Особенности макровирусов

Алгоритм работы файлового вируса

 

Несмотря на многообразие файловых вирусов, можно выделить действия и порядок их выполнения, которые присутствуют при реализации большинства вирусов этого класса. Такой обобщенный алгоритм может быть предоставлен в виде следующей последовательности шагов:

Шаг 1. Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.

Шаг 2. Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программы и т.д.).

Шаг 3. Осуществляется деструктивная функция вируса, если выполняются соответствующие условия.

Шаг 4. Передается управление программе, в файле которой находится вирус.

При реализации конкретных вирусов состав действий и их последовательность могут отличаться от приведенных в алгоритме.

 

 

Особое место среди файловых вирусов занимают макровирусы. Макровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.

Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие возможности:

o привязку программы на макроязыке к конкретному файлу;

o копирование макропрограмм из одного файла в другой;

o получение управления макропрограммой без вмешательства пользователя.

Таким условиям отвечают редакторы MS Word, MS Office, Ami Pro табличный процессор MS Excel. В этих системах используются макроязыки Word Basic и Visual Basic.

При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т.д.), автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в «зараженном редакторе (процессоре)», он заражается. Здесь прослеживается аналогия с резидентными вирусами по механизму заражения. Для получения управления макровирусы, заражающие файлы MS Office, как правило, используют один из приемов:

1) в вирусе имеется автомакрос (выполняется автоматически, при открытии документа, таблицы);

2) в вирусе переопределен один из стандартных макросов, который выполняется при выборе определенного пункта меню;

макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.

Первый макровирус WinWord. Concept, поражающий документы Word, появился летом 1995 года. Вредительская функция этого вируса заключается в изменении формата документов текстового редактора Word в формат файлов стилей. Другой макровирус WinWord Nuclear уже не столь безобиден. Он дописывает фразу с требованием запрещения ядерных испытаний, проводимых Францией в Тихом океане. Кроме того, этот вирус ежегодно 5 апреля пытается уничтожить важные системные файлы.