РАЗЛИЧНЫЕ типы ВИРУСОВ
Наиболее распространенными являются троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Каждый из них производит некоторые специфические действия.
ТРОЯНСКИЕ кони
Троянскими конями называются вирусы, прячущиеся в файлах данных (например, сжатых файлах или документах). Чтобы избежать обнаружения, некоторые разновидности троянских коней прячутся и в исполняемых файлах. Таким образом, эта программа может располагаться и в программных файлах, и в файлах библиотек, пришедших в сжатом виде. Однако зачастую троянские кони содержат только подпрограммы вируса. Возможно, самое лучшее определение троянских коней дал Дэн Эдварде - бывший хакер, занимающийся теперь разработкой антивирусного программного обеспечения для NSA (National Security Administration). По словам Дэна, троянским конем называется "небезопасная программа, скрывающаяся под видом безобидного приложения, вроде архиватора, игры или (знаменитый случай 1990 года) программы обнаружения и уничтожения вирусов". Большинство новых антивирусных программ обнаруживает практически всех троянских коней.
Одной из наиболее известных "троянских лошадок" стала программа Crackerjack. Как и все другие средства для взлома паролей, доступные в Internet, эта программа тестировала относительную мощность паролей, расположенных в выбранном файле. После своего запуска она выдавала список взломанных паролей и предлагала пользователю удалить этот файл. Первая версия программы не только взламывала пароли, но также и передавала их автору троянского коня. Crackerjack оказался достаточно полезным средством, в чем вы можете убедиться сами. Для этого достаточно загрузить программу из Internet.
ПОЛИМОРФНЫЕ ВИРУСЫ
Полиморфные вирусы - это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Как уже говорилось в главе 4, процедура расшифровки превращает зашифрованную информацию в обычную. Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление машиной. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были неполиморфными. Другими словами, процедура расшифровки вируса не изменялась от копии к копии. Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но вскоре ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. С его помощью программист может превратить любой вирус в полиморфный. Для этого о должен изменить текст вируса так, чтобы перед каждым созданием своей копии он вызывал генератор мутаций.
Несмотря на то что полиморфные вирусы нельзя обнаружить с помощью обычных методов проверки (вроде сравнения строк кода), они все же детектируются специальными антивирусными программами. Итак, полиморфные вирусы можно обнаружить. Однако этот процесс занимает огромное количество времени, а на создание антивирусной программы уходит гораздо больше сил. Наиболее свежие обновления антивирусного программного обеспечения производят поиск процедур шифрования,, с помощью которой обнаруживают полиморфные вирусы. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии. от файла к файлу.
СТЕЛС-ВИРУСЫ
Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы. Хорошим примером стелс-вируса является один из первых задокументированных вирусов DOS - Brain. Этот загрузочный вирус просматривал все дисковые системные операции ввода/вывода и перенаправлял вызов всякий раз, когда система пыталась считать зараженный загрузочный сектор. При этом система считывала информацию не с загрузочного сектора, а с того места, где вирус сохранил копию этого сектора. Стелс-вирусами также являются вирусы Number, Beast и Frodo. Говоря языком программистов, они перехватывают прерывание 21Н -основное прерывание DOS. Поэтому всякая команда пользователя, способная обнаружить присутствие вируса, перенаправляется вирусом в определенное место в памяти. Благодаря этому пользователь не может "заметить" вирус. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невиди-мы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о раз-
мере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса. Стелс-вирусы достаточно легко обнаружить. Большинство стандартных антивирусных программ "вылавливают" стелс-вирусы. Для этого достаточно запустить антивирусную программу до того, как вирус будет размещен в памяти машины. Надо запустить компьютер с чистой загрузочной дискеты, а затем выполнить антивирусную программу. Как уже говорилось, стелс-вирусы могут замаскироваться только в том случае, если они уже размещены в памяти. Если же это не так, то антивирусная программа легко обнаружит наличие таких вирусов на жестком диске.
МЕДЛЕННЫЕ ВИРУСЫ
Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись (например, FORMAT или SYS). Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.
Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности - это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.
Наиболее удачным средством против медленных вирусов являются оболочки целостности. Оболочки целостности - это резидентные хранители целостности. Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у вируса не остается практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антивирусная программа создает несколько СОМ- и ЕХЕ-файлов определенного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус заразит их, то пользователь сразу же узнает об этом. Например, медленный вирус может наблюдать за программой копирования файлов. Если DOS выполняет запрос на .копирование, то вирус поместит свое тело в новую копию файла.
РЕТРО-ВИРУСЫ
Ретро-вирус - это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. (Не спутайте анти-антивирусы с анти-вирус-вирусами - вирусами, созданными для уничтожения других вирусов.) Создание ретро-вируса является относительно несложной задачей. В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.
СОСТАВНЫЕ ВИРУСЫ
Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.
ВООРУЖЕННЫЕ ВИРУСЫ
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.
ВИРУСЫ-КОМПАНЬОНЫ
Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.
ВИРУСЫ-ФАГИПоследним классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.
ЧЕРВИ
Черви появились в конце 80-х годов. Червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Черви копируют себя на другие компьютеры с помощью протоколов и систем, описанных во второй главе. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. В 1988 году такими возможностями обладала только одна операционная система - Unix. До недавнего времени многие персональные компьютеры не могли быть заражены червем - этого не позволяют сделать ни DOS, ни Windows 95. Однако Windows NT уже обладает возможностями удаленного выполнения и поэтому может поддерживать работу вирусов-
червей.
Одним из самых распространенных вирусов в Internet является WINSTART. Свое название он получил от имени файла - winstart.bat, - в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполнения вирус параллельно занимается поиском следующей жертвы. По иронии судьбы червем называется не только определенный тип вирусов, но и очень полезное антивирусное инструментальное средство. Недостаток большинства стандартных средств аудита и хранителей целостности заключается в том, что они также могут стать жертвами вирусов. Однако можно хранить информацию безопасности и программы на изолированном и неизменяемом носителе. Наиболее подходят для этих целей WORM-диски. ("Write-once, read-many" -одна запись, многоразовое чтение; английское слово worm переводится как червь. - Прим. перев.). Привод WORM-диска обычно представляет собой приспособление оптического хранения данных, работающее с несколькими WORM-дисками. ВИРУСЫ И СЕТИ
Файловые вирусы и макровирусы - вот два наиболее опасных типа вирусов. Именно с ними приходится иметь дело администраторам сетевых серверов и одноранговых сетей, соединенных с Internet. Загрузочные вирусы обычно не распространяются по Internet, так как соединенный с Internet компьютер не может произвести на другом компьютере дисковые операции низкого уровня. Другими словами, сервер Internet обычно не может записывать файлы на другой компьютер. Такую операцию в состоянии произвести только компьютер-получатель. К числу файловых вирусов и макровирусов относятся многие вирусы, описанные ранее.
ФАЙЛОВЫЕ ВИРУСЫ
Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере, одноранговых сетей и, в какой-то степени, Internet. Далее приводятся три пути заражения сетевого сервера: Копирование (пользователем или администратором) зараженных файлов прямо на сервер. После этого вирус, расположившийся в файле, начнет заражать все остальные файлы.Выполнение файлового вируса на рабочей станции может заразить сеть. После своего запуска вирус сможет заразить любое приложение, хранимое на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет заразить и все машины в сети. Выполнение резидентного вируса на рабочей станции может вызвать заражение всей сети. После своего запуска резидентный вирус может получить информацию о передаваемых данных и скопировать себя на сервер, не обладая при этом прямым доступом к расположенной на сервере информации.
Абсолютно не важно, как вирус попадет в сеть. Он может быть размещен на дискете, получен с сообщением электронной почты или загружен из Internet вместе с исполняемым файлом. Как только вирус попадает на компьютер, обладающий доступом к другим сетевым компьютерам, то он способен заразить все остальные машины. Заразив всего лишь одну машину в сети, вирус начнет свое "шествие" по всей сети и в конце концов попадет на сервер.
После заражения файлового сервера любой пользователь, запустивший зараженную программу, может заразить файлы на своем жестком диске или другие файлы, размещенные на том же сервере. Кроме того, администратор, зарегистрировавшийся в сети с правами суперпользователя, может обойти запреты на доступ к файлам и каталогам и заразить еще большее количество файлов. Серверы это очень удобное для вирусов место. Дело в том, что при загрузке сервер размещает в памяти достаточно большое количество сетевых приложений. Зараженный сервер становится носителем исполняемых файловых вирусов. Вирусы не размножаются на сервере и не портят его программ. Они переносятся лишь в том случае, если пользователь загрузит зараженную программу на свою рабочую станцию. До сих пор не зарегистрировано ни одного вируса, способного внедриться в программное обеспечение сервера и заражать файлы во время чтения или записи на сервер. Однако технологии создания вирусов не стоят на месте, и, возможно, скоро появится именно такой тип вирусов. Одноранговые сети еще более подвержены атакам файловых вирусов. Дело в том, что средства безопасности одноранговой сети очень слабы (если не сказать больше). Кроме того, архитектура такой сети (каждая машина одновременно является и сервером, и рабочей станцией) делает машины еще более уязвимыми.
Отметим также, что Internet не является "инкубатором" для вирусов. "Сеть сетей" также является носителем "компьютерных инфекций". Файловые вирусы не могут размножаться в Internet и заражать удаленные машины. Чтобы произошло заражение, компьютер должен загрузить зараженный файл из сети и запустить его.
МАКРОВИРУСЫ
Как уже говорилось, макровирусы - это один из наиболее опасных типов компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность "компьютерных инфекций", способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.
Количество макровирусов растет с каждым днем. По официальным данным, в октябре 1996 года было зарегистрировано менее 100 макровирусов. В мае 1997 года их количество достигло 700. Как вы узнаете, макровирус - это небольшая программа, написанная на внутреннем языке программирования (иногда эти языки называют языками разработки сценариев или макроязыками) какого-то приложения. В качестве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров. Главное, чтобы на машине была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
Внутренние языки программирования наиболее популярных приложений представляют собой очень эффективное инструментальное средство. С их помощью можно удалять или переименовывать файлы и каталоги, а также изменять содержимое файлов. Созданные на таких языках программирования макровирусы могут проделывать те же самые операции.
В настоящее время большинство известных макровирусов написано на Microsoft Word Basic или недавно появившемся Visual Basic for Application (VBA); WordBasic - это внутренний язык программирования текстового процессора Word for Windows (начиная с версии 6.0) и Word 6.0 for Macintosh. Так как при каждом использовании программы из пакета Microsoft Office выполняется и VBA, то написанные с его помощью макровирусы представляют для системы чрезвычайную опасность.
Другими словами, макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом возможностей внутренних языков программирования возрастет и количество новых макровирусов.
Далее приводится список наиболее важных причин создания вирусов с применением Microsoft Word:
Microsoft Word обладает огромными возможностями, благодаря которым макровирус может производить различные действия. Кроме того, созданы версии этой программы для различных компьютерных платформ: существуют версии для DOS, Windows 3.1, Windows 95 и Mac OS. Это увеличивает поле деятельности макровирусов.
Общий шаблон (в Windows он хранится в файле normal.dot) содержит глобальные макрокоманды, всегда доступные в Microsoft Word. Для макровируса этот файл представляет собой "плодородную почву". Дело в том, что именно в этом шаблоне обычно и размещается тело макровируса. Именно из него вирус заражает все созданные в текстовом процессоре документы.
Microsoft Word автоматически выполняет указанные макрокоманды без участия пользователя. Благодаря этому макровирус может выполняться вместе с обычными макрокомандами (с помощью обычных макрокоманд программа производит открытие и закрытие документа, а также завершение своей работы).
По сравнению с созданием системных вирусов с помощью ассемблера, написать макровирус не так уж сложно. WordBasic и VBA представляют собой достаточно простые языки программирования.Обычно пользователи помещают документы Word в сообщения электронной почты, на у?/"-сайты и в листы рассылки. Все это способствует еще более быстрому распространению макровирусов. К сожалению, неподготовленность пользователей играет на руку создателям макровирусов.
ПРИМЕР МАКРОВИРУСА
Как уже говорилось, создание макровирусов - это достаточо простая задача. Чтобы вы лучше представили ситуацию, я приведу конкретный пример макровируса. Первый из них - DeleteAHTemp - выполняется в Word 6.0шт Word 7.0. Его цель - удалить все файлы, расположенные в каталоге windows/temp.
Sub MAIN
ChDir "c:windows emp"
Temp$ = Files$("*.*")
While Temp$ <> ""
Kill Temp$
Temp$ = Files$()
Wend
End Sub
Чтобы создать такую же макрокоманду в Word 97, нужно слегка изменить текст программы:
Sub DeleteAllTemp()
Макрос DeleteAllTemp
ChDir "с: mp2121"
Temp$ = Dir("*.*")
Do While Temp$ <> ""
Kill Terap$
liP- Temp$ Dir
Loop
End Sub
Этот код является телом (payload) макровируса. Именно он размещается в заражаемых документах. Кроме того, для успешного внедрения в создаваемые документы макровирус должен заново переписать некоторые пункты меню Файл: Сохранить, Новый и Сохранить как. Однако это не так уж сложно. Более того, проще создать копию макрокоманды, чем записать копию вируса в другую макрокоманду. Например, можно заменить пункт Закрыть меню Файл макрокомандой DeleteAllTemp. Полиморфная природа макровирусов заставляет создателей антивирусных программ рассматривать их как достаточно серьезную угрозу для систем пользователей.
НЕКОТОРЫЕ РАСПРОСТРАНЕННЫЕ МАКРОВИРУСЫ
WordMacro/Concept, известный также как Word Prank Macro или WWW6 Macro, - это макровирус, написанный на внутреннем языке Microsoft Word 6.0. На самом деле он состоит из нескольких макрокоманд: AAAZAO, AAAZFS, AutoOpen, FileSaveAs и PayLoad. Хочу обратить ваше внимание на то, что макрокоманды AutoOpen и FileSaveAs являются стандартными. Макровирус пытается заразить общий шаблон документов normal.dot. Если же в процессе заражения вирус обнаружит, что в файле шаблона уже находится макрокоманда PayLoad или FileSaveAs, то он прекратит атаку. Заразив общий шаблон, вирус начинает заражать все документы, сохраненные с помощью команды Сохранить как. Для обнаружения вируса воспользуйтесь меню Сервис и выберите в нем пункт Макрос. Если в появившемся окне есть макрокоманда AAAZFS, то, скорее всего, вирус уже поразил вашу систему.
Можно вылечить систему. Для этого достаточно создать пустую макрокоманду с именем PayLoad - она запишется поверх макрокоманды вируса. Теперь система надежно защищена от заражения. Ведь вирус, обнаружив эту макрокоманду, посчитает, что система уже заражена, и не станет ее заражать. Однако создание макрокоманды-пустышки - это лишь временное решение. Возможно, что именно в этот момент кто-то изменяет Concept так, чтобы он заражал систему, не обращая внимания на макрокоманды, расположенные в шаблоне normal.dot. Word Macro/Atom очень похож на Concept. Однако есть и некоторые различия. Автор этого макровируса зашифровал макрокоманду вируса. Вирус воспроизводится во время открытия или сохранения файла. Этот вирус гораздо сложнее обнаружить, потому что он зашифрован. Он производит два вида разрушений, похожих по действию, но различных в реализации.Макровирус активизируется 13 декабря. При этом он пытается удалить все файлы из текущего каталога. Вторая активизация наступает в тот момент, когда пользователь запускает команду FileSaveAs, а внутренние часы компьютера показывают 13 секунд. При этом на сохраняемый документ накладывается пароль, и пользователь больше не сможет открыть его. Чтобы остановить действие вируса, нужно отключить автоматическое выполнение макрокоманд или заставить Word запрашивать разрешение на сохранение изменений в normal.dot. Для этого откройте меню Сервис и выберите пункт Параметры. Выберите в появившемся диалоговом окне закладку Сохранение и поставьте флажок напротив пункта Запрос на сохранение шаблона "Обычный".
Word Macro/Bandung состоит из шести макрокоманд: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomize и ToolsMacro. При открытии зараженного файла (или запуске Word с зараженным файлом общего шаблона) после 11:00 начиная с двадцатого числа каждого месяца (и до конца месяца) вирус удаляет файлы во всех подкаталогах диска С:, за исключением каталогов WINDOWS, WINWORD или WINWORD6. Во время этой операции в строке состояния высвечивается сообщение "Reading menu ... Please Wait!". После удаления вирус создает файл c:pesan.txt и оставляет в нем свое сообщение.Если при просмотре зараженного документа пользователь выберет меню Сервис, а в нем пункт Макрос, то вирус отобразит на экране диалоговое окно с сообщением "Fail on step 29296" (в заголовке окна будет отображена строка Егг@#*(с) и символ STOP). После этого вирус заменит в документе все символы а на #@, а затем сохранит документ. Как вы уже, наверное, догадались, Word никогда не проделывает таких операций.В 1995 году в одну из групп новостей Usenet был помещен вирус WordMacro/Colors. Иногда его еще называют Rainbow. Вирус поддерживает в файле win.ini счетчик поколений - он располагается в секции [windows] в строке countersu-. При каждом выполнении макрокоманды значение счетчика увеличивается на единицу. После некоторого значения вирус изменяет установки цветов системы. При следующей загрузке Windows она будет раскрашена в случайно подобранные цвета. Этот макровирус заражает документы Word так же, как и многие остальные вирусы. Однако он не полагается на автоматическое выполнение макрокоманд и активизируется даже в том случае, если вы запустите Word с параметром DisableAutoMacros или воспользуетесь средствами защиты шаблонов от вирусов (они расположены на Web-сайте http://www.microsoft.com).Имена макрокомандAuto Close AutoExec AutoOpen FikExit FileNew FileSave FileSaveAs ToolsMacro Macros
Во время выполнения одной из этих макрокоманд вирус активизируется и заразит файл normal.dot. После открытия зараженного документа вирус будет выполняться при каждом создании нового файла, закрытии зараженного файла и сохранении открытого файла. Кроме того, он будет выполняться и при открытии пункта Макрос меню Сервис. Таким образом, не нужно пользоваться этим пунктом для определения вируса. Вместо этого откройте меню Файл и выберите пункт Шаблоны. Откройте с его помощью диалоговое окно Организатор. В этом окне выберите закладку Макро. Теперь вы сможете спокойно обнаружить и удалить опасные макрокоманды. Однако не забывайте, что вирус может заново переписать их. Отметим также, что автор этого вируса - достаточно опытный программист: в вирусе даже предусмотрен встроенный режим отладки.Макровирус WordMacro/Hot содержит четыре макрокоманды. Прежде всего этот вирус создает строку в файле winword.ini, где записана "горячая дата" - онадолжна наступить через две недели после заражения. Строка выглядит примерно так: QLHot=120401. После этого вирус копирует в файл normal.dot макрокоманды
Начальные имена макрокоманд Конечные имена макрокоманд o
AutoOpen StartOfDoc
DrawBringln Front AutoOpen
InsertPBreak Insert Page Break
ToolsRepaginat FileSave
Если выбрать в меню Сервис пункт Макрос, то в появившемся диалоговом окне вы увидите имена макрокоманд. Спустя несколько дней после наступления "горячей даты" вирус активизируется и удалит выбранные случайным образом файлы. Чтобы избавиться от этого вируса, удалите его макрокоманды.
Макровирус WordMacro/MDMA содержит всего лишь одну макрокоманду - AutoClose. Этот макровирус заражает все версии WinWord 6.0 и более поздние, причем он действует и на PC, и на Macintosh. Вирус активизируется первого числа каждого месяца. Его действия зависят от компьютерной платформы. На компьютерах Macintosh он пытается удалить все файлы, расположенные в текущей папке. Однако из-за ошибки в своем тексте вирус не может выполнить своего предназначения. При этом возникает синтаксическая ошибка, и вирус не приносит никакого вреда. В Windows NT вирус вытирает все файлы в текущем каталоге, а также файл c:shmk. В Windows 95 вирус удаляет файлы c:shmk, c:windows*.hlp и c:windowssystem*.cpl. Кроме того, вирус устанавливает параметры Stickykeys и HighContrast, а также сбрасывает параметр выполнения сценариев входа в сеть. Из-за ошибки в тексте вирусу не удается установить параметр HighContrast. В Windows 3.1 вирус удаляет файл c:shmk, а в файле autoexec.bat он размещает следующие строки:
@ echo off
deltree /у с:
@ echo You have just been ** expletive deleted ** over by a virus
@ echo You are infected with MDMAJDMV.
@ echo Brought to you by MDMA
При попытке перегрузить компьютер вирус удалит все файлы, размещенные на
диске с:.
Очень распространенным является макровирус WordMacro/Nuclear. Как и остальные макровирусы, он старается заразить основной шаблон документов. Однако он не пытается раскрыть своего присутствия с помощью диалоговых окон. Вместо этого вирус незаметно инфицирует каждый документ, созданный с помощью пункта Сохранить как меню Файл. При этом он добавляет к документу свою макрокоманду. Чтобы не быть обнаруженным, при каждом закрытии документа Nuclear сбрасывает флажок Запрос на сохранение шаблона "Обычный". После этого Word больше не будет запрашивать у пользователя разрешение на сохранение изменений файла normal.dot. Благодаря этому вирус становится практически незаметным. Дело в том, что многие пользователи используют этот параметр для защиты от макровирусов. Однако они и не догадываются о том, что вирус может изменить его.Пятого апреля макрокоманда вируса - PayLoad - пытается удалить системные файлы io.sys, msdos.sys и command.com. Кроме того, вирус добавляет в конце каждого напечатанного или посланного по факсу (из Word) документа в течение последних пяти секунд каждой минуты следующие строки: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC". (A напоследок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ АТОМНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ). Так как эти строки добавляются только во время печати, то пользователь не может их увидеть во время просмотра документа. Это действие производит макрокоманда вируса Insert Pay Load. Чтобы уничтожить вирус, воспользуйтесь пунктом Макрос меню Сервис. Если вы обнаружите там макрокоманду вроде InsertPayLoad, можете смело ее удалять. Макровирус Word Macro/Wazz.it содержит всего лишь одну макрокоманду - AutoOpen. Поэтому он не зависит от языка. Другими словами, этот макровирус может выполняться в локализованных версиях Word. Вирус Wazzu изменяет содержание зараженных документов: он перемешивает слова и вставляет слово "wazzu". Трудно определить, откуда пришел этот макровирус. Отмечу лишь то, что аббревиатура Washington State University звучит так же, как и Wazzu.
НАИЛУЧШИЕ РЕШЕНИЯ для ЗАЩИТЫ от МАКРОВИРУСОВ
Word 7.0 для Windows 95 и Windows NT, а также Word 97 автоматически предупреждают пользователей о том, что открываемый документ содержит макрокоманды. Компания Microsoft создала для Word 6.0 специальное средство борьбы с макровирусами-MVP (Macro Virus Protection). MVP устанавливает набор защитных макрокоманд, обнаруживающих подозрительные файлы и предупреждающих пользователя о потенциальной опасности открываемых файлов. Чтобы загрузить это средство, посетите Web-сайт компании Microsoft, расположенный по адресу http://www.microsoft.com/word/freestuff/mvtool/mvtool2.htm. С помощью этого
инструментального средства можно также просматривать все документы Word, поступающие по электронной почте или загруженные из Internet. Самые последние версии Word (начиная с Word 7.0) менее подвержены действию макровирусов. Дело в том, что эти версии (вместе с новыми версиями Excel, Access и PowerPoint) поддерживают новый внутренний язык программирования - Visual Basic for Application 5.0 (VBA). Он не совместим с WordBasic. Кроме того, этот язык используется в новых версиях Chameleon® (от NetManage), Photoshop® (от Adobe) и AutoCAD® (от AutoDesk).Таким образом, большинство старых макровирусов не смогут нормально работать в рамках нового языка разработки сценариев. Однако тот факт, что один и тот же внутренний язык поддерживается многими приложениями, может привести к появлению нового поколения макровирусов, которые смогут работать и заражать не только Word, но также все остальные приложения и их документы. Для получения более подробной информации о макровирусах посетите Web-сайт организации CIAC (Computer Incident Advisory Capability), расположенный по адресу http://ciac.llnl.gov/ciac/bulletins/g-10a.shtml. Кроме того, много интересной информации о макровирусах расположено в списке Ричарда Джона Мартина (ftp://ftp.gate. net/pub/users/ris 1/word.faq).
"МНИМЫЕ" ВИРУСЫ
В Internet существует огромное количество предупреждений о вирусах. Большая часть этих предупреждений относится к настоящим компьютерным вирусам и является чуть ли не единственным источником информации о действии вирусов. С их помощью вы сможете сэкономить время и защитить свои данные от разрушения. Однако есть и такие люди, которые любят поразвлечься, хотя и довольно своеобразно. Эти "шутники" занимаются тем, что распространяют в Internet сообщения о "мнимых" вирусах, т. е. вирусах, которых на самом деле не существует в природе. Эти сообщения не только раздражают пользователей, но и представляют некоторую опасность. Вообразите не очень опытного пользователя, встретившего подобное сообщение о "сверхмогучем" компьютерном вирусе. Кроме того, можно потратить огромное количество времени на изучение нового "мнимого" вируса, пропустив при этом информацию о настоящих. В следующих разделах я расскажу о наиболее известных "пустышках".
КАК отличить НАСТОЯЩИЙ ВИРУС от мнимого
Вы всегда можете верить сообщениям о вирусах, рассылаемым специальными группами из организаций по компьютерной безопасности (некоторые из них приведены ниже). Большинство этих организаций зашифровывают свои сообщения с помощью PGP или другой системы шифрования с открытым ключом. Чтобы идентифицировать создателя сообщения, достаточно расшифровать это сообщение с помощью открытого ключа организации. ASSIST, The Automated Systems Security Incident Support Team of the Department of Defense (http://www.assist.mil).CERT, The Computer Emergency Response Team Coordination Center atCarnegie-Mellon University (http://www.cert.org).CIAC, The U.S. Department of Energy Computer Incident Advisory Capability (http://ciac.llnl.gov). NASIRC, The NASA Automated Systems Incident Response Capability (http://nasirc.hq.nasa.gov).Еще раз настоятельно рекомендую проверять источник сообщения. Открытые ключи организаций хранятся на их Web-страницах. Избегайте сообщений, не прошедших процедуру идентификации.Если же вы - администратор соединенной с Internet системы, и вы обнаружили новый вирус, не старайтесь скорее разослать сообщение о "новой опасности" в группы новостей, а сообщите об этом в CIAC или одну из перечисленных выше организаций. Доверьтесь профессионалам.
КАК ЗАЩИТИТЬСЯ от ВИРУСОВ
Чтобы защитить свою сеть от вирусов, проделывайте с приходящими данными следующие три операции. Во-первых, проверяйте всю приходящую информацию с помощью антивирусных программ. И неважно, как эта информация попала к вам: на дискетах или в сообщениях электронной почты. Только после этого можно запускать полученные программы или просматривать пришедшие документы.Во-вторых, поставьте антивирусное программное обеспечение прямо в брандмауэре так, чтобы зараженные файлы не могли проникнуть в сеть. Как уже отмечалось, практически все брандмауэры содержат средства проверки на вирусы. Большинство из них содержат готовые антивирусные программы, а также средства проверки целостности данных. С их помощью можно просматривать в реальном времени все изменения в системе. Так вы сможете заметить большинство операций, производимых вирусами. Кроме того, большинство брандмауэров предоставляют средства защиты DOS-сеансов. В-третьих, установите антивирусное программное обеспечение на каждой подключенной к сети машине. Так вы сможете предотвратить распространение вирусов по сети, если одна из машин будет заражена. Список создателей антивирусных программ приводится далее.
ОБНАРУЖЕНИЕ ВИРУСОВ
Для своей успешной работы вирусам необходимо проверять, не является ли файл уже зараженным (этим же вирусом). Так они избегают самоуничтожения. Для этого вирусы используют сигнатуру. Большинство обычных вирусов (включая и макровирусы) использует символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры вируса антивирусные программы используют их для обнаружения "компьютерных инфекций". После этого антивирусная программа пытается уничтожить обнаруженный вирус. Однако этот процесс зависит от сложности вируса и качества антивирусной программы. Как уже говорилось, наиболее сложно обнаружить троянских коней и полиморфные вирусы. Первые из них не добавляют свое тело к программе, а внедряют внутрь нее. С другой стороны, антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры меняются с каждой новой копией.
РАЗРАБОТЧИКИ АНТИВИРУСНЫХ ПРОГРАММ
Далее приводится список наиболее известных создателей антивирусного программного обеспечения. Заранее хочу предупредить вас о том, что положение компании в списке не говорит о ее приоритетах по отношению к остальным компаниям. Кроме того, здесь я привожу наиболее известных производителей антивирусных программ только потому, что перечисление всех компаний заняло бы несколько десятков страниц. Отмечу лишь тот факт, что некоторые из приведенных компаний предоставляют пользователям пробные версии программ, которые можно загрузить с их Web-сайта.
McAfee Associates, Inc. Web URL: http://www.mcafee.com. Продукты компании:VirusScan (для ПК и Macintosh), Webscan (детектирование макровирусов),
Viruscan, V-Scan, CleanDisk и V-Shield. Большинство программ можно получить в виде пробных версий.
S&S Software International. Web URL: http://www.drsolomon.com. Основным продуктом компании является Dr. Solomon's Anti-virus Toolkit for Windows 95, в который входят и средства обнаружения макровирусов. Некоторые программы компании можно получить в виде пробных версий.
Symantec Corporation. Web URL: http://www.symantec.com. Продукты компании:Norton AntiVirus for Windows 95 и Symantec Anti-Virus for the Macintosh. Ha Web-сайте компании можно найти пробную версию Norton AntiVirus и других продуктов компании.
Touchstone Software Corporation. У компании нет своего Web-сайта, однако есть электронная доска объявлений: 714/969-0688. Продукты компании: PC-cillin 95 для Windows 95 (содержит детектор макровирусов).
TCT-ThunderBYTE Corporation. Web URL: http://www.thunderbyte.com. Продукты компании: ThunderBYTEAnti-Virus Utilities for Windows 95 (содержит детектор макровирусов).
IBM, Old Orchard Road, Armonk, New York, 10504. Тел.: 800/426-7225, 914/ 765-1900. Web URL: http://www.ibm.com/. Кроме того, у компании есть своя электронная доска объявлений: 919/517-0001. Продукты компании: IBM AntiVirus (обновленный для работы с Word 97 w. другими продуктами пакета Microsoft Office 97 и содержит детектор макровирусов).
EliaShim, Ltd. Web URL: http://www.eliashim.com/. Продукты компании: ViruSafe 95 (недавно обновлен для работы с продуктами пакета Microsoft Office 97, содержит детектор макровирусов), ViruSafe Firewall. Кроме того, на Web-сайте компании расположено бесплатное антивирусное средство для Web-броузеров ViruSafe-Web и детектор макровирусов ViruSafe-VDOC. Оба эти продукта распространяются бесплатно и совместимы с продуктами пакета Microsoft Office 97.