Макро-вирусы
Макро-вирусы (macro viruses) являются программами на языках (макро-языках),
встроенных в некоторые системы обработки данных (текстовые редакторы,
электронные таблицы и т.д.). Для своего размножения такие вирусы
используют возможности макро-языков и при их помощи переносят
себя из одного зараженного файла (документа или таблицы) в другие.
Наибольшее распространение получили макро-вирусы для Microsoft
Word, Excel и Office97. Существуют также макро-вирусы, заражающие
документы Ami Pro и базы данных Microsoft Access.
Для существования вирусов в конкретной системе (редакторе) необходимо
наличие встроенного в систему макро-языка с возможностями:
1. привязки программы на макро-языке к конкретному файлу;
2. копирования макро-программ из одного файла в другой;
3. возможность получения управления макро-программой без вмешательства
пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word, Office97
и AmiPro, а также электронная таблица Excel и база данных Microsoft
Access. Эти системы содержат в себе макро-языки: Word - Word Basic,
Excel, Office97 (включая Word97, Excel97 и Access) - Visual Basic
for Applications. При этом:
1. макро-программы привязаны к конкретному файлу (AmiPro) или
находятся внутри файла (Word, Excel, Office97);
2. макро-язык позволяет копировать файлы (AmiPro) или перемещать
макро-программы в служебные файлы системы и редактируемые файлы
(Word, Excel, Office97);
3. при работе с файлом при определенных условиях (открытие,
закрытие и т.д.) вызываются макро-программы (если таковые есть),
которые определены специальным образом (AmiPro) или имеют стандартные
имена (Word, Excel, Office97).
Данная особенность макро-языков предназначена для автоматической
обработки данных в больших организациях или в глобальных сетях
и позволяет организовать так называемый "автоматизированный
документооборот". С другой стороны, возможности макро-языков
таких систем позволяют вирусу переносить свой код в другие файлы,
и таким образом заражать их.
На сегодняшний день известны четыре системы, для которых существуют
вирусы - Microsoft Word, Excel, Office97 и AmiPro. В этих системах
вирусы получают управление при открытии или закрытии зараженного
файла, перехватывают стандартные файловые функции и затем заражают
файлы, к которым каким-либо образом идет обращение. По аналогии
с MS-DOS можно сказать, что большинство макро-вирусов являются
резидентными: они активны не только в момент открытия/закрытия
файла, но до тех пор, пока активен сам редактор.
Полиморфик-вирусы
К полиморфик-вирусам относятся те из них, детектирование которых
невозможно (или крайне затруднительно) осуществить при помощи
так называемых вирусных масок - участков постоянного кода, специфичных
для конкретного вируса. Достигается это двумя основными способами
- шифрованием основного кода вируса с непостоянным ключем и случаным
набором команд расшифровщика или изменением самого выполняемого
кода вируса. Существуют также другие, достаточно экзотические
примеры полиморфизва - DOS-вирус "Bomber", например,
не зашифрован, однако последовательность команд, которая передает
управление коду вируса, является полностью полиморфной.
Полиморфизм различной степени сложности встречается в вирусах
всех типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов
и даже макро-вирусов.
Стелс-вирусы
Стелс-вирусы теми или иными способами скрывают факт своего присутствия
в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов
- загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.
Появление стелс-вирусов, заражающих файлы Windows, является скорее
всего делом времени.
Резидентные
вирусы
Под термином "резидентность" (DOS'овский термин TSR
- Terminate and Stay Resident) понимается способность вирусов
оставлять свои копии в системной памяти, перехватывать некоторые
события (например, обращения к файлам или дискам) и вызывать при
этом процедуры заражения обнаруженных объектов (файлов и секторов).
Таким образом, резидентные вирусы активны не только в момент работы
зараженной программы, но и после того, как программа закончила
свою работу. Резидентные копии таких вирусов остаются жизнеспособными
вплоть до очередной перезагрузки, даже если на диске уничтожены
все зараженные файлы. Часто от таких вирусов невозможно избавиться
восстановлением всек копий файлов с дистрибутивных дисков или
backup-копий. Резидентная копия вируса остается активной и заражает
вновь создаваемые файлы. То же верно и для загрузочных вирусов
- форматирование диска при наличии в памяти резидентного вируса
не всегда вылечивает диск, поскольку многие резидентные вирусы
заражает диск повторно после того, как он отформатирован.
Нерезидентные вирусы, напротив, активны довольно непродолжительное
время - только в момент запуска зараженной программы. Для своего
распространения они ищут на диске незараженные файлы и записываются
в них. После того, как код вируса передает управление программе-носителю,
влияние вируса на работу операционной системы сводится к нулю
вплоть до очередного запуска какой-либо зараженной программы.
Поэтому файлы, зараженные нерезидентными вирусами значительно
проще удалить с диска и при этом не позволить вирусу заразить
их повторно.
Прочие
"вредные программы"
К "вредным программам", помимо вирусов, относятся также
троянские кони (логические бомбы), хакерские утилиты скрытого
администрирования удаленных компьютеров ("backdoor"),
программы, "ворующие" пароли доступа к ресурсам Интернет
и прочую конфиденциальную информацию; а также "intended"
-вирусы, конструкторы вирусов и полиморфик-генераторы.
Назад
- Далее
