Kötü amaçlı programlar ve virüsler (makro virüsler, gizli ve polimorfik virüsler). Makrovirüsler Bilgisayar makro virüsleri

Elbette her birini "şahsen" hatırlamak imkansız ve gereksiz bir iştir. Bununla birlikte, bazıları tehlikeleri ve yaygın yaygınlıkları nedeniyle hala daha fazla bilgi sahibi olmaya değer. Bu yazımızda makro virüslerin neler olduğunu analiz edeceğiz. Ayrıca tehditlerini yeterince değerlendirmenin neden önemli olduğunu da.

Makrovirüsler...

Kötü niyetli öğenin adının ilk yarısı "makro" kelimesinden gelir. Yazılı bir MS Word veya Excel belgesinin entegre bir parçasıdır. VBA dili... Makro oldukça geniş yeteneklere sahiptir: sabit sürücüyü biçimlendirebilir, dosyaları silebilir, PC'de depolanan bilgilerden gizli verileri kopyalayabilir ve elektronik olarak gönderebilir. posta kutusu... Bu nedenle, böyle bir unsurun yok edilmesinin büyük tehlikesi.

Bir makro virüsü, bir dizi işleme sistemine ve metin programlarına ve düzenleyicilere, tablolarla çalışmak için yazılımlara vb. daha fazla entegrasyon için bir makro dilinde yazılmış bir programdır. Kötü amaçlı öğelerin yayılması, makro dillerinin yetenekleri nedeniyle gerçekleşir. Bu nedenle, belgeden belgeye, bir bilgisayardan diğerine oldukça kolay aktarılırlar. Makro virüsleri en sık hangi dosyalara bulaşır? Bunlar esas olarak Word, Excel belgeleridir.

Nasıl yayılır?

PC enfeksiyonları oldukça basittir. Bilgisayarınızda makro virüsü bulaşmış bir dosyayı açmanız veya kapatmanız yeterlidir. Aynı zamanda, kötü niyetli öğeler standart olanları engeller ve ardından cihazınızda eriştiğiniz tüm bu tür dosyalara bulaşmaya başlarlar.

Makrovirüsler aynı zamanda yerleşik kötü niyetli öğelerdir. Yani sadece bir belgeyi açma / kapama anında değil, aynı zamanda bir metin, grafik veya elektronik tablo programının tüm çalışması boyunca da aktifler! Hatta bazıları içeride kalabiliyor. rasgele erişim belleği Bilgisayar kapanana kadar

Oluşturulmalarının son derece kolay olduğuna dikkat edilmelidir: bir saldırganın "Kelime" yi açması, "Hizmet" e ve ardından "Makrolar" a gitmesi yeterlidir. Sonra editörü seçer Visual Basic, burada zaten VBA dilinde kötü amaçlı yazılım yazabilir.

Virüs nasıl çalışır?

Belirli bir komutu uygularken, Word ilgili makroları arar ve yürütür:

• Belge kaydetme - Dosya Kaydet.
• Çıktıyı yazdır - FilePrint.
• Bir metin dosyası açma - AutoOpen.
• Belgeyi kapatma - Otomatik Kapat.
• Programın kendisini başlatma - AutoExec.
• Yeni bir dosya oluşturma - Otomatik Yeni vb.

Benzer makrolar, ancak farklı adlarla Excel tarafından kullanılır.

Kötü amaçlı program bir Word dosyasına bulaşmak için şu tekniklerden birini kullanır:

• Makro virüsü zaten bir otomatik makro içeriyor.
• Sistemin yenilgisi, virüsün geliştiricisi tarafından sağlanan görevi gerçekleştirmeye başladığınızda başlar.
• Standart makrolardan biri geçersiz kılındı. Genellikle ikincisi, bir tür "Kelime" menü öğesiyle ilişkilendirilir.
• üzerine tıklayarak belirli bir anahtar veya bunların bir kombinasyonu, siz, bilmeden kötü niyetli bir otomatik makroyu tetiklersiniz. Ve zaten "işine" başlıyor.

Makro virüsleri dosyalara şu şekilde bulaşır:

1. Etkilenen bir metin belgesini açarsınız.
2. Virüs kodu, belgenin genel makrolarına kopyalanır.
3. Zaten virüslü olan ikincisi, dosya kapatıldığında otomatik olarak bir nokta belgesine (Normal.dot adlı şablon) yazılır.
4. Bir sonraki adım, standart makroları virüs tarafından yeniden tanımlamaktır. Bu, elektronik belgelerle çalışmak için komutları engellemesine yardımcı olur.
5. Bu makrolar sizin tarafınızdan çağrıldığında, üzerinde çalıştığınız dosyaya virüs bulaşır.

Şimdi bir bilgisayarda bu kötü niyetli öğelerin varlığını nasıl kuracağımıza karar verelim.

Makro virüslerinin tespiti

Metin ve tablolardaki dosya virüsleri şu şekilde tanımlanabilir:

• "Farklı Kaydet ..." ile başka bir diske veya dizine belge yazamıyorum
• Dosyayı farklı bir biçimde kaydetmenin imkansızlığı ("Farklı kaydet ..." komutuyla kontrol edilir).
• Dosyada yaptığınız değişiklikleri kaydetmek için çıkmıyor.
• Güvenlik Düzeyi sekmesi kullanılamaz hale gelir. Yol boyunca bulabilirsiniz: "Servis" - "Makro" - "Güvenlik".
• Bir belgeyle çalışırken, bir hatayı belirten bir sistem mesajı görünebilir.
• Dosya garip bir şekilde farklı bir şekilde "davranır".
• Şüpheli belgenin bağlam menüsünü sağ tıklayıp "Özellikler" üzerine tıklayarak çağırırsanız, kötü amaçlı program geliştiricisi "Özet" sekmesinin bölümlerinde rastgele bilgileri veya yalnızca bir dizi karakter gösterecektir.

sorunu ortadan kaldırmak

Herhangi bir sorun, elbette, önlenmesi en kolay olanıdır. V bu durumda bilgisayarınızda sürekli güncellenen bir tehdit veritabanına sahip modern bir antivirüs olmalıdır. Bu tür programların çoğunda RAM'e yüklenmiş bir monitör bulunur. Virüslü dosyaları açmaya çalıştıkları anda algılar. Anti-virüs her şeyden önce böyle bir belgeyi iyileştirmeye çalışır ve başarısız olursa (ki bu çok nadiren olur) ona erişimi engeller.

Korumasız bir bilgisayarda bir tehdit bulursanız, virüslü dosyayı algılayacak, etkisiz hale getirecek veya silecek bir virüsten koruma yazılımı veya ilgili bir yardımcı program indirmeniz gerekir. Kendiniz de dikkatli olmanız önemlidir: bilmediğiniz kaynaklardan gelen belgeleri açmayın veya son çare olarak, kötü amaçlı öğeler için taramadan önce bunları açmayın.

Makrovirüsler, metin ve tablo dosyaları aracılığıyla yayılan bir tehdittir. Bugün, tespit etmek ve ortadan kaldırmak kolaydır, bu da bu kötü niyetli programın neden olduğu tehlikeyi ve zararı azaltmaz.

Makro virüsler, VBA (Visual Basic for Applications), JS (Java Script) gibi betik dillerinin yanı sıra bazı veri işleme sistemlerine (kelime işlem sistemleri, elektronik tablolar vb.) gömülü dillerdeki (makro dilleri) programlardır. ). Bu tür virüsler çoğalmaları için makro dillerin yeteneklerini kullanır ve onların yardımıyla kendilerini virüslü bir dosyadan (belge veya tablo) başkalarına aktarır. En yaygın olanları makro virüslerdir. Microsoft Office... Ami Pro belgelerine ve veritabanlarına bulaşan makro virüsler de vardır. Virüslerin belirli bir sistemde (editör) var olması için, aşağıdaki yeteneklere sahip yerleşik bir makro dilinin olması gerekir:

1. bir makro dil programının belirli bir dosyaya bağlanması;
2. makro programlarının bir dosyadan diğerine kopyalanması;
3. Kullanıcı müdahalesi olmadan makro programının kontrolünü elde etme yeteneği (otomatik veya standart makrolar).

Bu koşullar editörler tarafından karşılanır. Microsoft Word, Office ve AmiPro'nun yanı sıra elektronik Excel elektronik tablo ve veritabanı Microsoft Erişimi... Bu sistemler makro dilleri içerir: Word - Word Basic; Excel, Erişim - VBA. burada:

1. Makro programları belirli bir dosyaya bağlıdır (AmiPro) veya bir dosyanın içinde bulunur (Word, Excel, Access);
2. Makro dili, dosyaları kopyalamanıza (AmiPro) veya makro programlarını sistem hizmet dosyalarına ve düzenlenebilir dosyalara (Word, Excel) taşımanıza izin verir;
3. Belirli koşullar altında (açma, kapama vb.) bir dosya ile çalışırken, özel bir şekilde tanımlanmış (AmiPro) veya standart adlara sahip (Word, Excel) makro programları (varsa) çağrılır.

Makro dillerinin bu özelliği, otomatik veri işleme için tasarlanmıştır. büyük organizasyonlar veya küresel ağlarda ve sözde "otomatik belge akışı" düzenlemenizi sağlar. Öte yandan, bu tür sistemlerin makro dillerinin yetenekleri, virüsün kodunu başka dosyalara aktarmasına ve böylece onlara bulaşmasına izin verir. Virüsler, virüslü bir dosyayı açıp kapatarak, standart dosya işlevlerine müdahale ederek ve ardından bir şekilde erişilen dosyalara bulaşarak kontrolü ele alır. MS-DOS'a benzeterek, çoğu makro virüsünün yerleşik olduğunu söyleyebiliriz: sadece bir dosyayı açarken / kapatırken değil, düzenleyicinin kendisi aktif olduğu sürece aktiftirler.

Word / Excel / Office virüsleri: Genel bilgi

Virüsün dosya içindeki fiziksel konumu, biçimine bağlıdır; Microsoft ürünleri son derece zor - her biri Word belge dosyası, Excel elektronik tablosu, büyük miktarda hizmet verisi kullanarak birbirleriyle birleştirilen (her biri kendi formatına sahip olan) bir dizi veri bloğudur. Bu biçim OLE2 - Nesne Bağlama ve Gömme olarak adlandırılır.

Word, Excel ve Office (OLE2) dosyalarının yapısı karmaşık bir yapıya benzer. dosya sistemi diskler: bir belge dosyasının veya tablosunun "kök dizini", çeşitli veri bloklarının ana alt dizinlerini gösterir, birkaç FAT tablosu, bir belgedeki veri bloklarının konumu hakkında bilgi içerir, vb. Ayrıca Word ve Excel standartlarını destekleyen Office Binder sistemi, Word formatında bir veya birden fazla belgeyi ve Excel formatında bir veya birden fazla tabloyu aynı anda içeren dosyalar oluşturmanıza olanak tanır. Aynı zamanda, Word virüsleri Word belgelerine bulaşma yeteneğine sahiptir ve Excel virüsleri Excel tablolarına bulaşma yeteneğine sahiptir ve tüm bunlar tek bir dosyada mümkündür. disk dosyası... Aynı durum Office için de geçerlidir. Word için bilinen virüslerin çoğu, Word'ün ulusal (Rusça dahil) sürümleriyle uyumlu değildir veya bunun tersi de geçerlidir - bunlar yalnızca Word'ün yerelleştirilmiş sürümleri için tasarlanmıştır ve İngilizce sürümü altında çalışmaz. Ancak, belgedeki virüs hala etkindir ve karşılık gelen Word sürümünün yüklü olduğu diğer bilgisayarlara bulaşabilir. Word virüsleri herhangi bir sınıftaki bilgisayarlara bulaşabilir. Açıksa enfeksiyon mümkündür bu bilgisayar Kurulmuş Metin düzeltici Microsoft Word sürüm 6 veya 7 veya üzeri ile tam uyumludur (örneğin, Macintosh için MS Word).

Aynısı Excel ve Office için de geçerlidir. Ayrıca, Word belge biçimlerinin, Excel tablolarının ve özellikle Office'in karmaşıklığının şu tuhaflığa sahip olduğuna da dikkat edilmelidir: belge dosyalarında ve tablolarda "ekstra" veri blokları vardır, yani. Düzenlenen metin veya tablolarla ilgisi olmayan veya yanlışlıkla orada bulunan diğer dosya verilerinin kopyaları olan veriler. Bu tür veri bloklarının ortaya çıkmasının nedeni, OLE2 belgelerindeki ve tablolardaki verilerin küme organizasyonudur - yalnızca bir metin karakteri girilse bile, bunun için bir veya birkaç veri kümesi tahsis edilir. Belgeler ve tablolar "yararlı" verilerle doldurulmayan kümelere kaydedildiğinde, diğer verilerle birlikte dosyada sona eren "çöp" kalır. Dosyalardaki "çöp" miktarı, Word / Excel'de "Hızlı Kaydetmeye İzin Ver" seçeneğinin seçimi kaldırılarak azaltılabilir, ancak bu yalnızca toplam "çöp" miktarını azaltır, ancak tamamen kaldırmaz. Bunun sonucu, bir belgeyi düzenlerken, onunla gerçekleştirilen eylemlerden bağımsız olarak boyutunun değişmesidir - yeni metin eklerken dosya boyutu düşebilir ve metnin bir kısmı silindiğinde artabilir.

Aynısı makro virüsleri için de geçerlidir: bir dosyaya virüs bulaştığında, boyutu azalabilir, artabilir veya değişmeden kalabilir. Ayrıca, OLE2.DLL'nin bazı sürümlerinin, Word, Excel ve özellikle Office belgeleriyle çalışırken, gizli de dahil olmak üzere diskten rastgele veriler içeren küçük bir kusur içerdiğine dikkat edilmelidir ( silinen dosyalar, dizinler vb.). Virüs komutları da bu bloklara girebilir. Sonuç olarak, virüslü belgeler temizlendikten sonra, virüsün aktif kodu dosyadan silinir, ancak komutlarından bazıları "çöp" bloklarda kalabilir. Bir virüsün varlığına dair bu tür izler bazen metin editörlerinde görülebilir ve hatta bazı antivirüs programlarının tepkisini tetikleyebilir. Ancak virüsün bu kalıntıları tamamen zararsızdır: Word ve Excel bunlara hiç dikkat etmez.

Word / Excel / Office virüsleri: nasıl çalışırlar

Sürüm 6 ve 7 veya üzeri bir Word belgesiyle çalışırken, çeşitli eylemler gerçekleştirir: belgeyi açar, kaydeder, yazdırır, kapatır, vb. Aynı zamanda, Word karşılık gelen "yerleşik makroları" arar ve yürütür - bir dosyayı Dosya / Kaydet komutuyla kaydederken, Dosya / SaveAs komutu ile kaydederken FileSave makrosu çağrılır - Belgeleri yazdırırken FileSaveAs - FilePrint vb., tabii ki herhangi bir makro tanımlı ise. Çeşitli koşullar altında otomatik olarak çağrılan birkaç "otomatik makro" da vardır. Örneğin, açılırken Word belgesi AutoOpen makrosu için kontrol eder. Böyle bir makro varsa, Word onu yürütür. Belge kapatıldığında, Word AutoClose makrosunu yürütür, Word başladığında, AutoExec makrosu çağrılır, iş bittiğinde - AutoExit, yeni bir belge oluştururken - AutoNew.

Benzer mekanizmalar (ancak farklı makro ve işlev adlarına sahip), otomatik ve yerleşik makroların rolünün herhangi bir makro veya makroda bulunan otomatik ve yerleşik işlevler tarafından gerçekleştirildiği Excel / Office'te de kullanılır. , ve bir makroda birkaç yerleşik ve otomatik işlev. Herhangi bir tuş veya saat veya tarih anı ile ilişkili makrolar / işlevler de otomatik olarak yürütülür (yani kullanıcı katılımı olmadan), yani. Word / Excel, belirli bir tuşa (veya tuş kombinasyonuna) basıldığında veya belirli bir zaman noktasına ulaşıldığında bir makro / işlevi çağırır. V Ofis yetenekleri olayların ele geçirilmesi konusunda biraz genişletilmiş, ancak ilke aynıdır.

Word, Excel veya Office dosyalarına bulaşan makro virüsleri genellikle yukarıda listelenen üç yöntemden birini kullanır - virüs ya bir otomatik makro içerir (otomatik işlev) ya da standart sistem makrolarından biri yeniden tanımlanır (bir menü öğesiyle ilişkilendirilir) , veya herhangi bir tuşa veya tuş kombinasyonuna bastığınızda virüs makrosu otomatik olarak çağrılır. Tüm bu hileleri kullanmayan ve yalnızca kullanıcı bağımsız olarak yürütme için başlattığında çoğalan yarı virüsler de vardır. Bu nedenle, belgeye virüs bulaşmışsa, Word, belgeyi açarken virüslü otomatik makro Otomatik Aç'ı (veya belgeyi kapatırken Otomatik Kapat) çağırır ve DisableAutoMacros sistem değişkeni tarafından yasaklanmadığı sürece virüs kodunu çalıştırır. Virüs standart adlara sahip makrolar içeriyorsa, ilgili menü öğesi çağrıldığında (Dosya / Aç, Dosya / Kapat, Dosya / SaveAs) kontrol edilir. Herhangi bir klavye sembolü yeniden tanımlanırsa, virüs ancak ilgili tuşa basıldıktan sonra etkinleştirilir.

Çoğu makro virüsü, tüm işlevlerini standart Word / Excel / Office makroları olarak içerir. Ancak, kodlarını gizlemek ve kodlarını makro olmayan olarak saklamak için teknikler kullanan virüsler vardır. Bu tür üç teknik bilinmektedir, hepsi makroların diğer makroları oluşturma, düzenleme ve yürütme yeteneğini kullanır. Kural olarak, bu tür virüslerin yerleşik makro düzenleyiciyi çağıran, yeni bir makro oluşturan, onu ana virüs koduyla dolduran, yürüten ve ardından kural olarak yok eden küçük (bazen polimorfik) bir virüs makro yükleyicisi vardır ( virüs varlığının izlerini gizlemek için). Bu tür virüslerin ana kodu, virüs makrosunun kendisinde metin dizeleri (bazen şifrelenmiş) şeklinde bulunur veya belgenin değişken alanında veya Otomatik metin alanında saklanır.

Word makro virüslerinin çalışma algoritması

Tanınmış Word virüslerinin çoğu, kodlarını (makroları) başlangıçta genel belge makroları ("genel" makrolar) alanına aktarır, bunun için MacroCopy, Organizer.Copy makrolarını kopyalamak veya makroyu kullanmak için komutları kullanırlar. editör - virüs onu çağırır, yeni bir makro oluşturur , belgeye kaydettiği kendi kodunu içine ekler. Word'den çıktığınızda, genel makrolar (virüs makroları dahil) otomatik olarak genel makro DOT dosyasına (genellikle NORMAL.DOT) yazılır. Bu nedenle, MS-Word'ü bir sonraki başlatışınızda, WinWord global makroları yüklediği anda virüs etkinleştirilir, yani. hemen. Ardından virüs bir veya daha fazla standart makroyu (örneğin, FileOpen, FileSave, FileSaveAs, FilePrint) geçersiz kılar (veya zaten içerir) ve böylece dosyalarla çalışma komutlarını engeller. Bu komutlar çağrıldığında, virüs erişilen dosyaya bulaşır. Bunu yapmak için virüs, dosyayı Şablon biçimine dönüştürür (bu, dosya biçimini daha fazla değiştirmeyi, yani Şablon olmayan herhangi bir biçime dönüştürmeyi imkansız hale getirir) ve otomatik makro dahil olmak üzere makrolarını dosyaya yazar. Bu nedenle, bir virüs FileSaveAs makrosunu yakalarsa, virüs tarafından yakalanan makro aracılığıyla kaydedilen her DOC dosyasına bulaşır. FileOpen makrosu engellenirse, virüs diskten okunduğunda dosyaya yazılır.

Sisteme virüs sokmanın ikinci yöntemi çok daha az kullanılır - sözde "Eklenti" dosyalarına, yani. Word'e hizmet eklemeleri olan dosyalar. Bu durumda NORMAL.DOT değişmez ve Word, başlangıçta "Eklenti" olarak tanımlanan dosyadan (veya dosyalardan) virüs makrolarını yükler. Bu yöntem, virüs makrolarının NORMAL.DOT'ta değil, başka bir dosyada saklanması dışında, global makroların bulaşmasını neredeyse tamamen tekrarlar. BAŞLANGIÇ dizininde bulunan dosyalara virüs bulaştırmak da mümkündür - Word, şablon dosyalarını bu dizinden otomatik olarak yükler, ancak bu tür virüslerle henüz karşılaşılmamıştır. Yukarıdaki sisteme sokma yöntemleri, yerleşik DOS virüslerinin bir tür analogudur. Yerleşik olmayan bir analog, kodlarını sistem makroları alanına aktarmayan makro virüslerdir - diğer belge dosyalarına bulaşmak için ya yerleşik kullanarak ararlar Kelime işlevleri dosyalarla çalışın veya Son kullanılan dosya listesine bakın. Bu virüsler daha sonra belgeyi açar, ona bulaşır ve kapatır.

Excel makro virüslerinin çalışma algoritması

Excel virüslerinin yayılma yöntemleri genellikle Word virüslerininkilere benzer. Farklılıklar, makroları kopyalama komutlarında (örneğin, Sheets.Copy) ve NORMAL.DOT'un yokluğunda yatmaktadır - işlevi (viral anlamda) Excel'in BAŞLANGIÇ dizinindeki dosyalar tarafından gerçekleştirilir. Unutulmamalıdır ki iki olası seçenekler Excel tablolarında makro virüs kodunun yeri. Bu virüslerin büyük çoğunluğu kodlarını VBA (Visual Basic for Applications) formatında yazar, ancak kodlarını eski Excel 4.0 formatında saklayan virüsler de vardır. Bu tür virüsler, Excel elektronik tablolarındaki virüs kodlarının konumlarının biçimindeki farklılıklar dışında, doğal olarak VBA virüslerinden farklı değildir. Excel'in daha yeni sürümleri (sürüm 5'ten başlayarak) daha gelişmiş teknolojiler kullansa da, uyumluluğu korumak için Excel'in eski sürümlerinde makro yürütme yeteneği korunmuştur. Bu nedenle, Excel 4 formatında yazılan tüm makrolar, Microsoft bunları kullanmanızı önermese ve gerekli belgeleri Excel ile birlikte içermese de, sonraki tüm sürümlerde iyi çalışır.

Erişim için virüslerin algoritması

Access bir parçası olduğu için Ofis kıyafeti Pro, ardından Access virüsleri, Office uygulamalarına bulaşan diğer virüslerle Visual Basic dilinde aynı makrolardır. Ancak bu durumda, otomatik makrolar yerine sistem, çeşitli olaylar (örneğin, Autoexec) üzerine sistem tarafından çağrılan otomatik komut dosyaları içerir. Bu komut dosyaları daha sonra çeşitli makroları çağırabilir. Bu nedenle, bir virüs Access veritabanlarına bulaştığında, bir virüsün herhangi bir otomatik komut dosyasını değiştirmesi ve makrolarını virüslü veritabanına kopyalaması gerekir. Komut dosyası dili oldukça ilkel olduğundan ve bunun için gerekli işlevleri içermediğinden, ek makrolar olmadan komut dosyalarının bulaşması mümkün değildir.

Access terimlerinde, komut dosyalarına makrolar (makro) ve makrolara modüller (modüller) adı verildiğine, ancak bundan sonra birleşik terminolojinin kullanılacağına dikkat edilmelidir - komut dosyaları ve makrolar. Access veritabanlarını iyileştirmek, diğer makro virüslerini kaldırmaktan daha zor bir iştir, çünkü Access durumunda, yalnızca virüs makrolarını değil, otomatik komut dosyalarını da etkisiz hale getirmek gerekir. Ve Access çalışmasının önemli bir kısmı yalnızca komut dosyalarına ve makrolara emanet edildiğinden, herhangi bir öğenin yanlış silinmesi veya devre dışı bırakılması, veritabanı ile işlemlerin imkansızlığına yol açabilir. Aynısı virüsler için de geçerlidir - otomatik komut dosyalarının yanlış değiştirilmesi, veritabanında depolanan verilerin kaybolmasına neden olabilir.

AmiPro virüsleri

Herhangi bir belgeyle çalışırken, AmiPro editörü iki dosya oluşturur - belgenin metni (SAM uzantılı) ve ek dosya belge makrolarını ve muhtemelen diğer bilgileri içeren (ad uzantısı - SMM). Her iki dosyanın formatı da oldukça basittir - bunlar, hem düzenlenebilir metin hem de kontrol komutlarının normal metin dizeleri biçiminde bulunduğu normal bir metin dosyasıdır. Belge, SMM dosyasındaki herhangi bir makroyla ilişkilendirilebilir (AssignMacroToFile komutu). Bu makro, MS Word'deki AutoOpen ve AutoClose'a benzer ve bir dosyayı açarken veya kapatırken AmiPro editörü tarafından çağrılır. Görünüşe göre AmiPro, makroları "ortak" bir alana yerleştirme yeteneğinden yoksundur, bu nedenle AmiPro virüsleri sisteme yalnızca virüslü bir dosya açıldığında bulaşabilir, ancak bir virüs bulaştıktan sonra MS-Word'de olduğu gibi sistem önyüklendiğinde değil. NORMAL.DOT dosyası. MS Word gibi, AmiPro da ChangeMenuAction komutuyla sistem makrolarını (örneğin, SaveAs, Save) geçersiz kılmanıza izin verir. Geçersiz kılınan işlevler (menü komutları) çağrıldığında, virüslü makrolar kontrolü ele alır, yani. virüs kodu.

gizli virüsler

Bu sınıfın temsilcileri, sistemdeki varlıklarını gizlemek için çeşitli araçlar kullanır. Bu genellikle, dosyalarla çalışmaktan sorumlu bir dizi sistem işlevini arayarak elde edilir. "Gizlilik" - teknolojiler, özel araçlar olmadan bir virüsü tespit etmeyi imkansız hale getirir. Virüs, hem etkilenen nesnenin (dosya) uzunluğundaki artışı hem de içindeki gövdesini maskeleyerek, dosyanın "sağlıklı" kısmını kendisi için "değiştirir".

Bilgisayar taraması sırasında antivirüs yazılımı verileri oku - dosyalar ve sistem alanları - ile sabit sürücüler ve araçları kullanarak disketler işletim sistemi ve BIOS. Gizli - virüsler veya görünmez virüsler, başlatıldıktan sonra bilgisayarın RAM'inde bilgisayarın disk alt sistemine erişen programları engelleyen özel modüller bırakır. Böyle bir modül, bir kullanıcı programının virüslü bir dosyayı veya diskin sistem alanını okumaya çalıştığını algılarsa, okunabilir verileri anında değiştirir ve böylece fark edilmeden kalır, virüsten koruma programlarını aldatır.

Ayrıca, gizli virüsler sistemde ve diğer işlemlerde akışlar şeklinde saklanabilir ve bu da tanımlamalarını büyük ölçüde karmaşıklaştırır. Çok gizli virüsler tüm çalışan listesinde görmek bile imkansız, şu an, süreçler sisteminde.

Gizli virüs maskeleme mekanizmasını devre dışı bırakmanın kolay bir yolu var. Bilgisayarı virüs bulaşmamış bir sistem disketinden başlatmak ve bilgisayar diskinden programları başlatmadan bir anti-virüs programı ile bilgisayarı taramak yeterlidir (bulaşabilirler). Bu durumda, virüs kontrolü ele geçiremez ve RAM'e gizli algoritmayı uygulayan yerleşik bir modül kuramaz, antivirüs diskte gerçekten kayıtlı bilgileri okuyacak ve "basili" kolayca algılayacaktır.

Çoğu antivirüs programı, gizli virüslerin gözden kaçma girişimlerini etkisiz hale getirir, ancak onlara şans bırakmamak için, bilgisayarı bir antivirüs programı ile taramadan önce, bilgisayar, üzerine antivirüs programlarının yazılması gereken bir disketten başlatılmalıdır. Birçok antivirüs, gizli virüslere direnmekte o kadar başarılıdır ki, kendilerini gizlemeye çalışırken onları algılarlar. Bu tür programlar, taranan program dosyalarını birkaç program kullanarak diskten okur. farklı yöntemler- örneğin, işletim sistemini kullanarak ve BIOS aracılığıyla: tutarsızlıklar bulunursa, RAM'de muhtemelen gizli bir virüs olduğu sonucuna varılır.

polimorfik virüsler

Polimorfik virüsler, belirli bir virüse özgü sabit kod bölümleri olarak adlandırılan virüs imzaları kullanılarak tespit edilemeyen (veya son derece zor) olanları içerir. Bu, iki ana yolla elde edilir - virüsün ana kodunu kalıcı olmayan bir anahtar ve rastgele bir şifre çözme komutları seti ile şifreleyerek veya virüsün kendisinin yürütülebilir kodunu değiştirerek. Polimorfizmin oldukça egzotik başka örnekleri de vardır - örneğin "Bomber" DOS virüsü şifrelenmemiş, ancak kontrolü virüs koduna aktaran komut dizisi tamamen polimorfiktir.

Çeşitli derecelerde karmaşıklık polimorfizmi, önyükleme ve dosya DOS virüslerinden Windows virüslerine ve hatta makro virüslerine kadar her tür virüste bulunur.

Soruların çoğu "polimorfik virüs" terimi ile ilgilidir. Bu tür bilgisayar virüsleri bugün en tehlikelisi gibi görünüyor.

Polimorfik virüsler, virüslü programlardaki kodlarını, aynı virüsün iki kopyası tek bir bitte eşleşmeyecek şekilde değiştiren virüslerdir.

Bu tür virüsler yalnızca kodlarını çeşitli şifreleme yolları kullanarak şifrelemekle kalmaz, aynı zamanda onları kodlarının bölümlerini de şifreleyebilen ancak aynı zamanda kalıcı bir şifrelemeye sahip olan geleneksel şifreleme virüslerinden ayıran bir şifreleyici ve şifre çözücü oluşturma kodunu içerir. ve şifre çözücü kodu.

Polimorfik virüsler, kendi kendini değiştiren şifre çözücülere sahip virüslerdir. Bu şifrelemenin amacı: Virüs bulaşmış ve orijinal dosyalara sahip olsanız bile, normal sökme işlemini kullanarak kodunu hala analiz edemezsiniz. Bu kod şifrelidir ve anlamsız bir komutlar dizisidir. Şifre çözme zaten çalışma zamanında virüsün kendisi tarafından gerçekleştirilir. Bu durumda seçenekler mümkündür: kendisinin şifresini bir kerede çözebilir veya "yol boyunca" böyle bir şifre çözme işlemini gerçekleştirebilir, zaten tükenmiş bölümleri yeniden şifreleyebilir. Bütün bunlar virüs kodunu analiz etmeyi zorlaştırmak için yapılır.

polimorfik şifre çözücüler

Polimorfik virüsler, şifre çözme kodlarını oluşturmak için karmaşık algoritmalar kullanır: talimatlar (veya eşdeğerleri), enfeksiyondan enfeksiyona yeniden düzenlenir, NOP, STI, CLI, STC, CLC, DEC kullanılmayan kayıt, XCHG kullanılmayan kayıtlar, vb. gibi değişmeyen komutlarla seyreltilir. vesaire.

Tam teşekküllü polimorfik virüsler, virüsün şifre çözücüsünde herhangi bir sayı ve sırayla SUB, ADD, XOR, ROR, ROL ve diğer işlemlerin bir sonucu olarak daha karmaşık algoritmalar kullanır. Anahtarların ve diğer şifreleme parametrelerinin yüklenmesi ve değiştirilmesi, hemen hemen tüm talimatların bulunabileceği rastgele bir dizi işlemle de gerçekleştirilir. Intel işlemci(ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) tüm olası adresleme modları ile. Şifre çözücüsü Intel386'ya kadar olan talimatları kullanan polimorfik virüsler de vardır ve 1997 yazında Windows95 EXE dosyalarına bulaşan 32-bit polimorfik bir virüs keşfedilmiştir. Artık modern işlemcilerin çeşitli komutlarını da kullanabilen polimorfik virüsler var.

Sonuç olarak, böyle bir virüs bulaşmış bir dosyanın başlangıcında, görünüşte anlamsız bir dizi talimat vardır ve oldukça uygulanabilir olan bazı kombinasyonlar, özel sökücüler tarafından alınmaz (örneğin, CS: CS: veya CS kombinasyonu). : YOK). Ve bu komut ve veri "karışıklığı" arasında, MOV, XOR, LOOP, JMP ara sıra kayar - gerçekten "çalışan" talimatlar.

polimorfizm seviyeleri

Bu virüslerin şifre çözücülerinde bulunan kodun karmaşıklığına bağlı olarak polimorfik virüslerin seviyelere bölünmesi vardır. Bu bölünme ilk olarak Dr. Alan Solomon, bir süre sonra Wesselin Bonchev bunu genişletti.

Seviye 1: Sabit kodlu bir dizi şifre çözücüye sahip olan ve bulaşırken bunlardan birini seçen virüsler. Bu tür virüsler "yarı - polimorfiktir" ve "oligomorfik" olarak da adlandırılır. Örnekler: "Cheeba", "Slovakya", "Balina".
Seviye 2: virüs şifre çözücü, bir veya daha fazla kalıcı talimat içerirken, bunun ana kısmı uçucudur.
Seviye 3: şifre çözücü kullanılmayan talimatlar içerir - NOP, CLI, STI, vb. gibi "çöp".
Seviye 4: Şifre çözücü, değiştirilebilir talimatlar ve yeniden sıralama (karıştırma) talimatları kullanır. Bu durumda, şifre çözme algoritması değişmez.
Seviye 5: Yukarıdaki tekniklerin tümü kullanılır, şifre çözme algoritması tutarsızdır, virüs kodunu yeniden şifrelemek ve hatta şifre çözme kodunun kendisini kısmen şifrelemek mümkündür.
Seviye 6: permütasyon yapan virüsler. Virüsün ana kodu değişebilir - enfeksiyon sırasında rastgele sırayla yeniden düzenlenen bloklara bölünür. Aynı zamanda, virüs işlevsel kalır. Bu tür virüsler şifrelenmemiş olabilir.

Yukarıdaki bölüm, tek bir kritere göre gerçekleştirildiği için dezavantajlardan arınmış değildir - standart virüs maskeleri tekniğini kullanarak şifre çözme koduyla bir virüsü tespit etme yeteneği:

Seviye 1: bir virüsü tespit etmek için birden fazla maske yeterlidir

Seviye 2: "joker karakterler" kullanarak maske algılama

Seviye 3: Çöp talimatlarının kaldırılmasından sonra maske algılama

Seviye 4: maske, olası kodun çeşitli türevlerini içerir, yani. algoritmik hale gelir
Seviye 5: Virüsün maske ile tespit edilememesi

Böyle bir bölünmenin olmaması, "Seviye3" olarak adlandırılan 3. seviye polimorfizm virüsünde gösterilmiştir. En karmaşık polimorfik virüslerden biri olan bu virüs, daha önce çok sayıda "çöp" komutunun bulunduğu sabit bir kod çözme algoritmasına sahip olduğundan, yukarıdaki bölüme göre Seviye 3'e düşer. Ancak bu virüste, çöp oluşturma algoritması mükemmelliğe getirildi: i8086 işlemcisinin neredeyse tüm talimatları şifre çözme kodunda bulunabilir.

Virüs kodunun (emülatörlerin) otomatik şifresini çözmek için sistemler kullanan antivirüsler açısından seviyelere ayırırsak, seviyelere bölünme, virüs kodunu taklit etmenin karmaşıklığına bağlı olacaktır. Bir virüsü diğer yöntemlerle tespit etmek mümkündür, örneğin, temel matematik yasalarını kullanarak kod çözme vb.

Bu nedenle, viral maskelerin kriterine ek olarak, diğer parametrelerin de dahil olduğu daha nesnel bir ayrım gibi görünüyor:

Polimorfik kodun karmaşıklık derecesi (şifre çözme kodunda bulunabilen tüm işlemci talimatlarının yüzdesi)
Emülatör karşıtı hileleri kullanma
Şifre Çözücü Algoritması Kalıcılığı
Şifre çözücü uzunluğunun sabitliği

Yürütülebilir kodu değiştir

Çoğu zaman, bu polimorfizm yöntemi, kendilerinin yeni kopyalarını oluştururken, değişkenlerinin adlarını rastgele değiştiren, boş satırlar ekleyen veya kodlarını başka bir şekilde değiştiren makro virüsler tarafından kullanılır. Böylece, virüsün algoritması değişmeden kalır, ancak virüs kodu enfeksiyondan enfeksiyona neredeyse tamamen değişir.

Daha az yaygın olarak, bu yöntem karmaşık önyükleme virüsleri tarafından kullanılır. Bu tür virüsler önyükleme sektörleri ana virüs kodunu diskten okuyan ve kontrolü ona aktaran oldukça kısa bir prosedür. Bu prosedürün kodu birkaç farklı seçenek arasından seçilir ("boş" komutlarla da seyreltilebilir), komutlar değiştirilir, vb.

Bu teknik, dosya virüslerinde daha az yaygındır çünkü kodlarını tamamen değiştirmeleri gerekir ve bu oldukça karmaşık algoritmalar gerektirir. Bugüne kadar, biri ("Ply") komutlarını gövdesi üzerinde rastgele hareket ettiren ve bunları JMP veya CALL komutlarıyla değiştiren bu tür yalnızca iki virüs bilinmektedir. Başka bir virüs ("TMC") daha karmaşık bir yöntem kullanır - her bulaştığında, virüs kodunu ve veri bloklarını değiştirir, çöp ekler, montajcı talimatlarında yeni veri ofsetleri ayarlar, sabitleri değiştirir vb. Sonuç olarak, virüs kodunu şifrelemese de, polimorfik bir virüstür - kodda sabit bir komut seti yoktur. Ayrıca, virüs kendisinin yeni kopyalarını oluştururken uzunluğunu değiştirir.

Yıkıcı eylemlerin türüne göre virüsler

Yıkıcı eylemlerin türüne göre virüsler üç gruba ayrılabilir:

Bilgi virüsleri (birinci nesil virüsler)

Birinci nesil virüsler olarak adlandırılanlar, eylemleri bilgileri yok etmeyi, değiştirmeyi veya çalmayı amaçlayan şu anda var olan virüslerdir.

Donanım virüsleri (ikinci nesil virüsler)

Bu virüs türü bilgisayarınızın donanımına zarar verebilir. Örneğin, BIOS'u silin veya bozun, kırın mantıksal yapı sabit diski yalnızca düşük seviyeli biçimlendirme ile geri yüklemek mümkün olacak şekilde (ve her zaman değil). Bu türün tek temsilcisi, şimdiye kadar var olan her şeyin en tehlikelisi olan Win95.CIH "Chernoble" virüsüdür. Bir zamanlar, bu virüs milyonlarca bilgisayarı devre dışı bıraktı. Programı BIOS'tan sildi, böylece bilgisayarı devre dışı bıraktı ve aynısı tüm bilgileri yok etti. hard disk bu yüzden onu geri yüklemek neredeyse imkansızdı.

Şu anda hiçbir vahşi donanım virüsü tespit edilmedi. Ancak uzmanlar, BIOS'a bulaşabilecek bu tür yeni virüslerin ortaya çıkacağını şimdiden tahmin ediyor. Her biri için bu tür virüslere karşı koruma planlanmıştır. anakart BIOS'a yazmayı engelleyecek özel atlama telleri.

Psikotropik virüsler (üçüncü nesil virüsler)

Bu virüsler, bir monitör veya bilgisayar hoparlörleri aracılığıyla bir kişiyi öldürme yeteneğine sahiptir. Psikotrop virüsler, belirli bir frekansın belirli seslerini veya ekranda çeşitli renklerin belirli bir titremesini yeniden üreterek epileptik nöbete (buna yatkın kişilerde) veya kalp durmasına, beyin kanamasına neden olabilir.

Neyse ki, bugüne kadar bu tür virüslerin gerçek varlığı bilinmemektedir. Pek çok uzman, bu tür bir virüsün varlığını sorguluyor. Ama bir şey kesin. Bir kişiyi ses veya görüntü yoluyla etkilemek için psikotropik teknolojiler uzun zamandır icat edilmiştir (25. kare ile karıştırılmamalıdır). Buna yatkın bir kişide epileptik nöbete neden olmak çok kolaydır. Birkaç yıl önce, bazı medyada "666" adlı yeni bir virüsün ortaya çıkmasıyla ilgili bir yaygara vardı. Her 24 kareden sonra bu virüs, ekranda izleyicinin hayatını değiştirebilecek özel bir renk kombinasyonu görüntüler. Sonuç olarak, bir kişi hipnotik bir transa girer, beyin vücudun çalışması üzerindeki kontrolünü kaybeder, bu da ağrılı bir duruma, kalbin çalışma biçiminde bir değişikliğe, kan basıncına vb. Ancak günümüzde renk kombinasyonları kanunen yasak değildir. Bu nedenle, etkilerinin sonuçları hepimiz için felaket olsa da, ekranlarda oldukça yasal olarak görünebilirler.

Böyle bir etkinin bir örneği, Japonya'daki dizilerden birini gösterdikten sonra yüzlerce çocuk korkunç bir baş ağrısı ve beyin kanaması ile hastaneye kaldırılan "Pokemon" karikatürüdür. Bazıları öldü. Çizgi filmde, belirli bir renk paletinin parlak nesline sahip çekimler vardı, kural olarak, bunlar belirli bir sırayla siyah bir arka plan üzerinde kırmızı flaşlardır. Bu olaydan sonra, bu çizgi film Japonya'da gösterilmek üzere YASAKLANMIŞTIR.

Başka bir örnek verilebilir. Muhtemelen herkes, milli futbol takımımız ile Japon milli takımı arasındaki maçın yayınlanmasından sonra Moskova'da neler olduğunu hatırlıyor (yanılmıyorsam). Ama üzerinde büyük ekran hepsi sadece sopalı bir adamın arabayı nasıl parçaladığını gösteren bir videoydu. Bu aynı zamanda psikotropik bir etkidir, videoyu gören "insanlar" yolundaki her şeyi ve herkesi yok etmeye başladılar.

Malzemeler ve veriler kaynaklardan alınmıştır:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• Yorum göndermek için lütfen giriş yapın veya kayıt olun

makrovirüs bir çeşittirbilgisayar virüsleriüzerinde geliştirildimakro dilleribu tür uygulama paketlerine gömülüÜZERİNDE, nasıl Microsoft Office... Çoğaltmaları için, bu tür virüsler makro dillerin yeteneklerini kullanır ve onların yardımıyla virüslü birinden aktarılır.dosyadiğerlerine. Bu virüslerin çoğu için yazılmıştırMS Word.

En yaygın olanları Microsoft Word, Excel ve Office 97 için makro virüsleridir.

Virüslerin belirli bir sistemde (editör) var olması için, aşağıdaki yeteneklere sahip yerleşik bir makro dilinin olması gerekir:

1. bir makro dil programını belirli bir dosyaya bağlama;
2. makro programlarının bir dosyadan diğerine kopyalanması;
3. kullanıcı müdahalesi olmadan bir makro programının kontrolünü elde etme (otomatik veya standart makrolar). Açıklanan koşullar, MS Word, MS Office 97 ve AmiPro editörlerinin yanı sıra MS Excel elektronik tablosu tarafından karşılanmaktadır. Bu sistemler makro dilleri (MS Word - Word Basic, MS Excel ve MS Office 97 - Visual Basic) içerirken:

1. Makro programları belirli bir dosyaya bağlıdır (AmiPro) veya bir dosyanın içinde bulunur (MS Word / Excel / Office 97);

2. Makro dili, dosyaları kopyalamanıza (AmiPro) veya makro programlarını sistem hizmet dosyalarına ve düzenlenebilir dosyalara (MSWord / Excel / Office 97) taşımanıza izin verir;

3. Bir dosya ile belirli koşullar altında çalışırken (açma, kapama vb.), özel bir şekilde tanımlanmış (AmiPro) veya standart adlara sahip (MS Word / Excel / Office 97) makro programları (varsa) çağrılır. ).

Yukarıdaki dört yazılım ürünleri virüsler, virüslü bir dosyayı açıp kapatarak, standart dosya işlevlerine müdahale ederek ve ardından bir şekilde erişilen dosyalara bulaşarak kontrolü ele geçirir. DOS'a benzeterek, çoğu makro virüsünün bellekte yerleşik virüsler olduğunu söyleyebiliriz: sadece bir dosyayı açarken veya kapatırken değil, düzenleyicinin kendisi aktif olduğu sürece aktiftirler.

çalışma prensipleri

Word, Excel veya Office 97 dosyalarına bulaşan makro virüsleri genellikle aşağıdaki üç teknikten birini kullanır:

Yukarıdaki teknikleri kullanmayan ve yalnızca kullanıcı bunları yürütmek için bağımsız olarak başlatırsa çoğalan yarı virüsler de vardır.

Çoğu makro virüsü, tüm işlevlerini standart MS Word / Excel / Office 97 makroları biçiminde içerir.Ancak, kodlarını gizlemek ve kodlarını makro olmayan olarak saklamak için teknikler kullanan virüsler vardır. Bu tür üç teknik bilinmektedir. Hepsi, diğer makroları oluşturmak, düzenlemek ve yürütmek için makroların yeteneğini kullanır. Kural olarak, bu tür virüslerin, yerleşik makro düzenleyiciyi çağıran, yeni bir makro oluşturan, onu ana virüs koduyla dolduran, yürüten ve ardından kural olarak gizlemek için yok eden küçük (bazen polimorfik) bir makro yükleyicisi vardır. virüs varlığının izleri. Bu tür virüslerin ana kodu, virüsün gövdesinde metin dizeleri şeklinde bulunur veya belgenin değişken alanında veya Otomatik metin alanında saklanır.

• virüslü bir Word belgesini başka bir biçime dönüştürememe. Etkilenen dosyalar Şablon biçimindedir, çünkü virüs bulaşma sırasında Word virüsleri dosyaları Word Belgesi biçiminden Şablona dönüştürür;
• "Farklı Kaydet" komutunu kullanarak bir belgeyi başka bir dizine veya başka bir diske yazmanın imkansızlığı (yalnızca Word 6 için);
• BAŞLANGIÇ dizininde "yabancı" dosyalar var;
• Kitapta "ekstra" ve gizli Sayfaların varlığı.

1. Makro virüsler sisteme nasıl girer?

a) tarafından e-posta;

b) herhangi bir şekilde, bunların bulaştığı dosyalarla birlikte;

c) bir saldırganın sisteme manuel olarak bir virüs sokması gerekir;

d) İnternet üzerinden, ağ programlarındaki hataları kullanmak;

e) otomatik yükleme onlardan tetiklendiğinde çıkarılabilir medya aracılığıyla.

2. Bir kişisel sözlük saldırısına karşı koymak için bir parolanın hangi gereksinimi karşılaması gerekir?

a) Şifre oluşturulurken kişisel veriler kullanılmamalıdır;

3. Anormallik tespitine dayalı saldırı tespit sistemlerinin dezavantajları nelerdir?

a) yüksek oranda yanlış pozitif;

b) tüm ağdaki durumu kontrol edememek;

c) penetrasyon derecesini analiz edememek;

d) yüksek ağ yükünde çalışmak zordur;

e) Kurulu oldukları sunucunun verimi düşer.

4. Tünel, içinden geçen trafiğin şifrelenmesiyle korunan iki düğüm arasındaki bir kanaldır.

5. İşletim sistemi başladığında otomatik olarak devreye giren ve dolayısıyla sürekli RAM'de çalışan virüslerin isimleri nelerdir?

a) bellekte yerleşik virüsler;

b) gizli virüsler;

c) makro virüsler;

d) polimorfik virüsler;

e) Truva atları.

6. Mevcut bağlantıları izleyen ve yalnızca ilgili protokollerin ve uygulamaların mantığını ve algoritmalarını karşılayan paketlere izin veren güvenlik duvarları hangi sınıftır?

a) Ağ düzeyinde çalışma;

b) Oturum düzeyinde çalışma;

c) Uygulama düzeyinde çalışmak;

7. Yerleşik çalışan, dosya bulaşmasını önleyen antivirüslerin adları nelerdir?

a) dedektörler;

c) denetçiler;

d) aşılar;

e) filtreler.

8. Depolama ortamına hangi virüsler bulaşır?

a) dosya virüsleri;

b) önyükleme virüsleri;

c) makro virüsler;

d) ağ solucanları;

e) Truva atları.

9. Güvenilmez bir ağ temelinde güvenilir ve güvenli bir alt ağ oluşturan VPN'lere ne denir?

a) Şirket İçi;

b) Korumalı;

c) uzaktan erişim;

d) Mütevelliler;

e) Şirketler Arası.

10. Kimlik avına karşı koymak için bir parola hangi gereksinimi karşılamalıdır?

a) parola, herhangi bir doğal dilin sözcüklerinden türetilmemelidir;

b) şifrenin uzunluğu 12 veya daha fazla karakter olmalıdır;

c) şifre kimseye ifşa edilemez;

d) Farklı hizmetler korunmalıdır farklı şifreler;

e) Şifre, farklı alfabe ve kayıtların sembollerini, sayıları, noktalama işaretlerini vb. içermelidir.

11. VPN nedir?

a) saldırı tespit sistemi;

b) anahtar değişim protokolü;

c) yayın ağ adresleri;

d) sanal özel ağ;

e) iletilen akışı korumaya yönelik protokol.

12. Sezgisel tarama ile virüs algılamanın ana dezavantajı nedir?

a) önemli olasılık yanlış pozitif;

b) antivirüsün aşırı yavaş çalışması;

c) yeni virüsleri tespit etmenin imkansızlığı;

d) emek ihtiyacı manuel ayar antivirüs

Boyalı:

cevaplarınızda yeşil renkte doğru cevaplar

Kırmızı ile vurgulanmış doğru cevaplar seçilmemiştir

Evgeny Kaspersky

Makro virüsler, bazı veri işleme sistemlerine (kelime işlem sistemleri, elektronik tablolar vb.) gömülü dillerde (makro dilleri) yazılmış programlardır. Bu tür virüsler çoğalmaları için makro dillerin özelliklerini kullanır ve yardımlarıyla virüslü bir dosyadan (belge veya tablo) başkalarına aktarılır. En yaygın olanları Microsoft Word, Excel ve Office 97 için makro virüsleridir.

Virüslerin belirli bir sistemde (editör) var olması için, aşağıdaki yeteneklere sahip yerleşik bir makro dilinin olması gerekir:

1. bir makro dil programını belirli bir dosyaya bağlama;
2. makro programlarının bir dosyadan diğerine kopyalanması;
3. kullanıcı müdahalesi olmadan bir makro programının kontrolünü elde etme (otomatik veya standart makrolar).

Açıklanan koşullar, MS Word, MS Office 97 ve AmiPro editörlerinin yanı sıra MS Excel elektronik tablosu tarafından karşılanmaktadır. Bu sistemler makro dilleri (MS Word - Word Basic, MS Excel ve MS Office 97 - Visual Basic) içerirken:

1. Makro programları belirli bir dosyaya bağlıdır (AmiPro) veya bir dosyanın içinde bulunur (MS Word / Excel / Office 97);
2. makro dili, dosyaları kopyalamanıza (AmiPro) veya makro programlarını sistem hizmet dosyalarına ve düzenlenebilir dosyalara (MSWord / Excel / Office 97) taşımanıza izin verir;
3. belirli koşullar altında bir dosya ile çalışırken (açma, kapama vb.), özel bir şekilde tanımlanmış (AmiPro) veya standart adlara sahip (MS Word / Excel / Office 97) makro programları (varsa) çağrılır.

İkinci özellik, büyük kuruluşlarda veya küresel ağlarda otomatik veri işlemeye yöneliktir ve "otomatik iş akışını" düzenlemenize olanak tanır. Öte yandan, bu tür sistemlerin makro dillerinin yetenekleri, virüsün kodunu başka dosyalara aktarmasına ve böylece onlara bulaşmasına izin verir.

Yukarıda bahsedilen dört yazılım ürününde virüsler, virüslü bir dosya açıldığında veya kapatıldığında kontrolü ele geçirir, standart dosya işlevlerini engeller ve ardından bir şekilde erişilen dosyalara bulaşır. DOS'a benzeterek, çoğu makro virüsünün bellekte yerleşik virüsler olduğunu söyleyebiliriz: sadece bir dosyayı açarken veya kapatırken değil, düzenleyicinin kendisi aktif olduğu sürece aktiftirler.

Genel bilgi

Virüsün dosya içindeki fiziksel konumu, Microsoft ürünleri söz konusu olduğunda son derece karmaşık olan biçimine bağlıdır: her Word, Office 97 belgesi veya Excel elektronik tablosu bir dizi veri bloğudur (her biri kendi biçimine sahiptir) , büyük miktarda hizmet verisi kullanılarak birleştirildi. Bu biçim OLE2 (Nesne Bağlama ve Gömme) olarak adlandırılır. Word, Excel ve Office 97 (OLE2) dosyalarının yapısı, DOS disklerinin karmaşık dosya sistemine benzer: bir belgenin veya tablo dosyasının "kök dizini", çeşitli veri bloklarının ana alt dizinlerini gösterir, birkaç "FAT tablosu" hakkında bilgi içerir. bir belgedeki veri bloklarının konumu, vb. .d.

Ayrıca Word ve Excel standartlarını destekleyen Office Binder sistemi, Word formatında bir veya birkaç belgeyi ve Excel formatında bir veya birkaç tabloyu aynı anda içeren dosyalar oluşturmanıza olanak sağlar.Ayrıca Word virüsleri Word belgelerine ve Excel'e bulaşabilir. virüsler - Excel elektronik tabloları ve tüm bunlar tek bir disk dosyasında mümkündür. Aynısı Office 97 için de geçerlidir.

MS Word sürüm 6 ve 7'nin belgede bulunan makroları şifreleyebildiğine dikkat edilmelidir. Bu nedenle, bazı Word virüsleri, virüslü belgelerde şifreli (yalnızca Yürütme) biçimde bulunur.

Word için bilinen virüslerin çoğu, Word'ün ulusal (Rusça dahil) sürümleriyle uyumlu değildir veya tersine, yalnızca Word'ün yerelleştirilmiş sürümleri için tasarlanmıştır ve İngilizce sürümü altında çalışmaz. Ancak, belgedeki virüs hala etkindir ve karşılık gelen Word sürümünün yüklü olduğu diğer bilgisayarlara bulaşabilir.

Word virüsleri, yalnızca IBM PC'lere değil, herhangi bir sınıftaki bilgisayara bulaşabilir. Bu bilgisayarda Microsoft Word sürüm 6 veya 7 ile tam uyumlu bir metin düzenleyicisi (örneğin, Macintosh için MS Word) yüklüyse bulaşma mümkündür. Aynısı MS Excel ve MS Office 97 için de geçerlidir.

Word belgelerinin, Excel tablolarının ve özellikle Office 97'nin biçimlerinin aşağıdaki tuhaflığa sahip olması ilginçtir: belge dosyalarında ve tablolarda "ekstra" veri blokları vardır, yani düzenlenmiş metin veya tablolarla ilgisi olmayan veriler , veya yanlışlıkla orada bulunan diğer dosya verileri kopyalar. Bu tür veri bloklarının ortaya çıkmasının nedeni, OLE2 belgelerindeki ve tablolarındaki verilerin kümelenmiş organizasyonudur. Metnin yalnızca bir karakteri girilse bile, bunun için bir veya birkaç veri kümesi tahsis edilir. Belgeler ve tablolar "yararlı" verilerle doldurulmayan kümelere kaydedildiğinde, diğer verilerle birlikte dosyada sona eren "çöp" kalır. Dosyalardaki "çöp" miktarı, Word / Excel'de "Hızlı Kaydetmeye İzin Ver" seçeneğinin seçimi kaldırılarak azaltılabilir, ancak bu yalnızca toplam "çöp" miktarını azaltır, ancak tamamen kaldırmaz.

Ayrıca, OLE2.DLL'nin bazı sürümlerinin, Word, Excel ve özellikle Office 97 belgeleriyle çalışırken, gizli veriler (silinmiş dosyalar, dizinler, vb.) vb.).

MS Word / Excel / Office 97 virüsleri:
çalışma prensipleri

6. ve 7. sürümlerin bir MS Word belgesiyle çalışırken, çeşitli eylemler gerçekleştirir: belgeyi açar, kaydeder, yazdırır, kapatır, vb. Bu durumda, Word karşılık gelen yerleşik makroları arar ve yürütür: dosya Kaydetme makrosu, Dosya / Kaydetme komutuyla, Dosya / Kaydetme - DosyaKaydetme As komutuyla, belgeleri yazdırırken - FilePrint vb., tabii ki bu tür makrolar tanımlanmışsa, Dosya / Kaydet komutuyla çağrılır.

Çeşitli koşullar altında otomatik olarak çağrılan birkaç "otomatik makro" da vardır. Örneğin, bir belgeyi açtığınızda, Word belgeyi Otomatik Aç makrosu için denetler. Böyle bir makro varsa, Word onu yürütür. Belge kapatıldığında, Word AutoClose makrosunu yürütür, Word başladığında, AutoExec makrosu çağrılır, iş bittiğinde - AutoExit, yeni bir belge oluştururken - AutoNew. Excel / Office 97'de benzer mekanizmalar, ancak makrolar ve işlevler için farklı adlarla kullanılır.

Word, Excel veya Office 97 dosyalarına bulaşan makro virüsleri genellikle yukarıda listelenen üç teknikten birini kullanır:

1. virüs bir otomatik makro (otomatik işlev) içerir;
2. standart sistem makrolarından biri (bir menü öğesiyle ilişkili) virüste yeniden tanımlandı;
3. herhangi bir tuşa veya tuş kombinasyonuna basıldığında bir virüs makrosu otomatik olarak çağrılır.

Yukarıdaki teknikleri kullanmayan ve yalnızca kullanıcı bunları yürütmek için bağımsız olarak başlatırsa çoğalan yarı virüsler de vardır.

Çoğu makro virüsü, tüm işlevlerini standart MS Word / Excel / Office 97 makroları biçiminde içerir.Ancak, kodlarını gizlemek ve kodlarını makro olmayan olarak saklamak için teknikler kullanan virüsler vardır. Bu tür üç teknik bilinmektedir. Hepsi, diğer makroları oluşturmak, düzenlemek ve yürütmek için makroların yeteneğini kullanır. Kural olarak, bu tür virüslerin yerleşik makro düzenleyiciyi çağıran, yeni bir makro oluşturan, onu ana virüs koduyla dolduran, yürüten ve ardından kural olarak sırayla yok eden küçük (bazen polimorfik) bir makro yükleyicisi vardır. virüs varlığının izlerini gizlemek için. Bu tür virüslerin ana kodu, virüsün gövdesinde metin dizeleri şeklinde bulunur veya belgenin değişken alanında veya Otomatik metin alanında saklanır.

iş algoritması
Word için makro virüsleri

Bilinen Word virüslerinin çoğu (sürüm 6, 7 ve Word 97), başlatıldığında kendi kodlarını genel belge makroları alanına ("genel" makrolar) taşır.

Word'den çıktığınızda, genel makrolar (virüs makroları dahil) otomatik olarak genel makro DOT dosyasına (genellikle NORMAL.DOT) yazılır. Böylece virüs, Word'ün global makroları yüklediği anda etkinleştirilir.

Ardından virüs bir veya daha fazla standart makroyu (örneğin, FileOpen, FileSave, FileSaveAs, FilePrint) geçersiz kılar (veya zaten içerir) ve böylece dosyalarla çalışma komutlarını engeller. Bu komutlar çağrıldığında, erişilen dosyaya virüs bulaşır. Bunu yapmak için virüs, dosyayı Şablon biçimine dönüştürür (bu, dosya biçimini daha fazla değiştirmeyi, yani Şablon olmayan herhangi bir biçime dönüştürmeyi imkansız hale getirir) ve otomatik makro dahil olmak üzere makrolarını dosyaya yazar.

Sisteme bir virüs sokmanın başka bir yolu, "Eklenti" adı verilen dosyalara, yani Word'e hizmet eklemeleri olan dosyalara dayanmaktadır. Bu durumda NORMAL.DOT değişmez ve Word, virüs makrolarını başlangıçta "Eklenti" olarak tanımlanan dosyadan (veya dosyalardan) yükler. Bu yöntem, virüs makrolarının NORMAL.DOT'ta değil, başka bir dosyada saklanması dışında, global makroların bulaşmasını neredeyse tamamen tekrarlar.

BAŞLANGIÇ dizininde bulunan dosyalara virüs enjekte etmek de mümkündür. Bu durumda Word, şablon dosyalarını bu dizinden otomatik olarak yükler, ancak bu tür virüslerle henüz karşılaşılmamıştır.

Makrovirüs algılama

Makro virüslerin varlığının karakteristik belirtileri şunlardır:

1. virüslü bir Word belgesini başka bir biçime dönüştürememe;
2. Etkilenen dosyalar Şablon biçimindedir, çünkü virüs bulaşma sırasında Word virüsleri dosyaları Word Belgesi biçiminden Şablona dönüştürür
3. "Farklı Kaydet" komutunu kullanarak bir belgeyi başka bir dizine veya başka bir diske yazmanın imkansızlığı (yalnızca Word 6 için);
4. BAŞLANGIÇ dizininde "yabancı" dosyalar var;
5. Kitapta "ekstra" ve gizli Sayfaların varlığı.

Sistemde virüs olup olmadığını kontrol etmek için Araçlar / Makro menü öğesini kullanabilirsiniz. "Yabancı makrolar" bulunursa, bunlar bir virüse ait olabilir. Bununla birlikte, bu menü öğesinin çalışmasını "devre dışı bırakan" gizli virüsler durumunda bu yöntem çalışmaz ve bu da sistemin virüslü olduğunu düşünmek için yeterli bir nedendir.

Birçok virüsün Word / Excel'in farklı sürümlerinde hataları vardır veya düzgün çalışmaz, bunun sonucunda bu programlar hata mesajları oluşturur, örneğin:

WordBasic Err = hata numarası.

Yeni bir belge veya tablo düzenlenirken böyle bir mesaj görünürse ve aynı zamanda bilerek özel makrolar kullanılmıyorsa, bu aynı zamanda bir sistem bulaşmasının işareti olarak da işlev görebilir. Word, Excel ve Windows'un dosya ve sistem yapılandırmasındaki değişiklikler de bir virüsün işaretidir. Pek çok virüs bir şekilde menü öğelerini değiştirir Araçlar / Seçenekler - "Normal Şablonu Kaydetmeyi İste", "Hızlı Kaydetmeye İzin Ver", "Virüs Koruması" işlevlerini etkinleştirin veya devre dışı bırakın. Bazı virüsler, virüs bulaştıklarında dosyalara bir parola koyar. Çok sayıda virüs, Windows yapılandırma dosyasında (WIN.INI) yeni bölümler ve/veya seçenekler oluşturur.

Doğal olarak, virüsün tezahürleri, oldukça garip içerikli veya dile uymayan bir dilde mesajların veya diyalogların ortaya çıkması gibi "sürprizleri" içerir. yüklü sürüm Word / Excel.

Kurtarma
etkilenen nesneler

Çoğu durumda, virüslü dosyaları ve diskleri "tedavi etme" prosedürü, uygun bir virüsten koruma yazılımının başlatılmasına indirgenir. Ancak virüsün bağımsız olarak, yani "elle" nötralize edilmesi gereken durumlar vardır.

Word ve Excel virüslerini etkisiz hale getirmek için gerekli tüm bilgileri belge dışı ve elektronik tablo dışı biçimlerde kaydetmek yeterlidir. En uygun olanı, orijinal belgelerdeki hemen hemen tüm bilgileri içeren ve makro içermeyen metinsel RTF formatıdır.

Ardından Word / Excel'den çıkmalı, virüslü tüm Word belgelerini, Excel tablolarını, Word için NORMAL.DOT'u ve BAŞLANGIÇ Word / Excel dizinlerindeki tüm belgeleri / tabloları imha etmelisiniz. Bundan sonra, Word / Excel'i başlatmalı ve RTF dosyalarından belgeleri / tabloları kurtarmalısınız.

Bu prosedürün bir sonucu olarak, virüs sistemden kaldırılacak ve neredeyse tüm bilgiler değişmeden kalacaktır. Bununla birlikte, bu yöntemin birkaç dezavantajı vardır. Bunlardan en önemlisi, sayıları büyükse, belgeleri ve tabloları RTF formatına dönüştürmenin karmaşıklığıdır. Ek olarak, Excel durumunda, her bir Excel dosyasındaki tüm Sayfaları ayrı ayrı dönüştürmek gerekir.

Bir diğer önemli dezavantaj, çalışma sırasında kullanılan normal makroların kaybıdır. Bu nedenle, açıklanan prosedüre başlamadan önce orijinal metinlerini kaydetmeli ve virüsü nötralize ettikten sonra gerekli makroları orijinal formlarına geri yüklemelisiniz.

Virüsler nereden geliyor?
ve enfeksiyondan nasıl kaçınılır

Günümüzde virüslerin ana kaynağı internettir. en büyük sayı Virüs bulaşmaları, MS Word / Office 97 formatlarında mektup alışverişi yaparken ortaya çıkar: bir makro virüsü bulaşmış bir editörün kullanıcısı, şüphelenmeden muhataplarına “virüslü” mektuplar gönderir ve yeni mektuplar gönderir, vb.

Kullanıcının, her biri sırayla beş adresle de yazışma halinde olan beş muhatap ile yazıştığını varsayalım. Bir "viral" mektup gönderdikten sonra, onu alan beş bilgisayara da virüs bulaşır. Postalamanın ikinci seviyesinde 1 + 5 + 20 = 26 bilgisayara bulaşacak. Ağın alıcıları günde bir kez mektup alışverişinde bulunursa, çalışma haftasının sonunda (5 gün içinde) en az 1 + 5 + 20 + 80 + 320 = 426 bilgisayar enfekte olacaktır. 10 gün içinde yüz binden fazla bilgisayara bulaşacağını hesaplamak çok kolay! Üstelik sayıları her gün dörde katlanacak.

Virüsün yayılmasının açıklanan durumu, çoğunlukla virüsten koruma şirketleri tarafından kaydedilir. Ancak, virüslü bir belge dosyasının veya Excel elektronik tablosunun, bir gözetim nedeniyle bazı büyük şirketlerin ticari bilgilerinin posta listelerinde yer alması nadir değildir. Bu durumda, bu tür postaların beş değil, yüzlerce hatta binlerce abonesi zarar görecek ve bu da virüslü dosyaları on binlerce abonesine gönderecektir.

Genel dosya sunucuları ve elektronik konferans da virüslerin ana kaynaklarından biridir. Neredeyse her hafta, kullanıcılardan birinin bilgisayarına bir BBS, ftp sunucusu veya elektronik konferanstan alınan bir virüs bulaştığına dair bir mesaj alınır.

Bu durumda, genellikle virüslü dosyalar virüsün yazarı tarafından birkaç BBS / ftp'ye "yüklenir" veya herhangi bir yazılımın yeni sürümleri (antivirüse kadar) kisvesi altında birkaç konferansa gönderilir.

Bir virüsün BBS / ftp dosya sunucularına toplu olarak dağıtılması durumunda, aynı anda binlerce bilgisayara virüs bulaşabilir, ancak çoğu durumda DOS veya Windows virüsleri "gönderilir", bunların yayılması modern koşullarda makro kardeşlerinden çok daha düşük. Bu nedenle bu tür olaylar neredeyse hiçbir zaman kitlesel salgınlarla sonuçlanmaz.

Virüslerin hızlı yayılmasının üçüncü yolu yerel alan ağlarıdır. Gerekli koruma önlemlerini almazsanız, virüslü iş istasyonu ağa girdikten sonra sunucudaki bir veya birkaç hizmet dosyasına bulaşır, çeşitli yazılım, şirkette kullanılan standart belgeler-şablonlar veya Excel tabloları vb.

Eğitim kurumlarına kurulan bilgisayarlar da tehlikelidir. Öğrencilerden biri disketlerine bir virüs getirdiyse ve eğitim bilgisayarlarından herhangi birine bulaştıysa, bir sonraki "bulaşma" bu bilgisayarda çalışan diğer tüm öğrenciler tarafından alınacaktır.

Aynı şey, üzerlerinde birden fazla kişi çalışıyorsa ev bilgisayarları için de geçerlidir. Enstitüde çok kullanıcılı bir bilgisayarda çalışan bir öğrenci oğlunun (veya kızının) bilgisayara bir virüs sürüklediği durumlar nadir değildir. ev bilgisayarı, bunun sonucunda virüs girer bilgisayar ağı babanın veya annenin firmaları.

Sonuç olarak, makro virüslere karşı mücadelenin görünen karmaşıklığına rağmen, soruna sakin ve yetkin bir yaklaşımla kendinizi bu "enfeksiyondan" korumanın o kadar zor olmadığını belirtmek isterim.

Nadiren yeterli, ancak onarımı veya önleyici muayenesi sırasında bilgisayarınıza bir virüs bulaştırmak hala oldukça mümkündür. Tamirciler de insandır ve bazıları bilgisayar güvenliğinin temel kurallarını göz ardı etme eğilimindedir.