการสกัดกั้นการเรียกใช้มาโครปรากฏขึ้น
เฉพาะใน Office 2000 และไม่มีในเวอร์ชันก่อนหน้า) แต่โดยทั่วไปจาก
การมีอยู่ของ MS Office บนคอมพิวเตอร์ที่ทำการสแกน
ไฟล์ -- ตัวอย่างเช่น บนเกตเวย์อินเทอร์เน็ตขององค์กร

นอกจากนี้ด้วยความช่วยเหลือของ heuristic
เครื่องวิเคราะห์ DrWeb สามารถตรวจจับโทรจันที่ไม่รู้จัก
แบ็คดอร์ เวิร์มอินเทอร์เน็ต irc แบตช์ (bat) และสคริปต์
(vbs/vbe) ไวรัส

ความคิดเห็นส่วนตัวของคุณ: โมดูล WUA สามารถให้ความปลอดภัยกับการติดเชื้อมาโครได้ 100% หรือไม่?

สถานการณ์ปัจจุบันเป็นเช่นนั้นเพื่อต่อสู้กับไวรัสอย่างมีประสิทธิภาพ
ผลิตภัณฑ์ป้องกันไวรัสต้องได้รับการปรับปรุงให้ทันท่วงที น่าเสียดาย,
การสร้างโปรแกรมป้องกันไวรัส "แน่นอน" เป็นไปไม่ได้

ตอบคำถามแล้ว
Sergei Yurievich Popov
Andrey Vladimirovich Basharimov

ผู้พัฒนาโปรแกรมป้องกันไวรัสของตระกูล Dr.WEB

ไวรัสมาโครเป็นโปรแกรมในภาษา (ภาษามาโคร) ที่สร้างขึ้นในระบบประมวลผลข้อมูลบางระบบ (โปรแกรมแก้ไขข้อความ สเปรดชีต ฯลฯ) สำหรับการทำซ้ำไวรัสดังกล่าวใช้ความสามารถของภาษามาโครและด้วยความช่วยเหลือของพวกเขาในการถ่ายโอนตัวเองจากไฟล์ที่ติดไวรัสหนึ่งไฟล์ (เอกสารหรือตาราง) ไปยังไฟล์อื่น

สำหรับการมีอยู่ของไวรัสในระบบใดระบบหนึ่ง (ตัวแก้ไข) จำเป็นต้องมีภาษามาโครติดตั้งอยู่ในระบบที่มีความสามารถดังต่อไปนี้:

1. ผูกโปรแกรมในภาษาแมโครกับไฟล์เฉพาะ

2. คัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง

ความสามารถในการควบคุมโปรแกรมมาโครโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (มาโครอัตโนมัติหรือมาโครมาตรฐาน)

ไวรัสคอมพิวเตอร์เครือข่าย .

ไวรัสเครือข่ายรวมถึงไวรัสที่ใช้โปรโตคอลและความสามารถของเครือข่ายท้องถิ่นและเครือข่ายทั่วโลกในการแพร่กระจาย หลักการสำคัญของไวรัสเครือข่ายคือความสามารถในการถ่ายโอนรหัสไปยังเซิร์ฟเวอร์ระยะไกลหรือเวิร์กสเตชันอย่างอิสระ ในเวลาเดียวกัน ไวรัสเครือข่ายยังมีความสามารถในการเรียกใช้รหัสของตนเองบนคอมพิวเตอร์ระยะไกลหรือผลักดันให้ผู้ใช้เรียกใช้ไฟล์ที่ติดไวรัส

มีชุดค่าผสมจำนวนมาก - ตัวอย่างเช่น file-boot virus ที่ติดทั้งไฟล์และบูตเซกเตอร์ของดิสก์ ตามกฎแล้วไวรัสดังกล่าวมีอัลกอริธึมที่ค่อนข้างซับซ้อนในการทำงานมักใช้วิธีการดั้งเดิมในการเจาะระบบใช้เทคโนโลยีการพรางตัวและความหลากหลาย อีกตัวอย่างหนึ่งของการรวมดังกล่าวคือไวรัสเครือข่ายมาโครที่ไม่เพียงแต่แพร่เชื้อในเอกสารที่แก้ไขแล้ว แต่ยังส่งสำเนาของตัวเองทางอีเมลอีกด้วย

ระบบปฏิบัติการที่จะติดไวรัส(แม่นยำกว่านั้นคือระบบปฏิบัติการที่มีวัตถุไวต่อการติดเชื้อ) เป็นระดับที่สองของการแบ่งไวรัสออกเป็นคลาส แต่ละไฟล์หรือไวรัสเครือข่ายติดไฟล์ของระบบปฏิบัติการตั้งแต่หนึ่งระบบขึ้นไป

ไวรัสมาโครติดไฟล์ Word, Excel, Office ไวรัสสำหรับบู๊ตยังเน้นที่รูปแบบเฉพาะสำหรับตำแหน่งของข้อมูลระบบในบูตเซกเตอร์ของดิสก์

คุณสมบัติของอัลกอริธึมการทำงานไวรัสคอมพิวเตอร์:

1. ที่อยู่อาศัย.

2. การใช้อัลกอริธึมการลักลอบ

3. การเข้ารหัสด้วยตนเองและความหลากหลาย

4. การใช้เทคนิคที่ไม่ได้มาตรฐาน

ภายใต้เงื่อนไข ที่อยู่อาศัย หมายถึงความสามารถของไวรัสในการทิ้งสำเนาไว้ในหน่วยความจำระบบ สกัดกั้นเหตุการณ์บางอย่าง (เช่น การเข้าถึงไฟล์หรือดิสก์) และในการทำเช่นนั้น ขั้นตอนการเรียกสำหรับการติดวัตถุที่ตรวจพบ (ไฟล์และเซกเตอร์) ดังนั้นไวรัสประจำถิ่นจึงทำงานไม่เฉพาะในขณะที่โปรแกรมที่ติดไวรัสกำลังทำงานอยู่ แต่ยังทำงานหลังจากที่โปรแกรมทำงานเสร็จด้วย สำเนาประจำถิ่นของไวรัสดังกล่าวจะยังคงใช้งานได้จนกว่าจะรีบูตครั้งถัดไป แม้ว่าไฟล์ที่ติดไวรัสทั้งหมดจะถูกทำลายบนดิสก์ก็ตาม มักจะเป็นไปไม่ได้ที่จะกำจัดไวรัสดังกล่าวด้วยการกู้คืนสำเนาของไฟล์ทั้งหมดจากดิสก์การแจกจ่ายหรือสำเนาสำรอง สำเนาถิ่นที่อยู่ของไวรัสยังคงทำงานอยู่และติดไฟล์ที่สร้างขึ้นใหม่ เช่นเดียวกับไวรัสสำหรับบูต - การฟอร์แมตไดรฟ์ในขณะที่มีไวรัสประจำอยู่ในหน่วยความจำไม่สามารถรักษาไดรฟ์ได้เสมอไป เนื่องจากมีไวรัสประจำถิ่นจำนวนมากติดไดรฟ์อีกครั้งหลังจากที่ได้รับการฟอร์แมตแล้ว

ไม่มีถิ่นที่อยู่ในทางกลับกัน ไวรัสจะทำงานในช่วงเวลาสั้น ๆ เฉพาะเมื่อมีการเปิดตัวโปรแกรมที่ติดไวรัสเท่านั้น สำหรับการแจกจ่าย พวกเขาค้นหาไฟล์ที่ไม่ติดไวรัสบนดิสก์และเขียนถึงพวกเขา หลังจากที่รหัสไวรัสโอนการควบคุมไปยังโปรแกรมโฮสต์ ผลกระทบของไวรัสต่อการทำงานของระบบปฏิบัติการจะลดลงเหลือศูนย์จนกว่าจะมีการเปิดตัวโปรแกรมที่ติดไวรัสในครั้งต่อไป

ไวรัสล่องหนไม่ทางใดก็ทางหนึ่งซ่อนความจริงของการมีอยู่ในระบบ

ถึง ไวรัส polymorphic รวมถึงผู้ที่ไม่สามารถตรวจจับได้ (หรือยากมาก) โดยใช้หน้ากากไวรัสที่เรียกว่า - ส่วนของรหัสถาวรเฉพาะสำหรับไวรัสบางตัว ซึ่งทำได้ในสองวิธีหลัก - โดยการเข้ารหัสรหัสไวรัสหลักด้วยคีย์ที่ไม่ถาวรและชุดคำสั่งถอดรหัสแบบสุ่ม หรือโดยการเปลี่ยนรหัสไวรัสจริงที่กำลังดำเนินการ

หลากหลาย เทคนิคที่ไม่ได้มาตรฐาน มักใช้ในไวรัสเพื่อซ่อนตัวเองให้ลึกที่สุดในเคอร์เนล OC

ความเป็นไปได้ในการทำลายล้างไวรัสสามารถแบ่งออกเป็น:

1. ไม่เป็นอันตราย ซึ่งไม่ส่งผลต่อการทำงานของคอมพิวเตอร์แต่อย่างใด (ยกเว้นการลดพื้นที่ว่างในดิสก์อันเป็นผลมาจากการแจกจ่าย)

2. ไม่อันตราย ซึ่งอิทธิพลจำกัดอยู่ที่การลดพื้นที่ว่างในดิสก์และกราฟิก เสียง และเอฟเฟกต์อื่นๆ

โดยเฉพาะเกี่ยวกับตัวแทนของตระกูลมากมายนี้ที่มีผลกระทบต่อเอกสาร คำ.

ลักษณะสัญญาณของการมีอยู่คือ:

1) เป็นไปไม่ได้ที่จะบันทึกเอกสารที่ติดไวรัส คำเป็นรูปแบบอื่น (ตามคำสั่ง บันทึกเป็น…);

2) ความเป็นไปไม่ได้ในการเขียนเอกสารไปยังไดเร็กทอรีอื่นหรือไปยังดิสก์อื่นด้วยคำสั่ง บันทึกเป็น…;

3) ไม่สามารถบันทึกการเปลี่ยนแปลงที่ทำกับเอกสารได้ (คำสั่ง บันทึก);

4) การเข้าไม่ถึงของแท็บ ระดับความปลอดภัย(เมนู บริการ - มาโคร - ความปลอดภัย…);

5) เนื่องจากไวรัสจำนวนมากเขียนขึ้นโดยมีข้อผิดพลาด (หรือทำงานไม่ถูกต้องในเวอร์ชันต่างๆ ของแพ็คเกจ ไมโครซอฟ ออฟฟิศ) ข้อความที่เกี่ยวข้องพร้อมรหัสข้อผิดพลาดอาจปรากฏขึ้น

6) "ความแปลก" อื่น ๆ ในพฤติกรรมของเอกสาร คำ;

7) มักจะตรวจพบได้ด้วยตาเปล่า ความจริงก็คือผู้เขียนไวรัสส่วนใหญ่มีความโดดเด่นด้วยความไร้สาระ: ในคุณสมบัติของไฟล์ คำ(หน้าต่าง คุณสมบัติเรียกคลิกขวา - เลือกจาก คุณสมบัติ) บนแท็บ สรุปกรอกข้อมูลในช่องป้อนข้อมูล ( ชื่อ, เรื่อง, ผู้เขียน, หมวดหมู่, คีย์เวิร์ดและ

ไวรัสมาโคร (ไวรัสมาโคร) คือโปรแกรมในภาษาต่างๆ (ภาษามาโคร) ที่สร้างไว้ในระบบประมวลผลข้อมูลบางระบบ (โปรแกรมแก้ไขข้อความ สเปรดชีต เป็นต้น) รวมถึงในภาษาสคริปต์ เช่น VBA (Visual Basic for Applications) JS ( จาวาสคริปต์) สำหรับการทำซ้ำไวรัสดังกล่าวใช้ความสามารถของมาโครภาษาและด้วยความช่วยเหลือของพวกเขาในการถ่ายโอนตัวเองจากไฟล์ที่ติดไวรัสหนึ่งไฟล์ (เอกสารหรือตาราง) ไปยังผู้อื่น ไวรัสมาโครสำหรับ Microsoft Office เป็นที่แพร่หลายมากที่สุด นอกจากนี้ยังมีไวรัสมาโครที่ติดเอกสารและฐานข้อมูล Ami Pro สำหรับการมีอยู่ของไวรัสในระบบใดระบบหนึ่ง (ตัวแก้ไข) จำเป็นต้องมีภาษามาโครติดตั้งอยู่ในระบบที่มีความสามารถดังต่อไปนี้:

1. ผูกโปรแกรมในภาษามาโครกับไฟล์เฉพาะ
2. คัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง
3. ความสามารถในการควบคุมโปรแกรมมาโครโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (มาโครอัตโนมัติหรือมาโครมาตรฐาน)

ตรงตามเงื่อนไขเหล่านี้โดยบรรณาธิการ Microsoft Word, Office และ AmiPro เช่นเดียวกับสเปรดชีต Excel และฐานข้อมูล Microsoft Access ระบบเหล่านี้ประกอบด้วยภาษามาโคร: Word - Word Basic; Excel, การเข้าถึง - VBA โดยที่:

1. โปรแกรมมาโครเชื่อมโยงกับไฟล์เฉพาะ (AmiPro) หรืออยู่ภายในไฟล์ (Word, Excel, Access);
2. ภาษามาโครช่วยให้คุณสามารถคัดลอกไฟล์ (AmiPro) หรือย้ายโปรแกรมมาโครไปยังไฟล์บริการของระบบและไฟล์ที่แก้ไขได้ (Word, Excel)
3. เมื่อทำงานกับไฟล์ภายใต้เงื่อนไขบางประการ (การเปิด ปิด ฯลฯ) จะมีการเรียกโปรแกรมมาโคร (ถ้ามี) ซึ่งกำหนดไว้ในลักษณะพิเศษ (AmiPro) หรือมีชื่อมาตรฐาน (Word, Excel)

ฟีเจอร์ของภาษามาโครนี้ออกแบบมาสำหรับการประมวลผลข้อมูลอัตโนมัติในองค์กรขนาดใหญ่หรือเครือข่ายทั่วโลก และช่วยให้คุณสามารถจัดระเบียบสิ่งที่เรียกว่า "เวิร์กโฟลว์อัตโนมัติ" ในทางกลับกัน ความสามารถของภาษามาโครของระบบดังกล่าวทำให้ไวรัสสามารถถ่ายโอนรหัสของมันไปยังไฟล์อื่น ๆ และทำให้เกิดการติดเชื้อได้ ไวรัสเข้าควบคุมเมื่อเปิดหรือปิดไฟล์ที่ติดไวรัส สกัดกั้นฟังก์ชันไฟล์มาตรฐาน แล้วติดไฟล์ที่เข้าถึงได้ด้วยวิธีใดวิธีหนึ่ง โดยการเปรียบเทียบกับ MS-DOS เราสามารถพูดได้ว่าไวรัสมาโครส่วนใหญ่มีอยู่: พวกมันทำงานไม่เฉพาะในเวลาที่เปิด/ปิดไฟล์ แต่ตราบใดที่ตัวแก้ไขทำงานอยู่

ไวรัส Word/Excel/Office: ข้อมูลทั่วไป

ตำแหน่งทางกายภาพของไวรัสภายในไฟล์นั้นขึ้นอยู่กับรูปแบบของมัน ซึ่งในกรณีของผลิตภัณฑ์ของ Microsoft นั้นซับซ้อนมาก - ไฟล์เอกสาร Word แต่ละไฟล์, สเปรดชีต Excel เป็นลำดับของบล็อคข้อมูล (แต่ละอันมีรูปแบบของตัวเองด้วย) ซึ่งเชื่อมต่อถึงกัน โดยใช้ข้อมูลบริการจำนวนมาก รูปแบบนี้เรียกว่า OLE2 - การเชื่อมโยงและการฝังวัตถุ

โครงสร้างของไฟล์ Word, Excel และ Office (OLE2) คล้ายกับระบบไฟล์ดิสก์ที่ซับซ้อน: "ไดเรกทอรีราก" ของไฟล์เอกสารหรือตารางชี้ไปที่ไดเรกทอรีย่อยหลักของบล็อกข้อมูลต่างๆ ตาราง FAT หลายตารางมีข้อมูลเกี่ยวกับตำแหน่งของ บล็อคข้อมูลในเอกสาร เป็นต้น นอกจากนี้ ระบบ Office Binder ซึ่งรองรับมาตรฐาน Word และ Excel ยังช่วยให้คุณสร้างไฟล์ที่มีเอกสาร Word หนึ่งรายการขึ้นไปและสเปรดชีต Excel ได้ตั้งแต่หนึ่งรายการขึ้นไป ในเวลาเดียวกัน ไวรัส Word สามารถแพร่ระบาดในเอกสาร Word และไวรัส Excel สามารถแพร่ระบาดในสเปรดชีต Excel ได้ ทั้งหมดนี้เป็นไปได้ในไฟล์ดิสก์เดียว เช่นเดียวกับ Office ไวรัสที่รู้จักกันส่วนใหญ่สำหรับ Word นั้นเข้ากันไม่ได้กับ Word เวอร์ชันประจำชาติ (รวมถึงภาษารัสเซีย) หรือในทางกลับกัน ไวรัสเหล่านี้ออกแบบมาสำหรับ Word เวอร์ชันที่แปลแล้วเท่านั้นและจะไม่ทำงานภายใต้เวอร์ชันภาษาอังกฤษ อย่างไรก็ตาม ไวรัสในเอกสารยังคงทำงานอยู่ และสามารถแพร่ระบาดในคอมพิวเตอร์เครื่องอื่นด้วยการติดตั้ง Word รุ่นที่เกี่ยวข้อง ไวรัสสำหรับ Word สามารถแพร่ระบาดในคอมพิวเตอร์ทุกประเภท การติดเชื้ออาจเกิดขึ้นได้หากมีการติดตั้งโปรแกรมแก้ไขข้อความบนคอมพิวเตอร์เครื่องนี้ที่เข้ากันได้กับ Microsoft Word เวอร์ชัน 6 หรือ 7 หรือสูงกว่า (เช่น MS Word สำหรับ Macintosh) อย่างสมบูรณ์

เช่นเดียวกับ Excel และ Office ควรสังเกตว่าความซับซ้อนของรูปแบบเอกสาร Word, สเปรดชีต Excel และโดยเฉพาะอย่างยิ่ง Office มีลักษณะเฉพาะดังต่อไปนี้: มีบล็อกข้อมูล "พิเศษ" ในไฟล์เอกสารและตารางเช่น ข้อมูลที่ไม่เกี่ยวข้องกับข้อความหรือตารางที่แก้ไขแต่อย่างใด หรือเป็นสำเนาของข้อมูลอื่นในไฟล์ที่เกิดขึ้น สาเหตุของการเกิดบล็อคข้อมูลดังกล่าวคือการจัดระเบียบคลัสเตอร์ของข้อมูลในเอกสารและตาราง OLE2 - แม้ว่าจะป้อนอักขระข้อความเพียงตัวเดียว แต่ก็มีการจัดสรรคลัสเตอร์ข้อมูลหนึ่งหรือหลายคลัสเตอร์ เมื่อบันทึกเอกสารและตารางในกลุ่มที่ไม่มีข้อมูลที่ "มีประโยชน์" "ขยะ" จะยังคงอยู่ ซึ่งจะเข้าไปในไฟล์พร้อมกับข้อมูลอื่นๆ สามารถลดจำนวน "ขยะ" ในไฟล์ได้โดยยกเลิกการเลือกตัวเลือก "อนุญาตให้บันทึกอย่างรวดเร็ว" ของ Word/Excel แต่จะลดเฉพาะปริมาณ "ขยะ" ทั้งหมดเท่านั้น แต่ไม่สามารถลบออกทั้งหมดได้ ผลที่ตามมาคือเมื่อแก้ไขเอกสาร ขนาดของเอกสารจะเปลี่ยนไปโดยไม่คำนึงถึงการดำเนินการกับเอกสาร เมื่อเพิ่มข้อความใหม่ ขนาดไฟล์อาจลดลง และเมื่อลบข้อความบางส่วน ข้อความอาจเพิ่มขึ้น

เช่นเดียวกับไวรัสมาโคร เมื่อไฟล์ติดไวรัส ขนาดของไฟล์อาจลดลง เพิ่มขึ้น หรือไม่เปลี่ยนแปลง ควรสังเกตด้วยว่า OLE2.DLL บางรุ่นมีข้อบกพร่องเล็กน้อยซึ่งเมื่อทำงานกับ Word, Excel และโดยเฉพาะอย่างยิ่งเอกสาร Office ข้อมูลสุ่มจากดิสก์รวมถึงข้อมูลที่เป็นความลับ (ไฟล์ที่ถูกลบ, ไดเรกทอรี, เป็นต้น) .d.) คำสั่งไวรัสสามารถเข้าไปในบล็อคเหล่านี้ได้ เป็นผลให้หลังจากการฆ่าเชื้อเอกสารที่ติดไวรัส รหัสที่ใช้งานของไวรัสจะถูกลบออกจากไฟล์ แต่คำสั่งบางส่วนอาจยังคงอยู่ในบล็อก "ขยะ" ร่องรอยการมีอยู่ของไวรัสดังกล่าวในบางครั้งอาจมองเห็นได้ด้วยโปรแกรมแก้ไขข้อความ และอาจทำให้โปรแกรมป้องกันไวรัสบางโปรแกรมตอบสนองได้ อย่างไรก็ตาม เศษของไวรัสเหล่านี้ไม่มีอันตรายอย่างสมบูรณ์: Word และ Excel ไม่สนใจพวกเขา

ไวรัส Word/Excel/Office: ทำงานอย่างไร

ดำเนินการต่างๆ เมื่อทำงานกับเอกสาร Word เวอร์ชัน 6 และ 7 หรือสูงกว่า: เปิดเอกสาร บันทึก พิมพ์ ปิด ฯลฯ ในเวลาเดียวกัน Word จะค้นหาและดำเนินการ "มาโครในตัว" ที่เกี่ยวข้อง - เมื่อบันทึกไฟล์ด้วยคำสั่ง File / Save จะมีการเรียกมาโคร FileSave เมื่อบันทึกด้วยคำสั่ง File / SaveAs - FileSaveAs เมื่อพิมพ์เอกสาร - FilePrint เป็นต้น หากมีการกำหนดมาโครไว้แน่นอน นอกจากนี้ยังมี "มาโครอัตโนมัติ" หลายตัวที่เรียกใช้โดยอัตโนมัติภายใต้เงื่อนไขต่างๆ ตัวอย่างเช่น เมื่อคุณเปิดเอกสาร Word จะตรวจสอบการมีอยู่ของแมโครเปิดอัตโนมัติ หากมีมาโครดังกล่าว Word จะดำเนินการดังกล่าว เมื่อปิดเอกสาร Word จะดำเนินการแมโครปิดอัตโนมัติ เมื่อ Word เริ่มทำงาน ระบบจะเรียกแมโคร AutoExec เมื่อปิด ออกอัตโนมัติ และเมื่อสร้างเอกสารใหม่ เรียกว่าสร้างอัตโนมัติ

กลไกที่คล้ายกัน (แต่มีชื่อมาโครและฟังก์ชันต่างกัน) ถูกใช้ใน Excel/Office ซึ่งบทบาทของมาโครอัตโนมัติและมาโครในตัวจะดำเนินการโดยฟังก์ชันอัตโนมัติและฟังก์ชันที่มีอยู่แล้วในมาโครหรือมาโครใดๆ และหลาย ฟังก์ชันในตัวสามารถมีอยู่ในหนึ่งมาโคร และ ฟังก์ชันอัตโนมัติ มาโคร/ฟังก์ชันที่เกี่ยวข้องกับคีย์หรือเวลาหรือวันที่โดยอัตโนมัติ Word/Excel เรียกใช้แมโคร/ฟังก์ชันเมื่อมีการกดแป้นเฉพาะ (หรือคีย์ผสม) หรือเมื่อถึงเวลาที่กำหนด ใน Office ความเป็นไปได้ในการสกัดกั้นเหตุการณ์นั้นค่อนข้างกว้างขึ้น แต่หลักการก็เหมือนกัน

ไวรัสมาโครที่ติดไฟล์ Word, Excel หรือ Office มักจะใช้วิธีใดวิธีหนึ่งจากสามวิธีข้างต้น - มาโครอัตโนมัติ (ฟังก์ชันอัตโนมัติ) มีอยู่ในไวรัส หรือมีการกำหนดมาโครระบบมาตรฐานใหม่ (เกี่ยวข้องกับบางเมนู รายการ) หรือแมโครไวรัสถูกเรียกโดยอัตโนมัติเมื่อคุณกดแป้นหรือคีย์ผสมใดๆ นอกจากนี้ยังมีกึ่งไวรัสที่ไม่ได้ใช้กลอุบายเหล่านี้และทวีคูณเมื่อผู้ใช้เปิดใช้งานอย่างอิสระเท่านั้น ดังนั้น หากเอกสารติดไวรัส เมื่อเปิดเอกสาร Word จะเรียกแมโคร AutoOpen ที่ติดไวรัส (หรือปิดอัตโนมัติเมื่อปิดเอกสาร) และเรียกใช้โค้ดไวรัส เว้นแต่จะถูกห้ามโดยตัวแปรระบบ DisableAutoMacros ถ้าไวรัสมีมาโครที่มีชื่อมาตรฐาน จะถูกควบคุมโดยการเรียกรายการเมนูที่เกี่ยวข้อง (ไฟล์/เปิด ไฟล์/ปิด ไฟล์/SaveAs) หากมีการกำหนดสัญลักษณ์แป้นพิมพ์ใหม่ ไวรัสจะเปิดใช้งานหลังจากกดปุ่มที่เกี่ยวข้องเท่านั้น

ไวรัสมาโครส่วนใหญ่มีฟังก์ชันทั้งหมดเป็นมาโคร Word/Excel/Office มาตรฐาน อย่างไรก็ตาม มีไวรัสที่ใช้กลอุบายในการซ่อนรหัสและเก็บรหัสเป็นรหัสที่ไม่ใช่มาโคร เทคนิคดังกล่าวเป็นที่รู้จัก 3 แบบ ซึ่งทั้งหมดใช้ความสามารถของมาโครในการสร้าง แก้ไข และดำเนินการกับมาโครอื่นๆ ตามกฎแล้วไวรัสดังกล่าวมีมาโครตัวโหลดไวรัสขนาดเล็ก (บางครั้ง polymorphic) ที่เรียกใช้ตัวแก้ไขแมโครในตัวสร้างมาโครใหม่เติมด้วยรหัสไวรัสหลักดำเนินการแล้วทำลายมันตามกฎ (เพื่อ ซ่อนร่องรอยการมีอยู่ของไวรัส) รหัสหลักของไวรัสดังกล่าวมีอยู่ในมาโครไวรัสในรูปแบบของสตริงข้อความ (บางครั้งเข้ารหัส) หรือจัดเก็บไว้ในพื้นที่ตัวแปรเอกสารหรือในพื้นที่ข้อความอัตโนมัติ

อัลกอริธึมการทำงานของ Word macro-viruses

ไวรัส Word ที่รู้จักกันดีส่วนใหญ่เมื่อเปิดตัวจะโอนรหัส (มาโคร) ไปยังพื้นที่มาโครส่วนกลางของเอกสาร (มาโคร "ทั่วไป") สำหรับสิ่งนี้พวกเขาใช้คำสั่งเพื่อคัดลอกมาโคร MacroCopy, Organizer.Copy หรือ ใช้ตัวแก้ไขแมโคร - ไวรัสเรียกมันว่าสร้างมาโครใหม่ แทรกรหัสลงในนั้นซึ่งจะบันทึกไว้ในเอกสาร เมื่อคุณออกจาก Word แมโครส่วนกลาง (รวมถึงแมโครไวรัส) จะถูกเขียนโดยอัตโนมัติไปยังไฟล์ DOT ของแมโครส่วนกลาง (โดยทั่วไปคือ NORMAL.DOT) ดังนั้น ในครั้งต่อไปที่คุณเริ่มโปรแกรมแก้ไข MS-Word ไวรัสจะถูกเปิดใช้งานในขณะที่ WinWord โหลดมาโครทั่วโลกเช่น ทันที. จากนั้นไวรัสจะกำหนดใหม่ (หรือมีอยู่แล้ว) มาโครมาตรฐานอย่างน้อยหนึ่งรายการ (เช่น FileOpen, FileSave, FileSaveAs, FilePrint) และขัดขวางคำสั่งการจัดการไฟล์ เมื่อคำสั่งเหล่านี้ถูกเรียก ไวรัสจะติดไวรัสไฟล์ที่กำลังเข้าถึง ในการทำเช่นนี้ ไวรัสจะแปลงไฟล์เป็นรูปแบบเทมเพลต (ซึ่งทำให้ไม่สามารถเปลี่ยนรูปแบบไฟล์เพิ่มเติมได้ เช่น การแปลงเป็นรูปแบบที่ไม่ใช่เทมเพลต) และเขียนมาโครลงในไฟล์ รวมถึงมาโครอัตโนมัติ ดังนั้น หากไวรัสดักจับมาโคร FileSaveAs ไฟล์ DOC ทุกไฟล์ที่บันทึกผ่านมาโครที่ไวรัสสกัดกั้นจะติดไวรัส ถ้าแมโคร FileOpen ถูกสกัดกั้น ไวรัสจะเขียนตัวเองไปยังไฟล์เมื่ออ่านจากดิสก์

วิธีที่สองในการแนะนำไวรัสเข้าสู่ระบบนั้นใช้น้อยกว่ามาก - ขึ้นอยู่กับไฟล์ที่เรียกว่า "Add-in" เช่น ไฟล์ที่เป็นบริการเพิ่มเติมใน Word ในกรณีนี้ NORMAL.DOT จะไม่มีการเปลี่ยนแปลง และ Word จะโหลดมาโครไวรัสจากไฟล์ (หรือไฟล์) ที่ระบุเป็น "Add-in" เมื่อเริ่มต้น วิธีนี้เกือบจะทำซ้ำการติดไวรัสของมาโครส่วนกลาง ยกเว้นว่ามาโครไวรัสจะไม่ถูกเก็บไว้ใน NORMAL.DOT แต่อยู่ในไฟล์อื่น นอกจากนี้ยังสามารถฉีดไวรัสลงในไฟล์ที่อยู่ในไดเร็กทอรี STARTUP - Word จะโหลดไฟล์เทมเพลตจากไดเร็กทอรีนี้โดยอัตโนมัติ แต่ยังไม่พบไวรัสดังกล่าว วิธีการแนะนำระบบข้างต้นเป็นวิธีการคล้ายคลึงกันของไวรัส DOS ประจำถิ่น อะนาล็อกของการไม่มีถิ่นที่อยู่คือไวรัสมาโครที่ไม่ได้ถ่ายโอนรหัสไปยังพื้นที่ของมาโครระบบ - เพื่อแพร่ระบาดไฟล์เอกสารอื่น ๆ พวกเขาค้นหาโดยใช้ฟังก์ชั่นไฟล์ที่สร้างขึ้นใน Word หรืออ้างถึงรายการล่าสุด ไฟล์ที่แก้ไข (รายการไฟล์ที่ใช้ล่าสุด) . จากนั้นไวรัสดังกล่าวจะเปิดเอกสาร ติดไวรัส และปิดมัน

อัลกอริธึมการทำงานของ Excel macro-viruses

วิธีการแพร่ระบาดของไวรัส Excel โดยทั่วไปจะคล้ายกับไวรัส Word ความแตกต่างอยู่ในคำสั่งคัดลอกมาโคร (เช่น Sheets.Copy) และในกรณีที่ไม่มี NORMAL.DOT - ไฟล์ในไดเร็กทอรี STARTUP ของ Excel ทำงาน (ในแง่ของไวรัส) ควรสังเกตว่ามีสองตัวเลือกที่เป็นไปได้สำหรับตำแหน่งของรหัสไวรัสมาโครในสเปรดชีต Excel ไวรัสเหล่านี้ส่วนใหญ่เขียนโค้ดในรูปแบบ VBA (Visual Basic for Applications) แต่มีไวรัสที่เก็บโค้ดไว้ในรูปแบบ Excel เวอร์ชัน 4.0 แบบเก่า ไวรัสดังกล่าวโดยพื้นฐานแล้วไม่แตกต่างจากไวรัส VBA ยกเว้นความแตกต่างในรูปแบบของตำแหน่งของรหัสไวรัสในสเปรดชีต Excel แม้ว่า Excel เวอร์ชันที่ใหม่กว่า (ตั้งแต่เวอร์ชัน 5) จะใช้เทคโนโลยีขั้นสูงมากขึ้น แต่ความสามารถในการเรียกใช้แมโครจาก Excel เวอร์ชันเก่าก็ยังคงไว้เพื่อรักษาความเข้ากันได้ ด้วยเหตุนี้ มาโครทั้งหมดที่เขียนในรูปแบบ Excel 4 จึงทำงานได้อย่างสมบูรณ์ในเวอร์ชันต่อมาทั้งหมด แม้ว่า Microsoft จะไม่แนะนำให้ใช้และไม่มีเอกสารประกอบที่จำเป็นใน Excel

อัลกอริธึมไวรัสสำหรับ Access

เนื่องจาก Access เป็นส่วนหนึ่งของแพ็คเกจ Office Pro ไวรัส Access จึงเป็นมาโครเดียวกันกับใน Visual Basic เหมือนกับไวรัสอื่นๆ ที่ติดแอปพลิเคชัน Office อย่างไรก็ตาม ในกรณีนี้ แทนที่จะเป็นมาโครอัตโนมัติ ระบบมีสคริปต์อัตโนมัติที่ระบบเรียกในเหตุการณ์ต่างๆ (เช่น Autoexec) สคริปต์เหล่านี้สามารถเรียกมาโครต่างๆ ได้ ดังนั้นเมื่อติดฐานข้อมูล Access ไวรัสจำเป็นต้องแทนที่สคริปต์อัตโนมัติบางตัวและคัดลอกมาโครลงในฐานข้อมูลที่ติดไวรัส การติดไวรัสของสคริปต์โดยไม่มีมาโครเพิ่มเติมนั้นเป็นไปไม่ได้ เนื่องจากภาษาสคริปต์ค่อนข้างพื้นฐานและไม่มีฟังก์ชันที่จำเป็นสำหรับสิ่งนี้

ควรสังเกตว่าในแง่ของการเข้าถึงสคริปต์จะเรียกว่ามาโคร (มาโคร) และมาโครเรียกว่าโมดูล (โมดูล) อย่างไรก็ตามในอนาคตจะใช้คำศัพท์แบบรวม - สคริปต์และมาโคร การล้างฐานข้อมูล Access เป็นงานที่ยากกว่าการลบไวรัสแมโครอื่นๆ เนื่องจากในกรณีของ Access จำเป็นต้องทำให้เป็นกลางไม่เฉพาะมาโครไวรัสเท่านั้น แต่ยังรวมถึงสคริปต์อัตโนมัติด้วย และเนื่องจากส่วนสำคัญของงานของ Access ถูกกำหนดให้กับสคริปต์และมาโครเท่านั้น การลบหรือปิดใช้งานองค์ประกอบใดๆ ที่ไม่ถูกต้องอาจทำให้การดำเนินการกับฐานข้อมูลเป็นไปไม่ได้ เช่นเดียวกับไวรัส การแทนที่สคริปต์อัตโนมัติที่ไม่ถูกต้องอาจทำให้ข้อมูลที่จัดเก็บไว้ในฐานข้อมูลสูญหายได้

ไวรัส AmiPro

เมื่อทำงานกับเอกสารใด ๆ โปรแกรมแก้ไข AmiPro จะสร้างไฟล์สองไฟล์ - ข้อความของเอกสารเอง (ที่มีนามสกุลชื่อ SAM) และไฟล์เพิ่มเติมที่มีมาโครของเอกสาร และอาจรวมถึงข้อมูลอื่น ๆ (นามสกุล - SMM) รูปแบบของไฟล์ทั้งสองนั้นค่อนข้างง่าย - เป็นไฟล์ข้อความธรรมดา ซึ่งทั้งคำสั่งข้อความที่แก้ไขได้และคำสั่งควบคุมจะอยู่ในรูปแบบของบรรทัดข้อความธรรมดา เอกสารสามารถเชื่อมโยงกับแมโครใดก็ได้จากไฟล์ SMM (คำสั่ง AssignMacroToFile) แมโครนี้คล้ายกับการเปิดอัตโนมัติและปิดอัตโนมัติใน MS Word และถูกเรียกโดยตัวแก้ไข AmiPro เมื่อเปิดหรือปิดไฟล์ เห็นได้ชัดว่า AmiPro ไม่มีความสามารถในการวางมาโครในพื้นที่ "ทั่วไป" ดังนั้นไวรัสสำหรับ AmiPro จึงสามารถแพร่เชื้อในระบบได้เฉพาะเมื่อมีการเปิดไฟล์ที่ติดไวรัส แต่ไม่ใช่เมื่อระบบบู๊ต เช่นเดียวกับ MS-Word หลังจากติดไวรัส ไฟล์ NORMAL.DOT เช่นเดียวกับ MS Word AmiPro อนุญาตให้คุณแทนที่มาโครของระบบ (เช่น SaveAs, Save) ด้วยคำสั่ง ChangeMenuAction เมื่อเรียกใช้ฟังก์ชันที่ถูกแทนที่ (คำสั่งเมนู) มาโครที่ติดไวรัสจะเข้าควบคุม กล่าวคือ รหัสไวรัส

ไวรัสล่องหน

ตัวแทนของคลาสนี้ใช้วิธีการต่างๆ เพื่อปกปิดสถานะของตนในระบบ ซึ่งมักจะทำได้โดยการสกัดกั้นฟังก์ชันระบบจำนวนหนึ่งที่รับผิดชอบในการทำงานกับไฟล์ เทคโนโลยี "Stealth" ทำให้ไม่สามารถตรวจจับไวรัสได้โดยไม่ต้องใช้เครื่องมือพิเศษ ไวรัสปิดบังทั้งการเพิ่มความยาวของวัตถุที่ได้รับผลกระทบ (ไฟล์) และเนื้อหาของตัวเองในนั้น "แทนที่" ส่วน "ปกติ" ของไฟล์สำหรับตัวมันเอง

ระหว่างการสแกนคอมพิวเตอร์ โปรแกรมป้องกันไวรัสจะอ่านข้อมูล - ไฟล์และพื้นที่ระบบ - จากฮาร์ดไดรฟ์และฟลอปปีดิสก์โดยใช้ระบบปฏิบัติการและ BIOS Stealth - ไวรัสหรือไวรัสที่มองไม่เห็น หลังจากเปิดตัวแล้ว จะทิ้งโมดูลพิเศษไว้ใน RAM ของคอมพิวเตอร์ ซึ่งจะขัดขวางการเข้าถึงของโปรแกรมไปยังระบบย่อยของดิสก์ของคอมพิวเตอร์ หากโมดูลดังกล่าวตรวจพบว่าโปรแกรมผู้ใช้พยายามอ่านไฟล์ที่ติดไวรัสหรือพื้นที่ระบบของดิสก์ โมดูลดังกล่าวจะแทนที่ข้อมูลที่อ่านได้ทันที ดังนั้นจึงไม่มีใครสังเกตเห็น หลอกลวงโปรแกรมป้องกันไวรัส

นอกจากนี้ ไวรัสที่ซ่อนเร้นยังสามารถซ่อนอยู่ในรูปแบบของสตรีมในระบบและกระบวนการอื่นๆ ซึ่งทำให้การตรวจจับยากขึ้นมาก ไวรัสซ่อนตัวดังกล่าวไม่สามารถมองเห็นได้ในรายการกระบวนการที่กำลังทำงานอยู่ในระบบทั้งหมด

มีวิธีง่ายๆ ในการปิดกลไกการปิดบังไวรัสที่ซ่อนเร้น เพียงพอที่จะบูตคอมพิวเตอร์จากดิสเก็ตต์ระบบที่ไม่ติดไวรัสและสแกนคอมพิวเตอร์ด้วยโปรแกรมป้องกันไวรัสโดยไม่ต้องเรียกใช้โปรแกรมจากดิสก์คอมพิวเตอร์ (อาจกลายเป็นว่าติดไวรัส) ในกรณีนี้ ไวรัสจะไม่สามารถควบคุมและติดตั้งโมดูลประจำใน RAM ที่ใช้อัลกอริธึมการลักลอบ โปรแกรมป้องกันไวรัสจะอ่านข้อมูลที่เขียนบนดิสก์จริงและตรวจจับ "บาซิลลัส" ได้ง่าย

โปรแกรมป้องกันไวรัสส่วนใหญ่ต่อต้านความพยายามของไวรัสที่ซ่อนเร้นที่จะไม่มีใครสังเกตเห็น แต่เพื่อไม่ให้พวกเขามีโอกาสเพียงครั้งเดียว ก่อนที่จะตรวจสอบคอมพิวเตอร์ด้วยโปรแกรมป้องกันไวรัส คอมพิวเตอร์ควรโหลดจากฟลอปปีดิสก์ซึ่งต่อต้าน - ควรเขียนโปรแกรมไวรัสด้วย แอนตี้ไวรัสจำนวนมากประสบความสำเร็จในการต่อต้านไวรัสที่ซ่อนเร้นจนสามารถตรวจจับได้เมื่อพยายามปลอมตัว โปรแกรมดังกล่าวจะอ่านไฟล์โปรแกรมที่จะตรวจสอบจากดิสก์โดยใช้วิธีการต่างๆ เช่น การใช้ระบบปฏิบัติการและผ่าน BIOS หากพบว่าไม่ตรงกัน สรุปได้ว่าอาจมีไวรัสซ่อนตัวอยู่ใน แกะ.

ไวรัส Polymorphic

ไวรัส Polymorphic รวมถึงไวรัสที่ไม่สามารถตรวจจับได้ (หรือยากมาก) โดยใช้ลายเซ็นไวรัสที่เรียกว่า - ส่วนของรหัสถาวรเฉพาะสำหรับไวรัสบางตัว ซึ่งทำได้ในสองวิธีหลัก - โดยการเข้ารหัสรหัสไวรัสหลักด้วยคีย์ที่ไม่ถาวรและชุดคำสั่งถอดรหัสแบบสุ่ม หรือโดยการเปลี่ยนรหัสไวรัสจริงที่กำลังดำเนินการ นอกจากนี้ยังมีตัวอย่างที่ค่อนข้างแปลกใหม่อื่น ๆ ของความหลากหลาย - ตัวอย่างเช่นไวรัส DOS "เครื่องบินทิ้งระเบิด" ไม่ได้เข้ารหัส แต่ลำดับของคำสั่งที่ถ่ายโอนการควบคุมไปยังรหัสไวรัสนั้นมีความหลากหลายอย่างสมบูรณ์

ความหลากหลายของระดับความซับซ้อนที่แตกต่างกันนั้นพบได้ในไวรัสทุกประเภท ตั้งแต่ไวรัส DOS แบบบูตและไฟล์ ไปจนถึงไวรัส Windows และแม้แต่ไวรัสมาโคร

คำถามส่วนใหญ่เกี่ยวข้องกับคำว่า "ไวรัสโพลีมอร์ฟิค" ไวรัสคอมพิวเตอร์ประเภทนี้อันตรายที่สุด

ไวรัส Polymorphic คือไวรัสที่แก้ไขรหัสในโปรแกรมที่ติดไวรัสในลักษณะที่ไวรัสตัวเดียวกันสองตัวอาจไม่ตรงกันในบิตเดียว

ไวรัสดังกล่าวไม่เพียงแต่เข้ารหัสรหัสของพวกเขาโดยใช้เส้นทางการเข้ารหัสที่แตกต่างกัน แต่ยังมีรหัสการสร้างของตัวเข้ารหัสและตัวถอดรหัสซึ่งแยกความแตกต่างจากไวรัสเข้ารหัสทั่วไปซึ่งสามารถเข้ารหัสส่วนต่าง ๆ ของรหัสได้ แต่ในขณะเดียวกันก็มีรหัสคงที่ ของตัวเข้ารหัสและตัวถอดรหัส

ไวรัส Polymorphic เป็นไวรัสที่มีตัวถอดรหัสที่ปรับเปลี่ยนตัวเองได้ จุดประสงค์ของการเข้ารหัสดังกล่าวก็คือ หากคุณมีไฟล์ที่ติดไวรัสและเป็นไฟล์ต้นฉบับ คุณจะยังคงไม่สามารถวิเคราะห์รหัสโดยใช้การถอดแยกชิ้นส่วนแบบทั่วไปได้ รหัสนี้ถูกเข้ารหัสและเป็นชุดคำสั่งที่ไม่มีความหมาย การถอดรหัสจะดำเนินการโดยตัวไวรัสเอง ณ รันไทม์ ในเวลาเดียวกัน ตัวเลือกต่าง ๆ ก็เป็นไปได้: มันสามารถถอดรหัสตัวเองทั้งหมดในครั้งเดียว หรือมันสามารถทำการถอดรหัส "ในระหว่างเดินทาง" มันสามารถเข้ารหัสส่วนที่ทำงานแล้วอีกครั้ง ทั้งหมดนี้ทำขึ้นเพื่อให้ยากต่อการวิเคราะห์รหัสไวรัส

ตัวถอดรหัสแบบโพลีมอร์ฟิค

ไวรัส Polymorphic ใช้อัลกอริธึมที่ซับซ้อนเพื่อสร้างโค้ดของตัวถอดรหัส: คำสั่ง (หรือสิ่งที่เทียบเท่า) จะถูกเปลี่ยนจากการติดไวรัสเป็นการติดเชื้อ เจือจางด้วยคำสั่งที่ไม่เปลี่ยนแปลงอะไร เช่น NOP, STI, CLI, STC, CLC, DEC unused register, XCHG ทะเบียนที่ไม่ได้ใช้ ฯลฯ d.

ไวรัส polymorphic ที่เต็มเปี่ยมใช้อัลกอริธึมที่ซับซ้อนยิ่งขึ้น อันเป็นผลมาจากการที่ตัวถอดรหัสไวรัสอาจพบการดำเนินการ SUB, ADD, XOR, ROR, ROL และอื่นๆ ในจำนวนและลำดับโดยอำเภอใจ การโหลดและการเปลี่ยนแปลงคีย์และพารามิเตอร์การเข้ารหัสอื่น ๆ ยังดำเนินการโดยชุดการทำงานโดยพลการ ซึ่งคำสั่งโปรเซสเซอร์ Intel เกือบทั้งหมดสามารถเกิดขึ้นได้ (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP . ..) พร้อมโหมดการกำหนดที่อยู่ที่เป็นไปได้ทั้งหมด ไวรัส Polymorphic ก็ปรากฏขึ้นเช่นกัน ตัวถอดรหัสซึ่งใช้คำสั่งสูงถึง Intel386 และในฤดูร้อนปี 1997 ไวรัส polymorphic แบบ 32 บิตถูกค้นพบซึ่งติดไฟล์ Windows95 EXE ขณะนี้มีไวรัส polymorphic อยู่แล้วที่สามารถใช้คำสั่งต่างๆ ของโปรเซสเซอร์สมัยใหม่ได้

ด้วยเหตุนี้ ที่จุดเริ่มต้นของไฟล์ที่ติดไวรัสดังกล่าว มีชุดคำสั่งที่ดูเหมือนไร้ความหมาย และชุดค่าผสมบางรายการที่ค่อนข้างมีประสิทธิภาพจะไม่ถูกนำไปใช้โดยตัวแยกชิ้นส่วนที่เป็นกรรมสิทธิ์ (เช่น ชุดค่าผสม CS:CS: หรือ CS :นพ). และในบรรดา "โจ๊ก" ของคำสั่งและข้อมูลนี้ บางครั้ง MOV, XOR, LOOP, JMP จะหลุดผ่าน - คำแนะนำที่ "ใช้งานได้จริง"

ระดับของความหลากหลาย

มีการแบ่งประเภทของไวรัส polymorphic ออกเป็นระดับต่างๆ ขึ้นอยู่กับความซับซ้อนของรหัสที่พบในตัวถอดรหัสของไวรัสเหล่านี้ แผนกนี้เสนอครั้งแรกโดยดร. Alan Solomon หลังจากผ่านไประยะหนึ่ง Vesselin Bonchev ก็ขยายมันออกไป

ระดับ 1: ไวรัสที่มีตัวถอดรหัสชุดหนึ่งพร้อมรหัสถาวร และเลือกตัวใดตัวหนึ่งเมื่อติดไวรัส ไวรัสดังกล่าวเป็น "semi - polymorphic" และเรียกอีกอย่างว่า "oligomorphic" (oligomorphic) ตัวอย่าง: "ชีบา", "สโลวาเกีย", "วาฬ"
ระดับ 2: ตัวถอดรหัสไวรัสมีคำสั่งถาวรตั้งแต่หนึ่งคำสั่งขึ้นไป แต่ส่วนหลักของคำสั่งนั้นไม่ถาวร
ระดับ 3: Decryptor มีคำสั่งที่ไม่ได้ใช้ - "ขยะ" เช่น NOP, CLI, STI เป็นต้น
ระดับ 4: ตัวถอดรหัสใช้คำสั่งที่เปลี่ยนได้และคำสั่งการเรียงลำดับใหม่ (สับเปลี่ยน) อัลกอริทึมการถอดรหัสไม่เปลี่ยนแปลง
ระดับ 5: ใช้กลอุบายข้างต้นทั้งหมด อัลกอริธึมการถอดรหัสไม่เสถียร เป็นไปได้ที่จะเข้ารหัสรหัสไวรัสอีกครั้งและแม้แต่เข้ารหัสรหัสถอดรหัสบางส่วนเอง
ระดับ 6: การเรียงสับเปลี่ยนไวรัส รหัสหลักของไวรัสอาจมีการเปลี่ยนแปลง - มันถูกแบ่งออกเป็นบล็อกซึ่งจัดเรียงใหม่ตามลำดับโดยพลการระหว่างการติดเชื้อ ไวรัสยังคงทำงานอยู่ ไวรัสดังกล่าวอาจไม่มีการเข้ารหัส

การแบ่งข้างต้นไม่มีข้อบกพร่องเนื่องจากสร้างขึ้นตามเกณฑ์เดียว - ความสามารถในการตรวจจับไวรัสด้วยรหัสถอดรหัสโดยใช้เทคนิคมาสก์ไวรัสมาตรฐาน:

ระดับ 1 : ตรวจจับไวรัสได้ แค่มีหน้ากากหลายอันก็พอ

ระดับ 2: การตรวจจับหน้ากากโดยใช้ "ไวลด์การ์ด"

ระดับ 3: การตรวจจับหน้ากากหลังจากลบคำแนะนำขยะ

ระดับ 4: มาสก์มีตัวเลือกรหัสที่เป็นไปได้หลายอย่าง เช่น กลายเป็นอัลกอริทึม
ระดับ 5: ไม่สามารถตรวจจับไวรัสด้วยหน้ากาก

ความไม่เพียงพอของการแบ่งดังกล่าวแสดงให้เห็นในไวรัสในระดับที่ 3 ของความหลากหลายซึ่งเรียกว่า "ระดับ 3" ไวรัสนี้เป็นหนึ่งในไวรัส polymorphic ที่ซับซ้อนที่สุด ตกอยู่ในระดับ 3 ตามการแบ่งข้างต้น เนื่องจากมีอัลกอริธึมการถอดรหัสคงที่ ซึ่งนำหน้าด้วยคำสั่ง "ขยะ" จำนวนมาก อย่างไรก็ตาม ในไวรัสนี้ อัลกอริธึมการสร้าง "ขยะ" ได้ถูกทำให้สมบูรณ์แบบ: คำสั่งโปรเซสเซอร์ i8086 เกือบทั้งหมดสามารถพบได้ในโค้ดถอดรหัส

หากเราแบ่งระดับออกเป็นระดับของโปรแกรมป้องกันไวรัสที่ใช้ระบบถอดรหัสรหัสไวรัสอัตโนมัติ (โปรแกรมจำลอง) การแบ่งระดับออกเป็นระดับจะขึ้นอยู่กับความซับซ้อนของการจำลองรหัสไวรัส นอกจากนี้ยังสามารถตรวจจับไวรัสด้วยวิธีอื่นได้ เช่น การถอดรหัสโดยใช้กฎทางคณิตศาสตร์เบื้องต้น เป็นต้น

ดังนั้นสำหรับฉันดูเหมือนว่าการแบ่งที่เป็นกลางมากขึ้นซึ่งนอกเหนือจากเกณฑ์ของมาสก์ไวรัสแล้วพารามิเตอร์อื่น ๆ ยังมีส่วนร่วมด้วย:

ระดับความซับซ้อนของรหัส polymorphic (เปอร์เซ็นต์ของคำสั่งโปรเซสเซอร์ทั้งหมดที่สามารถพบได้ในรหัสตัวถอดรหัส)
ใช้เทคนิคต่อต้านอีมูเลเตอร์
ความคงอยู่ของอัลกอริทึมถอดรหัส
ความคงตัวความยาวของตัวถอดรหัส

การเปลี่ยนรหัสปฏิบัติการ

ส่วนใหญ่แล้ว วิธีการของความหลากหลายดังกล่าวถูกใช้โดยแมโครไวรัส ซึ่งเมื่อสร้างสำเนาใหม่ของตัวเอง ให้เปลี่ยนชื่อตัวแปรแบบสุ่ม แทรกบรรทัดว่าง หรือเปลี่ยนรหัสด้วยวิธีอื่น ดังนั้นอัลกอริธึมของไวรัสจึงยังคงไม่เปลี่ยนแปลง แต่รหัสของไวรัสเปลี่ยนจากการติดไวรัสเป็นการติดเชื้อเกือบทั้งหมด

โดยทั่วไปวิธีนี้จะใช้โดยไวรัสบูตที่ซับซ้อน ไวรัสดังกล่าวแทรกเข้าไปในบูตเซกเตอร์เพียงขั้นตอนที่ค่อนข้างสั้นซึ่งอ่านรหัสหลักของไวรัสจากดิสก์และโอนการควบคุมไปยังมัน โค้ดสำหรับโพรซีเดอร์นี้ถูกเลือกจากอ็อพชันต่างๆ (ซึ่งสามารถเจือจางด้วยคำสั่ง "ว่าง") คำสั่งต่างๆ จะถูกจัดเรียงใหม่ระหว่างกัน และอื่นๆ

เทคนิคนี้หายากกว่าสำหรับไวรัสไฟล์ เนื่องจากต้องเปลี่ยนรหัสทั้งหมด และต้องใช้อัลกอริธึมที่ค่อนข้างซับซ้อน จนถึงปัจจุบัน รู้จักไวรัสดังกล่าวเพียงสองตัว โดยหนึ่งในนั้น ("Ply") สุ่มย้ายคำสั่งไปรอบๆ ตัวของมัน และแทนที่ด้วยคำสั่ง JMP หรือ CALL ไวรัสอื่น ("TMC") ใช้วิธีการที่ซับซ้อนมากขึ้น - ทุกครั้งที่ติดเชื้อ ไวรัสจะสลับบล็อกของรหัสและข้อมูล แทรก "ขยะ" ตั้งค่าออฟเซ็ตใหม่สำหรับข้อมูลในคำสั่งแอสเซมเบลอร์ เปลี่ยนค่าคงที่ ฯลฯ . ผลลัพธ์ก็คือ แม้ว่าไวรัสจะไม่เข้ารหัสรหัสของมัน แต่เป็นไวรัสที่มีความหลากหลาย - โค้ดนี้ไม่มีชุดคำสั่งถาวร นอกจากนี้ เมื่อสร้างสำเนาใหม่ของตัวเอง ไวรัสจะเปลี่ยนความยาวของมัน

ไวรัสตามประเภทของการกระทำที่ทำลายล้าง

ตามประเภทของการกระทำที่ทำลายล้าง ไวรัสสามารถแบ่งออกเป็นสามกลุ่ม:

ไวรัสสารสนเทศ (ไวรัสรุ่นแรก)

ไวรัสรุ่นแรกที่เรียกว่าเป็นไวรัสที่มีอยู่ในปัจจุบันซึ่งมีการกระทำที่มุ่งทำลาย แก้ไข หรือขโมยข้อมูล

ไวรัสฮาร์ดแวร์ (ไวรัสรุ่นที่สอง)

ไวรัสชนิดนี้สามารถทำลายฮาร์ดแวร์ของคอมพิวเตอร์ได้ ตัวอย่างเช่น ลบ BIOS หรือเสียหาย ทำลายโครงสร้างทางลอจิคัลของฮาร์ดดิสก์ในลักษณะที่จะกู้คืนได้โดยการฟอร์แมตระดับต่ำเท่านั้น (และไม่เสมอไป) ตัวแทนของประเภทนี้คือไวรัส Win95.CIH "Chernobl" ที่อันตรายที่สุดเท่าที่เคยมีมา ครั้งหนึ่ง ไวรัสนี้ปิดใช้งานคอมพิวเตอร์หลายล้านเครื่อง เขาลบโปรแกรมออกจาก BIOS ดังนั้นจึงปิดการใช้งานคอมพิวเตอร์และโปรแกรมเดียวกันก็ทำลายข้อมูลทั้งหมดจากฮาร์ดไดรฟ์จนแทบจะเป็นไปไม่ได้เลยที่จะกู้คืน

ปัจจุบัน ไม่พบไวรัสฮาร์ดแวร์ "ไวด์" แต่ผู้เชี่ยวชาญคาดการณ์ถึงการเกิดขึ้นของไวรัสชนิดนี้ที่สามารถติดไบออสได้ เพื่อป้องกันไวรัสดังกล่าว มีการวางแผนที่จะสร้างจัมเปอร์พิเศษบนเมนบอร์ดแต่ละตัวซึ่งจะบล็อกการเขียนไปยัง BIOS

ไวรัส Psychotropic (ไวรัสรุ่นที่สาม)

ไวรัสเหล่านี้สามารถฆ่าคนโดยมีอิทธิพลต่อเขาผ่านจอภาพหรือลำโพงคอมพิวเตอร์ โดยการสร้างเสียงบางอย่าง ความถี่ที่กำหนด หรือการกะพริบของสีต่างๆ บนหน้าจอ ไวรัสที่ออกฤทธิ์ต่อจิตประสาทอาจทำให้เกิดอาการชักจากโรคลมบ้าหมู (ในผู้ที่มีแนวโน้มจะเป็นเช่นนี้) หรือภาวะหัวใจหยุดเต้น เลือดออกในสมอง

โชคดีที่ยังไม่มีการมีอยู่จริงของไวรัสดังกล่าว ผู้เชี่ยวชาญหลายคนตั้งคำถามถึงการมีอยู่ทั่วไปของไวรัสชนิดนี้ แต่สิ่งหนึ่งที่แน่นอน เทคโนโลยี Psychotropic ถูกประดิษฐ์ขึ้นเพื่อโน้มน้าวบุคคลผ่านเสียงหรือภาพมาช้านาน (เพื่อไม่ให้สับสนกับเฟรมที่ 25) มันง่ายมากที่จะทำให้เกิดอาการลมบ้าหมูในคนที่มีแนวโน้มจะเป็นเช่นนี้ ไม่กี่ปีที่ผ่านมา มีข่าวในสื่อเกี่ยวกับการเกิดขึ้นของไวรัสตัวใหม่ที่เรียกว่า "666" ไวรัสนี้หลังจากทุกๆ 24 เฟรม จะแสดงการผสมสีพิเศษบนหน้าจอที่สามารถเปลี่ยนชีวิตของผู้ชมได้ เป็นผลให้คนเข้าสู่ภวังค์ที่ถูกสะกดจิตสมองสูญเสียการควบคุมการทำงานของร่างกายซึ่งอาจนำไปสู่อาการเจ็บปวดการเปลี่ยนแปลงในโหมดการทำงานของหัวใจความดันโลหิต ฯลฯ แต่กฎหมายไม่ได้ห้ามการผสมสีในปัจจุบัน ดังนั้นพวกเขาจึงสามารถปรากฏบนหน้าจอได้ค่อนข้างถูกต้องตามกฎหมายแม้ว่าผลของผลกระทบอาจเป็นหายนะสำหรับพวกเราทุกคน

ตัวอย่างของผลกระทบดังกล่าวคือการ์ตูนเรื่อง "โปเกมอน" หลังจากแสดงซีรีส์เรื่องหนึ่งในญี่ปุ่น เด็กหลายร้อยคนต้องเข้าโรงพยาบาลด้วยอาการปวดหัวอย่างรุนแรง เลือดออกในสมอง บางคนเสียชีวิต มีเฟรมในการ์ตูนที่มีสีสันสดใสของจานสีตามกฎแล้วสิ่งเหล่านี้คือแฟลชสีแดงบนพื้นหลังสีดำในลำดับที่แน่นอน หลังจากเหตุการณ์นี้ การ์ตูนเรื่องนี้ถูกห้ามไม่ให้ฉายในญี่ปุ่น

สามารถยกตัวอย่างได้อีกหนึ่งตัวอย่าง ทุกคนคงจำเหตุการณ์ที่มอสโคว์ได้หลังจากการถ่ายทอดสดการแข่งขันระหว่างทีมฟุตบอลของเรากับทีมญี่ปุ่น (ถ้าจำไม่ผิด) แต่บนหน้าจอขนาดใหญ่ มีเพียงวิดีโอที่แสดงให้เห็นว่าชายถือไม้ตีทุบรถอย่างไร นี่เป็นเอฟเฟกต์ทางจิตเมื่อดูวิดีโอ "ผู้คน" เริ่มทำลายทุกสิ่งและทุกคนในเส้นทางของพวกเขา

วัสดุและข้อมูลถูกนำมาจากแหล่งข้อมูล:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• หากต้องการแสดงความคิดเห็น กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน