- •Лекція 4 віруси як шкідливе програмне забезпечення План лекції:
- •1. Класифікація комп'ютерних вірусів
- •2. Систематизація комп’ютерних вірусів
- •3. Файлові віруси
- •Види файлових вірусів
- •Алгоритм роботи файлового вірусу
- •Приклади файлових вірусів
- •4. Завантажувальні (бутові) віруси
- •Класифікаційний код завантажувального вірусу
- •Дескриптор завантажувального вірусу
- •Сигнатура бутового вірусу
- •Принцип дії завантажувальних вірусів
- •Розташування завантажувального вірусу
- •Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів
- •5. Макро-віруси
- •Причини зараження макро-вірусами
- •Загальні відомості про віруси в ms Office
- •Принципи роботи Word/Excel/Office-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •Приклади макро-вірусів
- •6. Мережеві віруси
- •Приклади мережевих вірусів
- •7. Стелс-віруси
- •Приклади стелс-вірусів
- •8. Поліморфік-віруси
- •Поліморфні розшифровувачі
- •Рівні поліморфізму
- •Зміна виконуваного коду
- •9. Способи захисту від вірусів
- •Систематичне архівування важливої інформації
- •Обмеження ненадійних контактів
- •Використання антивірусних програм
- •Види антивірусних програм
- •Контрольні питання до Лекції 4
Алгоритм роботи Word макро-вірусів
Більшість відомих Word-вірусів під час запуску переносять свій код (макроси) в область глобальних макросів ("загальні" макроси), для цього вони використовують команди копіювання макросів MacroCopy, Organizer. Copy або за допомогою редактора макросів – вірус викликає його, створює новий макрос, вставляє в нього свій код і зберігає його в документі.
При виході з Word глобальні макроси (включаючи макроси вірусу) автоматично записуються в DOT-файл глобальних макросів (NORMAL. DOT). Таким чином, при наступному запуску редактора MS-Word вірус активізується в той момент, коли WinWord вантажить глобальні макроси, тобто відразу. Потім вірус перевизначає (чи вже містить у собі) один чи декілька стандартних макросів (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і перехоплює в такий спосіб команди роботи з файлами. Під час виклику цих команд вірус заражає файл, до якого йде звертання. Цей вірус конвертує файл у формат Template (що унеможливлює подальші зміни формату файла, тобто конвертування в який-небудь не-Template формат) і записує у файл свої макроси, включаючи Auto-макрос.
Таким чином, якщо вірус перехоплює макрос FileSaveAs, то заражається кожен файл, що зберігається через перехоплений вірусом макрос. Якщо перехоплений макрос FileOpen, то вірус записується у файл при його зчитуванні з диска.
Другий спосіб впровадження вірусу в систему використовується значно рідше – він базується на так званих "Add-in" файлах, тобто файлах, що є службовими доповненнями до Word. У цьому випадку NORMAL.DOT не змінюється, а Word під час запуску завантажує макроси вірусу з файла (чи файлів), визначеного як "Add-in". Цей спосіб практично цілком повторює зараження глобальних макросів за тим виключенням, що макроси вірусу зберігаються не в NORMAL.DOT, а в якому-небудь іншому файлі.
Можливо також впровадження вірусу у файли, розташовані в каталозі STARTUP, – Word автоматично довантажує файли-темплейти з цього каталогу, але такі віруси поки що рідко зустрічаються.
Розглянуті вище способи впровадження в систему являють собою деякий аналог резидентних вірусів. Аналогом нерезидентности є макро-віруси, що не переносять свій код в область системних макросів – для зараження інших файлів-документів вони або шукають їх за допомогою вбудованих у Word функцій роботи з файлами, або звертаються до списку останніх редагованих файлів (Recently used file list). Потім такі віруси відкривають документ, заражають його і закривають.
Алгоритм роботи Excel макро-вірусів
Методи розмноження Excel-вірусів в цілому аналогічні методам Word-вірусів. Розходження полягають у командах копіювання макросів (наприклад, Sheets.Copy) і у відсутності NORMAL.DOT – його функцію (у вірусному сенсі) виконують файли в STARTUP-каталозі Excel.
Слід зазначити, що існує два можливих варіанти розташування коду макро-вірусів у таблицях Excel. Переважна більшість таких вірусів записують свій код у форматі VBA, однак існують віруси, що зберігають свій код у старому форматі Excel версії 4.0. Такі віруси по своїй суті нічим не відрізняються від VBA-вірусів, за винятком відмінностей у форматі розташування кодів вірусу в таблицях Excel.
Незважаючи на те, що у нових версіях Excel (версія 5 і вище) використовуються досконаліші технології, можливість виконання макросів старих версій Excel була залишена для підтримки сумісності. З цієї причини всі макроси, написані у форматі Excel 4, цілком працездатні у всіх наступних версіях, незважаючи на те, що Microsoft не рекомендує використовувати їх і не включає необхідну документацію в комплект постачання Excel.