25 Вирусы в файлах документов
Дисциплина «Информационная безопасность»
Документы, хранящиеся в базах данных систем документооборота, тоже могут содержать вирусы, а точнее говоря, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку).
Так как эти вирусы «живут» не в файлах, а в записях баз данных, для защиты от них необходимо использовать специализированные антивирусные программы.
Совсем недавно представление многих людей о безопасности обмена файлами документов коренным образом изменились. Впервые на широкую дорогу вышел вирус Winword.Concept, распространяющийся вместе с файлами документов популярного текстового процессора Microsoft Word for Windows версии 6.0 и 7.0.
Такое известие на первый взгляд кажется совершенно невероятным - многие пользователи наивно предполагают, что в файле документа текстового процессора Microsoft Word записан только текст документа и его оформление. Команд центрального процессора, в которые мог бы внедрится вирус, в файлах документов нет.
Не все пользователи, даже проработав в среде Microsoft Word for Windows несколько лет, знают, что вместе с документом могут храниться небольшие программы, названные макрокомандами. Макрокоманды обычно создаются на специальном языке программирования WordBasic и записываются в файле стилей.
В отличии от ранее известных вирусов, вирусы, заражающие файлы документов, состоят не из команд центрального процессора компьютера, а из макрокоманд языка WordBasic.
Идея, положенная в основу вируса, настолько проста, что всевозможные клоны вируса Winword.Concept и вирусы, использующие аналогичную методику распространения, смогли широко распространиться по всему миру.
Появились новые вирусы не только для текстового процессора Microsoft Word for Windows, но и для электронной таблицы Microsoft Excel for Windows и некоторых других программ.
Макрокомандные вирусы можно назвать кросс-платформными. Компьютер с любой архитектурой, а не только совместимый с IBM PC, на котором установлен текстовый процессор Microsoft Word for Windows, может быть заражен таким вирусом.
Секреты макрокомандного вируса
Первый главный секрет вируса WinWord.Concept, и практически всех остальных известных нам сегодня вирусов для текстового процессора Microsoft Word, заключается в том, что файл документа можно сохранить в формате файла стилей. Такой файл можно открыть как обычный файл документа. Его можно редактировать и сохранить изменения на диске. Единственное, что нельзя с ним сделать, так это сохранить файл в другом формате, например в формате документа или в формате RTF. Если вы выберите из меню File строку Save As, то в открывшейся диалоговой панели Save As список Save File as Type, отображается серым цветом и не доступен для выбора. Такой "дефект" не имеет особого значения, потому что операция сохранения файла в другом формате выполняется достаточно редко, чтобы пользователь заметил неладное и поднял тревогу.
Второй секрет вируса заключается в том, как он получает управление. Зараженный документ, как правило содержит одну или несколько стандартных макрокоманд. Обычно это макрокоманда AutoOpen или одна из других автоматически выполняемых макрокоманд. Как только документ с вирусом открывается, получает управление макрокоманда AutoOpen, принадлежащая вирусу. Она копирует все макрокоманды вируса в глобальный файл стилей текстового процессора. Обычно это файл NORMAL.DOT. Теперь, когда макрокоманды вируса записаны в файле стилей текстового процессора, они могут получить управление даже после завершения работы с зараженным документом.
Третий секрет вируса состоит в том, как он распространяется. Одна из макрокоманд вируса обычно называется FileSaveAs. После того как макрокоманды вируса записаны в основной файл стилей Microsoft Word, макрокоманда вируса FileSaveAs выполняется каждый раз, когда пользователь сохраняет документ выбирая строку Save As меню File. Макрокоманда FileSaveAs заражает документ - записывает в него макрокоманды вируса и сохраняет файл в формате файла стилей.
Вирусы в файлах документов могут представлять собой очень большую опасность. Так как макрокоманды специально предназначены для автоматической обработки документов, то они имеют полную власть над документами и могут изменять их практически как угодно.
Например вирус WinWord.Atom, при определенном условии устанавливает пароль на зараженный документ. Не зная пароля, пользователь не сможет даже открыть собственный документ.
Большую потенциальную опасность представляют вирусы для электронной таблицы Microsoft Excel. Наверняка однажды появится вирус, незаметно меняющий цифры в таблицах Excel. Если учесть, что Excel часто используется для ведения финансовых отчетов, то такой вирус способен причинить бухгалтерам много беспокойства.
Как защитить свои документы
В настоящее время средства обнаружения макрокомандных вирусов добавлены практически во все антивирусные пакеты. Они поставляются либо в виде отдельных программ, либо входят в антивирусы, предназначенные для поиска традиционных компьютерных вирусов. Так, например, известный антивирус-полифаг Doctor Web, позволяет не только обнаружить, но также и удалить макрокомандные вирусы из файлов документов.
Когда вы занимаетесь антивирусной защитой домашнего компьютера или компьютеров в вашем офисе, вы обязательно должны учитывать возможность заражения макрокомандными вирусами.
В идеальном случае перед работой с полученными документами вы должны проверить их имеющимися у вас в наличии антивирусными средствами.
Do'stlaringiz bilan baham: |