มาโครไวรัสคือการติดเชื้อที่ทำให้ชีวิตของผู้ใช้เป็นพิษ แม้ว่าคุณจะเป็นโปรแกรมเมอร์ระบบอย่างน้อยสามครั้ง เธอก็ยังมีโอกาสที่จะต่อสู้กับคุณ หลายคนประเมินไวรัสประเภทนี้ต่ำไป และเปล่าประโยชน์ พวกมันไม่เป็นอันตรายอย่างที่เห็น ในแง่ของความอยู่รอดสามารถเปรียบเทียบได้กับหนูและแมลงสาบ - พวกมันปรับตัวเข้ากับทุกสิ่งและไม่ค่อยตาย ถึงเวลาจัดการกับการติดเชื้อมาโครครั้งแล้วครั้งเล่า

สถาปัตยกรรมมาโครไวรัส

ในตอนแรก คำจำกัดความที่ชัดเจน: macrovirus คือไวรัสที่สามารถทำซ้ำและจัดเก็บตัวเอง (โดยปราศจากการแทรกแซงของผู้ใช้) โดยใช้ภาษามาโคร ตามคำจำกัดความที่ว่าไวรัสแมโครสามารถอาศัยอยู่ได้ไม่เฉพาะในเอกสาร Word เท่านั้น แต่ยังอยู่ในเอกสารสำนักงานใดๆ ที่ใช้ฟังก์ชันภาษามาโคร เช่น การคัดลอกมาโครและบันทึก นี่คือรายการแอปพลิเคชันเกือบทั้งหมดที่ไวต่อภัยคุกคามการติดแมโคร: Word ( ใด ๆ ), Excel, AmiPro (นี่คือโปรแกรมแก้ไขข้อความ), MS Visio, PowerPoint, MS Access และ 1C อย่างที่คุณเห็นจำนวนโปรแกรมดังกล่าวมีค่อนข้างมากและบนอินเทอร์เน็ตคุณมักจะพบบทความที่ กำหนดมาโครไวรัสดังนี้:
"ไวรัสที่แพร่ระบาดในไฟล์เอกสารในรูปแบบ
WinWord" คนงี่เง่าบางคนเขียน!

ตอนนี้เรามาพูดถึงโครงสร้างของมาโครไวรัสภายใต้ Word (ซึ่งมีความเกี่ยวข้องมากที่สุด) ดังนั้น. มีสิ่งเช่นมาโครมาตรฐาน ได้แก่: เปิดอัตโนมัติ, ปิดอัตโนมัติ, AutoExec, ออกอัตโนมัติ, สร้างใหม่อัตโนมัติ คำนำหน้าอัตโนมัติ- หมายความว่าการดำเนินการจะดำเนินการโดยอัตโนมัติโดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ (แม้ว่าจะขึ้นอยู่กับระดับความปลอดภัยที่ตั้งไว้ แต่เราจะพูดถึงเรื่องนี้ในภายหลัง) นั่นคือโดยการเพิ่มการติดไวรัสในมาโครด้วยชื่อนี้ คุณสามารถ "คืนชีพ" ได้ นอกจากนี้ การดำเนินการมาตรฐานแต่ละรายการจะมีมาโครมาตรฐานของตนเอง ตัวอย่างเช่น หากต้องการพิมพ์ FilePrint เพื่อบันทึก FileSave เพื่อบันทึกในรูปแบบอื่น หรือใช้ชื่อ FileSaveAs อื่น และมาโครเหล่านี้สามารถติดเชื้อได้

เป้าหมายสูงสุดของ macroasshole คือการมี normal.dot (นั่นคือที่เก็บการตั้งค่าเทมเพลตทั้งหมด) จากนั้นไฟล์ที่เปิดทั้งหมดจะติดไวรัสและข้อความของคุณจะตกนรก
Word มีการรักษาความปลอดภัยหลายระดับ: สูง ปานกลาง และต่ำ นอกจากนี้ยังมีกลไกการป้องกันในตัวจากการติดเชื้อมาโคร ตามความตั้งใจของนักพัฒนาซอฟต์แวร์ ควรดำเนินการกับมาโครไวรัส เช่น ซิลเวอร์กับวิญญาณชั่วร้าย อาจเป็นไปได้ว่าใช้งานได้หากไม่ใช่สำหรับ "แต่" เป็นเพราะเขาที่ฉันจะไม่เจาะลึกความแตกต่างระหว่างระดับความปลอดภัยและการตั้งค่าภายในของ Word แต่ประเด็นก็คือพารามิเตอร์ความปลอดภัยภายในทั้งหมดสามารถเปลี่ยนได้อย่างง่ายดายผ่านรีจิสตรี โชคดีที่ ภาษามาโคร อนุญาตสิ่งนี้
ทำ. ฉันจะไม่กำหนดเส้นทางเฉพาะ (ที่จะมองหาบางสิ่ง) เพื่อไม่ให้มือขี้เล่นของคุณหลงไหล ผู้ที่มีพรสวรรค์เป็นพิเศษสามารถติดต่อฉันได้ทางสบู่ - ฉันจะแจ้งให้คุณทราบ แต่ "เพื่อทำความคุ้นเคยกับช่องโหว่ของซอฟต์แวร์นี้เท่านั้นเพื่อกำจัดพวกเขา" 🙂

โดยสรุปโครงสร้างของมาโครไวรัสมีดังนี้:

1. เรากำหนดมาโครมาตรฐานหรือมาโครที่มีประโยชน์โดยอัตโนมัติใหม่ เพื่อให้ปิดใช้งานการป้องกันและแก้ไขระดับความปลอดภัย
2. เราเพิ่มการติดเชื้อที่นั่น
3. เราตรวจสอบว่ามาโครนี้เป็นที่ต้องการ และการแพร่ระบาดจะทวีคูณและต้องลงทะเบียนใน Normal.dot

ทุกอย่างค่อนข้างง่าย - ด้วยเหตุนี้จึงมีสิ่งมีชีวิตขนาดมหึมาที่แตกต่างกันมากมาย

ฉันจะฆ่าด้วยมือเปล่า!

มีหลายวิธีในการทำลายมาโครในเอกสาร Word ที่ติดไวรัสอยู่แล้ว ที่นี่เกือบทั้งหมด:

1. สร้างมาโครของคุณเองด้วยรหัสนี้:
ย่อยหลัก
ปิดใช้งาน AutoMacros
จบย่อย
คุณบันทึกความมหัศจรรย์นี้ไว้ภายใต้ชื่อ AutoExec และทำให้แมโครอัตโนมัติไม่สามารถป้องกันได้

2. คุณจัดการด้วยระดับการป้องกัน จากนั้น Word จะขออนุญาตเมื่อเรียกใช้แมโคร

3. อย่าใช้รูปแบบเอกสาร ท้ายที่สุดทุกอย่างสามารถวางไว้ใน RTF - แบบอักษรการออกแบบตารางกราฟิกเดียวกัน ... และ RTF ไม่มีมาโครตามคำจำกัดความ ทุกอย่างจะสมบูรณ์แบบ แต่มีข้อเสีย: เมื่อบันทึกข้อมูลในรูปแบบ rtf รูปภาพทั้งหมดจะถูกแปลงเป็นรูปแบบ bmp โดยอัตโนมัติ รูปแบบกราฟิกนี้มีน้ำหนักมากจนคุณไม่ต้องการให้ศัตรูของคุณใช้ ผลที่ตามมาคือแม้หลังจากเก็บถาวรแล้ว การสูญเสียขนาดของไฟล์ที่เป็นผลลัพธ์อาจนำไปสู่ข้อเท็จจริงที่ว่ามันมีขนาดไม่พอดีกับฟล็อปปี้ดิสก์ (แน่นอนว่าขึ้นอยู่กับจำนวนรูปภาพ) จริงอยู่หากไม่มีกราฟิก rtf ก็เหมาะอย่างยิ่ง

ปืนใหญ่หนัก

ถึงเวลารวบรวมความกล้าเพื่อฆ่าสัตว์มาโครครั้งแล้วครั้งเล่า งานไม่ยากที่จะดำเนินการ: คุณต้องมีคอมพิวเตอร์ที่ไม่ติดเชื้อและชุดกระจาย Kaspersky Anti-Virus รุ่นล่าสุด ไม่กี่ปีที่ผ่านมา Kaspersky Lab ได้พัฒนาโมดูลที่เรียกว่า Office Guard เราจะพูดถึงเขา

โดยทั่วไปแล้ว Office Guard จะไม่รวมอยู่ในการแจกจ่ายที่ละเมิดลิขสิทธิ์ แต่คุณสามารถหาได้ด้วยทักษะบางอย่าง สิ่งนี้คืออะไร? นี่คือสิ่งที่ผู้สร้างพูดถึง:
"Office Guard เป็นเทคโนโลยีพื้นฐานใหม่สำหรับป้องกันไวรัสมาโครและมาโครโทรจัน ออกแบบมาสำหรับผู้ใช้ขั้นสูง Office Guard ใช้แนวทางที่ปฏิวัติวงการเพื่อให้มั่นใจถึงความปลอดภัยในการป้องกันไวรัสตามหลักการของตัวบล็อกพฤติกรรม ซึ่งแตกต่างจากการป้องกัน "แบบคลาสสิก" รูปแบบการป้องกันไวรัสที่ใช้ สร้างขึ้นบนพื้นฐานของการค้นหาตามบริบทแบบเดิม Office Guard แก้ปัญหาได้อย่างครอบคลุม โดยไม่รวมความเป็นไปได้ที่ไวรัสแมโครจะทำงานบนคอมพิวเตอร์ที่ได้รับการป้องกัน Office Guard จะแยกความแตกต่างของไวรัสมาโครโดยไม่ใช้สัญญาณภายนอก (การมีอยู่ของลำดับเฉพาะ ของอักขระ) แต่โดยลักษณะการทำงาน ซึ่งกำหนดโดยความสามารถของภาษาโปรแกรม VBA (Visual Basic for
แอปพลิเคชัน)."

คุณสมบัติที่ยอดเยี่ยมที่สุดคือไม่จำเป็นต้องอัปเดต! อย่างไรก็ตาม การใช้งานนั้นเต็มไปด้วยข้อผิดพลาดมากมาย:

1. ควรติดตั้งบนเครื่องที่ไม่ติดเชื้อ
2. หากคุณติดตั้ง Word แล้วติดตั้ง Office Guard แล้วติดตั้ง Excel เฉพาะ Word เท่านั้นที่จะได้รับการป้องกัน วาดข้อสรุปของคุณเอง
3. Office Guard จับไวรัสได้ แต่รักษาไม่ได้

เพื่อแก้ปัญหาสุดท้าย เพียงแค่ต้องการโปรแกรมสแกนไวรัส ดังนั้น AVP-scanner + Office Guard จึงช่วยป้องกันไวรัสมาโครได้อย่างสมบูรณ์ หากคุณต้องการจัดการเอกสารคุณจะต้องดาวน์โหลดการอัปเดตเป็นครั้งคราว
เอวีพี

อย่างไรก็ตาม ขอพูดตามตรง คุณไม่สามารถลากผ้าห่มไปยัง Kaspersky Lab ได้ มิฉะนั้นจะมีการสนทนาเช่น:
"และคุณได้รับค่าจ้างเท่าไรในการโปรโมตผลิตภัณฑ์"

โปรแกรมป้องกันไวรัสที่อัปเดตใด ๆ ให้ผลดีเกือบ 100%
ป้องกันแมโครกาด เป็นเพียงว่าแต่ละคนใช้เทคโนโลยีที่แตกต่างกันสำหรับสิ่งนี้ ตัวอย่างเช่น DrWeb ใช้การค้นหาลายเซ็นและการวิเคราะห์พฤติกรรม
สิ่งที่เราพูดคุยกับผู้สร้าง:

ชุดป้องกันไวรัสของคุณไม่มีโมดูลแยกต่างหากสำหรับการต่อสู้กับไวรัสมาโคร ทำไม คุณคิดว่ามอนิเตอร์ประจำเครื่องรับประกันความปลอดภัยจากไวรัสมาโครหรือไม่?

เครื่องมือสำหรับตรวจจับและต่อสู้กับมาโครไวรัสเป็นส่วนสำคัญของ DrWeb core และเนื่องจากทั้งสแกนเนอร์และมอนิเตอร์ใช้เคอร์เนล ไวรัสมาโครทั้งหมดจึงถูกตรวจพบและปฏิบัติอย่างเท่าเทียมกันในทั้งสองกรณี

WUA มีโมดูลแยกต่างหากสำหรับป้องกันไวรัสแมโครใน MS Office นักพัฒนาอ้างว่าโมดูลนี้ใช้ตัวบล็อกพฤติกรรมที่วิเคราะห์การกระทำของโปรแกรมผู้ป่วย เป็นผลให้ผลิตภัณฑ์นี้ปราศจากไวรัสมาโคร 100% จนกว่าจะมี VBA เวอร์ชันใหม่ออกมา เหล่านั้น. ไวรัสมาโครไม่ถูกค้นหาด้วยลายเซ็น ข้อได้เปรียบดังกล่าว
แนวทางคือการติดตั้งโมดูลดังกล่าวเพียงครั้งเดียวก็ไม่จำเป็นต้องอัปเดต ตอนนี้คำถาม: DrWeb ค้นหามาโครไวรัสด้วยลายเซ็น?

DrWeb ค้นหามาโครไวรัสทั้งจากลายเซ็นและการใช้ในตัว
เครื่องวิเคราะห์ฮิวริสติกดั้งเดิมที่ทรงพลัง เครื่องมือค้นหาและวิเคราะห์มาโคร
นำไปใช้ในหลายระดับ: สแกนรหัสไบนารีของมาโครด้วย
คอมไพล์และซอร์สโค้ดของพวกเขา สิ่งนี้ทำให้คุณสามารถตรวจจับไวรัสที่รู้จัก
การปรับเปลี่ยนเช่นเดียวกับมาโครไวรัสที่ไม่รู้จัก ดังนั้น,
เป็นไปได้ไม่เพียง แต่จะไม่ขึ้นอยู่กับเวอร์ชันของการติดตั้งเท่านั้น
แพ็คเกจ MS Office (ความสามารถในการสกัดกั้นการทำงานของมาโครปรากฏขึ้น
เฉพาะใน Office 2000 และไม่มีในเวอร์ชันก่อนหน้า) แต่โดยทั่วไปมาจาก
การปรากฏตัวของ MS Office บนคอมพิวเตอร์ที่ทำการสแกน
ไฟล์ -- ตัวอย่างเช่น บนอินเทอร์เน็ตเกตเวย์ของบริษัท

นอกจากนี้ด้วยความช่วยเหลือของฮิวริสติก
ตัววิเคราะห์ DrWeb สามารถตรวจจับโทรจันที่ไม่รู้จัก
แบ็คดอร์, เวิร์มอินเทอร์เน็ต, ไออาร์ซี, แบทช์ (แบท) และสคริปต์
(vbs/vbe) ไวรัส

ความคิดเห็นส่วนตัวของคุณ: โมดูล WUA สามารถให้ความปลอดภัย 100% จากการติดเชื้อมาโครได้หรือไม่

สถานการณ์ปัจจุบันเป็นเช่นนั้นเพื่อต่อสู้กับไวรัสอย่างมีประสิทธิภาพที่ทันสมัย
ผลิตภัณฑ์ป้องกันไวรัสต้องได้รับการปรับปรุงอย่างทันท่วงที น่าเสียดาย,
การสร้างโปรแกรมป้องกันไวรัส "สัมบูรณ์" นั้นเป็นไปไม่ได้

คำถามได้รับคำตอบ
เซอร์เก ยูริเยวิช โปปอฟ
อันเดรย์ วลาดิมิโรวิช บาชาริมอฟ

ผู้พัฒนาโปรแกรมป้องกันไวรัสตระกูล Dr.WEB

มาโครไวรัส - เป็นความหลากหลายไวรัสคอมพิวเตอร์พัฒนาบนภาษามาโครสร้างขึ้นในแพ็คเกจแอปพลิเคชันดังกล่าวโดย, ยังไง ไมโครซอฟต์ออฟฟิศ. สำหรับการสืบพันธุ์ไวรัสดังกล่าวใช้ความสามารถของภาษามาโครและด้วยความช่วยเหลือของพวกเขาจะถูกถ่ายโอนจากผู้ติดเชื้อไฟล์ให้กับผู้อื่น ไวรัสเหล่านี้ส่วนใหญ่เขียนขึ้นเพื่อเอ็มเอส เวิร์ด.

ไวรัสมาโครสำหรับ Microsoft Word, Excel และ Office 97 นั้นแพร่หลายมากที่สุด

สำหรับการมีอยู่ของไวรัสในระบบใดระบบหนึ่ง (ตัวแก้ไข) จำเป็นต้องมีภาษามาโครในระบบที่มีความสามารถดังต่อไปนี้:

1. การเชื่อมโยงโปรแกรมในภาษามาโครกับไฟล์เฉพาะ
2. คัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง
3. รับการควบคุมแมโครโดยไม่ต้องมีการแทรกแซงของผู้ใช้ (มาโครอัตโนมัติหรือมาโครมาตรฐาน) เงื่อนไขที่อธิบายไว้เป็นไปตามโปรแกรมแก้ไข MS Word, MS Office 97 และ AmiPro รวมถึงสเปรดชีต MS Excel ระบบเหล่านี้ประกอบด้วยภาษามาโคร (MS Word - Word Basic, MS Excel และ MS Office 97 - Visual Basic) ในขณะที่:

1. โปรแกรมมาโครเชื่อมโยงกับไฟล์เฉพาะ (AmiPro) หรืออยู่ภายในไฟล์ (MS Word/Excel/Office 97)

2. ภาษามาโครช่วยให้คุณสามารถคัดลอกไฟล์ (AmiPro) หรือย้ายโปรแกรมมาโครไปยังไฟล์บริการระบบและไฟล์ที่แก้ไขได้ (MSWord / Excel / Office 97)

3. เมื่อทำงานกับไฟล์ภายใต้เงื่อนไขบางประการ (การเปิด การปิด ฯลฯ) โปรแกรมมาโคร (ถ้ามี) จะถูกเรียก ซึ่งกำหนดไว้ในลักษณะพิเศษ (AmiPro) หรือมีชื่อมาตรฐาน (MS Word / Excel / Office 97 ).

ในผลิตภัณฑ์ซอฟต์แวร์สี่รายการที่กล่าวถึงข้างต้น ไวรัสจะเข้าควบคุมเมื่อเปิดหรือปิดไฟล์ที่ติดไวรัส สกัดกั้นการทำงานของไฟล์มาตรฐาน และทำให้ไฟล์ติดไวรัสที่เข้าถึงด้วยวิธีใดวิธีหนึ่ง เมื่อเปรียบเทียบกับ DOS เราสามารถพูดได้ว่าไวรัสมาโครส่วนใหญ่เป็นไวรัสประจำถิ่น: พวกมันทำงานไม่เพียงในขณะที่เปิดหรือปิดไฟล์เท่านั้น แต่ตราบใดที่ตัวแก้ไขยังทำงานอยู่

หลักการทำงาน

ไวรัสมาโครที่ติดไวรัสในไฟล์ Word, Excel หรือ Office 97 มักจะใช้หนึ่งในสามเทคนิคต่อไปนี้:

นอกจากนี้ยังมีกึ่งไวรัสที่ไม่ใช้เทคนิคที่ระบุไว้และทวีคูณเฉพาะเมื่อผู้ใช้เปิดใช้อย่างอิสระเพื่อดำเนินการ

ไวรัสมาโครส่วนใหญ่มีการทำงานทั้งหมดเป็นมาโคร MS Word/Excel/Office 97 มาตรฐาน อย่างไรก็ตาม มีไวรัสที่ซ่อนรหัสและจัดเก็บรหัสเป็นที่ไม่ใช่มาโคร รู้จักสามวิธีดังกล่าว ทั้งหมดใช้ความสามารถของมาโครในการสร้าง แก้ไข และเรียกใช้มาโครอื่นๆ ตามกฎแล้วไวรัสดังกล่าวมีมาโครโหลดเดอร์ขนาดเล็ก (บางครั้งเป็นโพลีมอร์ฟิค) ซึ่งเรียกตัวแก้ไขมาโครในตัวสร้างมาโครใหม่เติมด้วยรหัสหลักของไวรัสดำเนินการและตามกฎแล้วทำลายมัน ซ่อนร่องรอยของไวรัส รหัสหลักของไวรัสดังกล่าวมีอยู่ในเนื้อหาของไวรัสเองในรูปแบบของสตริงข้อความ หรือถูกเก็บไว้ในพื้นที่ตัวแปรเอกสารหรือในพื้นที่ข้อความอัตโนมัติ

การตรวจจับไวรัสมาโคร

สัญญาณลักษณะของการปรากฏตัวของ macroviruses คือ:

• ไม่สามารถแปลงเอกสาร Word ที่ติดไวรัสเป็นรูปแบบอื่นได้ ไฟล์ที่ติดไวรัสจะอยู่ในรูปแบบ Template เนื่องจากเมื่อติดไวรัส Word ไวรัสจะแปลงไฟล์จากรูปแบบ Word Document เป็น Template;
• ความเป็นไปไม่ได้ในการเขียนเอกสารไปยังไดเร็กทอรีอื่นหรือไปยังดิสก์อื่นด้วยคำสั่ง "บันทึกเป็น" (สำหรับ Word 6 เท่านั้น)
• มีไฟล์ "ต่างประเทศ" ในไดเร็กทอรี STARTUP
• การมีอยู่ในหนังสือ (Book) ของ "พิเศษ" และชีตที่ซ่อนอยู่ (ชีต)

ไวรัสคอมพิวเตอร์คือโปรแกรมคอมพิวเตอร์หรือรหัสที่เป็นอันตรายประเภทหนึ่ง ซึ่งมีลักษณะเด่นคือความสามารถในการทำซ้ำ (จำลองตัวเอง) นอกจากนี้ ไวรัสสามารถดำเนินการโดยพลการอื่นๆ โดยที่ผู้ใช้ไม่ทราบ รวมถึงการกระทำที่เป็นอันตรายต่อผู้ใช้และ/หรือคอมพิวเตอร์
แม้ว่าผู้เขียนไวรัสจะไม่ได้ตั้งโปรแกรมผลกระทบที่เป็นอันตราย แต่ไวรัสก็สามารถทำให้คอมพิวเตอร์ล่มได้เนื่องจากข้อผิดพลาด โดยไม่ได้คำนึงถึงความซับซ้อนของการโต้ตอบกับระบบปฏิบัติการและโปรแกรมอื่นๆ นอกจากนี้ ไวรัสมักจะใช้พื้นที่จัดเก็บบางส่วนและแย่งทรัพยากรระบบอื่นๆ ไปบางส่วน ดังนั้นไวรัสจึงจัดเป็นมัลแวร์

การแนะนำ
4
1. มาโครไวรัส
6
1.1 ข้อมูลทั่วไปของไวรัสมาโคร
7
8
2. คำชี้แจงของปัญหา
10
3. ภาพรวมของไวรัสที่รู้จักมากที่สุดในแมโครเอกสาร
11
3.1 การแพร่กระจายของมาโครไวรัส
13
3.2 อัลกอริทึมของมาโครไวรัสสำหรับ Microsoft Office
14
4. วิธีป้องกันไวรัสในมาโครเอกสาร
16
4.1 การตรวจหาไวรัสมาโคร
17
4.2 การกู้คืนวัตถุที่ได้รับผลกระทบ
18
5. การสร้างไวรัสในมาโครและฉีดเข้าไปในไฟล์เอกสาร
19
5.1 การแสดงข้อความบนหน้าจออย่างต่อเนื่อง
19
5.2 เรียกใช้แอปพลิเคชันจากมาโครไวรัส
19
5.3 การเริ่มต้นอัตโนมัติและการดำเนินการ
20
บทสรุป
21
รายชื่อวรรณกรรมที่ใช้

ผลงานมี 1 ไฟล์

โปรแกรมขั้นตอนสามารถดำเนินการได้โดยตรงหรือเปิดใช้งานตามความต้องการจากมาโครอื่นๆ ไวยากรณ์ของพวกเขามีดังต่อไปนี้:

ย่อย<Имя_Макроса>
-> รหัสมาโคร<-
" ความคิดเห็นเริ่มต้นด้วยเครื่องหมายอัญประกาศเดี่ยว
จบย่อย
ตัวอย่างคือแมโครต่อไปนี้:
" แมโครนี้เปิดกล่องโต้ตอบและแสดงข้อความ
Sub Stupid_Greeting
MsgBox "โลกสวรรค์"
จบย่อย

1.2 Macroviruses ทำงานอย่างไร

เมื่อทำงานกับเอกสาร MS Word เวอร์ชัน 6 และ 7 จะดำเนินการหลายอย่าง: เปิดเอกสาร บันทึก พิมพ์ ปิด ฯลฯ ในเวลาเดียวกัน Word จะค้นหาและเรียกใช้มาโครในตัวที่เกี่ยวข้อง: เมื่อบันทึกไฟล์ การใช้คำสั่ง File / Save จะเรียกแมโคร FileSave เมื่อบันทึกโดยคำสั่ง File/SaveAs - FileSaveAs เมื่อพิมพ์เอกสาร - FilePrint ฯลฯ หากมีการกำหนดมาโครดังกล่าว

นอกจากนี้ยังมี "มาโครอัตโนมัติ" หลายตัวที่เรียกใช้โดยอัตโนมัติภายใต้เงื่อนไขต่างๆ ตัวอย่างเช่น เมื่อคุณเปิดเอกสาร Word จะตรวจดูว่ามีแมโครเปิดอัตโนมัติหรือไม่ หากมีมาโครดังกล่าว Word จะดำเนินการ เมื่อปิดเอกสาร Word เรียกใช้แมโคร AutoClose เมื่อ Word เริ่มทำงาน แมโคร AutoExec จะถูกเรียก เมื่อปิด จะออกอัตโนมัติ และเมื่อสร้างเอกสารใหม่ AutoNew กลไกที่คล้ายกันแต่มีชื่อแมโครและฟังก์ชันต่างกัน ยังใช้ใน Excel/Office 97 อีกด้วย

ไวรัสมาโครที่ติดไวรัสในไฟล์ Word, Excel หรือ Office 97 มักจะใช้วิธีใดวิธีหนึ่งจากสามวิธีข้างต้น:

1. ไวรัสมีมาโครอัตโนมัติ (ฟังก์ชันอัตโนมัติ);
2. หนึ่งในมาโครระบบมาตรฐาน (ที่เกี่ยวข้องกับรายการเมนูบางรายการ) ถูกกำหนดใหม่ในไวรัส
3. มาโครของไวรัสจะถูกเรียกโดยอัตโนมัติเมื่อคุณกดคีย์หรือคีย์ผสมใดๆ

นอกจากนี้ยังมีกึ่งไวรัสที่ไม่ใช้เทคนิคที่ระบุไว้และทวีคูณเฉพาะเมื่อผู้ใช้เปิดใช้อย่างอิสระเพื่อดำเนินการ

ไวรัสมาโครส่วนใหญ่มีการทำงานทั้งหมดเป็นมาโคร MS Word/Excel/Office 97 มาตรฐาน อย่างไรก็ตาม มีไวรัสที่ซ่อนรหัสและจัดเก็บรหัสเป็นที่ไม่ใช่มาโคร รู้จักสามวิธีดังกล่าว ทั้งหมดใช้ความสามารถของมาโครในการสร้าง แก้ไข และเรียกใช้มาโครอื่นๆ ตามกฎแล้วไวรัสดังกล่าวมีมาโครโหลดเดอร์ขนาดเล็ก (บางครั้งเป็นโพลีมอร์ฟิค) ซึ่งเรียกตัวแก้ไขมาโครในตัวสร้างมาโครใหม่เติมด้วยรหัสหลักของไวรัสดำเนินการและตามกฎแล้วทำลายมัน ซ่อนร่องรอยของไวรัส

1. การกำหนดปัญหา

วัตถุประสงค์หลักของโครงการหลักสูตรนี้คือ:

1. ภาพรวมของไวรัสที่รู้จักมากที่สุดในมาโครเอกสาร
2. การแพร่กระจายของไวรัสในแมโครเอกสาร
3. วิธีป้องกันไวรัสในมาโครเอกสาร
4. การสร้างไวรัสในแมโครและการใช้งาน

1. ภาพรวมของไวรัสที่รู้จักมากที่สุดในแมโครเอกสาร

Saver (แปลจากภาษาอังกฤษ - "Save") เป็นมาโครไวรัสที่ทำงานบนเครื่องที่ติดตั้งซอฟต์แวร์ MS Office ส่วนประกอบประกอบด้วย Word 97 (เวอร์ชัน 8.0) หรือ Word 2003 (เวอร์ชัน 11.0 - บริษัทผู้พัฒนา Microsoft ได้ดำเนินการ เวอร์ชันนี้เข้ากันได้กับ Word เวอร์ชันก่อนหน้าทั้งหมด ซึ่งทำให้ไวรัสทำงานภายใต้เวอร์ชันนั้น) ไวรัสมีชื่อสำหรับสตริงข้อความ - "ลิขสิทธิ์" ที่อยู่ในรหัส:
SaverVirus เช่นเดียวกับความสามารถในการสร้างสำเนาดิสก์ของเอกสารที่ติดไวรัส เขียนเมื่อวันที่ 2 กุมภาพันธ์ พ.ศ. 2543 ใน Konotop ตามหลักฐานในบรรทัดข้อความอื่น - "ลิขสิทธิ์" ในเนื้อหาของเขา:
มาโครบันทึก 02.02.00 KONOTOP

Saver จะติดไวรัสในเอกสารที่บันทึกในรูปแบบ "DOC" รวมถึงไฟล์ที่มีการตั้งค่า MS Office (ไฟล์ DOT) เอกสารที่เขียนในรูปแบบ "RTF" ไม่สามารถติดไวรัสได้เพราะ โครงสร้างของหลังไม่มีส่วนมาโครหรือ "มาโคร" (ส่วนที่มีการตั้งค่าที่เกี่ยวข้องกับการออกแบบเอกสารปัจจุบัน - ขนาดและประเภทแบบอักษร, ระยะขอบ, การจัดเรียงวัตถุ ฯลฯ ) ซึ่งไม่รวมความเป็นไปได้ของการติดไวรัส ไวรัสสามารถถูกนำเข้าเครื่องผ่านเอกสารที่ติดไวรัสหรือไฟล์การตั้งค่าที่มีนามสกุลข้างต้นเท่านั้น หากผู้ใช้เปิด ตามมาด้วยการเพิกเฉยต่อคำเตือนของการป้องกันมาโครใน Word:

รูปที่ 1 คำเตือนการเรียกใช้มาโคร

การติดไวรัสจะเกิดขึ้นหากเลือกตัวเลือก "อย่าปิดใช้งานมาโคร" ซึ่งด้วยเหตุผลบางอย่างที่ผู้ใช้ส่วนใหญ่ทำเมื่อข้อความแจ้งนี้ปรากฏขึ้น หลังจากนั้น Saver จะปิดใช้งานการป้องกันไวรัสในตัวในมาโครใน Word 97 - VirusProtection (ภายใต้ Word 2003 ไวรัสไม่สามารถทำได้เนื่องจากหลักการของการป้องกันนี้แตกต่างกันเล็กน้อย) และทำให้ไฟล์เทมเพลตการตั้งค่าของโปรแกรมแก้ไขนี้ติดไวรัส:

ด้วย Word97:
C:\ProgramFiles\MicrosoftOffice\Templates\Normal .dot

ด้วย Word2003:
C:\Documents and Settings\%current username%\Application Data\Microsoft\Templates\Normal จุด
โดยการเปลี่ยนขนาดที่ระบุจาก 26624 ไบต์เป็น 39424 ไบต์หรือ 27136 ไบต์เป็น 39936 ไบต์ (คำอธิบาย: Normal.dot สามารถมีขนาดที่ระบุหนึ่งในสองขนาด ขึ้นอยู่กับเงื่อนไขของระบบบางอย่าง) สำหรับ Word 97 (สำหรับ Word 2003 ค่าของ ไฟล์เทมเพลตที่ติดไวรัสอาจแตกต่างกันเนื่องจากขนาดดั้งเดิมของวัตถุนี้อาจแตกต่างกันอย่างมากขึ้นอยู่กับการตั้งค่าจำนวนหนึ่งที่ตั้งค่าไว้ใน Word "e) จากนั้นไวรัสจะทำลายไฟล์ Normal.dot โดยเปลี่ยนเป็นหยดของโปรแกรม ( "dropper" - starter, activator): เปลี่ยนเนื้อหาในลักษณะที่การควบคุมถูกถ่ายโอนไปยังรหัสไวรัส... ไวรัสบันทึกรหัสนี้ในไฟล์ saver.dll ที่สร้าง:

ด้วย Word97:
C:\ProgramFiles\MicrosoftOffice\Office\saver dll

ด้วย Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver.dll

ไฟล์นี้มีขนาด 29696 ไบต์ และเป็นไฟล์เทมเพลต Normal.dot ที่แก้ไขโดยไวรัส

W97M.Class

Class.sys เป็นไฟล์เสริมสำหรับไวรัส W97M.Class ซึ่งอยู่ในไดเร็กทอรี C:\ root ข้อความของโปรแกรมไวรัสที่ส่วนท้ายของเอกสาร (ส่วนหนึ่งของโปรแกรมยังคงเขียนอยู่ใน Normal.dot เนื่องจากเนื้อหาของโปรแกรมมีการตรวจสอบจำนวนบรรทัดในเทมเพลตนี้) ไวรัสติดไฟล์ Normal.dot (นี่คือเทมเพลต Word97 ไวรัสทำให้มีขนาดใหญ่กว่า 50 kB) และยังแพร่ระบาดในเอกสาร Word ที่เปิดอยู่ทั้งหมด เช่น ไฟล์ที่มีนามสกุล *.doc และทำให้มีขนาดใหญ่ขึ้นประมาณ 2 เท่า
ไวรัสจะเปิดใช้งานหลังจากวันที่ 14 พฤษภาคม และจะ "ทักทาย" คุณต่อไปในวันที่ 14 ของเดือนถัดไป สับเปลี่ยนบรรทัดในเอกสาร ส่งข้อความ: "ฉันคิดว่า 'ชื่อผู้ใช้' เป็นคนสารเลว!"

หลังจากนั้นจะแทนที่บรรทัด บันทึกเอกสารและปิด

W97M.Ethan เป็นไวรัสมาโครที่ประกอบด้วยมาโครคอมมานด์เพียงตัวเดียว ทำให้เอกสารแอปพลิเคชัน Word97 ติดไวรัสเมื่อปิดและแม่แบบ NORMAL.DOT ส่วนกลาง

ปัจจัยที่ดีในการแพร่กระจายของไวรัส W97M.Ethan คือใน Microsoft Word มาโครจะเปิดขึ้นโดยอัตโนมัติเมื่อมีการเปิด ปิด บันทึก ฯลฯ เอกสารใดๆ

นอกจากนี้ยังมีสิ่งที่เรียกว่าเทมเพลตทั่วไป NORMAL.DOT และมาโครที่อยู่ในเทมเพลตทั่วไปจะทำงานโดยอัตโนมัติเมื่อมีการเปิดเอกสารใดๆ เมื่อพิจารณาว่าการคัดลอกมาโครจากเอกสารหนึ่งไปยังอีกเอกสารหนึ่ง (โดยเฉพาะอย่างยิ่ง ไปยังเทมเพลตทั่วไป) ทำได้ด้วยคำสั่งเพียงคำสั่งเดียว สภาพแวดล้อมของ Microsoft Word จึงดูเหมาะสมสำหรับการมีอยู่ของไวรัสคำสั่งมาโคร เช่น W97M.Ethan

การติดเชื้อในระบบ:

หลังจากเข้าสู่ระบบ ไวรัสจะวางมาโครตัวเดียวไว้ที่จุดเริ่มต้นของโมดูลที่เขียนใน VBA (Visual Basic for Applications) - "ThisDocument" "เอกสารนี้" เป็นโมดูลในเทมเพลต MS Word 97

เมื่อติดไวรัสในเอกสารหรือแม่แบบที่ใช้ร่วมกัน ไวรัสจะใช้ไฟล์ข้อความชั่วคราว "C:\Ethan.___" ซึ่งเป็นแหล่งที่มาของรหัสไวรัส ไวรัสกำหนดระบบและแอตทริบิวต์ที่ซ่อนอยู่ให้กับไฟล์นี้

4. การแพร่กระจายของมาโครไวรัส

เมื่อเปิด Word Normal.dot จะถ่ายโอนการควบคุมไปยังไวรัส "ไฟล์เทมเพลต" saver.dll การทดลองที่ดำเนินการกับไวรัสในเครื่องทดสอบให้ผลลัพธ์ดังต่อไปนี้:

1. ไวรัสจะติดไวรัสในเอกสารเมื่อถูกปิด: มันเขียนโค้ดของตัวเองลงในส่วนของมาโครโดยใช้มาโคร AutoSave ของมันเอง ในกรณีนี้ ไวรัสจะบล็อกคำขอมาตรฐานเพื่อยืนยันการบันทึกเอกสารโดยมีการเปลี่ยนแปลง ซึ่งเป็นผลมาจากการเปลี่ยนแปลงทั้งหมดในเอกสารโดยไวรัสและผู้ใช้จะถูกบันทึกโดยอัตโนมัติโดยไม่ทราบสาเหตุ .

2. ในกรณีที่เอกสารถูกเปิดโดยผู้ใช้หรือแก้ไขและบันทึกผ่านตัวเลือก "บันทึก" ไวรัสจะติดไวรัสในเอกสารนี้ หากผู้ใช้บันทึกเอกสารหลังนี้ซ้ำผ่านตัวเลือก "บันทึกเป็น..." ไวรัสจะแพร่ระบาดเฉพาะเอกสารที่บันทึกใหม่เท่านั้น โดยปล่อยให้เอกสารต้นฉบับไม่เปลี่ยนแปลง ในเวลาเดียวกัน ในทั้งสองกรณี การเพิ่มขนาดของไฟล์หลังจากการติดไวรัสขึ้นอยู่กับเงื่อนไขหลายประการและไม่มีค่าที่แน่นอน

3. จากข้อเท็จจริงที่ว่าไวรัสติดไวรัสซ้ำในเอกสารแม้ว่าจะเปิดดูโดยที่ผู้ใช้ไม่ได้ทำการเปลี่ยนแปลงใดๆ ก็ตาม ขนาดของไฟล์จึงเพิ่มขึ้นอย่างต่อเนื่อง ดังนั้นในเครื่องรุ่นเก่าที่มีฮาร์ดไดรฟ์ขนาดเล็ก พื้นที่ว่างจะลดลงอย่างมาก อย่างรวดเร็ว. นอกจากนี้ คุณยังอาจพบว่าเครื่องทำงานช้าลงอย่างมากเมื่อทำงานกับ Word ซึ่งเกี่ยวข้องกับค่าใช้จ่ายเพิ่มเติมของทรัพยากร RAM สำหรับการประมวลผลส่วนมาโครที่เพิ่มขึ้นของไวรัสของเอกสารที่ติดไวรัส และท้ายที่สุดอาจกลายเป็นสาเหตุที่แท้จริงที่ทำให้ส่วนหลังค้างเมื่อเปิดขึ้น

4. หลังจากติดไวรัสเอกสารแรกในเครื่องที่สะอาดแล้ว ไวรัสจะสร้างไดเร็กทอรีย่อยของตัวเอง:

ด้วย Word97:
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\

ด้วย Word2003:
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\

ซึ่งคัดลอกเอกสารที่ติดไวรัสแต่ละฉบับ ต่อจากนั้น หากชื่อของเอกสารเปิดปัจจุบันที่ติดไวรัส (ซ้ำๆ หรือเป็นครั้งแรก - ไม่สำคัญ) ตรงกับชื่อของสำเนาของเอกสารที่อยู่ในไดเร็กทอรี "Doc_Copy" จากนั้นไวรัสจะขึ้นอยู่กับ ตัวนับภายในสามารถเขียนทับเนื้อหาต้นฉบับของเอกสารปัจจุบันซึ่งเป็นเนื้อหาของไฟล์สำเนา ซึ่งทำให้เนื้อหาของเอกสารปัจจุบันสูญหายอย่างไม่อาจแก้ไขได้
นอกจากนี้ยังมีความเป็นไปได้ที่ข้อมูลลับจะรั่วไหลหากมีผู้ใช้หลายคนทำงานบนเครื่อง ตัวอย่างเช่น หนึ่งในนั้นทำงานจากฟล็อปปี้ดิสก์ที่มีเอกสารที่มีข้อมูลลับทางการเงินหรือข้อมูลอื่นใดที่ผู้ใช้รายอื่นไม่ควรรู้ อย่างไรก็ตาม หลังจากที่ไวรัสสร้างสำเนาของไฟล์นี้ในโฟลเดอร์ "Doc_Copy" ผู้ใช้รายอื่นของคอมพิวเตอร์เครื่องนี้อาจเปิดดูเนื้อหาของเอกสารได้

5. หลังจากปิด Word โปรแกรมไวรัสจะปิดโดยอัตโนมัติ - มาโครไวรัส AutoClose จะถูกเรียกใช้

4.1 อัลกอริทึมของมาโครไวรัสสำหรับ Microsoft Office

ไวรัส Word ที่รู้จักส่วนใหญ่ (เวอร์ชัน 6, 7 และ Word 97) จะย้ายโค้ดของตัวเองไปยังพื้นที่มาโครส่วนกลางของเอกสาร (มาโคร "ทั่วไป") เมื่อเปิดใช้งาน

เมื่อคุณออกจาก Word มาโครส่วนกลาง (รวมถึงมาโครไวรัส) จะถูกเขียนไปยังไฟล์ DOT ของแมโครส่วนกลางโดยอัตโนมัติ (โดยทั่วไปคือ NORMAL.DOT) ดังนั้น ไวรัสจะเปิดใช้งานในขณะที่ Word โหลดมาโครส่วนกลาง

จากนั้นไวรัสจะกำหนดใหม่ (หรือมีอยู่แล้ว) มาโครมาตรฐานตั้งแต่หนึ่งตัวขึ้นไป (เช่น FileOpen, FileSave, FileSaveAs, FilePrint) และสกัดกั้นคำสั่งสำหรับการทำงานกับไฟล์ เมื่อเรียกใช้คำสั่งเหล่านี้ ไฟล์ที่กำลังเข้าถึงจะติดไวรัส ในการทำเช่นนี้ ไวรัสจะแปลงไฟล์เป็นรูปแบบเทมเพลต (ซึ่งทำให้ไม่สามารถเปลี่ยนรูปแบบไฟล์ได้อีก เช่น แปลงเป็นรูปแบบที่ไม่ใช่เทมเพลต) และเขียนมาโครลงในไฟล์ รวมถึงมาโครอัตโนมัติ

อีกวิธีในการแนะนำไวรัสเข้าสู่ระบบคือไฟล์ที่เรียกว่า "Add-in" ซึ่งเป็นไฟล์ที่เป็นบริการเสริมของ Word ในกรณีนี้ NORMAL.DOT จะไม่เปลี่ยนแปลง และ Word จะโหลดมาโครไวรัสจากไฟล์ (หรือหลายไฟล์) ที่ระบุว่าเป็น "Add-in" เมื่อเริ่มทำงาน วิธีนี้เกือบจะทำซ้ำการติดไวรัสของมาโครส่วนกลางทั้งหมด โดยมีข้อยกเว้นเพียงอย่างเดียวคือไม่ได้เก็บมาโครไวรัสไว้ใน NORMAL.DOT แต่อยู่ในไฟล์อื่นบางไฟล์

นอกจากนี้ยังเป็นไปได้ที่จะฉีดไวรัสลงในไฟล์ที่อยู่ในไดเร็กทอรี STARTUP ในกรณีนี้ Word จะโหลดไฟล์เทมเพลตโดยอัตโนมัติจากไดเร็กทอรีนี้ แต่ยังไม่พบไวรัสดังกล่าว
พิจารณาไวรัสที่ออกแบบมาเพื่อแพร่ระบาดในเอกสาร Word ไวรัสนี้ใช้ชื่อบริการ FileOpen ขั้นตอน FileOpen() จะดำเนินการเมื่อใดก็ตามที่ผู้ใช้เปิดไฟล์และปลอมตัวเป็นไดอะล็อก File->Open File ปกติ

InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name

Rem ตัวแปร InfectorPath กำหนดเส้นทางไปยังเอกสารที่มีไวรัส

ไดอะล็อก (wdDialogFileOpen) แสดง

Rem จำลองไฟล์ -> เปิดไฟล์โต้ตอบ

ติดเชื้อ=เท็จ

สำหรับแต่ละ VbComponent ใน ActiveDocument.VBProject ส่วนประกอบ VB

ถ้า VbComponent.Name = "Virus" จากนั้น Infected = True

Rem ที่นี่ ไฟล์ที่เปิดโดยผู้ใช้จะได้รับการตรวจสอบหาไวรัส

ถ้าไม่ติดเชื้อแล้ว

Rem หากไฟล์ไม่ติดไวรัส ไวรัสจะผนวกเข้ากับไฟล์

CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath

Copy ย่อยสาธารณะ Macro (NewDestination, NewSource)

เมื่อเกิดข้อผิดพลาด GoTo nextline

Application.OrganizerCopy Source:= _

NewSource, ปลายทาง:=NewDestination, ชื่อ:="Virus", Object:= _

WdOrganizerObjectProjectItems

Rem คัดลอกโมดูลด้วยไวรัส

ActiveDocument.Save

Rem บันทึกเอกสาร

5. วิธีป้องกันไวรัสในแมโครเอกสาร

Macroviruses มักเขียนโดยเด็กนักเรียนเพื่อจุดประสงค์ในการยืนยันตนเอง ไวรัสดังกล่าวไม่ได้ทำอะไรผิด - พวกมันแค่เพิ่มจำนวนในคอมพิวเตอร์ของคุณ อย่างไรก็ตาม คุณไม่ควรละเลยวิธีการป้องกันไวรัสแมโคร เนื่องจาก WordBasic ช่วยให้คุณสามารถเขียนไวรัสที่ทำให้เอกสาร Word เสียหาย หรือแม้แต่ฟอร์แมตฮาร์ดไดรฟ์ คุณสมบัติของมาโครไวรัสคือโปรแกรมป้องกันไวรัสทั่วไปไม่รู้จักพวกมัน เพื่อป้องกันไวรัสมาโคร เราขอแนะนำ ViruScan จาก MacCafee (http://www.macafee.com). นอกจากนี้ยังมีวิธีป้องกันการติดเชื้อง่ายๆ อีกหลายวิธี ใน Word 6.0 มาโครทั้งหมดจะถูกจัดเก็บไว้ในไฟล์เทมเพลต (*.dot) และจะใช้ได้เฉพาะเมื่อเปิดเทมเพลตเท่านั้น เนื่องจาก Word จะโหลดเทมเพลตส่วนกลางของ Normal.dot โดยอัตโนมัติเมื่อเปิด ไวรัสทั้งหมดมักจะเขียนตัวเองที่นั่น ดังนั้น หากคุณใช้ Word 6.0 ให้ตั้งค่าไฟล์ Normal.dot เป็นแบบอ่านอย่างเดียว อีกทางเลือกหนึ่งคือการกดปุ่ม Shift ค้างไว้เมื่อเปิดเอกสารที่น่าสงสัยเพื่อป้องกันไม่ให้มาโครอัตโนมัติทำงาน และแน่นอน หากคุณพบชื่อที่ขึ้นต้นด้วย auto ในรายการแมโคร ให้ลบออกทันที ใน Word97 มาโครสามารถมีได้ไม่เฉพาะในเทมเพลตเท่านั้น ตามที่กล่าวไว้แล้ว ในการเรียกใช้แมโครโดยอัตโนมัติในเหตุการณ์ที่กำหนด มาโครต้องมีชื่อใดชื่อหนึ่งต่อไปนี้:

• AutoExec - ทำงานเมื่อ Word เริ่มทำงานหรือโหลดเทมเพลตส่วนกลาง
• AutoNew - ทำงานเมื่อมีการสร้างเอกสารใหม่
• AutoOpen - ทำงานเมื่อเปิดเอกสาร
• ปิดอัตโนมัติ - เริ่มทำงานเมื่อเอกสารถูกปิด
• ออกอัตโนมัติ - เริ่มทำงานเมื่อ Word ออกหรือเมื่อปิดแม่แบบส่วนกลาง

แน่นอน คุณสามารถยกเลิกการเรียกใช้มาโครดังกล่าวได้โดยการกดปุ่ม Shift เมื่อโหลด Word เช่นเดียวกับเมื่อเปิด สร้าง และปิดเอกสาร แต่วิธีนี้ดูน่าเบื่อ มาเขียนมาโครที่ป้องกันการเรียกใช้มาโครอัตโนมัติ:

MsgBox "ไม่อนุญาตให้ติดไวรัส!"

WordBasic ปิดใช้งาน AutoMacros

เพื่อป้องกันการติดไวรัสของเอกสารโดยมาโครไวรัสจำเป็นต้องมีแนวคิดที่ดีเกี่ยวกับวิธีการทำงาน ผู้สร้าง Microsoft Office ช่วยให้ผู้โจมตีทำได้ง่ายขึ้นโดยแนะนำความสามารถในการแทนที่คำสั่ง Word ด้วยมาโครของผู้ใช้ ซึ่งหมายความว่าหากเอกสารของคุณมีชื่อมาโคร เช่น FileOpen มันจะถูกดำเนินการเมื่อใดก็ตามที่เปิดเอกสารอื่น

ผู้ใช้ Word 97 มีความเสี่ยงเป็นพิเศษ ใน Word เวอร์ชันเก่าที่ดีมาโครสามารถเก็บไว้ในเทมเพลตเท่านั้น (ไฟล์ *.dot) Office "97 ช่วยให้คุณสามารถจัดเก็บมาโครได้โดยตรงในเอกสาร ดังนั้นจึงมีโอกาสมากขึ้นที่ไวรัสจะแพร่กระจาย

ไวรัสมาโครเป็นโปรแกรมอรรถประโยชน์ที่อาจไม่ต้องการซึ่งเขียนด้วยภาษาไมโครซึ่งฝังอยู่ในกราฟิกและระบบประมวลผลข้อความ ไฟล์ใดติดไวรัสมาโคร คำตอบนั้นชัดเจน เวอร์ชันที่พบมากที่สุดสำหรับ Microsoft Excel, Word และ Office 97 ไวรัสเหล่านี้พบได้ทั่วไปและง่ายต่อการสร้าง นั่นคือเหตุผลที่เมื่อดาวน์โหลดเอกสารจากอินเทอร์เน็ต คุณควรระมัดระวังและถูกต้องอย่างยิ่ง ผู้ใช้ส่วนใหญ่ประเมินค่าเหล่านี้ต่ำเกินไป จึงทำผิดพลาดอย่างมหันต์

พีซีติดไวรัสได้อย่างไร

หลังจากที่เราได้ตัดสินใจแล้วว่าไวรัสแมโครคืออะไร เรามาดูกันว่าพวกมันเจาะระบบและทำให้คอมพิวเตอร์ติดไวรัสได้อย่างไร วิธีง่ายๆ ในการขยายพันธุ์ช่วยให้คุณเข้าถึงวัตถุได้ครบจำนวนสูงสุดในเวลาที่สั้นที่สุด เนื่องจากความสามารถของภาษามาโคร เมื่อปิดหรือเปิดเอกสารที่ติดไวรัส มันจะแทรกซึมเข้าไปในโปรแกรมที่ถูกเรียกใช้

นั่นคือเมื่อใช้โปรแกรมแก้ไขกราฟิกมาโครไวรัสจะติดไวรัสทุกอย่างที่เกี่ยวข้อง ยิ่งไปกว่านั้น บางตัวทำงานตลอดเวลาในขณะที่โปรแกรมแก้ไขข้อความหรือกราฟิกทำงานอยู่ หรือแม้กระทั่งจนกว่าพีซีจะปิดสนิท

หลักการทำงานของพวกเขาคืออะไร

การกระทำของพวกเขาเกิดขึ้นตามหลักการต่อไปนี้: เมื่อทำงานกับเอกสาร Microsoft Word จะดำเนินการคำสั่งต่าง ๆ ที่กำหนดในภาษามาโคร ก่อนอื่นโปรแกรมจะแทรกซึมเทมเพลตหลักซึ่งเปิดไฟล์ทั้งหมดในรูปแบบนี้ ในกรณีนี้ ไวรัสจะคัดลอกรหัสของมันไปยังมาโครที่ให้การเข้าถึงพารามิเตอร์หลัก เมื่อออกจากโปรแกรม ไฟล์จะถูกบันทึกเป็น dot โดยอัตโนมัติ (ใช้ในการสร้างเอกสารใหม่) หลังจากนั้น มันจะเข้าสู่มาโครมาตรฐาน พยายามสกัดกั้นคำสั่งที่ส่งไปยังไฟล์อื่น และทำให้พวกมันติดไวรัสด้วย

การติดเชื้อเกิดขึ้นในกรณีต่อไปนี้:

1. หากมีมาโครอัตโนมัติในไวรัส (ดำเนินการโดยอัตโนมัติเมื่อปิดหรือเริ่มโปรแกรม)
2. ไวรัสมีมาโครระบบหลัก (มักเกี่ยวข้องกับรายการเมนู)
3. เปิดใช้งานโดยอัตโนมัติเมื่อคุณกดคีย์หรือชุดคำสั่งเฉพาะ
4. ทำซ้ำเมื่อเปิดตัวเท่านั้น

ไวรัสดังกล่าวมักจะติดไฟล์ทั้งหมดที่สร้างและเชื่อมโยงกับโปรแกรมภาษามาโคร

พวกเขาทำอันตรายอะไร?

อย่าประมาทมาโครไวรัสเนื่องจากเป็นไวรัสเต็มรูปแบบและก่อให้เกิดความเสียหายอย่างมากต่อคอมพิวเตอร์ พวกเขาสามารถลบ คัดลอก หรือแก้ไขวัตถุใดๆ ที่มี รวมถึงข้อมูลส่วนบุคคลได้อย่างง่ายดาย นอกจากนี้ยังมีตัวเลือกในการถ่ายโอนข้อมูลไปยังบุคคลอื่นผ่านทางอีเมล

ยูทิลิตี้ที่แข็งแกร่งสามารถฟอร์แมตฮาร์ดไดรฟ์และควบคุมการทำงานของพีซีทั้งหมดได้ นั่นเป็นเหตุผลที่ความคิดเห็นที่ว่าไวรัสคอมพิวเตอร์ชนิดนี้เป็นอันตรายต่อโปรแกรมแก้ไขกราฟิกและข้อความเท่านั้นจึงผิดพลาด ท้ายที่สุดแล้ว ยูทิลิตี้เช่น Word และ Excel ทำงานร่วมกับโปรแกรมอื่นๆ จำนวนมาก ซึ่งในกรณีนี้ก็มีความเสี่ยงเช่นกัน

รู้จักไฟล์ที่ติดไวรัส

บ่อยครั้งที่ไฟล์ที่ติดไวรัสมาโครและยอมจำนนต่ออิทธิพลของไฟล์นั้นไม่ใช่เรื่องยากที่จะระบุ ท้ายที่สุดแล้วพวกมันทำงานค่อนข้างแตกต่างจากยูทิลิตี้อื่น ๆ ในรูปแบบเดียวกัน

สามารถระบุอันตรายได้ด้วยคุณสมบัติดังต่อไปนี้:

นอกจากนี้ ภัยคุกคามมักจะตรวจพบได้ง่ายทางสายตา นักพัฒนามักจะระบุในแท็บ "สรุป" ข้อมูลเช่นชื่อยูทิลิตี้ หมวดหมู่ หัวข้อ ความคิดเห็น และชื่อผู้เขียน ซึ่งทำให้กำจัดไวรัสมาโครได้เร็วและง่ายขึ้นมาก คุณสามารถเรียกมันได้โดยใช้เมนูบริบท

วิธีการกำจัด

เมื่อพบไฟล์หรือเอกสารที่น่าสงสัย สิ่งแรกที่ต้องทำคือสแกนด้วยโปรแกรมป้องกันไวรัส เมื่อตรวจพบภัยคุกคาม โปรแกรมป้องกันไวรัสจะพยายามรักษามัน และหากล้มเหลว ก็จะปิดกั้นการเข้าถึงโดยสิ้นเชิง

หากคอมพิวเตอร์ทั้งเครื่องติดไวรัส คุณควรใช้ดิสก์สำหรับบูตฉุกเฉินที่มีโปรแกรมป้องกันไวรัสพร้อมฐานข้อมูลล่าสุด เขาจะสแกนฮาร์ดไดรฟ์และกำจัดภัยคุกคามทั้งหมดที่เขาพบ

หากคุณไม่สามารถป้องกันตัวเองด้วยวิธีนี้ โปรแกรมป้องกันไวรัสของคุณก็ไม่สามารถทำอะไรได้ และไม่มีดิสก์กู้คืน คุณควรลองใช้วิธีการรักษาแบบ “ทำเอง”:

ดังนั้นคุณจะลบมาโครไวรัสออกจากเอกสารที่ติดไวรัส แต่สิ่งนี้ไม่ได้หมายความว่ามันจะไม่เหลืออยู่ในระบบ นั่นคือเหตุผลที่แนะนำให้สแกนคอมพิวเตอร์ส่วนบุคคลทั้งหมดและข้อมูลทั้งหมดด้วยโปรแกรมป้องกันไวรัสโดยเร็วที่สุดหรือ (ข้อดีคือไม่ต้องติดตั้ง)

ขั้นตอนการรักษาและทำความสะอาดคอมพิวเตอร์จากการติดไวรัสมาโครนั้นค่อนข้างซับซ้อน ดังนั้นจึงเป็นการดีกว่าที่จะป้องกันการติดเชื้อในระยะเริ่มแรก

ด้วยวิธีนี้ คุณจะปกป้องตัวเอง และไวรัสมาโครจะไม่เจาะไฟล์ที่เกี่ยวข้อง

ยูจีน แคสเปอร์สกี้

Macroviruses เป็นโปรแกรมที่เขียนด้วยภาษา (ภาษามาโคร) ที่ฝังอยู่ในระบบประมวลผลข้อมูลบางระบบ (โปรแกรมแก้ไขข้อความ สเปรดชีต ฯลฯ) สำหรับการสืบพันธุ์ไวรัสดังกล่าวใช้ความสามารถของภาษามาโครและด้วยความช่วยเหลือของพวกเขาจะถูกถ่ายโอนจากไฟล์ที่ติดไวรัส (เอกสารหรือตาราง) ไปยังไฟล์อื่น ไวรัสมาโครสำหรับ Microsoft Word, Excel และ Office 97 นั้นแพร่หลายมากที่สุด

สำหรับการมีอยู่ของไวรัสในระบบใดระบบหนึ่ง (ตัวแก้ไข) จำเป็นต้องมีภาษามาโครในระบบที่มีความสามารถดังต่อไปนี้:

1. การเชื่อมโยงโปรแกรมในภาษามาโครกับไฟล์เฉพาะ
2. คัดลอกโปรแกรมมาโครจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง
3. รับการควบคุมแมโครโดยไม่ต้องมีการแทรกแซงของผู้ใช้ (มาโครอัตโนมัติหรือมาโครมาตรฐาน)

เป็นไปตามเงื่อนไขที่อธิบายไว้โดยโปรแกรมแก้ไข MS Word, MS Office 97 และ AmiPro รวมถึงสเปรดชีต MS Excel ระบบเหล่านี้ประกอบด้วยภาษามาโคร (MS Word - Word Basic, MS Excel และ MS Office 97 - Visual Basic) ในขณะที่:

1. โปรแกรมมาโครแนบมากับไฟล์เฉพาะ (AmiPro) หรืออยู่ในไฟล์ (MS Word/Excel/Office 97)
2. ภาษามาโครช่วยให้คุณสามารถคัดลอกไฟล์ (AmiPro) หรือย้ายโปรแกรมมาโครไปยังไฟล์บริการระบบและไฟล์ที่แก้ไขได้ (MSWord / Excel / Office 97)
3. เมื่อทำงานกับไฟล์ภายใต้เงื่อนไขบางประการ (การเปิด การปิด ฯลฯ) โปรแกรมมาโคร (ถ้ามี) จะถูกเรียก ซึ่งกำหนดไว้ในลักษณะพิเศษ (AmiPro) หรือมีชื่อมาตรฐาน (MS Word / Excel / Office 97)

คุณลักษณะหลังได้รับการออกแบบสำหรับการประมวลผลข้อมูลอัตโนมัติในองค์กรขนาดใหญ่หรือเครือข่ายทั่วโลก และช่วยให้คุณสามารถจัดระเบียบสิ่งที่เรียกว่า "เวิร์กโฟลว์อัตโนมัติ" ในทางกลับกันความสามารถของภาษามาโครของระบบดังกล่าวทำให้ไวรัสสามารถถ่ายโอนรหัสไปยังไฟล์อื่นและทำให้ติดไวรัสได้

ในผลิตภัณฑ์ซอฟต์แวร์สี่รายการที่กล่าวถึงข้างต้น ไวรัสจะเข้าควบคุมเมื่อเปิดหรือปิดไฟล์ที่ติดไวรัส สกัดกั้นการทำงานของไฟล์มาตรฐาน และทำให้ไฟล์ติดไวรัสที่เข้าถึงด้วยวิธีใดวิธีหนึ่ง เมื่อเปรียบเทียบกับ DOS เราสามารถพูดได้ว่าไวรัสมาโครส่วนใหญ่เป็นไวรัสประจำถิ่น: พวกมันทำงานไม่เพียงในขณะที่เปิดหรือปิดไฟล์เท่านั้น แต่ตราบใดที่ตัวแก้ไขยังทำงานอยู่

ข้อมูลทั่วไป

ตำแหน่งทางกายภาพของไวรัสภายในไฟล์ขึ้นอยู่กับรูปแบบ ซึ่งในกรณีของผลิตภัณฑ์ Microsoft นั้นซับซ้อนมาก: ไฟล์เอกสาร Word, Office 97 หรือสเปรดชีต Excel แต่ละไฟล์เป็นลำดับของบล็อกข้อมูล รูปแบบ) เข้าด้วยกันโดยใช้ข้อมูลบริการจำนวนมาก รูปแบบนี้เรียกว่า OLE2 (การเชื่อมโยงและการฝังวัตถุ) โครงสร้างของไฟล์ Word, Excel และ Office 97 (OLE2) คล้ายกับระบบไฟล์ดิสก์ DOS ที่ซับซ้อน: "ไดเรกทอรีราก" ของไฟล์เอกสารหรือตารางชี้ไปยังไดเรกทอรีย่อยหลักของบล็อกข้อมูลต่างๆ "ตาราง FAT" หลายรายการมีข้อมูล เกี่ยวกับตำแหน่งของบล็อคข้อมูลในเอกสาร เป็นต้น ง.

นอกจากนี้ ระบบ Office Binder ซึ่งรองรับมาตรฐาน Word และ Excel ยังช่วยให้คุณสร้างไฟล์ที่มีเอกสารอย่างน้อยหนึ่งเอกสารในรูปแบบ Word และสเปรดชีตอย่างน้อยหนึ่งไฟล์ในรูปแบบ Excel และไวรัส Word สามารถแพร่ระบาดในเอกสาร Word และไวรัส Excel สามารถ ไวรัส - ตาราง Excel และทั้งหมดนี้เป็นไปได้ภายในไฟล์ดิสก์เดียว เช่นเดียวกับ Office 97

ควรสังเกตว่า MS Word เวอร์ชัน 6 และ 7 อนุญาตให้คุณเข้ารหัสแมโครที่มีอยู่ในเอกสาร ดังนั้น ไวรัส Word บางตัวจึงมีอยู่ในเอกสารที่ติดไวรัสในรูปแบบเข้ารหัส (Execute เท่านั้น)

ไวรัสที่รู้จักกันส่วนใหญ่สำหรับ Word นั้นเข้ากันไม่ได้กับ Word เวอร์ชันประจำชาติ (รวมถึงภาษารัสเซีย) หรือในทางกลับกัน ไวรัสเหล่านี้ได้รับการออกแบบมาสำหรับ Word เวอร์ชันแปลเป็นภาษาท้องถิ่นเท่านั้น และไม่ทำงานภายใต้เวอร์ชันภาษาอังกฤษ อย่างไรก็ตาม ไวรัสในเอกสารยังคงทำงานอยู่และสามารถแพร่ระบาดในคอมพิวเตอร์เครื่องอื่นที่มี Word เวอร์ชันเดียวกันติดตั้งอยู่

ไวรัสสำหรับ Word สามารถแพร่ระบาดในคอมพิวเตอร์ทุกประเภท ไม่ใช่แค่พีซี IBM การติดไวรัสอาจเกิดขึ้นได้หากติดตั้งโปรแกรมแก้ไขข้อความบนคอมพิวเตอร์เครื่องนี้ซึ่งเข้ากันได้กับ Microsoft Word เวอร์ชัน 6 หรือ 7 (เช่น MS Word สำหรับ Macintosh) เช่นเดียวกับ MS Excel และ MS Office 97

เป็นที่น่าสนใจว่ารูปแบบของเอกสาร Word, สเปรดชีต Excel และโดยเฉพาะอย่างยิ่ง Office 97 มีคุณสมบัติดังต่อไปนี้: ไฟล์เอกสารและตารางมีบล็อกข้อมูล "พิเศษ" เช่น ข้อมูลที่ไม่เกี่ยวข้องกับข้อความหรือตารางที่แก้ไข หรือคัดลอก ที่ปรากฏข้อมูลไฟล์อื่นโดยไม่ได้ตั้งใจ สาเหตุของการเกิดขึ้นของบล็อกข้อมูลดังกล่าวคือการจัดระเบียบคลัสเตอร์ของข้อมูลในเอกสารและตาราง OLE2 แม้ว่าจะป้อนข้อความเพียงอักขระเดียว กลุ่มข้อมูลหนึ่งหรือหลายกลุ่มก็จะได้รับการจัดสรรให้ เมื่อบันทึกเอกสารและตารางในกลุ่มที่ไม่ได้เต็มไปด้วยข้อมูลที่ "มีประโยชน์" "ขยะ" จะยังคงอยู่ซึ่งเข้าไปในไฟล์พร้อมกับข้อมูลอื่นๆ ปริมาณของ "ขยะ" ในไฟล์สามารถลดลงได้โดยการยกเลิกรายการการตั้งค่า Word/Excel "อนุญาตให้บันทึกอย่างรวดเร็ว" แต่วิธีนี้จะลดจำนวน "ขยะ" ทั้งหมดเท่านั้น แต่ไม่ได้ลบออกทั้งหมด

ควรสังเกตว่า OLE2.DLL บางเวอร์ชันมีข้อบกพร่องเล็กน้อยซึ่งเป็นผลมาจากการที่เมื่อทำงานกับเอกสาร Word, Excel และโดยเฉพาะอย่างยิ่ง Office 97 ข้อมูลสุ่มจากดิสก์รวมถึงข้อมูลที่เป็นความลับ (ไฟล์ที่ถูกลบ, ไดเร็กทอรี และอื่นๆ)

ไวรัส MS Word/Excel/Office 97:
หลักการทำงาน

เมื่อทำงานกับเอกสาร MS Word เวอร์ชัน 6 และ 7 จะดำเนินการหลายอย่าง: เปิดเอกสาร บันทึก พิมพ์ ปิด ฯลฯ ในเวลาเดียวกัน Word จะค้นหาและเรียกใช้มาโครในตัวที่เกี่ยวข้อง: เมื่อบันทึกไฟล์ การใช้คำสั่ง File / Save จะเรียกแมโคร FileSave เมื่อบันทึกโดยคำสั่ง File/SaveAs - FileSaveAs เมื่อพิมพ์เอกสาร - FilePrint ฯลฯ หากมีการกำหนดมาโครดังกล่าว

นอกจากนี้ยังมี "มาโครอัตโนมัติ" หลายตัวที่เรียกใช้โดยอัตโนมัติภายใต้เงื่อนไขต่างๆ ตัวอย่างเช่น เมื่อคุณเปิดเอกสาร Word จะตรวจดูว่ามีแมโครเปิดอัตโนมัติหรือไม่ หากมีมาโครดังกล่าว Word จะดำเนินการ เมื่อเอกสารถูกปิด Word จะดำเนินการแมโครปิดอัตโนมัติ เมื่อ Word เริ่มทำงาน แมโคร AutoExec จะถูกเรียก เมื่อปิด จะออกอัตโนมัติ และเมื่อสร้างเอกสารใหม่ จะเรียกว่า AutoNew กลไกที่คล้ายกันแต่มีชื่อแมโครและฟังก์ชันต่างกัน ยังใช้ใน Excel/Office 97 อีกด้วย

ไวรัสมาโครที่ติดไวรัสในไฟล์ Word, Excel หรือ Office 97 มักจะใช้วิธีใดวิธีหนึ่งจากสามวิธีข้างต้น:

1. ไวรัสมีมาโครอัตโนมัติ (ฟังก์ชันอัตโนมัติ);
2. หนึ่งในมาโครระบบมาตรฐาน (ที่เกี่ยวข้องกับรายการเมนูบางรายการ) ถูกกำหนดใหม่ในไวรัส
3. มาโครของไวรัสจะถูกเรียกโดยอัตโนมัติเมื่อคุณกดคีย์หรือคีย์ผสมใดๆ

นอกจากนี้ยังมีกึ่งไวรัสที่ไม่ใช้เทคนิคที่ระบุไว้และทวีคูณเฉพาะเมื่อผู้ใช้เปิดใช้อย่างอิสระเพื่อดำเนินการ

ไวรัสมาโครส่วนใหญ่มีการทำงานทั้งหมดเป็นมาโคร MS Word/Excel/Office 97 มาตรฐาน อย่างไรก็ตาม มีไวรัสที่ซ่อนรหัสและจัดเก็บรหัสเป็นที่ไม่ใช่มาโคร รู้จักสามวิธีดังกล่าว ทั้งหมดใช้ความสามารถของมาโครในการสร้าง แก้ไข และเรียกใช้มาโครอื่นๆ ตามกฎแล้วไวรัสดังกล่าวมีมาโครโหลดเดอร์ขนาดเล็ก (บางครั้งเป็นโพลีมอร์ฟิค) ซึ่งเรียกตัวแก้ไขมาโครในตัวสร้างมาโครใหม่เติมด้วยรหัสหลักของไวรัสดำเนินการและตามกฎแล้วทำลายมัน ซ่อนร่องรอยของไวรัส รหัสหลักของไวรัสดังกล่าวมีอยู่ในเนื้อหาของไวรัสเองในรูปแบบของสตริงข้อความ หรือถูกเก็บไว้ในพื้นที่ตัวแปรเอกสารหรือในพื้นที่ข้อความอัตโนมัติ

อัลกอริทึมการทำงาน
มาโครไวรัสสำหรับ Word

ไวรัส Word ที่รู้จักส่วนใหญ่ (เวอร์ชัน 6, 7 และ Word 97) จะย้ายโค้ดของตัวเองไปยังพื้นที่มาโครส่วนกลางของเอกสาร (มาโคร "ทั่วไป") เมื่อเปิดใช้งาน

เมื่อคุณออกจาก Word มาโครส่วนกลาง (รวมถึงมาโครไวรัส) จะถูกเขียนไปยังไฟล์ DOT ของแมโครส่วนกลางโดยอัตโนมัติ (โดยทั่วไปคือ NORMAL.DOT) ดังนั้น ไวรัสจะเปิดใช้งานในขณะที่ Word โหลดมาโครส่วนกลาง

จากนั้นไวรัสจะกำหนดใหม่ (หรือมีอยู่แล้ว) มาโครมาตรฐานตั้งแต่หนึ่งตัวขึ้นไป (เช่น FileOpen, FileSave, FileSaveAs, FilePrint) และสกัดกั้นคำสั่งสำหรับการทำงานกับไฟล์ เมื่อเรียกใช้คำสั่งเหล่านี้ ไฟล์ที่กำลังเข้าถึงจะติดไวรัส ในการทำเช่นนี้ ไวรัสจะแปลงไฟล์เป็นรูปแบบเทมเพลต (ซึ่งทำให้ไม่สามารถเปลี่ยนรูปแบบไฟล์ได้อีก เช่น แปลงเป็นรูปแบบที่ไม่ใช่เทมเพลต) และเขียนมาโครลงในไฟล์ รวมถึงมาโครอัตโนมัติ

อีกวิธีในการแนะนำไวรัสเข้าสู่ระบบคือไฟล์ที่เรียกว่า "Add-in" ซึ่งเป็นไฟล์ที่เป็นบริการเสริมของ Word ในกรณีนี้ NORMAL.DOT จะไม่เปลี่ยนแปลง และ Word จะโหลดมาโครไวรัสจากไฟล์ (หรือหลายไฟล์) ที่ระบุว่าเป็น "Add-in" เมื่อเริ่มทำงาน วิธีนี้เกือบจะทำซ้ำการติดไวรัสของมาโครส่วนกลางทั้งหมด โดยมีข้อยกเว้นเพียงอย่างเดียวคือไม่ได้เก็บมาโครไวรัสไว้ในไฟล์ NORMAL.DOT แต่อยู่ในไฟล์อื่น

นอกจากนี้ยังเป็นไปได้ที่จะฉีดไวรัสลงในไฟล์ที่อยู่ในไดเร็กทอรี STARTUP ในกรณีนี้ Word จะโหลดไฟล์เทมเพลตโดยอัตโนมัติจากไดเร็กทอรีนี้ แต่ยังไม่พบไวรัสดังกล่าว

การตรวจจับไวรัสมาโคร

สัญญาณลักษณะของการปรากฏตัวของ macroviruses คือ:

1. ไม่สามารถแปลงเอกสาร Word ที่ติดไวรัสเป็นรูปแบบอื่นได้
2. ไฟล์ที่ติดไวรัสจะอยู่ในรูปแบบ Template เนื่องจากเมื่อติดไวรัส Word ไวรัสจะแปลงไฟล์จากรูปแบบ Word Document เป็น Template
3. ความเป็นไปไม่ได้ในการเขียนเอกสารไปยังไดเร็กทอรีอื่นหรือไปยังดิสก์อื่นด้วยคำสั่ง "บันทึกเป็น" (สำหรับ Word 6 เท่านั้น)
4. มีไฟล์ "ต่างประเทศ" ในไดเร็กทอรี STARTUP
5. การมีอยู่ในหนังสือ (Book) ของ "พิเศษ" และชีตที่ซ่อนอยู่ (ชีต)

คุณสามารถใช้รายการเมนูเครื่องมือ/มาโครเพื่อตรวจสอบระบบเพื่อหาไวรัส หากพบ "มาโครแปลกปลอม" แสดงว่าอาจเป็นของไวรัส อย่างไรก็ตาม วิธีนี้ใช้ไม่ได้ในกรณีของไวรัสล่องหนที่ "ห้าม" การทำงานของรายการเมนูนี้ ซึ่งเป็นเหตุผลที่เพียงพอในการพิจารณาว่าระบบติดไวรัส

ไวรัสจำนวนมากมีข้อบกพร่องหรือทำงานไม่ถูกต้องใน Word/Excel รุ่นต่างๆ ซึ่งเป็นผลมาจากโปรแกรมเหล่านี้แสดงข้อความแสดงข้อผิดพลาด ตัวอย่างเช่น:

WordBasic Err = หมายเลขข้อผิดพลาด

หากข้อความดังกล่าวปรากฏขึ้นเมื่อแก้ไขเอกสารหรือสเปรดชีตใหม่ และเห็นได้ชัดว่าไม่มีการใช้มาโครของผู้ใช้ นี่อาจเป็นสัญญาณของการติดไวรัสของระบบ การเปลี่ยนแปลงในไฟล์และการกำหนดค่าระบบของ Word, Excel และ Windows ก็เป็นสัญญาณของไวรัสเช่นกัน ไวรัสจำนวนมากไม่ทางใดก็ทางหนึ่งเปลี่ยนรายการเมนูเครื่องมือ / ตัวเลือก - เปิดหรือปิดใช้งานฟังก์ชั่น "แจ้งเพื่อบันทึกเทมเพลตปกติ", "อนุญาตการบันทึกอย่างรวดเร็ว", "การป้องกันไวรัส" ไวรัสบางตัวตั้งรหัสผ่านให้กับไฟล์เมื่อติดไวรัส ไวรัสจำนวนมากสร้างส่วนและ/หรือตัวเลือกใหม่ในไฟล์การกำหนดค่า Windows (WIN.INI)

โดยปกติแล้ว การแสดงอาการของไวรัสจะรวมถึง "ความประหลาดใจ" เช่น การปรากฏตัวของข้อความหรือกล่องโต้ตอบที่มีเนื้อหาค่อนข้างแปลก หรือในภาษาที่ไม่ตรงกับภาษาของ Word/Excel เวอร์ชันที่ติดตั้ง

การกู้คืน
วัตถุที่ได้รับผลกระทบ

ในกรณีส่วนใหญ่ ขั้นตอนในการ "จัดการ" ไฟล์และดิสก์ที่ติดไวรัสจะลดลงเหลือเพียงการเรียกใช้ซอฟต์แวร์ป้องกันไวรัสที่เหมาะสม แต่มีบางสถานการณ์ที่ต้องทำให้ไวรัสเป็นกลางโดยอิสระนั่นคือ "ด้วยมือ"

ในการต่อต้านไวรัส Word และ Excel ก็เพียงพอแล้วที่จะบันทึกข้อมูลที่จำเป็นทั้งหมดในรูปแบบที่ไม่ใช่เอกสารและไม่ใช่สเปรดชีต รูปแบบข้อความ RTF ที่เหมาะสมที่สุดคือข้อมูลเกือบทั้งหมดจากเอกสารต้นฉบับและไม่มีมาโคร

จากนั้นออกจาก Word/Excel ทำลายเอกสาร Word สเปรดชีต Excel NORMAL.DOT สำหรับ Word และเอกสาร/ตารางทั้งหมดในไดเร็กทอรี STARTUP ของ Word/Excel หลังจากนั้นคุณควรเริ่ม Word / Excel และกู้คืนเอกสาร / ตารางจากไฟล์ RTF

ผลจากขั้นตอนนี้ ไวรัสจะถูกลบออกจากระบบ และข้อมูลเกือบทั้งหมดจะไม่เปลี่ยนแปลง อย่างไรก็ตามวิธีนี้มีข้อเสียหลายประการ สิ่งสำคัญคือความซับซ้อนของการแปลงเอกสารและตารางเป็นรูปแบบ RTF หากมีจำนวนมาก นอกจากนี้ ในกรณีของ Excel จำเป็นต้องแปลง Sheets ทั้งหมดในแต่ละไฟล์ Excel แยกกัน

ข้อเสียที่สำคัญอีกประการหนึ่งคือการสูญเสียมาโครปกติที่ใช้ในการทำงาน ดังนั้นก่อนที่จะเริ่มขั้นตอนที่อธิบายไว้ คุณควรบันทึกข้อความต้นฉบับและหลังจากทำให้ไวรัสเป็นกลางแล้ว ให้กู้คืนมาโครที่จำเป็นในรูปแบบดั้งเดิม

ไวรัสมาจากไหน
และวิธีหลีกเลี่ยงการติดเชื้อ

แหล่งที่มาหลักของไวรัสในปัจจุบันคืออินเทอร์เน็ต การติดไวรัสจำนวนมากที่สุดเกิดขึ้นเมื่อแลกเปลี่ยนจดหมายในรูปแบบ MS Word/Office 97: ผู้ใช้โปรแกรมแก้ไขที่ติดไวรัสมาโครโดยไม่รู้ตัว ส่งจดหมายที่ "ติดไวรัส" ไปยังผู้รับ และส่งจดหมายใหม่ ฯลฯ .

สมมติว่าผู้ใช้กำลังติดต่อกับผู้รับ 5 ราย ซึ่งแต่ละรายก็ติดต่อกับผู้รับ 5 รายด้วยเช่นกัน หลังจากส่งจดหมาย "ไวรัล" คอมพิวเตอร์ทั้งห้าเครื่องที่ได้รับจะติดไวรัส ที่ระดับที่สองของการกระจาย คอมพิวเตอร์ 1+5+20=26 เครื่องจะติดไวรัสแล้ว หากผู้รับเครือข่ายแลกเปลี่ยนจดหมายกันวันละครั้ง ภายในสิ้นสัปดาห์ทำงาน (ใน 5 วัน) คอมพิวเตอร์อย่างน้อย 1+5+20+80+320=426 เครื่องจะติดไวรัส คำนวณง่ายๆ ว่าคอมพิวเตอร์กว่าแสนเครื่องจะติดไวรัสใน 10 วัน! และทุกวันจำนวนของพวกเขาจะเพิ่มขึ้นเป็นสี่เท่า

กรณีการแพร่กระจายของไวรัสที่อธิบายไว้ส่วนใหญ่มักจะลงทะเบียนโดยบริษัทป้องกันไวรัส แต่ไม่ใช่เรื่องแปลกที่ไฟล์เอกสารหรือสเปรดชีต Excel ที่ติดไวรัสจะรวมอยู่ในรายชื่อผู้รับจดหมายของข้อมูลเชิงพาณิชย์ของบริษัทขนาดใหญ่เนื่องจากการกำกับดูแล ในกรณีนี้ ผู้รับจดหมายดังกล่าวจะต้องทนทุกข์ทรมาน ไม่ใช่ห้าคน แต่หลายร้อยหรือหลายพันคน ซึ่งจะส่งไฟล์ที่ติดไวรัสไปยังสมาชิกหลายหมื่นคน

เซิร์ฟเวอร์ไฟล์สาธารณะและการประชุมทางอิเล็กทรอนิกส์ก็เป็นหนึ่งในแหล่งที่มาหลักของไวรัสเช่นกัน เกือบทุกสัปดาห์จะมีข้อความแจ้งว่าผู้ใช้บางคนติดไวรัสคอมพิวเตอร์ที่ได้รับจาก BBS, เซิร์ฟเวอร์ ftp หรือการประชุมทางอิเล็กทรอนิกส์

ในกรณีนี้ ไฟล์ที่ติดไวรัสมักจะ "อัปโหลด" โดยผู้เขียนไวรัสไปยัง BBS/ftp หลายแห่ง หรือส่งไปยังการประชุมหลายครั้งภายใต้หน้ากากของซอฟต์แวร์เวอร์ชันใหม่ (รวมถึงโปรแกรมป้องกันไวรัส)

ในกรณีของการแพร่กระจายของไวรัสจำนวนมากผ่านเซิร์ฟเวอร์ไฟล์ BBS/ftp คอมพิวเตอร์หลายพันเครื่องอาจได้รับผลกระทบพร้อมกัน แต่ในกรณีส่วนใหญ่ ไวรัส DOS หรือ Windows จะถูก "ส่งออก" ซึ่งอัตราการแพร่กระจายในสภาวะปัจจุบันจะต่ำกว่ามาก กว่าของคู่หูมาโคร ด้วยเหตุนี้ เหตุการณ์ดังกล่าวแทบจะไม่เคยจบลงด้วยโรคระบาด

วิธีที่สามสำหรับการแพร่กระจายของไวรัสอย่างรวดเร็วคือเครือข่ายท้องถิ่น หากไม่ใช้มาตรการป้องกันที่จำเป็น เมื่อเข้าสู่เครือข่าย เวิร์กสเตชันที่ติดไวรัสจะติดไวรัสไฟล์บริการอย่างน้อยหนึ่งไฟล์บนเซิร์ฟเวอร์ ซอฟต์แวร์ต่างๆ เอกสารเทมเพลตมาตรฐานหรือสเปรดชีต Excel ที่ใช้ในบริษัท ฯลฯ

คอมพิวเตอร์ที่ติดตั้งในสถานศึกษาก็ก่อให้เกิดอันตรายได้เช่นกัน หากนักเรียนคนใดคนหนึ่งนำไวรัสมาใส่ในฟล็อปปี้ดิสก์ของเขาและทำให้คอมพิวเตอร์เพื่อการศึกษาเครื่องใดเครื่องหนึ่งติดไวรัส นักเรียนคนอื่นๆ ที่ทำงานบนคอมพิวเตอร์เครื่องนี้จะได้รับ "การติดเชื้อ" อีกเครื่องหนึ่งด้วย

เช่นเดียวกับคอมพิวเตอร์ที่บ้านหากมีคนใช้งานมากกว่าหนึ่งคน ไม่ใช่เรื่องแปลกที่ลูกชาย (หรือลูกสาว) ของนักเรียนซึ่งทำงานบนคอมพิวเตอร์ที่มีผู้ใช้หลายคนในสถาบันจะลากไวรัสไปยังคอมพิวเตอร์ที่บ้านซึ่งเป็นผลมาจากการที่ไวรัสเข้าสู่เครือข่ายคอมพิวเตอร์ของ บริษัท ของพ่อหรือแม่ .

โดยสรุปฉันต้องการทราบว่าแม้จะมีความซับซ้อนที่ชัดเจนของการต่อสู้กับไวรัสมาโคร แต่ก็ไม่ยากที่จะป้องกันตัวเองจาก "การติดเชื้อ" นี้ด้วยวิธีการที่สงบและมีความสามารถในการแก้ปัญหา

ไม่ค่อยเพียงพอ แต่ก็ยังมีความเป็นไปได้ค่อนข้างมากที่จะทำให้คอมพิวเตอร์ของคุณติดไวรัสในระหว่างการซ่อมแซมหรือการตรวจสอบตามปกติ ช่างซ่อมก็เป็นคนเช่นกัน และบางคนมักจะไม่สนใจกฎความปลอดภัยเบื้องต้นของคอมพิวเตอร์