Компьютерные вирусы и их виды

При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки. Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не освобождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.

ВИРУСЫ И ЭЛЕКТРОННАЯ ПОЧТА

Корпоративные системы электронной почты доставляют много хлопот системным администраторам. Приведу следующий пример. Не так давно появился один из самых известных «мнимых» вирусов — вирус Good Times. Предполагалось, что он распространяется с помощью сообщений электронной почты. Вирусу приписывались самые невероятные способности. В частности, указывалось, что он «…разрушает центральный процессор с помощью использования бесконечного цикла n-ой степени сложности». Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире. На самом деле обычные текстовые сообщения электронной почты не могут содержать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые программы (не считая макровирусов). То же самое можно сказать практически обо всех сообщениях электронной почты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с»пересылкой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали быть просто файлами данных. В большинстве случаев такие файлы содержат внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов. Макровирус -это макрокоманда, которая воспроизводит себя в каждом новом документе. Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, понадобится пересмотреть свою стратегию защиты. В частности, вы должны будете рассказать всем своим пользователям о том, что такое макровирус, и попросить их проверять все приходящие документы.

СОЗДАНИЕ ВИРУСА ДЛЯ ИСПОЛНЯЕМОГО ФАЙЛА

В этом разделе я расскажу о том, как вирус может заразить исполняемый файл и как создатели вирусов могут защитить их от обнаружения.Практически у каждого создателя вирусов есть свой собственный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы.

Далее приводятся действия вируса, проникшего в ЕХЕ-файл:
1. Вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы (см. главу 2) и т.д.
2. После этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело.
3. Вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса.
4. Вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом.
5. Вирус сохраняет измененную программу на диске,

Описанный выше тип вирусов называется вирусом-паразитом. Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если же вы удалите инфицированный файл, то вместе с ним исчезнет и вирус. Кроме вирусов-паразитов существуют так называемые загрузочные вирусы, размещающие свое тело в подпрограмме загрузки операционной системы. Этот тип вирусов совершенно отличен от вирусов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на самой операционной системе.

РАЗЛИЧНЫЕ типы ВИРУСОВ

Как уже говорилось, наиболее распространенными являются троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Каждый из них производит некоторые специфические действия.

ТРОЯНСКИЕ кони

Троянскими конями называются вирусы, прячущиеся в файлах данных (например, сжатых файлах или документах). Чтобы избежать обнаружения, некоторые разновидности троянских коней прячутся и в исполняемых файлах. Таким образом, эта программа может располагаться и в программных файлах, и в файлах библиотек, пришедших в сжатом виде. Однако зачастую троянские кони содержат только подпрограммы вируса. Возможно, самое лучшее определение троянских коней дал Дэн Эдварде — бывший хакер, занимающийся теперь разработкой антивирусного программного обеспечения для NSA (National Security Administration). По словам Дэна, троянским конем называется «небезопасная программа, скрывающаяся под видом безобидного приложения, вроде архиватора, игры или (знаменитый случай 1990 года) программы обнаружения и уничтожения вирусов». Большинство новых антивирусных программ обнаруживает практически всех троянских коней.
Одной из наиболее известных «троянских лошадок» стала программа Crackerjack. Как и все другие средства для взлома паролей, доступные в Internet, эта программа тестировала относительную мощность паролей, расположенных в выбранном файле. После своего запуска она выдавала список взломанных паролей и предлагала пользователю удалить этот файл. Первая версия программы не только взламывала пароли, но также и передавала их автору троянского коня. Crackerjack оказался достаточно полезным средством, в чем вы можете убедиться сами. Для этого достаточно загрузить программу из Internet.

ПОЛИМОРФНЫЕ ВИРУСЫ

Полиморфные вирусы — это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Как уже говорилось в главе 4, процедура расшифровки превращает зашифрованную информацию в обычную. Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление машиной. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были неполиморфными. Другими словами, процедура расшифровки вируса не изменялась от копии к копии. Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но вскоре ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. С его помощью программист может превратить любой вирус в полиморфный. Для этого о должен изменить текст вируса так, чтобы перед каждым созданием своей копии он вызывал генератор мутаций.
Несмотря на то что полиморфные вирусы нельзя обнаружить с помощью обычных методов проверки (вроде сравнения строк кода), они все же детектируются специальными антивирусными программами. Итак, полиморфные вирусы можно обнаружить. Однако этот процесс занимает огромное количество времени, а на создание антивирусной программы уходит гораздо больше сил. Наиболее свежие обновления антивирусного программного обеспечения производят поиск процедур шифрования,, с помощью которой обнаруживают полиморфные вирусы. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии. от файла к файлу.

СТЕЛС-ВИРУСЫ

Стелс-вирусы — это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы. Хорошим примером стелс-вируса является один из первых задокументированных вирусов DOS — Brain. Этот загрузочный вирус просматривал все дисковые системные операции ввода/вывода и перенаправлял вызов всякий раз, когда система пыталась считать зараженный загрузочный сектор. При этом система считывала информацию не с загрузочного сектора, а с того места, где вирус сохранил копию этого сектора. Стелс-вирусами также являются вирусы Number, Beast и Frodo. Говоря языком программистов, они перехватывают прерывание 21Н -основное прерывание DOS. Поэтому всякая команда пользователя, способная обнаружить присутствие вируса, перенаправляется вирусом в определенное место в памяти. Благодаря этому пользователь не может «заметить» вирус. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невиди-мы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о раз-
мере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса. Стелс-вирусы достаточно легко обнаружить. Большинство стандартных антивирусных программ «вылавливают» стелс-вирусы. Для этого достаточно запустить антивирусную программу до того, как вирус будет размещен в памяти машины. Надо запустить компьютер с чистой загрузочной дискеты, а затем выполнить антивирусную программу. Как уже говорилось, стелс-вирусы могут замаскироваться только в том случае, если они уже размещены в памяти. Если же это не так, то антивирусная программа легко обнаружит наличие таких вирусов на жестком диске.

МЕДЛЕННЫЕ ВИРУСЫ

Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись (например, FORMAT или SYS). Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.
Обнаружение медленных вирусов — это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности — это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.
Наиболее удачным средством против медленных вирусов являются оболочки целостности. Оболочки целостности — это резидентные хранители целостности. Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у вируса не остается практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антивирусная программа создает несколько СОМ- и ЕХЕ-файлов определенного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус заразит их, то пользователь сразу же узнает об этом. Например, медленный вирус может наблюдать за программой копирования файлов. Если DOS выполняет запрос на .копирование, то вирус поместит свое тело в новую копию файла.

РЕТРО-ВИРУСЫ

Ретро-вирус — это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. (Не спутайте анти-антивирусы с анти-вирус-вирусами — вирусами, созданными для уничтожения других вирусов.) Создание ретро-вируса является относительно несложной задачей. В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.

СОСТАВНЫЕ ВИРУСЫ

Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.

ВООРУЖЕННЫЕ ВИРУСЫ

Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты «пустышкой». Это — код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.

ВИРУСЫ-КОМПАНЬОНЫ

Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.

ВИРУСЫ-ФАГИ

Последним классическим типом вирусов являются вирусы-фаги. Вирус-фаг — это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги — это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.

И СНОВА ЧЕРВИ

В первой главе этой книги я уже рассказывал о знаменитом черве Internet,
появившемся в конце 80-х годов. Как уже говорилось, червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Я уже рассказывал о том, что черви копируют себя на другие компьютеры с помощью протоколов и систем, описанных во второй главе. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. В 1988 году такими возможностями обладала только одна операционная система — Unix. До недавнего времени многие персональные компьютеры не могли быть заражены червем — этого не позволяют сделать ни DOS, ни Windows 95. Однако Windows NT уже обладает возможностями удаленного выполнения и поэтому может поддерживать работу вирусов-
червей.
Одним из самых распространенных вирусов в Internet является WINSTART. Свое название он получил от имени файла — winstart.bat, — в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполнения вирус параллельно занимается поиском следующей жертвы. По иронии судьбы червем называется не только определенный тип вирусов, но и очень полезное антивирусное инструментальное средство. Недостаток большинства стандартных средств аудита и хранителей целостности заключается в том, что они также могут стать жертвами вирусов. Однако можно хранить информацию безопасности и программы на изолированном и неизменяемом носителе. Наиболее подходят для этих целей WORM-диски. («Write-once, read-many» -одна запись, многоразовое чтение; английское слово worm переводится как червь. — Прим. перев.). Привод WORM-диска обычно представляет собой приспособление оптического хранения данных, работающее с несколькими WORM-дисками. ВИРУСЫ И СЕТИ
Файловые вирусы и макровирусы — вот два наиболее опасных типа вирусов. Именно с ними приходится иметь дело администраторам сетевых серверов и одноранговых сетей, соединенных с Internet. Загрузочные вирусы обычно не распространяются по Internet, так как соединенный с Internet компьютер не может произвести на другом компьютере дисковые операции низкого уровня. Другими словами, сервер Internet обычно не может записывать файлы на другой компьютер. Такую операцию в состоянии произвести только компьютер-получатель. К числу файловых вирусов и макровирусов относятся многие вирусы, описанные ранее.

ФАЙЛОВЫЕ ВИРУСЫ

Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере, одноранговых сетей и, в какой-то степени, Internet. Далее приводятся три пути заражения сетевого сервера: Копирование (пользователем или администратором) зараженных файлов прямо на сервер. После этого вирус, расположившийся в файле, начнет заражать все остальные файлы.Выполнение файлового вируса на рабочей станции может заразить сеть. После своего запуска вирус сможет заразить любое приложение, хранимое на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет заразить и все машины в сети. Выполнение резидентного вируса на рабочей станции может вызвать заражение всей сети. После своего запуска резидентный вирус может получить информацию о передаваемых данных и скопировать себя на сервер, не обладая при этом прямым доступом к расположенной на сервере информации.
Абсолютно не важно, как вирус попадет в сеть. Он может быть размещен на дискете, получен с сообщением электронной почты или загружен из Internet вместе с исполняемым файлом. Как только вирус попадает на компьютер, обладающий доступом к другим сетевым компьютерам, то он способен заразить все остальные машины. Заразив всего лишь одну машину в сети, вирус начнет свое «шествие» по всей сети и в конце концов попадет на сервер.
После заражения файлового сервера любой пользователь, запустивший зараженную программу, может заразить файлы на своем жестком диске или другие файлы, размещенные на том же сервере. Кроме того, администратор, зарегистрировавшийся в сети с правами суперпользователя, может обойти запреты на доступ к файлам и каталогам и заразить еще большее количество файлов. Серверы это очень удобное для вирусов место. Дело в том, что при загрузке сервер размещает в памяти достаточно большое количество сетевых приложений. Зараженный сервер становится носителем исполняемых файловых вирусов. Вирусы не размножаются на сервере и не портят его программ. Они переносятся лишь в том случае, если пользователь загрузит зараженную программу на свою рабочую станцию. До сих пор не зарегистрировано ни одного вируса, способного внедриться в программное обеспечение сервера и заражать файлы во время чтения или записи на сервер. Однако технологии создания вирусов не стоят на месте, и, возможно, скоро появится именно такой тип вирусов. Одноранговые сети еще более подвержены атакам файловых вирусов. Дело в том, что средства безопасности одноранговой сети очень слабы (если не сказать больше). Кроме того, архитектура такой сети (каждая машина одновременно является и сервером, и рабочей станцией) делает машины еще более уязвимыми.
Отметим также, что Internet не является «инкубатором» для вирусов. «Сеть сетей» также является носителем «компьютерных инфекций». Файловые вирусы не могут размножаться в Internet и заражать удаленные машины. Чтобы произошло заражение, компьютер должен загрузить зараженный файл из сети и запустить его.

МАКРОВИРУСЫ

Как уже говорилось, макровирусы — это один из наиболее опасных типов компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность «компьютерных инфекций», способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.
Количество макровирусов растет с каждым днем. По официальным данным, в октябре 1996 года было зарегистрировано менее 100 макровирусов. В мае 1997 года их количество достигло 700. Как вы узнаете, макровирус — это небольшая программа, написанная на внутреннем языке программирования (иногда эти языки называют языками разработки сценариев или макроязыками) какого-то приложения. В качестве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров. Главное, чтобы на машине была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
Внутренние языки программирования наиболее популярных приложений представляют собой очень эффективное инструментальное средство. С их помощью можно удалять или переименовывать файлы и каталоги, а также изменять содержимое файлов. Созданные на таких языках программирования макровирусы могут проделывать те же самые операции.
В настоящее время большинство известных макровирусов написано на Microsoft Word Basic или недавно появившемся Visual Basic for Application (VBA); WordBasic — это внутренний язык программирования текстового процессора Word for Windows (начиная с версии 6.0) и Word 6.0 for Macintosh. Так как при каждом использовании программы из пакета Microsoft Office выполняется и VBA, то написанные с его помощью макровирусы представляют для системы чрезвычайную опасность.
Другими словами, макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом возможностей внутренних языков программирования возрастет и количество новых макровирусов.
Далее приводится список наиболее важных причин создания вирусов с применением Microsoft Word:
Microsoft Word обладает огромными возможностями, благодаря которым макровирус может производить различные действия. Кроме того, созданы версии этой программы для различных компьютерных платформ: существуют версии для DOS, Windows 3.1, Windows 95 и Mac OS. Это увеличивает поле деятельности макровирусов.
Общий шаблон (в Windows он хранится в файле normal.dot) содержит глобальные макрокоманды, всегда доступные в Microsoft Word. Для макровируса этот файл представляет собой «плодородную почву». Дело в том, что именно в этом шаблоне обычно и размещается тело макровируса. Именно из него вирус заражает все созданные в текстовом процессоре документы.
Microsoft Word автоматически выполняет указанные макрокоманды без участия пользователя. Благодаря этому макровирус может выполняться вместе с обычными макрокомандами (с помощью обычных макрокоманд программа производит открытие и закрытие документа, а также завершение своей работы).
По сравнению с созданием системных вирусов с помощью ассемблера, написать макровирус не так уж сложно. WordBasic и VBA представляют собой достаточно простые языки программирования.Обычно пользователи помещают документы Word в сообщения электронной почты, на у?/»-сайты и в листы рассылки. Все это способствует еще более быстрому распространению макровирусов. К сожалению, неподготовленность пользователей играет на руку создателям макровирусов.

ПРИМЕР МАКРОВИРУСА

Как уже говорилось, создание макровирусов — это достаточо простая задача. Чтобы вы лучше представили ситуацию, я приведу конкретный пример макровируса. Первый из них — DeleteAHTemp — выполняется в Word 6.0шт Word 7.0. Его цель — удалить все файлы, расположенные в каталоге windows/temp.
Sub MAIN
ChDir «c:windows emp»
Temp$ = Files$(«*.*»)
While Temp$ <> «»
Kill Temp$
Temp$ = Files$()
Wend
End Sub
Чтобы создать такую же макрокоманду в Word 97, нужно слегка изменить текст программы:
Sub DeleteAllTemp()
Макрос DeleteAllTemp
ChDir «с: mp2121″
Temp$ = Dir(«*.*»)
Do While Temp$ <> «»
Kill Terap$
liP- Temp$ Dir
Loop
End Sub
Этот код является телом (payload) макровируса. Именно он размещается в заражаемых документах. Кроме того, для успешного внедрения в создаваемые документы макровирус должен заново переписать некоторые пункты меню Файл: Сохранить, Новый и Сохранить как. Однако это не так уж сложно. Более того, проще создать копию макрокоманды, чем записать копию вируса в другую макрокоманду. Например, можно заменить пункт Закрыть меню Файл макрокомандой DeleteAllTemp. Полиморфная природа макровирусов заставляет создателей антивирусных программ рассматривать их как достаточно серьезную угрозу для систем пользователей.

Не нашли, что искали? Воспользуйтесь поиском по сайту: