Makro viry - Microsoft Office 97

"Antivirovß ochrana maker"

Proti makrovir∙m pro Microsoft Office 97 existuje jednoduchß ochrana. Jmenuje se "antivirovß ochrana maker" a lze ji zapnout v menu Nßstroje/Mo₧nosti/ObecnΘ. Pokud pak otev°eme soubor, kter² obsahuje makra (tj. m∙₧e obsahovat i makrovirus), program nßs na to upozornφ. Pokud se tak stane, m∙₧eme se rozhodnout zda pou₧itφ makra zakß₧eme (makra se ignorujφ), Φi zda makra povolφme (stejn² v²sledek lze docφlit vypnutφm "antivirovΘ ochrany maker"). Bohu₧el "antivirovß ochrana maker" mß jednu nev²hodu. Pokud se toti₧ bude jednat o inteligentnφ makrovirus a u₧ivatel makra povolφ, makrovirus m∙₧e "antivirovou ochranu maker" vypnout, nap°φklad pomoci p°φkazu Options.VirusProtection = False. P°i dalÜφm otev°enφ souboru, kter² obsahuje makra se ji₧ ₧ßdnΘ upozorn∞nφ nezobrazφ. Boj s aktivnφm makrovirem o trvalΘ zapnutφ "antivirovΘ ochrany maker" je p°edem odsouzen k nezdaru... Makroviry pro Word 97 vyu₧φvajφ pro svΘ Üφ°enφ globßlnφ Üablonu NORMAL.DOT, jen₧ se v∞tÜinou nachßzφ v adresß°i C:\Program Files\Microsoft Office\Sablony. Jak u₧ bylo °eΦeno, globßlnφ Üablona se spouÜtφ p°i ka₧dΘm startu Wordu a pokud je napadena, makrovirus si tak zajistφ spolehlivou aktivaci. Zabrßnit infekci tohoto souboru lze nap°φklad nastavenφm atribut∙ Read-only. Nenφ to vÜak nijak ·Φinnß ochrana. Pokud makrovirus soubor NORMAL.DOT napadne, existuje jednoduchß mo₧nost jak se ho zbavit - soubor NORMAL.DOT smazat. Smazßnφm souboru NORMAL.DOT vÜak u₧ivatel p°ijde o nastavenφ formßtu strßnky o styly..., kterΘ jsou v globßlnφ Üablon∞ (tj. v souboru NORMAL.DOT) ulo₧eny. P°i dalÜφm startu Wordu se vytvo°φ nov² soubor NORMAL.DOT.
U Excelu je situace podobnß, makroviry se uklßdajφ v∞tÜinou do adresß°e C:\Program Files\Microsoft Office\Office\XLStart, odkud jsou automaticky zavßd∞ny Üablony p°i startu Excelu. Soubor se Üablonou se v∞tÜinou jmenuje Book1 (tam je umφst∞n i makrovirus). I u Excelu existuje "antivirovß ochrana maker" a jejφ chovßnφ je prakticky toto₧nΘ jako u Wordu.

Detekce

N∞kterΘ jednoduÜÜφ makroviry m∙₧eme v "infikovanΘm" Wordu Φi Excelu poznat podle maker, jejich₧ nßzvy m∙₧eme zahlΘdnout v menu Nßstroje/Makro/Makra (typick²m nßzvem je AutoClose). N∞kterΘ lepÜφ makroviry vyu₧φvajφ techniku stealth - "neviditelnosti". Nßzvy takov²ch maker pak nelze v menu Nßstroje/Makro/Makra vid∞t a nenφ ani divu, volba Makra toti₧ v∙bec nefunguje !!! Tak nevφm, co je na tom tak neviditelnΘho... Myslφm, ₧e nefunkΦnφ volba je vφce podez°elß, ne₧ viditelnΘ nßzvy maker... Velkou zm∞nu vÜak p°inesly makroviry °ady "Class". Ty svoje t∞lo toti₧ uklßdajφ do objektu ThisDocument (v p°φpad∞ Wordu) Φi do objektu ThisWorkBook (v p°φpad∞ Excelu) a tak nejsou jmΘna maker v menu Nßstroje/Makro/Makra viditelnß (a makrovirus nemusφ pou₧φt ani zmi≥ovanou stealth techniku).

Vzßjemnß kompatibilita

NejlΘpe, kdy₧ budu citovat z nßpov∞dy k AVG 6.0:
To, ₧e je makrovirus urΦen pro konkrΘtnφ verzi Wordu, jeÜt∞ nemusφ nutn∞ znamenat, ₧e se ve vyÜÜφ verzi nebude schopen Üφ°it. Pokud dokument z Wordu 6 infikovan² virem WM/Napriklad otev°eme ve Wordu z Office 97, m∙₧e se stßt nßsledujφcφ:

  • Zφskßme perfektn∞ funkΦnφ makrovirus W97M/Napriklad.
  • Makra budou konvertovßna, ale virus ztratφ schopnost Üφ°it se. Pokud ovÜem obsahoval n∞jakou destrukΦnφ akci, tak ta m∙₧e z∙stat funkΦnφ.
  • Word rozpoznß prvky znßmΘho makroviru a odmφtne konverzi provΘst.

    JeÜt∞ mnohem zßbavn∞jÜφ je situace v Excelu, kter² podporuje i konverzi z vyÜÜφch verzφ do ni₧Üφch. ProΦ je vlastn∞ konverze maker tak d∙le₧itß ? Neprobφhß toti₧ v₧dy zcela stejn²m zp∙sobem. Jestli₧e konvertujete makro z Excelu 5 do Excelu 97 a v²sledek potΘ zp∞t do Excelu 5 dostanete nepatrn∞ odliÜnß makra. Vlastn∞ vytvo°φte novou variantu viru, ani₧ o tom vφte a ani₧ to byl vßÜ ·mysl. MilΘ je, ₧e my musφme i tyto v∞ci detekovat a lΘΦit. á

    Igi (6.6.1999)

    [Kopφrovßnφ obsahu tΘto strßnky je povoleno pouze se souhlasem autora]