Вирусы в макросах документов: способы внедрения, распространения и защиты

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН

 

МЕЖДУНАРОДНАЯ АКАДЕМИЯ БИЗНЕСА

 

 

КАФЕДРА «ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ»

 

 

 

 

 

 

 

 

 

 

КУРСОВАЯ  РАБОТА

 

 

по  дисциплине «Информационная безопасность и защита информации»

«Вирусы в макросах документов: способы внедрения, распространения и защиты»

 

 

 

 

 

 

 

 

 

    Выполнил : Бедарев К.С.

 

    Научный руководитель:

                                                                 Коржаспаев А.Е.

 

 

 

 

 

 

 

Алматы – 2011

Международная Академия Бизнеса

Кафедра «Информационных  технологий»

 

 

 

ЗАДАНИЕ

на выполнение курсовой работы

 

Студенту  ___________________________________________________

   

Тема работы:  «_______________________________________________»

 

Утверждена на заседании кафедры

 протокол   № __ от «__» ___________ 20__ г.

Срок сдачи законченной работы ___________________________________

Описание  исходного материала и источников ___________________________________________________________________________________________________________________________________________________________________________________________________

Перечень  подлежащих разработке в курсовой  работе вопросов:

1) _______________________________________________________________

2) _______________________________________________________________

3) _______________________________________________________________

 

Рекомендуемая основная литература ___________________________________________________________________

______________________________________________________________________________________________________________________________________

Перечень графического материала (таблиц, диаграмм, схем и  др.)

______________________________________________________________________________________________________________________________________

___________________________________________________________________

 

Дата выдачи задания «_____ » _____________ 20__г.

 

 

Научный руководитель:  Ф.И.О. _______________                  _____________

                                                                                                                          подпись 

Задание принял к исполнению

студент: Ф.И.О._______________________________                 _____________

                                                                                                                          подпись 

 

 

 

Содержание

 

 

Введение	4
1. Макровирусы	6
1.1 Макровирусы общие сведения	7
1.2 Макровирусы принципы работы	8
2. Постановка задачи	10
3. Обзор наиболее известных вирусов в макросах документов	11
3.1  Распространение макровирусов	13
3.2 Алгоритм работы макровирусов для Microsoft Office	14
4.  Способы защиты от вирусов в макросах документов	16
4.1 Обнаружение макровируса	17
4.2 Восстановление пораженных объектов	18
5.  Создание вирусов в макросах и их внедрение в файлы документов	19
5.1 Постоянный вывод сообщения на экран	19
5.2 Запуск приложении из макровируса	19
5.3 Автозапуск и выполнение	20
Заключение	21
Список использованной литературы	22

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Компью́терный ви́рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже если автор вируса не программировал вредоносных эффектов, вирус может  приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей  взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Некомпетентные пользователи ошибочно относят к компьютерным вирусам  и другие виды вредоносных программ — программы-шпионы и прочее^[1]. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

 

Классификация

 

Ныне  существует немало разновидностей вирусов, различающихся по основному способу  распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее  время не существует единой системы  классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

• по поражаемым объектам (файловые вирусы, загрузочные вирусы,скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
• по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
• по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры,шпионы, ботнеты и др.).

 

Признаки  заражения вирусом

 

Существует  ряд признаков, которые могут  сопутствовать заражению вирусом: появление на экране непредусмотренных  сообщений и запросов, изображений и звуковых сигналов; самопроизвольный запуск программ без участия пользователя; попытки неизвестных программ подключиться к Интернету без ведома пользователя и т. п. О поражении вирусом через почту может свидетельствовать то, что друзья и знакомые пользователя говорят о сообщениях от него, которые он не отправлял; наличие в почтовом ящике большого количества сообщений без обратного адреса и заголовков. Однако эти признаки не всегда являются следствием присутствием вирусов. Например, в случае с почтой заражённые сообщения могут рассылаться с обратным адресом пользователя с других компьютеров.

Среди косвенных  признаков можно назвать частые зависания и сбои в работе компьютера, замедленная (по сравнению с изначальным  поведением) работа компьютера при  запуске программ, невозможность  загрузки операционной системы, исчезновение файлов и каталогов или искажение  их содержимого, частое обращение к  жёсткому диску (часто мигает лампочка на системном блоке), браузер Internet Explorer «зависает» или ведёт себя неожиданным образом (например, окно программы невозможно закрыть). Но основной причиной для подобных симптомов являются всё же не вирусы, а сбои в аппаратном обеспечении, конфликты между программами и баги в них.

 

Механизм

 

Вирусы распространяются, копируя свое тело и обеспечивая  его последующее исполнение: внедряя  себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащиемакросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например,Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

               

 

 

 

 

 

 

 

 

 

        

1. Макровирусы

 

Макровирус  – это разновидность компьютерных вирусов  разработанных на макроязыках, встроенных в такие прикладные пакетыПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Макровирусы (macro viruses) являются программами написанными на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97.

Для существования вирусов в  конкретной системе (редакторе) необходимо наличие встроенного в систему  макроязыка с возможностями:

1. привязки программы на макроязыке к конкретному файлу;
2. копирования макропрограмм из одного файла в другой;
3. получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Описанным условиям удовлетворяют  редакторы MS Word, MS Office 97 и AmiPro, а также электронная таблица MS Excel. Эти системы содержат в себе макроязыки (MS Word — Word Basic, MS Excel и MS Office 97 — Visual Basic), при этом:

1. макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (MS Word/Excel/Office 97);
2. макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (MSWord /Excel/Office 97);
3. при работе с файлом при определенных условиях (открытие, закрытие и т. д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (MS Word/Excel/ Office 97).

Последняя особенность предназначена  для автоматической обработки данных в больших организациях или в  глобальных сетях и позволяет  организовать так называемый «автоматизированный  документооборот». С другой стороны, возможности макроязыков таких  систем позволяют вирусу переносить свой код в другие файлы и таким  образом заражать их.

В четырех указанных выше программных  продуктах вирусы получают управление при открытии или закрытии зараженного  файла, перехватывают стандартные  файловые функции и затем заражают файлы, к которым каким-либо образом  идет обращение. По аналогии с DOS можно  сказать, что большинство макровирусов являются резидентными вирусами: они  активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам редактор.

1.1 Макровирусы общие сведения

 

Физическое расположение вируса внутри файла зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен: каждый файл-документ Word, Office 97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. Этот формат носит название OLE2 (Object Linking and Embedding). Структура файлов Word, Excel и Office 97 (OLE2) напоминает усложненную файловую систему дисков DOS: «корневой каталог» файла-документа или таблицы указывает на основные подкаталоги различных блоков данных, несколько «таблиц FAT» содержат информацию о расположении блоков данных в документе и т. д.

Более того, система Office Binder, поддерживающая стандарты Word и Excel, позволяет создавать файлы, одновременно содержащие один или несколько документов в формате Word и одну или несколько таблиц в формате Excel, причем Word-вирусы способны при этом поражать Word-документы, а Excel-вирусы — Excel-таблицы, и все это возможно в пределах одного дискового файла. То же справедливо и для Office 97.

Следует отметить, что MS Word версий 6 и 7 позволяет шифровать присутствующие в документе макросы. Таким образом, некоторые Word-вирусы присутствуют в зараженных документах в зашифрованном (Execute only) виде.

Большинство известных вирусов  для Word несовместимы с национальными (в том числе с русской) версиями Word или, наоборот, рассчитаны только на локализованные версии Word и не работают под английской версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленной на них соответствующей версией Word.

Вирусы для Word могут заражать компьютеры любого класса, а не только IBM PC. Заражение возможно в том случае, если на данном компьютере установлен текстовый редактор, полностью совместимый с Microsoft Word версии 6 или 7 (например, MS Word for Macintosh). То же справедливо и для MS Excel и MS Office 97.

Интересно, что форматы документов Word, таблиц Excel и особенно Office 97 имеют следующую особенность: в файлах-документах и таблицах присутствуют «лишние» блоки данных, т. е. данные, никак не связанные с редактируемым текстом или таблицами, либо случайно оказавшиеся там копии прочих данных файла. Причиной возникновения таких блоков данных является кластерная организация данных в OLE2-документах и таблицах. Даже если введен всего один символ текста, то под него выделяется один или даже несколько кластеров данных. При сохранении документов и таблиц в кластерах, не заполненных «полезными» данными, остается «мусор», который попадает в файл вместе с прочими данными. Количество «мусора» в файлах может быть уменьшено отменой пункта настройки Word/Excel «Allow Fast Save», однако это лишь уменьшает общее количество «мусора», но не убирает его полностью.