Что необходимо сделать при обнаружении макровируса
Что такое макровирус?
Макровирусы добавляют свой код в макросы для создания документов, электронных таблиц и других файлов данных.
Первый макровирус, получивший название Concept, появился в июле 1995. Впоследствии макровирусы (чаще всего заражающие документы Word) стали основным типом вирусов и оставались таковыми до конца прошлого века, когда Microsoft по умолчанию отключила макросы в Office (версии Office 2000 и выше).
С тех пор киберпреступникам приходилось делать попытки обмануть своих жертв, вынуждая их включать макросы до того, как их зараженный макрос сможет заработать.
Как распространяются макровирусы
Макровирусы чаще всего встречаются в документах или вставляются как вредоносный код в программы обработки текстов. Они могут содержаться в документах, прикрепленных к электронным письмам, или код может быть загружен после нажатия «фишинговых» ссылок в баннерной рекламе или URL-адресах.
Макровирус похож на троянскую программу: он может выглядеть вполне безопасным, и пользователи не сразу замечают какие-либо вредоносные последствия. Однако в отличие от троянских программ макровирусы могут копировать самих себя и заражать другие компьютеры.
Риски
Основной опасностью макровирусов является их способность быстро распространяться. Как только зараженный макрос запущен, все другие документы на компьютере пользователя подвергаются заражению.
Некоторые из этих вирусов производят изменения в текстовых документах (например, пропускают или вставляют слова), другие получают доступ к аккаунтам электронной почты и отправляют копии зараженных файлов всем контактам пользователя, а те в свою очередь открывают эти файлы, поскольку они присланы из надежного источника.
Эти вирусы также могут быть предназначены для удаления или заражения сохраненных данных. Кроме того, важно отметить, что макровирусы являются кросс-платформенными: они могут заражать компьютеры Windows и Mac, используя один и тот же код.
Любая программа, использующая макросы, может работать как хост, и любая копия зараженной программы, отправленная по электронной почте, хранящаяся на диске или на USB-накопителе, будет содержать вирус.
Чтобы удалить эти вирусы, следует использовать надежное защитное ПО, которое предоставляет специальные средства обнаружения и удаления вирусов. Обычные проверки очистят любые зараженные документы и предотвратят загрузку новых компьютерных вирусов.
Типы макровирусов
Встречается несколько форм макровирусов. Некоторые считают, что эти вирусы являются пережитком конца 1990-х годов, но в последние годы они вернулись к активной деятельности, заставляя пользователей проявлять особую бдительность.
Обнаружение макровируса
Обнаружение резидентного вируса
Обнаружение загрузочного вируса
В загрузочных секторах дисков расположены, как правило, небольшие программы, назначение которых состоит в определении размеров и границ логических дисков (для MBR винчестера) или загрузке операционной системы (для boot-сектора).
В начале следует прочитать содержимое сектора, подозрительного на наличие вируса. Для этой цели удобно использовать DISKEDIT из «Нортоновских утилит». Некоторые загрузочные вирусы практически сразу можно обнаружить по наличию различных текстовых строк выводимых на экран при активизации вируса. Другие вирусы, поражающие boot-секторы дисков, наоборот, определяются по отсутствию строк, которые обязательно должны присутствовать в boot-секторе. К таким строкам относятся имена системных файлов и строки сообщений об ошибках. Отсутствие или изменение строки-заголовка boot-сектора (строка, название фирмы-производителя программного обеспечения) также может служить сигналом о заражении вирусом.
Однако существуют вирусы, которые внедряются в загрузчик без изменения его текстовых строк и с минимальными изменениями кода загрузчика. Для того чтобы обнаружить такой вирус, в большинстве случаев достаточно отформатировать дискету на заведомо незараженном компьютере, сохранить в виде файла ее boot-сектор, затем некоторое время использовать ее на зараженном компьютере (записать/прочитать несколько файлов), а после этого на незараженном компьютере сравнить ее boot-сектор с оригинальным. Если в коде загрузочного сектора произошли изменения – вирус обнаружен.
Если в компьютере обнаружены следы деятельности вируса, но видимых изменений в файлах и системных секторах дисков не наблюдается, то вполне возможно, что компьютер поражен одним из «стелс»-вирусов.
Обнаружение резидентного Windows-вируса является крайне сложной задачей. Вирус, находясь в среде Windows как приложение или VxD-двайвер, практически невидим, поскольку одновременно активны несколько десятков приложений и VxD, и вирус по внешним признакам от них ничем не отличается. Для того чтобы обнаружить программу-вирус в списках активных приложений и VxD, необходимо разбираться во всех тонкостях Windows и иметь полное представление о драйверах и приложениях, установленных на данном компьютере, поэтому приемлемый способ обнаружить резидентный Windows-вирус – загрузить DOS и проверить запускаемые файлы Windows.
Характерными проявлениями макровирусов являются:
· Word: невозможность конвертирования зараженного документа Word в другой формат.
· Word: зараженные файлы имеют формат Template (шаблон), поскольку при заражении Word-вирусы конвертируют файлы из формата Word Document в Template.
· Excel/Word: в STARTUP (Автозагрузка)-каталоге присутствуют «посторонние» файлы.
· Excel: наличие в Книге (Book) лишних и скрытых Листов (Sheets)..
Для проверки системы на предмет наличия вируса можно использовать пункт меню Сервис/макрос. Если обнаружены «чужие макросы», то они могут принадлежать вирусу. Однако этот метод не работает в случае стелс-вирусов, которые запрещают работу этого пункта меню, что, в свою очередь, является достаточным основанием считать систему зараженной.
Многие вирусы имеют ошибки или некорректно работают в различных версиях Word/Excel, в результате чего Word/Excel выдают сообщения об ошибке.
Если такое сообщение появляется при редактировании нового документа или таблицы и при этом заведомо не используются какие-либо пользовательские макросы, то это также может служить признаком заражения системы.
Сигналом о вирусе являются и изменения в файлах и системной конфигурации Word, Excel и Windows. Многие вирусы тем или иным образом меняют пункты меню, разрешают или запрещают некоторые функции, устанавливают на файлы пароль при их заражении. Большое количество вирусов создает новые секции и/или опции в файле конфигурации Windows (WIN. INI).
Естественно, что к проявлениям вируса относятся такие очевидные факты, как появление сообщений или диалогов с достаточно странным содержанием или на языке, не совпадающем с языком установленной версии Word/Excel.
Макровирусы
Зловредные макросы вновь на повестке дня. Киберпреступники просто обожают сотрудников отдела кадров, ведь по долгу службы им приходится открывать много файлов из неизвестных источников, и эти файлы нередко содержат что-нибудь вредоносное. А знаете, кто находится в сходном положении? Мы с вами. В Интернете мы общаемся со множеством людей, и некоторые из них предлагают нам открывать файлы непонятного происхождения.
Через фишинговые сайты
А может быть вот что: в офисных документах могут содержаться макровирусы — зловреды, скрывающиеся в макросах. Макровирусы, как следует из их названия, предназначены для добавления вредоносного кода к макросам электронных документов. Подавляющее большинство макровирусов написаны для файлов Microsoft Office (Word, Excel, Access, PowerPoint и Project) как для Windows, так и для macOS.
Если открыть такой документ, он потребует разрешение на выполнение макроса, которое некоторые пользователи ему благополучно выдают. После этого программа устанавливает на устройство жертвы клавиатурный шпион (кейлоггер) или троян удаленного доступа.
Когда ваш компьютер заражен подобным зловредом, преступники могут видеть любой текст, который вы набираете, включая логины и пароли. То есть, по сути, могут красть ваши учетные записи и деньги.
Через фишинговые письма
Часто хакеры используют следующую технику – отправляют жертве фишинговое письмо с прикрепленным документом, содержащим макрос с вредоносным кодом.
Если жертва пытается открыть документ, появляется диалоговое окно с уведомлением о необходимости активировать макросы, чтобы просмотреть его содержимое. Когда макросы включены, выполняется загрузка дополнительного ПО с подконтрольного злоумышленникам сайта.
Специалисты обнаружили вредоносный документ Word, содержавший макрос со скриптом на Python. На начальном этапе макрос определяет, какая операционная система (Windows или macOS) установлена на компьютере, а затем загружает соответствующие версии вредоносного скрипта.
Несколько советов по безопасности
Макровирусы: механизм воздействия и методы обнаружения
Многие пользователи зачастую недооценивают возможности макровирусов, не придавая им значения, тогда как макрос, написанный на языке VBA (Visual Basic for Applications) и интегрированный в документ Microsoft Word или таблицу Microsoft Excel, обладает полноценными программными функциями и возможностями. Если он сможет проникнуть на компьютер, то ему не составит труда отформатировать винчестер, скопировать конфиденциальную информацию (допустим, пароли от личного кабинета интернет-банка или почтового клиента) и передать её третьим лицам, либо уничтожить интересующие злоумышленника файлы.
Что такое макровирусы?
По сути это вредоносный код, написанный на каком-либо макроязыке и встроенный в систему обработки данных, например, в редактор текста, графики или электронных таблиц.
Чтобы размножаться — переходить от одного зараженного файла к другому, — такие вирусы используют особенности макроязыков. При открытии или закрытии инфицированного объекта макровирусы получают доступ к управлению: они перехватывают стандартные функции файлов, а после заражают другие документы, к которым обращается пользователь.
Подавляющее большинство макровирусов резидентно. Они способны к активности не только в момент закрытия или открытия файла, а оказывают вредоносное воздействие до тех пор, пока запущен тот или иной редактор – текстовый или графический. Многие, кстати, могут находиться в оперативной память вплоть до выключения ПК.
Наиболее распространенными считаются вирусы, поражающие приложения из популярного пакета Microsoft Office — Word и Excel. Причем для их разработки достаточно зайти в один из этих редакторов, выбрать в меню создание макроса и запустить программную среду VBA.
Для начала разберемся, зачем нужны макросы. Во время работы с документами редактор выполняет множество задач – открыть, закрыть, сохранить, печатать – для чего он ищет встроенные в программу макросы (например, при команде «Файл – Сохранить» идет вызов макроса FileSave). Есть также небольшое число макросов, которые вызываются автоматически, если возникает определенная ситуация. Например, при открытии документа Word проверяет его на макрос AutoOpen. Если таковой присутствует, то Word его выполняет.
Поражающие текстовый редактор Word макровирусы пользуются одной из четырех схем:
В вирусе находится переопределенный стандартный макрос системы, который ассоциирован с каким-либо пунктом меню.
Происходит автоматический вызов макроса при нажатии какой-то определенной клавиши или же их комбинации.
Размножение вируса происходит только после того, как пользователь запустит его выполнение.
В самом вирусе уже присутствует автоматический макрос.
Мы открываем зараженный документ Word, после чего макровирус копирует свой код в его глобальные макросы. Когда мы закрываем документ и выходим из редактора, происходит автоматическая запись всех глобальных макросов вместе с вирусными в dot-файл. После происходит переопределение вирусом стандартных макросов, используемых в текстовом редакторе, с помощью которых вирус перехватывает все команды, обращенные к каким-либо файлам. Как только будет вызвана определенная команда, файл, к которому обращается пользователь, будет заражен.
Как обнаружить макровирус?
Есть несколько ярких признаков того, что ваш компьютер поражен макровирусом:
при заражении редактор странно реагирует на команды пользователя;
у вас не получается сохранить документ в другом формате через команду «Сохранить как»;
вы не можете воспользоваться вкладкой «Уровень безопасности»;
недоступна функция записи файла в другой каталог, либо на другой диск при помощи команды «Сохранить как»;
не получается сохранять внесенные в документ изменения командой «Сохранить»;
поскольку многие вирусы написаны с ошибками и в разных версиях редакторов могут работать не корректно, то периодически во время работы возможно появление всплывающего окна с кодом ошибки;
часто вирус можно обнаружить визуально: многие создатели довольно тщеславны, они заполняют поля на вкладке «Сводка», где обычно указывается следующая информация – Название, Тема, Автор, Категория, Ключевые слова и Комментарии.
Правила и рекомендации по профилактике коронавирусной инфекции
Профилактика коронавируса COVID-19
Содержание статьи:
— Основные меры профилактики коронавирусной инфекции
— Меры предосторожностей для тех, кто недавно посещал страны, где обнаружен COVID-19
— Соблюдение правил безопасности с пищевыми продуктами
— Профилактика коронавируса COVID-19 в организациях
— Как справиться со стрессом и беспокойством от мировой пандемии
— Как помочь детям справиться со стрессом во время вспышки коронавируса
Зимой эксперты пророчили коронавирусу гибель с приходом тепла. Однако COVID-19 не сдает своих позиций и весной – каждый день число заболевших увеличивается. Всемирная Организация Здравоохранения настоятельно просит соблюдать меры профилактики – только так можно сдержать пандемию и повернуть процесс вспять. Профилактика очень важна в буквальном смысле для каждого жителя планеты вне зависимости от возраста и национальности.
Основные меры профилактики коронавирусной инфекции
Вот основные меры профилактики, которые должен соблюдать каждый человек:
Проветривание помещения. Приток свежего воздуха снижает вирусную нагрузку.
Профилактика коронавируса — рекомендации Роспотребнадзора
Отдельно надо сказать о профилактике для пожилых людей. Риск заражения после 65 лет увеличивается, особенно тяжело вирусная инфекция протекает у лиц, имеющих хронические заболевания. Пожилым людям рекомендуется оставаться дома и ограничить близкие контакты с другими людьми, при общении обязательно соблюдать дистанцию.
Конечно пожилым людям следует доставлять продукты питания и необходимые лекарства, но, приходя к ним, следует обязательно надевать маску. Это связано с тем, что многие люди переносят инфекцию в очень легкой форме, не имеют клинических симптомов, но являются потенциально заразными.
Как не заразиться коронавирусом — рекомендации Роспотребнадзора
Если пожилые родственники проживают вместе с вами, их нужно поселить в отдельную, хорошо проветриваемую комнату, при общении с ними надевать маску и почаще дезинфицировать поверхности.
Мерами профилактики для пожилых людей являются:
Меры предосторожностей для тех, кто недавно посещал страны, где обнаружен COVID-19
Если вы вернулись из стран, где зарегистрированы случаи коронавируса, вам следует:
Важно! Оперативное обращение за медицинской помощью позволит врачам быстро направить вас в подходящее лечебное учреждение для лечения. А также это поможет избежать распространения COVID-19 среди ваших родных и знакомых.
Соблюдение правил безопасности с пищевыми продуктами
Так как вирус может длительное время оставаться активным на различных поверхностях, включая продукты питания, во время пандемии медики рекомендуют соблюдать правила безопасности с пищевыми продуктами:
Профилактика коронавируса COVID-19 в организациях
Работодателям рекомендуется обеспечить:
Необходимо ограничить: