8.4. Макровирусы

Макровирусы не отличаются по механизму размножения от файловых вирусов; их

особенность в том, что заражают они не исполняемые файлы, а файлы некоторых попу-

лярных форматов документов (в частности, .doc и .xls). Макровирусы оказались опасны

тем, что пользователи привыкли к мысли о том, что зараженной может быть только про-

грамма и не опасались получить вирус вместе с документом.

Макровирусы используют возможности некоторых программ (текстовых, графиче-

ских, табличных редакторов, СУБД и пр.) внедрять в документы, создаваемые этими про-

граммами, так называемые макросы — процедуры, написанные на встроенном в них язы-

ке программирования и выполняемые в ответ на определенные события (нажатие пользо-

вателем кнопки или открытие документа). Например, Microsoft Office поддерживает

встроенный язык программирования Visual Basic for Applications (VBA).

Макровирус представляет собой программу на макроязыке, внедренную в документ

соответствующего формата и запускающуюся автоматически обычно при открытии доку-

мента. После запуска вирус ищет другие доступные документы этого формата и внедряет-

ся в них, а также исполняет свою начинку (возможностей современных макроязыков

вполне хватает, чтобы эта начинка могла содержать серьезные деструктивные функции).

В настоящее время макровирусы также непопулярны, поскольку современные вер-

сии программ, поддерживающих макроязыки, предупреждают пользователя о наличии

макросов в документе. Более того, чтобы позволить макросу запуститься, от пользователя

нередко требуется изменить настройки программы.

8.5. Сетевые черви

Современные вирусы не заинтересованы в том, чтобы заразить как можно больше

файлов на компьютере (и тем самым повысить вероятность своего запуска и размноже-

ния). С повсеместным проникновением Интернета наиболее привлекательная цель для ви-

русов — проникнуть на как можно большее число компьютеров в сети. При этом доста-

точно, чтобы на каждом компьютере содержался лишь один экземпляр вируса, но при

этом соблюдалось два условия:

1. Вирус должен автоматически запускаться (желательно одновременно с запуском

операционной системы).

2. Содержащий вирус файл долден быть надежно скрыт от пользователя.

Вирусы, которые автоматически запускаются в момент старта операционной систе-

мы и, таким образом, постоянно функционируют в оперативной памяти, называются рези-

дентными. Вирусы, распространяющие свои копии по локальной сети или через Интернет

называются сетевыми червями. Большинство сетевых червей являются резидентными.

Вирусы, распространяющиеся через Интернет, являются наиболее популярными и

представляют наибольшую угрозу. Они имеют два основных механизма проникновения

на компьютер жертвы:

1. Через стандартные коммуникационные сервисы.

2. Через «дыры» в популярных сетевых приложениях, в том числе самой ОС.

В роли стандартного коммуникационного сервиса чаще всего выступает обыкновен-

ная электронная почта. Вирус распространяется в виде прикрепленного к электронному

письму файлового вложения, которое доверчивые и халатные пользователи, имеющие

низкую культуру в области информационной безопасности, из любопытства запускают,

отдавая тем самым свой компьютер под контроль вируса.

Этому способствует тот факт, что письмо с вирусным вложением может прийти со

знакомого почтового адреса. Действительно, заразив компьютер, почтовый вирус, как

правило, обрабатывает файл, в котором содержится адресная книга почтовой программы,

и извлекает из нее адреса постоянных корреспондентов пользователя, после чего им на-

правляются автоматически сгенерированные письма с копией вируса.

Один из самых нашумевших сетевый червей — вирус «I love you», эпидемия которо-

го началась 4 мая 2000 года. После открытия файла, приложенного к электронному пись-

му, вирус уничтожал или изменял некоторые файлы на зараженной машине, а кроме того

сразу же, в момент запуска, рассылал себя по всем адресам адресной книги пользователя.

По оценкам различных компаний, поражению подверглось огромное количество компью-

терных сетей (в отдельных странах — от 30 до 80 процентов). Количество получателей

«любовных писем» оценивается в 45 миллионов человек, общие убытки — до 10 милли-

ардов долларов США 17. Адресат получал письмо следующего содержания:

Subject «ILOVEYOU»

Сообщение: «kindly check the attached LOVELETTER coming from me.»

Присоединенный файл: «LOVE-LETTER-FOR-YOU.TXT.vbs»

Несмотря на то, что механизм проникновения вирусов через почтовые вложения

имеет достаточно почтенный возраст и широко известен, пользователи по-прежнему за-

ражаются почтовыми вирусами, неосторожно запуская вложения.

Второй механизм заражения — ошибки в сетевых программах, позволяющие вредо-

носной программе проникать на компьютер пользователя и получать на нем управление

без каких-либо действий со стороны самого пользователя. Такие вирусы появляются зна-

чительно реже (поскольку обнаружение подобной ошибки и написание программы, кото-

рая ей пользуется, непросто). Однако, появившись, они вызывают серьезную вирусную

эпидемию (как вирус MsBlast в 2003 году), которая прекращается только тогда, когда вы-

пускается патч (программа, исправляющая уязвимость) и его устанавливают большинство

пользователей.

Единственный способ хоть как-то противостоять подобным вирусам — своевремен-

ная установка обновлений.

Рассмотрим теперь резидентные вирусы. Их характерной особенностью является ав-

томатический запуск после загрузки операционной системы. Большинство резидентных

вирусов под Windows обеспечивает выполнение этого условия, прописывая себя в разде-

лы автозагрузки в реестре:

HKEY_LOCAL_MACINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

17

http://www.securitylab.ru/informer/240711.php

При этом многие вирусы, резидентно находясь в памяти, следят за реестром и если

пользователь удаляет соответствующую запись (ключ), восстанавливают ее. Поэтому что-

бы удалить вирус вручную, необходимо загрузиться в безопасном режиме.

Маскируются сетевые черви в большинстве своем в системных папках Windows (на-

пример, System32) среди сотен файлов, назначение которых пользователю неизвестно.