Ngày nay, hàng ngàn chương trình độc hại đang lượn lờ trên web. Tất nhiên, việc ghi nhớ từng người trong số họ "tận tay" là một việc bất khả thi và không cần thiết. Tuy nhiên, một số đáng được biết đến hơn do tính nguy hiểm và sự phổ biến rộng rãi của chúng. Trong bài viết này, chúng tôi sẽ phân tích những gì đây là - virus macro. Và cũng là lý do tại sao điều quan trọng là phải đánh giá đầy đủ mối đe dọa của chúng.

Macrovirus là ...

Nửa đầu tên của phần tử độc hại bắt nguồn từ từ "macro". Nó là một thành phần tích hợp của tài liệu MS Word hoặc Excel được viết bằng VBA. Macro có khả năng khá rộng: nó có thể định dạng ổ cứng, xóa tệp, sao chép dữ liệu bí mật từ thông tin được lưu trữ trên PC và gửi qua hộp thư điện tử. Do đó, có một nguy cơ lớn về việc một phần tử như vậy bị phá hủy.

virus macro là

Virus macro là một chương trình được viết bằng ngôn ngữ macro để tích hợp sâu hơn vào một số hệ thống xử lý thông tin: chương trình đồ họa và văn bản và trình chỉnh sửa, phần mềm làm việc với bảng, v.v. Sự lan truyền của các phần tử độc hại xảy ra do khả năng của ngôn ngữ macro . Do đó, chúng khá dễ dàng chuyển từ tài liệu này sang tài liệu khác, từ máy tính này sang máy tính khác. Những tệp nào virus macro lây nhiễm thường xuyên nhất? Đây chủ yếu là các văn bản Word, Excel.

Nó lây lan như thế nào?

Việc lây nhiễm cho PC của bạn khá đơn giản. Bạn chỉ cần mở hoặc đóng một tệp bị nhiễm vi rút macro trên máy tính của mình. Đồng thời, các phần tử độc hại chặn các chức năng tài liệu tiêu chuẩn. Và sau đó chúng bắt đầu lây nhiễm tất cả các tệp như vậy mà bạn truy cập trên thiết bị của mình.

Macrovirus cũng là những phần tử độc hại thường trú. Có nghĩa là, chúng hoạt động không chỉ tại thời điểm mở / đóng tài liệu mà còn trong toàn bộ hoạt động của một chương trình văn bản, đồ họa hoặc bảng tính! Và một số trong số chúng thậm chí có thể vẫn còn trong RAM của máy tính cho đến khi nó bị tắt.

vi rút macro lây nhiễm các tệp

Cần lưu ý rằng chúng cực kỳ dễ tạo: kẻ tấn công chỉ cần mở "Word", chuyển đến "Service" và sau đó là "Macros" là đủ. Sau đó, anh ta chọn trình soạn thảo Visual Basic, nơi anh ta đã có thể viết một chương trình độc hại bằng ngôn ngữ VBA.

Cách thức hoạt động của vi rút

Khi triển khai một lệnh cụ thể, Word sẽ tìm kiếm và thực thi các macro tương ứng:

  • Lưu tài liệu - FileSave.
  • Đầu ra in - FilePrint.
  • Mở tệp văn bản - AutoOpen.
  • Đóng tài liệu - Tự động đóng.
  • Khởi chạy chính chương trình - AutoExec.
  • Tạo một tệp mới - AutoNew, v.v.

Các macro tương tự, nhưng có tên khác nhau, được sử dụng bởi Excel.

Để lây nhiễm tệp Word, chương trình độc hại sử dụng một trong các kỹ thuật sau:

  • Virus macro đã chứa macro tự động.
  • Sự thất bại của hệ thống bắt đầu khi bạn thiết lập để thực hiện nhiệm vụ do nhà phát triển vi rút cung cấp.
  • Một trong những macro tiêu chuẩn bị ghi đè. Thông thường cái sau được liên kết với một số loại mục menu "Word".
  • Bằng cách nhấn một phím nhất định hoặc kết hợp chúng, bạn sẽ kích hoạt macro tự động độc hại mà không hề hay biết. Và anh ấy đã bắt đầu "công việc" của mình.
macro virus tập tin virus

Virus macro lây nhiễm các tệp theo cách sau:

  1. Bạn mở một tài liệu văn bản bị ảnh hưởng.
  2. Mã vi-rút được sao chép vào macro chung của tài liệu.
  3. Phần sau, đã bị nhiễm, sẽ tự động được ghi vào tài liệu dấu chấm (mẫu có tên là Normal.dot) khi đóng tệp.
  4. Tiếp theo, đó là về việc xác định lại vi-rút macro tiêu chuẩn. Nó giúp anh ta chặn các lệnh làm việc với các tài liệu điện tử.
  5. Khi các macro này được gọi bởi bạn, tệp bị nhiễm trong bạn đang làm việc.

Bây giờ chúng ta sẽ xác định cách thiết lập sự hiện diện của các yếu tố độc hại này trên máy tính.

Phát hiện Macrowurus.

Các vi-rút tệp trong các văn bản và bảng có thể được xác định như sau:

  • Không thể ghi lại một tài liệu trên một đĩa khác hoặc một danh mục thông qua "Lưu dưới dạng ..."
  • Không thể lưu tệp ở định dạng khác (được xác minh thông qua lệnh "Lưu dưới dạng").
  • Nó không đi ra ngoài để lưu các thay đổi trong tệp.
  • Tab "Cấp độ bảo mật" trở nên không thể truy cập được. Bạn có thể tìm thấy nó trên đường đi: "dịch vụ" - "macro" - "bảo mật".
  • Khi làm việc với một tài liệu, một thông báo hệ thống chỉ ra lỗi có thể xuất hiện.
  • Các tập tin nằm trong một "khách hàng tiềm năng" kỳ lạ khác nhau.
  • Nếu bạn gọi nút chuột phải, menu ngữ cảnh của tài liệu bị nghi ngờ và nhấp vào "Thuộc tính", sau đó trong phần "Tóm tắt" của nhà phát triển phần mềm độc hại sẽ cho biết thông tin ngẫu nhiên hoặc chỉ là một tập hợp các ký tự.

Loại bỏ vấn đề

Bất kỳ rắc rối là cách dễ nhất, tất nhiên là ngăn chặn. Trong trường hợp này, Antivirus hiện đại với một cơ sở đe dọa cập nhật liên tục phải có trên máy tính của bạn. Nhiều chương trình như vậy có một màn hình được tải vào RAM. Nó xác định các tập tin bị nhiễm đã cố gắng để mở chúng. Antivirus cố gắng chủ yếu để chữa một tài liệu như vậy, trong trường hợp thất bại (xảy ra rất hiếm khi) chặn truy cập vào nó.

những tệp nào đang lây nhiễm vi-rút macro

Nếu bạn tìm thấy mối đe dọa đối với một máy tính không được bảo vệ, bạn cần tải xuống phần mềm chống vi-rút hoặc tiện ích tương ứng sẽ phát hiện, sẽ xóa hoặc xóa tệp bị nhiễm. Nó cũng quan trọng để được cảnh giác và chính bạn: không mở tài liệu từ các nguồn mà bạn không biết hoặc, như một phương sách cuối cùng, trước khi nó quét họ vì sự hiện diện của các yếu tố độc hại.

Macroviruses - sự đe dọa lây lan qua các tệp văn bản và bảng. Thật dễ dàng để phát hiện nó ngày hôm nay và loại bỏ điều đó đồng thời không làm mất đi những nguy hiểm và tác hại do chương trình độc hại này tạo ra.

Macroviruses là các chương trình không mong muốn có khả năng được viết trên các ngôn ngữ macro được nhúng trong các hệ thống xử lý dữ liệu văn bản hoặc văn bản. Các phiên bản phổ biến nhất của virus cho Microsoft Word, Excel và Office 97. Những tệp nào virus macro lây nhiễmKể từ khi tạo một macrow đơn giản hơn, chúng gặp nhau khá thường xuyên. Nó nên rất cẩn thận khi tải xuống các tài liệu đáng ngờ từ Internet. Nhiều người dùng đánh giá thấp khả năng của các chương trình này, trong khi thực hiện một sai lầm lớn.

Làm thế nào Macrowirus lây nhiễm máy tính

Nhờ phương pháp sao chép đơn giản, các câu thơ macro có khả năng đánh một số lượng lớn các tệp càng sớm càng tốt. Sử dụng khả năng ngôn ngữ macro, chúng, khi mở hoặc đóng tài liệu bị nhiễm, dễ dàng thâm nhập vào tất cả các chương trình, bằng cách này hay cách khác, có sự hấp dẫn. Đó là, nếu bạn, sử dụng trình soạn thảo đồ họa, hãy mở hình ảnh, sau đó macro sẽ được phân phối trên các tệp thuộc loại này. Và một số vi-rút của loài này có thể hoạt động cho đến khi trình soạn thảo đồ họa hoặc văn bản được mở hoặc hoàn toàn cho đến khi tắt máy tính cá nhân.

Hành động của macrovirus xảy ra theo nguyên tắc này: khi làm việc với tài liệu Microsoft Word, nó đọc và thực hiện các lệnh khác nhau được đưa ra bằng ngôn ngữ macro. Trước hết, chương trình độc hại sẽ cố gắng xâm nhập vào mẫu tài liệu chính, nhờ đó tất cả các tệp có định dạng này đều được mở. Trong trường hợp này, vi rút macro tạo một bản sao mã của nó thành các macro toàn cục (macro cung cấp quyền truy cập vào các tham số chính) Và khi bạn thoát khỏi chương trình đang sử dụng, nó sẽ tự động được lưu vào một tệp chấm (được sử dụng để tạo tài liệu mới) . Sau đó, vi rút sẽ xâm nhập các macro tệp tiêu chuẩn để chặn các lệnh được gửi đến các tệp khác, do đó cũng lây nhiễm cho chúng.

Nhiễm vi rút macro xảy ra ở một trong bốn trường hợp:

  1. Nếu có một macro tự động trong virus (nó được thực thi tự động khi chương trình bắt đầu hoặc dừng).
  2. Virus chứa một macro hệ thống cơ bản (thường được liên kết với các mục menu).
  3. Virus được kích hoạt tự động khi bạn nhấn một phím hoặc tổ hợp nào đó.
  4. Vi rút chỉ lây lan khi nó được khởi chạy trực tiếp.

Tất cả các tệp được liên kết với một chương trình bằng ngôn ngữ macro có thể làm hỏng vi rút macro.

Virus macro gây hại gì

Trong mọi trường hợp, bạn không nên đánh giá thấp vi-rút macro, vì chúng là những vi-rút chính thức giống nhau và có thể gây hại không ít cho máy tính cá nhân. Macrovirus hoàn toàn có khả năng xóa, chỉnh sửa hoặc sao chép các tệp chứa thông tin cá nhân và truyền nó cho người khác qua email. Và các chương trình mạnh mẽ hơn có thể định dạng toàn bộ ổ cứng và kiểm soát máy tính của bạn. Vì vậy, ý kiến ​​cho rằng vi rút macro chỉ nguy hiểm cho các trình soạn thảo văn bản là sai lầm, bởi vì Word và Excel thường tiếp xúc với một số lượng lớn các chương trình khác nhau trong quá trình làm việc của họ.

Cách nhận biết tệp bị nhiễm

Thông thường, các tệp đã chống lại ảnh hưởng của vi-rút macro khá dễ xác định, vì chúng hoạt động khác với các chương trình khác có cùng định dạng.

Sự hiện diện của virus macro có thể được xác định bằng các đặc điểm sau: Macrovirus

  1. Tài liệu Word không được lưu ở định dạng khác (sử dụng lệnh "lưu dưới dạng ...")
  2. tài liệu không thể được chuyển sang một thư mục khác hoặc sang một ổ đĩa khác
  3. không thể lưu các thay đổi trong tài liệu (sử dụng lệnh "lưu")
  4. thường xuyên xuất hiện thông báo hệ thống về lỗi chương trình với mã tương ứng
  5. hành vi tài liệu bất thường
  6. Hầu hết các vi rút macro có thể được phát hiện bằng mắt thường, vì người tạo ra chúng thường thích chỉ định thông tin như tên chương trình, chủ đề, danh mục, tên tác giả và nhận xét trong tab Tóm tắt (được mở bằng menu ngữ cảnh).

Cách xóa tệp bị nhiễm vi-rút khỏi máy tính của bạn

Điều đầu tiên cần làm khi bạn tìm thấy một tài liệu hoặc tệp đáng ngờ, hãy quét nó bằng phần mềm chống vi-rút. Hầu như luôn luôn, khi phát hiện ra mối đe dọa, các chương trình chống vi-rút sẽ cố gắng sửa chữa tệp hoặc chặn hoàn toàn quyền truy cập vào tệp đó. Trong trường hợp nghiêm trọng hơn, khi toàn bộ máy tính đã bị nhiễm, hãy sử dụng đĩa cài đặt khẩn cấp có chứa phần mềm chống vi-rút với cơ sở dữ liệu được cập nhật. Nó sẽ quét ổ cứng của bạn và vô hiệu hóa bất kỳ phần mềm độc hại nào mà nó tìm thấy. Trong trường hợp phần mềm chống vi-rút không hoạt động và không có đĩa cứu hộ, hãy sử dụng phương pháp xử lý "thủ công":

  1. trong tab "Xem", bỏ chọn hộp kiểm "Ẩn tiện ích mở rộng cho tất cả các loại tệp đã đăng ký".
  2. tìm tệp bị nhiễm và thay đổi phần mở rộng từ .doc thành .rtf
  3. xóa mẫu Thường. dấu chấm
  4. thay đổi lại phần mở rộng tệp và khôi phục các thông số ban đầu

Kết quả của những hành động này là chúng tôi đã loại bỏ vi-rút khỏi tài liệu bị nhiễm, nhưng điều này không có nghĩa là vi-rút không thể tồn tại trong hệ thống máy tính, do đó, hãy quét tất cả các đối tượng trên PC của bạn bằng phần mềm chống vi-rút càng sớm càng tốt.

Cách bảo vệ bạn khỏi vi rút macro

Có thể khá khó khăn để chữa một máy tính khỏi vi-rút macro, vì vậy tốt nhất là bạn nên tránh lây nhiễm. Để làm điều này, hãy đảm bảo rằng chương trình chống vi-rút của bạn được cập nhật thường xuyên. Trước khi sao chép tệp từ các phương tiện khác hoặc từ Internet, hãy kiểm tra cẩn thận chúng để tìm phần mềm độc hại. Nếu bạn có phần mềm chống vi-rút yếu hoặc không có, hãy lưu tài liệu ở định dạng .rtf, vì vậy vi-rút sẽ không thể xâm nhập vào chúng.

Virus macro thêm mã của chúng vào macro để tạo tài liệu, bảng tính và các tệp dữ liệu khác.

Virus macro đầu tiên, được gọi là Concept, xuất hiện vào tháng 7 năm 1995. Sau đó, virus macro (thường lây nhiễm nhất cho các tài liệu Word) trở thành loại virus chính và vẫn tồn tại cho đến cuối thế kỷ trước, khi Microsoft tắt macro trong Office theo mặc định ( Phiên bản Office 2000 trở lên).

Kể từ đó, tội phạm mạng đã phải cố gắng lừa nạn nhân của chúng kích hoạt macro trước khi macro bị nhiễm của chúng có thể hoạt động.

Virus macro lây lan như thế nào

Virus macro được tìm thấy nhiều nhất trong các tài liệu hoặc được chèn dưới dạng mã độc hại vào các chương trình xử lý văn bản. Chúng có thể được chứa trong các tài liệu đính kèm với email hoặc mã có thể được tải xuống sau khi nhấp vào liên kết "lừa đảo" trong quảng cáo biểu ngữ hoặc URL.

Chúng khó bị phát hiện vì chúng không hoạt động cho đến khi chạy macro bị nhiễm - sau đó chúng thực thi một loạt lệnh.

Virus macro tương tự như một con ngựa thành Troy: nó có thể hoàn toàn vô hại và người dùng không nhận thấy ngay lập tức bất kỳ hậu quả nguy hiểm nào. Tuy nhiên, không giống như Trojan, virus macro có thể tự sao chép và lây nhiễm sang các máy tính khác.

Rủi ro

Mối nguy hiểm chính của virus macro là khả năng lây lan nhanh chóng. Ngay khi chạy macro bị nhiễm, tất cả các tài liệu khác trên máy tính của người dùng đều bị nhiễm.

Một số loại vi rút này thực hiện các thay đổi đối với tài liệu văn bản (ví dụ: bỏ qua hoặc dán các từ), một số khác có quyền truy cập vào tài khoản email và gửi bản sao của các tệp bị nhiễm đến tất cả các địa chỉ liên hệ của người dùng, những người này sẽ mở các tệp này vì chúng được gửi từ một nguồn đáng tin cậy.

Những vi-rút này cũng có thể được thiết kế để xóa hoặc lây nhiễm dữ liệu được lưu trữ. Ngoài ra, điều quan trọng cần lưu ý là virus macro là đa nền tảng: chúng có thể lây nhiễm sang máy tính Windows và Mac bằng cách sử dụng cùng một đoạn mã.

Bất kỳ chương trình nào sử dụng macro đều có thể hoạt động như một máy chủ lưu trữ và mọi bản sao của chương trình bị nhiễm được gửi qua email, được lưu trữ trên đĩa hoặc ổ USB, sẽ chứa vi-rút.

Để loại bỏ các vi rút này, bạn nên sử dụng phần mềm bảo mật đáng tin cậy cung cấp các công cụ phát hiện và loại bỏ vi rút chuyên dụng. Quét định kỳ sẽ làm sạch mọi tài liệu bị nhiễm và ngăn không cho tải xuống các vi-rút máy tính mới.

Các loại vi rút macro

Có một số dạng virus macro. Một số người tin rằng những virus này là tồn tại từ cuối những năm 1990, nhưng trong những năm gần đây, chúng đã hoạt động trở lại, buộc người dùng phải đặc biệt cảnh giác.

  • Khái niệm Virus Khái niệm là virus macro đầu tiên. Nó xuất hiện vào tháng 7 năm 1995 và lây nhiễm cho bộ xử lý văn bản Microsoft Word. Sau đó, vi rút macro trở thành loại vi rút chính.
  • Vi rút Melissa Melissa đã làm nên lịch sử với tư cách là virus macro đầu tiên có chức năng của một con sâu email. Nó bắt đầu lây lan qua email vào ngày 26 tháng 3 năm 1999, lây nhiễm cho hàng chục nghìn người trong vài giờ. Đó là một trong những trận dịch tồi tệ nhất trong lịch sử Internet.

Các bài viết và các liên kết liên quan:

Các sản phẩm:

Macrovirus là gì?

Kaspersky

Định nghĩa theo ngành của thuật ngữ "Macrovirus". Virus macro là một loại virus máy tính sửa đổi hoặc thay thế macro, là một tập hợp các lệnh được các chương trình sử dụng để thực thi ...

Logo Kaspersky

Macrovirus và khả năng của chúngTrong số vô số loại virus, người ta có thể tìm ra loại virus macro, không giống loại nào khác, không chỉ nguy hiểm cho hệ điều hành mà còn cho tất cả thông tin được lưu trữ trên ổ cứng được kết nối. Virus là những chương trình được viết đặc biệt bằng ngôn ngữ macro được tích hợp sẵn trong một số hệ thống xử lý dữ liệu hiện đại (bảng tính, bộ xử lý văn bản, v.v.).

Đó là, mọi thứ mà họ làm việc với văn phòng, ở nhà, v.v. để báo cáo, tài liệu và những thứ khác. Virus loại này là nguy hiểm nhất nếu nhìn vào mất thông tin văn bản. Để tái tạo, chúng sử dụng tối đa tất cả các khả năng của ngôn ngữ macro và sử dụng tất cả các khả năng, chúng tự chuyển (hay đúng hơn là mã chương trình) từ một tệp bị nhiễm (theo quy luật, đó là một bảng hoặc tài liệu) cho người khác. Ngày nay, phổ biến nhất là virus macro cho Office 97, Microsoft Word, Excel. Virus macro cũng đã được phát triển để lây nhiễm cơ sở dữ liệu Microsoft Access và tài liệu Ami Pro.

Đối với sự tồn tại của vi-rút macro trong một hệ thống cụ thể (trong trường hợp này là trong trình chỉnh sửa), điều cực kỳ cần thiết là phải có một ngôn ngữ vĩ mô được lập trình đặc biệt được tích hợp vào hệ thống với các khả năng sau:

1. sao chép các chương trình macro đã ghi từ một tệp cụ thể sang bất kỳ tệp nào khác;

2. ràng buộc vi-rút bằng ngôn ngữ macro vào một tệp cụ thể;

3. một cơ hội duy nhất để có toàn quyền kiểm soát chương trình macro virus (macro tự động hoặc macro tiêu chuẩn).

Tất cả các điều kiện trên đều được đáp ứng đầy đủ bởi các trình soạn thảo AmiPro, Microsoft Word Office 97, cơ sở dữ liệu Microsoft Access, cũng như một bảng tính Excel. Tất cả các hệ thống này đều chứa nhiều ngôn ngữ macro: Excel, Office 97 (bao gồm Access, Word 97 và Excel 97) - Visual Basic for Applications và Word - Word Basic.

Ngày nay, có bốn hệ thống hoàn toàn khác nhau nổi tiếng có các loại virus riêng biệt - Office 97, Microsoft Word, Excel và AmiPro. Trong các hệ thống này, vi rút macro được kiểm soát hoàn toàn khi tệp bị nhiễm được đóng hoặc mở. Sau khi giành được quyền kiểm soát, virus sẽ chặn tất cả các chức năng của tệp, sau đó, nó tự do lây nhiễm vào các tệp đang được truy cập trực tiếp. Vì vậy, nếu bạn đã bắt gặp một loại vi-rút tương tự và có thể xác định được nó, rất không khuyến khích mở và làm việc chung với các chương trình trên cho đến khi vi-rút bị loại bỏ hoàn toàn. Nếu bạn bỏ qua quy tắc này, vi-rút có thể xóa thông tin quan trọng (tài liệu, bảng, v.v.). Tương tự với MS-DOS, chúng ta có thể nhấn mạnh một cách an toàn rằng hầu hết các vi-rút macro hiện đại đều cư trú: chúng hoạt động tích cực trong khi bản thân trình soạn thảo đang hoạt động, chứ không phải tại thời điểm mở / đóng tệp.

Macrovirus Là một sự đa dạng virus máy tính phát triển trên ngôn ngữ vĩ mô được nhúng trong các gói ứng dụng như vậy THEO , như Microsoft Office ... Để sinh sản, những vi rút như vậy sử dụng các khả năng của ngôn ngữ macrolang và với sự trợ giúp của chúng được chuyển từ một người bị nhiễm tập tin cho người khác. Hầu hết các loại vi-rút này được viết cho MS Word .

Phổ biến nhất là virus macro cho Microsoft Word, Excel và Office 97.

Để virus tồn tại trong một hệ thống cụ thể (trình soạn thảo), cần phải có ngôn ngữ macro được tích hợp sẵn trong hệ thống với các khả năng sau:

  1. ràng buộc một chương trình ngôn ngữ vĩ mô với một tệp cụ thể;
  2. sao chép chương trình macro từ tệp này sang tệp khác;
  3. có được quyền kiểm soát một chương trình macro mà không cần sự can thiệp của người dùng (macro tự động hoặc macro tiêu chuẩn). Các điều kiện được mô tả được thỏa mãn bởi các trình soạn thảo MS Word, MSOffice 97 và AmiPro, cũng như bảng tính MS Excel. Các hệ thống này chứa các ngôn ngữ macro (MS Word - Word Basic, MS Excel và MS Office 97 - VisualBasic), trong khi:

Các chương trình 1.macro được liên kết với một tệp cụ thể (AmiPro) hoặc nằm bên trong một tệp (MS Word / Excel / Office97);

        2. Ngôn ngữ macro cho phép bạn sao chép tệp (AmiPro) hoặc di chuyển các chương trình macro sang tệp dịch vụ của hệ thống và tệp có thể chỉnh sửa (MSWord / Excel / Office 97);

3. Khi làm việc với một tệp trong các điều kiện nhất định (mở, đóng, v.v.), các chương trình macro (nếu có) được gọi được định nghĩa theo cách đặc biệt (AmiPro) hoặc có tên tiêu chuẩn (MS Word / Excel / Office 97) .

Trong bốn sản phẩm phần mềm nêu trên, vi-rút giành quyền kiểm soát khi mở hoặc đóng tệp bị nhiễm, chặn các chức năng tệp tiêu chuẩn, sau đó lây nhiễm các tệp được truy cập theo một cách nào đó. Tương tự với DOS, chúng ta có thể nói rằng hầu hết các vi rút macro là vi rút thường trú trong bộ nhớ: chúng hoạt động không chỉ khi một tệp được mở hoặc đóng, mà còn miễn là bản thân trình chỉnh sửa đang hoạt động.

Nguyên tắc làm việc

Vi rút macro lây nhiễm vào tệp Word, Excel hoặc Office97 thường sử dụng một trong ba kỹ thuật sau:

  1. vi rút có chứa macro tự động (chức năng tự động);
  2. một trong các macro hệ thống tiêu chuẩn (được liên kết với một mục menu) đã được xác định lại trong vi rút;
  3. macro virus sẽ tự động được gọi khi bất kỳ phím hoặc tổ hợp phím nào được nhấn.

Cũng có những loại bán vi rút không sử dụng các kỹ thuật trên và chỉ sinh sôi nếu người dùng tự khởi chạy chúng để thực thi.

Hầu hết các vi rút macro chứa tất cả các chức năng của chúng ở dạng macro MS Word / Excel / Office 97 tiêu chuẩn. Tuy nhiên, có những vi rút sử dụng các kỹ thuật để ẩn mã và lưu trữ mã của chúng dưới dạng macro. Ba kỹ thuật như vậy đã được biết đến. Tất cả chúng đều sử dụng khả năng của macro để tạo, chỉnh sửa và thực thi các macro khác. Theo quy luật, những vi rút như vậy có một trình tải macro nhỏ (đôi khi đa hình) gọi trình chỉnh sửa macro tích hợp sẵn, tạo macro mới, điền vào nó bằng mã vi rút chính, thực thi nó và sau đó, như một quy tắc, hủy nó theo thứ tự để ẩn dấu vết của sự hiện diện của virus. Mã chính của các loại vi-rút như vậy có trong phần thân của vi-rút tự động dưới dạng chuỗi văn bản, hoặc được lưu trữ trong vùng biến đổi của tài liệu hoặc trong vùng Văn bản tự động.

Macrovirus phát hiện

Các dấu hiệu điển hình của sự hiện diện của virus macro là:
  • không có khả năng chuyển đổi tài liệu Word bị nhiễm sang định dạng khác. Các tệp bị nhiễm có định dạng Mẫu, do vi-rút Word chuyển đổi tệp từ định dạng Tài liệu Word sang Mẫu khi chúng bị nhiễm;
  • không thể ghi tài liệu vào thư mục khác hoặc vào đĩa khác bằng lệnh “Save As” (chỉ dành cho Word 6);
  • có các tệp "nước ngoài" trong thư mục STARTUP;
  • sự hiện diện của Trang tính "bổ sung" và Trang tính ẩn trong Sách.

Người tạo vi-rút

Hacker McNamara là người đầu tiên tạo ra một loại virus macro lây nhiễm vào các tài liệu Word. Hơn nữa, virus macro bắt đầu được viết thường xuyên. Nguồn vi rút chính ngày nay là Internet. Số lần lây nhiễm vi-rút nhiều nhất xảy ra khi trao đổi thư ở các định dạng MS Word / Office 97: người dùng trình soạn thảo bị nhiễm vi-rút macro, mà không nghi ngờ vi-rút, gửi thư “bị nhiễm” cho người nhận địa chỉ của họ và họ gửi thư mới, v.v.

Nguồn:

Tất cả về vi rút máy tính

Giới thiệu

Chắc hẳn mọi người dùng máy tính đều đã từng nghe nói hoặc thậm chí tệ hơn là tự mình xử lý vi-rút. Tuy nhiên, ít người trong số họ biết nguyên tắc làm việc của họ, bởi vì trong lĩnh vực này, cũng như nhiều lĩnh vực khác trong cuộc sống của chúng ta, có những khuôn mẫu đã được thiết lập sẵn. Chúng là kết quả của cả sự thiếu hiểu biết và thông tin sai lệch của người dùng bình thường, mà là sự thiếu thông tin chính xác và hữu ích từ phía các phương tiện truyền thông và các nhà sản xuất phần mềm chống vi-rút.

Virus là gì?

Virus máy tính là một đoạn mã, do không có khả năng bảo vệ tài nguyên hệ thống trong hệ điều hành một chương trình của máy tính cá nhân, tạo ra những thay đổi không mong muốn đối với môi trường hệ thống do tác giả của nó lập trình, làm hỏng dữ liệu, chương trình, thay đổi hoạt động của phần cứng, v.v. Nói một cách đơn giản, virus là đây là đoạn mã của người khác được gắn vào chương trình. Việc thực thi mã này sau khi chương trình đã khởi động sẽ khiến đĩa tìm thấy các chương trình "sạch" khác và đính kèm mã vi-rút vào chúng. Do đó, vi rút lây nhiễm ngày càng nhiều chương trình trên máy tính, và các tệp “bị nhiễm” được chuyển sang đĩa mềm hoặc truyền qua mạng sẽ phá hủy tài nguyên của các máy tính khác. Virus cũng có thể tấn công khu vực khởi động của đĩa mềm hoặc đĩa. Những ảnh hưởng do virus gây ra có dấu hiệu của tội sản phẩm hàng giả được pháp luật bảo vệ.

Phòng vi rút máy tính

Có nhiều cách phân chia virus máy tính. Từ quan điểm của một người sử dụng máy tính, các phần quan trọng nhất dường như liên quan đến:

  • Phương thức lây truyền của vi rút.
  • Các hành động do vi rút thực hiện sau khi lây nhiễm vào hệ điều hành.

Theo cách lây truyền, có thể phân biệt các loại vi rút sau:

  • Virus lây truyền qua các phương tiện: đĩa mềm, CD-ROM, ổ cứng.
  • Virus dính vào các chương trình thực thi: chương trình hệ thống, tiện ích và thậm chí cả các ứng dụng thương mại.
  • Vi rút lây lan qua mạng máy tính: Java applet, vi rút tấn công các dịch vụ mạng hoặc sâu email phổ biến nhất.

Thông qua các hành động được thực hiện sau khi lây nhiễm, có thể phân biệt giữa:

  • Vi rút vô hại hiển thị thông tin hài hước hoặc ngu ngốc trên màn hình máy tính,
  • Virus phá hủy thông tin có trong tài liệu của người dùng và tài liệu của chính họ,
  • Virus phá hủy tất cả thông tin trên đĩa (bao gồm cả hệ điều hành),
  • Virus xóa thủ tục BIOS máy tính
  • Virus làm hỏng phần cứng máy tính.

Các loại vi rút máy tính

  1. Vi rút là một chương trình nhỏ sao chép bằng cách lây nhiễm các tệp thực thi, khối cấp phát tệp hoặc khu vực khởi động phương tiện (HDD, FDD) và các tài liệu được tạo bằng bộ ứng dụng văn phòng như MS Office.
  2. Trojan Horse là loại virus ẩn náu trong các chương trình có vẻ hữu ích như phần mềm diệt virus. Sau khi khởi chạy loại chương trình này, ngoài việc thực hiện các nhiệm vụ "chính thức" của nó, nó còn làm hỏng hệ thống.
  3. Bom logic là một loại virus có thể ẩn náu trong một thời gian dài. Nó được kích hoạt khi đến một ngày nhất định hoặc người dùng thực hiện một hành động nào đó, chẳng hạn như xóa một tệp nhất định.
  4. Giun là loại virus nhỏ nhưng rất có hại. Họ không cần một phương tiện để hoạt động bình thường. Họ chơi một cách tự phát và liên tục, dẫn đến việc tài nguyên hệ thống bị cạn kiệt trong thời gian rất ngắn. Những loại virus này có khả năng làm tê liệt cả một mạng máy tính khá rộng trong thời gian rất ngắn.

Phân loại chi tiết các loại virus

Vi-rút tệp (cái gọi là "thông thường", vi-rút tệp)

Virus tập tin là họ lâu đời nhất của các chương trình này. Mỗi virus nhân lên ngay từ đầu để gây thiệt hại, do đó, sự phát triển của “ngành” virus gắn liền với việc phát hiện ra các chất mang mới. Ban đầu, chỉ các tệp thực thi (* .exe, .com) và hàng loạt (* .bat) bị nhiễm vi-rút. Sự phát triển của công nghệ virus đã mở rộng nhóm tệp bị xâm nhập với các tệp chứa đoạn mã, thư viện, trình điều khiển thiết bị (* .bin, * .dll, * .drv, * .lib, * .obj, * .ovl, * .sys , * .vxd).

Nguyên tắc hoạt động:

Sự lây nhiễm xảy ra bằng cách thêm mã vi-rút vào cuối tệp (vi-rút cũ) hoặc thay đổi phần đầu và thêm mã vào phần giữa hoặc phần cuối (vi-rút mới tấn công các tệp không thực thi). Việc tải một tập tin bị nhiễm vào bộ nhớ tương đương với việc kích hoạt vi-rút. Nhiều loại vi-rút không phá hủy tệp bị xâm nhập, vì vậy sau khi kích hoạt, bạn có thể chạy chương trình chủ để người dùng không biết gì.

Virus khu vực khởi động đĩa

Một vật mang virus khác có thể là khu vực khởi động của phương tiện lưu trữ, chẳng hạn như đĩa cứng (MBR - Master Boot Record) hoặc đĩa mềm (khu vực khởi động). Những loại virus này đặc biệt nguy hiểm. Điều này là do thực tế là sau khi khởi động máy tính cố gắng khởi động hệ thống được lưu trong khu vực đầu tiên của đĩa hoặc đĩa mềm. Bất kỳ đĩa mềm nào đã được định dạng, ngay cả khi nó không chứa các tệp hệ thống, đều có khu vực khởi động, vì vậy nó có thể chứa vi-rút.

Nguyên tắc hoạt động:

Loại vi-rút này có thể cư trú trong MBR và, ví dụ, phá hủy nội dung của nó, do đó ngăn cản quyền truy cập vào đĩa. Nếu không, vi-rút sẽ chuyển mã khởi tạo hệ thống từ khu vực khởi động sang một khu vực khác của đĩa và chiếm vị trí của nó, dẫn đến việc tải mã này trước khi hệ thống khởi động và do đó, trước khi khởi động bất kỳ phần mềm chống vi-rút nào. Loại hành động này cho phép vi rút kiểm soát phần mềm được thiết kế để chống lại chúng.

Vi rút FAT (bảng vị trí vi rút, liên kết / vi rút FAT)

Để sao chép, vi rút cũng có thể sử dụng Đơn vị phân bổ tệp (JAP), trong đó FAT phân chia phân vùng đĩa cứng DOS. Để truy cập tệp DOS, nó sẽ tìm trong FAT để tìm số đơn vị cấp phát đầu tiên của nó, và sau đó (theo FAT) tải tất cả các đơn vị mà tệp chiếm giữ.

Nguyên tắc hoạt động:

Virus tấn công JAP thay đổi giá trị JA đầu tiên của một hoặc nhiều tệp thành một số chỉ JA của mã virus. Việc tải một tệp như vậy sẽ kích hoạt việc khởi chạy vi-rút, vi-rút này có thể tải hoặc không tải đúng chương trình (đối với điều này, nó phải nhớ số ban đầu của JAP đầu tiên của nó).

Macrovirus

Macrovirus thuộc họ virus trẻ nhất. Việc tạo ra chúng được liên kết với việc giới thiệu các bộ ứng dụng văn phòng (ví dụ: MS Office, Lotus SmartSuite hoặc Corel WordPerfect) ngôn ngữ cho phép bạn tạo macro, chẳng hạn như Visual Basic for Applications (VBA).

Nguyên tắc hoạt động:

Hầu hết các vi rút macro Word đều khai thác thực tế là các mẫu tài liệu có thể chứa macro. Virus được kích hoạt khi một tài liệu bị nhiễm được mở, sau đó nó sẽ lây nhiễm sang các tệp lành có phần mở rộng * .doc và lưu chúng dưới dạng mẫu (tài liệu không được chứa macro). Ở giai đoạn cuối, một hoặc nhiều macro được thực thi tự động được thay thế bằng mã vi rút.

Virus ẩn và virus đa hình

Về nguyên tắc, tất cả các vi rút được liệt kê ở trên có thể (nhưng không nhất thiết phải) thuộc nhóm này. Sự xuất hiện của chúng gắn liền với sự tiến bộ trong lĩnh vực phát hiện của chúng. Trong những ngày đầu của virus, mỗi virus có một chữ ký riêng (chỉ một chuỗi byte đặc trưng). Tình hình đã thay đổi khi nhà khoa học máy tính người Bulgaria Dark Avenger phát triển một phương pháp tạo ra virus tự phục hồi.

Virus đa hình không có chữ ký cố định vì mã của chúng tự động thay đổi theo mỗi lần lây nhiễm.

Virus ẩn là những virus, khi một chương trình chống vi-rút cố gắng truy cập vào một tệp hoặc đĩa bị nhiễm, nó có thể khôi phục dữ liệu bị hỏng ngay lập tức và ẩn đi sự hiện diện của nó.

Ảnh hưởng của nhiễm vi-rút

Hoạt động của vi rút có thể gây ra những hậu quả khác nhau tùy thuộc vào loại và mục đích của nó. Các loại vi-rút "vô hại" nhất là những loại vi-rút hiển thị thông báo vô hại trên màn hình hoặc chỉ sử dụng hệ thống để phát lại. Hậu quả tồi tệ hơn nhiều là làm hỏng các tệp riêng lẻ, phá hủy toàn bộ ổ cứng và thậm chí làm hỏng các thành phần máy tính như bo mạch chủ hoặc thẻ mở rộng.

Virus được viết bởi các lập trình viên thiếu kinh nghiệm thường được coi là rất nguy hại. Được thiết kế để “vô hại”, vi rút của chúng có thể gây ra nhiều thiệt hại do lỗi trong mã nguồn gây ra.

Làm thế nào để bảo vệ PC của bạn khỏi vi-rút?

Quy tắc cơ bản là có một gói chống vi-rút ... Một "gói" bởi vì ngày nay hầu hết các chương trình loại này được tạo thành từ nhiều mô-đun với các chức năng khác nhau. Khi lựa chọn phần mềm chống vi-rút đảm bảo rằng nó chứa các thành phần sau:

  1. Máy quét tùy chỉnh (hay còn gọi là "cầm tay", máy quét theo yêu cầu) là một mô-đun cơ bản được tìm thấy trong tất cả các loại phần mềm. Cho phép người dùng quét tệp tại thời điểm mà họ chọn. Tiêu chuẩn - Quản lý tệp nén.
  2. Máy quét thường trú - Máy quét luôn chạy ở chế độ nền. Nhiệm vụ của nó bao gồm giám sát liên tục tất cả các tệp đang được khởi chạy, tài liệu đang mở hoặc đĩa mềm được chèn vào. Nó phải có chức năng quét các tập tin tải về từ Internet.
  3. Lịch trình - cho phép bạn lập trình một gói tin để tìm kiếm vi-rút vào một thời điểm cụ thể, chẳng hạn vào ban đêm.

Ngoài ra, phần mềm chống vi-rút nên cung cấp các báo cáo về công việc hiện tại. Điều rất quan trọng là máy quét sử dụng các phương pháp tìm kiếm mới nhất, chẳng hạn như phát hiện vi rút heuristic, bảo vệ chống lại vi rút đa hình, phân tích mã của tệp và mô phỏng quá trình thực thi của nó. Nó cho phép phát hiện các hoạt động cụ thể của virus như kiểm tra trực tiếp, truy cập đĩa hoặc tổng kiểm tra.