Как ограничить заражение макровирусом при работе с офисными приложениями
Автору статьи — в силу специфики своей работы — приходится «общаться» с компьютерными вирусами практически ежедневно: лечить зараженные файлы, устранять всевозможные последствия деструктивного действия вирусов Смею надеяться, что опыт такого «общения» может быть полезен читателям.
Лечение зараженных файлов
Самый простой способ лечения — запуск антивирусной программы. Как правило, современный антивирус в числе прочих модулей содержит антивирусный монитор, постоянно загруженный в оперативную память. При попытке запуска или проверки файла, зараженного макровирусом, антивирус попытается вылечить файл (при неудачной попытке лечения — блокирует доступ к нему, не даст его открыть или скопировать).
Можно также воспользоваться загрузочным «аварийным» диском, содержащим антивирус со свежими базами (предварительно в BIOS нужно установить загрузку с CD-ROM'а). Загрузить антивирус, просканировать винчестер, найденные вирусы будут обезврежены.
Если антивирус не смог вылечить файл, зараженный макровирусом (что бывает очень и очень редко!), или приходится временно работать на ПК без установленного антивируса, или нет под руками загрузочного «аварийного» диска, а зараженный документ Word'а содержит ценную информацию и необходим, как воздух, — есть очень эффективный способ ручного лечения.
Найдите файл, который нужно вылечить. Теперь в его названии отображается расширение .doc. Поменяйте в названии файла расширение .doc на .rtf (текстовый формат .rtf позволит сохранить всю необходимую информацию, включая текст, рисунки, таблицы; при этом VBA — надстройка файла, в которой гнездятся макровирусы, будет вычищена от программного кода макровируса). Появится предупреждение системы: «После смены расширения имени файла этот файл может оказаться недоступным. Вы действительно хотите изменить расширение? Да/Нет». Санкционируйте смену расширения, нажав Да.
Далее нужно удалить зараженный шаблон Normal.dot (после лечения при запуске Word шаблон Normal.dot будет создан заново) и другие зараженные шаблоны *.dot в следующих папках (для ОС Windows XP):
1) C: \Documents and Settings\Имя_пользователя\Application Data\Microsoft\Шаблоны
2) C: \Documents and Settings\Имя_пользователя\Application Data\Microsoft\Word\STARTUP
3) C: \Documents and Settings\Имя_пользователя\Шаблоны
Расположение шаблонов для Windows 98/ME:
1) C: \WINDOWS\Application Data\Microsoft\Шаблоны
2) C: \WINDOWS\Application Data\Microsoft\Word\STARTUP
Внимание!
В результате этих действий мы удалим макровирус из зараженного файла и Word'а, но он может остаться в других документах Word. Поэтому перед запуском других документов нужно просканировать систему антивирусным сканером (или продолжить ручное лечение, что является очень трудоемким занятием!).
Как защититься от макровирусов
1. Пользуйтесь надежными антивирусными программами (Panda, Norton, Касперский) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы (особенно файлы на дискетах, флэшках, компакт-дисках, полученные по Интернету).
3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях (например, диски CD-RW, флэшки ).
4. Имейте в виду, что рекомендуемый некоторыми авторами запрет запуска макросов (меню Сервис — Макрос — Безопасность… — диалоговое окно «Безопасность» — вкладка «Уровень безопасности» — Очень высокая — OK) является полумерой, т.к. при этом не запрещается запуск макросов со стандартными именами (FileOpen, FileSave, FileSaveAs, FilePrint, AutoExec), остается лазейка для макровирусов.
С момента появления компьютеров было много видов вредоносных программ. Хотя изначально это было для развлечения, еще во времена QDOS создание и распространение вредоносных программ стало делом на полный рабочий день, а конечные выгоды были такими же, как и у любого другого коммерческого бизнеса. В этой статье рассказывается о макровирусе и рассказывается о том, как обезопасить себя от вредоносных программ с макро-целевым назначением. Обратите внимание, что как «макро-вирус», так и «макро-вредоносное ПО» относятся к одному и тому же.
Что такое макро-вирус
Макровирус использует преимущества макросов , которые запускаются в приложениях Microsoft Office , таких как Microsoft Word или Excel. Кибер-преступники отправляют вам зараженный макросом документ по электронной почте и используют строку темы, которая вас интересует или провоцирует на открытие документа. Когда вы открываете документ, запускается макрос для выполнения любой задачи, которую хочет преступник.
Под документом, зараженным макросами, я подразумеваю макросы, специально предназначенные для загрузки вредоносных программ или выполнения некоторых других задач. Может случиться так, что сам макрос создает вредоносную программу, которая находится на вашем компьютере, дублирует себя и отправляет себя всем людям в вашем списке контактов.
Узнав об этой уязвимости, Microsoft отключила работу макроса по умолчанию. То есть ни один макрос не будет работать в Microsoft Word, пока вы не включите макросы или не запустите их вручную. То же самое и с макросами в других приложениях от Microsoft. Существуют и другие программы, которые тоже используют макросы, но они не так популярны и, следовательно, не могут быть направлены киберпреступниками.
Включить или отключить макросы в Office
Если вы не знаете, макрос в Office относится к серии команд и инструкций, которые вы объединяете в одну команду для автоматического выполнения задачи.
Когда вы включаете макрос, он выполняется для достижения цели, для которой он был разработан и выполняет вредоносный код.
Кстати, настройки макросов в Word доступны здесь. Откройте документ Word> Параметры> Центр управления безопасностью> Настройки центра управления безопасностью> Настройки макроса.
Здесь вы увидите четыре доступные настройки:
- Отключить все макросы без уведомления
- Отключить все макросы с уведомлением (это по умолчанию)
- Отключить все макросы, кроме макросов с цифровой подписью
- Включить все макросы.
Также читайте : как запретить запуск макросов в Microsoft Office 2016 с помощью групповой политики.
Как остаться в безопасности от Macro Virus
Первое, что нужно помнить, это использовать свои собственные навыки рассуждения. Если вы получаете документ в виде вложения, всегда безопасно открывать его в режиме только для чтения. Если вы открываете документы через Outlook или любой другой популярный почтовый клиент, они открывают документы в режиме только для чтения и отключают макросы и т. Д., Чтобы на вас не влияли.
Как удалить макровирус
Открывая документы Word, которые, по вашему мнению, могут содержать макро-вирус, нажмите Shift при открытии документа. Это предотвратит запуск любых макросов, так как документы Office запускаются в безопасном режиме, когда вы нажимаете Shift и открываете их. Затем вы можете проверить, какие все макросы присутствуют в документе. Если что-то выглядит подозрительно, вы можете удалить его перед использованием документа.
В последнее время Microsoft демонстрирует скачок в распространенности макровируса, используя электронную почту и социальную инженерию. На самом деле, некогда смертоносное макро-вредоносное ПО VBA также недавно возродилось.
Первый макровирус, получивший название Concept, появился в июле 1995. Впоследствии макровирусы (чаще всего заражающие документы Word) стали основным типом вирусов и оставались таковыми до конца прошлого века, когда Microsoft по умолчанию отключила макросы в Office (версии Office 2000 и выше).
С тех пор киберпреступникам приходилось делать попытки обмануть своих жертв, вынуждая их включать макросы до того, как их зараженный макрос сможет заработать.
Как распространяются макровирусы
Макровирусы чаще всего встречаются в документах или вставляются как вредоносный код в программы обработки текстов. Они могут содержаться в документах, прикрепленных к электронным письмам, или код может быть загружен после нажатия «фишинговых» ссылок в баннерной рекламе или URL-адресах.
Их трудно обнаружить, так как они не работают до тех пор, пока не будет запущен зараженный макрос - тогда они выполняют ряд команд.
Макровирус похож на троянскую программу: он может выглядеть вполне безопасным, и пользователи не сразу замечают какие-либо вредоносные последствия. Однако в отличие от троянских программ макровирусы могут копировать самих себя и заражать другие компьютеры.
Риски
Основной опасностью макровирусов является их способность быстро распространяться. Как только зараженный макрос запущен, все другие документы на компьютере пользователя подвергаются заражению.
Некоторые из этих вирусов производят изменения в текстовых документах (например, пропускают или вставляют слова), другие получают доступ к аккаунтам электронной почты и отправляют копии зараженных файлов всем контактам пользователя, а те в свою очередь открывают эти файлы, поскольку они присланы из надежного источника.
Эти вирусы также могут быть предназначены для удаления или заражения сохраненных данных. Кроме того, важно отметить, что макровирусы являются кросс-платформенными: они могут заражать компьютеры Windows и Mac, используя один и тот же код.
Любая программа, использующая макросы, может работать как хост, и любая копия зараженной программы, отправленная по электронной почте, хранящаяся на диске или на USB-накопителе, будет содержать вирус.
Чтобы удалить эти вирусы, следует использовать надежное защитное ПО, которое предоставляет специальные средства обнаружения и удаления вирусов. Обычные проверки очистят любые зараженные документы и предотвратят загрузку новых компьютерных вирусов.
Типы макровирусов
Встречается несколько форм макровирусов. Некоторые считают, что эти вирусы являются пережитком конца 1990-х годов, но в последние годы они вернулись к активной деятельности, заставляя пользователей проявлять особую бдительность.
Макровирусы — это потенциально нежелательные программы, написанные на макроязыке, которые встраиваются в графические и текстовые системы обработки. Такое определение дает информатика.
Какие файлы заражают макровирусы
Ответ: Они встраиваются в программы для работы с текстом, которые создают и работают с макросами (Microsoft Excel, Word, Office 97 (Visual Basic), Notepad++ и другие). Данные вирусы встречаются достаточно часто, так как создать их проще простого.
Способы проникновения
После того как выяснили, что такое макровирусы, разберемся каким образом они проникают в систему.
- При загрузке чего-либо с интернета или почты. Кстати, в 50% случаев заражение компьютера происходит через электронные письма (преимущественно Melissa). Поэтому так важно иметь комплексный антивирус с функцией проверки почты и не открывать подозрительные письма, тем более не переходить по ссылкам в них.
- При подключении к ПК накопителя, например, флешки или внешнего жесткого диска с вредоносными объектами.
При скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.
Особенностью является простой способ размножения, который позволяет за короткий срок заразить максимальное количество объектов. Благодаря возможностям макроязыков, при закрытии или открытии зараженного документа они проникают в программы, к которым идет обращение.
То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.
В чем заключается принцип работы
Их действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на макроязыке. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из приложения происходит автоматическое сохранение в «.dot». Далее он попадает в стандартные макросы, перехватывая отправляемые другим файлам команды, инфицируя и их.
Заражение осуществляется в следующих случаях:
- При наличии авто макроса (проводится в автоматическом режиме при выключении или запуске программы).
- Обладает основным системным макросом (зачастую связан с пунктами меню).
- Активизируется автоматически в случае нажатия на конкретные клавиши или комбинации.
- Размножается лишь при его запуске.
Такие зловреды поражают обычно все объекты, созданные и привязанные к приложениям на макроязыке.
Какой вред наносят
Не стоит недооценивать макровирусы, так как они относятся к полноценным вирусам и наносят компьютерам значительный вред. Способны легко удалить, скопировать или отредактировать объекты, содержащие, в том числе, и личную информацию. Более того, им также доступна передача информации другим людям с помощью электронной почты. По сути чем-то напоминают привычные черви, трояны и рекламные программы.
Более сильные утилиты способны отформатировать жесткий диск или получить контроль над ПК. Именно поэтому мнение, что компьютерные вирусы подобного типа несут в себе опасность исключительно для графических и текстовых редакторов, ошибочное. Ведь такие утилиты как Word и Excel работают во взаимодействии с целым рядом других приложений, которые в этом случае также подвергаются опасности.
Как распознать зараженный файл
Как правило, объект, зараженный так называемым макровирусом вычислить довольно просто. Содержит вредоносное ПО, которое блокирует доступ к некоторым привычным функциям. Распознается по следующим признакам:
Кроме того, угроза зачастую легко обнаруживается визуально. Разработчики обычно указывают во вкладке «Сводка» такую информацию, как название утилиты, категория, тема, комментарии и имя автора. Это позволяет избавиться от макровируса значительно быстрее и проще. Вызвать ее можно при помощи контекстного меню.
Способы удаления
Обнаружив подозрительный файл или документ, первым делом просканируйте его антивирусом. При обнаружении угрозы антивирусы попробуют вылечить его, а в случае неудачи полностью закроют к нему доступ.
В случае если был заражен весь компьютер, следует воспользоваться аварийным загрузочным диском, который содержит антивирус с последней базой данных. Он проведет сканирование винчестера и обезвредит все найденные им угрозы.
Если защититься таким образом не получается и аварийного диска нет, то следует попробовать метод «ручного» лечения:
Таким образом, вы удалите макровирус с зараженного документа, однако это ни в коем случае не значит, что он не остался в системе. Именно поэтому рекомендую при первой возможности просканировать ПК антивирусом или специальными бесплатными сканерами (не требуют установки и не конфликтуют с другими антивирусными продуктами).
Основные отличия от других типов угроз
А теперь немного поговорим о том, чем они отличаются от других типов угроз.
- Макровирус активируется только при открытии вредоносного объекта. Чаще всего это Word или Excel. Для анализа необходимо получить текст макроса.
- Загрузочные вирусы начинают вредоносную деятельность при запуске системы. Передаются через USB флешки, жесткие диски.
- Сетевые черви любят расползаться по всем компьютерам одной сети. Используют дыры и ошибки программного обеспечения сети.
- Файловые вирусы внедряются в исполняемые файлы в форматах (apk, msi, exe, bat, cmd и других).
- Трояны не размножаются сами по себе. Проникают в систему путем скачивания полезных и популярных приложений или игр. В большинстве случаев пользователь не догадывается, что скачал вредоносное ПО.
- Шифровальщики шифруют (прячут) оригинальные копии файлов, делая их недоступными для чтения. После этого с вами связывается разработчик шифровальщика через .txt или уведомление на рабочем столе и требует выкуп.
Рекомендации по защите
Процедура лечения и очистки ПК достаточно сложна, поэтому лучше предотвратить попадание зловреда еще на начальных этапах. Вот список рекомендаций по защите устройства.
- Необходимо иметь хороший антивирус и следить за его регулярными обновлениями.
- Если у вас старый компьютер или ноутбук и вы не хотите еще больше нагружать и без того медленную систему, тогда обратите внимание на легкие защитники. Работают быстро даже на слабых машинах.
- Перед копированием с носителей или скачиванием программ из интернета тщательно проверяйте их, чтобы они не были заражены вредоносным ПО.
- Если у вас установлен плохой защитник или его вообще нет, то проводите сохранение в формате «.rtf».
- Храните важные данные сразу в нескольких местах на (ПК, флешке, любом файлообменнике или в облаке).
изучить основы профилактики компьютерных вирусов, пути проникновения вирусов в компьютеры и основные правила защиты от компьютерных вирусов.
Требования к знаниям и умениям
Студент должен знать:
наиболее распространенные пути заражения компьютеров вирусами;
правила защиты от компьютерных вирусов, получаемых не из вычислительных сетей.
Студент должен уметь:
проводить профилактику компьютерных вирусов.
Ключевой термин
Ключевой термин: профилактика компьютерных вирусов.
Профилактика компьютерных вирусов предполагает соблюдение правил ("компьютерной гигиены"), позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.
Второстепенные термины
пути проникновения вирусов в компьютеры;
правила защиты от компьютерных вирусов.
Структурная схема терминов
Одним из методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение правил ("компьютерной гигиены"), позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных. Профилактика компьютерных вирусов начинается с выявления путей проникновения
2.5.2. Характеристика путей проникновения вирусов в компьютеры
Рассмотрим основные пути проникновения вирусов в компьютеры пользователей:
Глобальные сети – электронная почта.
Электронные конференции, файл-серверы ftp.
Пиратское программное обеспечение.
Персональные компьютеры "общего пользования".
Глобальные сети – электронная почта
Основным источником вирусов на сегодняшний день является глобальная сеть Интернет, такова расплата за возможность доступа к массовым информационным ресурсам и службам. Наибольшее число заражений вирусом происходит при обмене электронными письмами через почтовые серверы E-mail. Пользователь получает электронное письмо с вирусом, который активизируется (причем, как правило, незаметно для пользователя) после просмотра файла-вложения электронного письма. После этого вирус (стелс) выполняет свои функции. В первую очередь вирус "заботится" о своем размножении, для этого формируются электронные письма от имени пользователя по всем адресам адресной книги. Далее идет цепная реакция.
Локальные сети
Другой путь "быстрого заражения" – локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере. Далее пользователи при очередном подключении к сети запускают зараженные файлы с сервера, и вирус, таким образом, получает доступ на компьютеры пользователей.
Персональные компьютеры "общего пользования"
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередной вирус будет гулять по всему учебному заведению, включая домашние компьютеры студентов и сотрудников.
Пиратское программное обеспечение
Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных "зон риска". Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов. Необходимо помнить, что низкая стоимость программы может дорого обойтись при потере данных.
Сервисные службы
Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре в сервисных центрах.
2.5.3. Правила защиты от компьютерных вирусов
Учитывая возможные пути проникновения вирусов, приведем основные правила защиты от вирусов.
Внимательно относитесь к программам и документам, которые получаете из глобальных сетей.
Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте его на наличие вирусов.
Используйте специализированные антивирусы – для проверки "на лету" (например, SpIDer Guard из пакета Dr. Web и др.) всех файлов, приходящих по электронной почте (и из Интернета в целом).
Для уменьшения риска заразить файл на сервере администраторам сетей следует активно использовать стандартные возможности защиты сети, такие как: ограничение прав пользователей; установку атрибутов "только на чтение" или "только на запуск" для всех выполняемых файлов (к сожалению, это не всегда оказывается возможным) и т. д.
Регулярно проверяйте сервер обычными антивирусными программами, для удобства и системности используйте планировщики заданий.
Целесообразно запустить новое программное обеспечение на тестовом компьютере, не подключенном к общей сети.
Используйте лицензионное программное обеспечение, приобретенное у официальных продавцов.
Дистрибутивы копий программного обеспечения (в том числе копий операционной системы) необходимо хранить на защищенных от записи дисках.
Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов.
Постоянно обновляйте вирусные базы используемого антивируса.
Старайтесь не запускать непроверенные файлы, в том числе полученные из компьютерной сети. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами.
Ограничьте (по возможности) круг лиц допущенных к работе на конкретном компьютере.
Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т. д.).
Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа.
При работе с Word/Excel включите защиту от макросов, которая сообщает о присутствии макроса в открываемом документе и предоставляет возможность запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.
2.5.4. Выводы по теме
Профилактика – один из способов защиты компьютеров от вирусов.
Компьютерная профилактика предполагает соблюдение правил ("компьютерной гигиены"), позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.
Профилактика компьютерных вирусов начинается с выявления путей проникновения вируса в компьютер и компьютерные сети.
Основными путями проникновения вирусов в компьютеры пользователей являются: глобальные и локальные сети, пиратское программное обеспечение, персональные компьютеры "общего пользования", сервисные службы.
Основной источник вирусов на сегодняшний день - глобальная сеть Интернет.
Наибольшее число заражений вирусом происходит при обмене электронными письмами через почтовые серверы E-mail.
Для исключения заражения вирусами внимательно относитесь к программам и документам, которые получаете из глобальных сетей.
Прежде чем запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте его на наличие вирусов.
Используйте специализированные антивирусы – для проверки "налету" (например, SpIDer Guard из пакета Dr. Web и др.) всех файлов, приходящих по электронной почте (и из Интернета в целом).
Постоянно обновляйте вирусные базы используемого антивируса.
2.5.5. Вопросы для самоконтроля
Перечислите наиболее распространенные пути заражения компьютеров вирусами.
Какие особенности заражения вирусами при использовании электронной почты?
Особенности заражения компьютеров локальных сетей.
Перечислите основные правила защиты от компьютерных вирусов, получаемых не из вычислительных сетей.
Как ограничить заражение макровирусом при работе с офисными приложениями?
2.5.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)
Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992.
Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.
Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996.
Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.
Читайте также: