Makro viry
Poznßmka: Tento Φlßnek byl psßn v dob∞, kdy jeÜt∞ na trhu nebyl produkt Microsoft Office 97 !
V dalÜφm textu se omezφme v²hradn∞ na makroviry pro Microsoft Word.
JmΘna vÜech menu a polo₧ek odpovφdajφ ΦeskΘ lokalizaci Wordu.
Pro lepÜφ pochopenφ problΘmu si p°ipome≥me n∞kterß fakta:
Makroviry se mohou Üφ°it a projevovat jen v prost°edφ Wordu.
Pokud tento nenφ aktivnφ, lze se soubory naprosto bezpeΦn∞ manipulovat.
Nenφ tedy nutnΘ provßd∞t takovΘ akce, jako zavßd∞nφ systΘmu z ΦistΘ diskety.
NebezpeΦφ se ovÜem skr²vß tam, kde je Word nastaven jako implicitnφ prohlφ₧eΦ
a spouÜtφ se zcela automaticky, p°φkladem m∙₧e b²t prohlφ₧enφ elektronickΘ poÜty.
V mnoha p°φpadech je mo₧nΘ nahradit pln² Word jeho omezenou verzφ (nap°. WordView),
kterß nenφ schopna makra zpracovßvat a pro makroviry tedy nep°edstavuje pou₧itelnΘ
prost°edφ. Nev²hoda spoΦφvß v tom, ₧e WordView prost∞ nenφ Word a nemusφ b²t schopen
sprßvn∞ zobrazit vÜechny informace v dokumentu obsa₧enΘ.
Omezenφ Üφ°enφ makrovir∙ lze dosßhnout pou₧itφm jinΘho formßtu pro uchovßnφ
(a zejmΘna pro v²m∞nu) text∙, ne₧ je formßt .doc tam, kde je to mo₧nΘ. P°φkladem m∙₧e
b²t formßt .rtf, kter² je schopen nΘst n∞kterΘ typografickΘ informace o textu, ale
nem∙₧e obsahovat makra. Tato metoda je schopna vy°adit z boje v∞tÜinu makrovir∙, existujφ
ovÜem i takovΘ, kterΘ dokß₧φ p°inutit Word, aby i pod oznaΦenφm .rtf pou₧φval
b∞₧nΘ dokumenty (p°φkladem budi₧ v souΦasnosti stßle rozÜφ°en∞jÜφ makrovirus Cap).
Pokud se tedy smφ°φme s tφm, ₧e budeme pou₧φvat plnohodnotn² Word a dokumenty tak, jak
je Microsoft vymyslel, musφme se poohlΘdnout po jin²ch metodßch. K tomu, aby makrovirus
zajistil svΘ dalÜφ Üφ°enφ musφ docφlit svΘho spust∞nφ. K tomu ·Φelu b²vß zneu₧φvßna Üablona
normal.dot, kterou Word p°i svΘm spuÜt∞nφ automaticky naΦφtß a interpretuje. Tato
Üablona p°edstavuje jakΘsi globßlnφ prost°edφ Wordu a mnoho metod je tedy zam∞°eno prßv∞
tφmto sm∞rem.
Word disponuje °ßdkov²mi volbami, kterΘ omezujφ provßd∞nφ n∞kter²ch automatick²ch
akcφ. Tyto volby lze zadat kliknutφm prav²m tlaΦφtkem na ikon∞ zßstupce Wordu, menu
Vlastnosti, panel Zßstupce.
Volba /a zakß₧e automatickΘ spuÜt∞nφ makra AutoExec v naΦφtanΘm dokumentu.
Volba /m znemo₧nφ automatickΘ spuÜt∞nφ makra AutoExec v naΦφtanΘm dokumentu.
Takto spuÜt∞n² Word ovÜem nebude imunnφ v∙Φi ruΦnφmu otev°enφ infikovanΘho dokumentu,
navφc ztrßcφte mo₧nost pou₧φvat vlastnφ AutoExec a jinß makra z globßlnφ Üablony.
U₧ivatel∙m Wordu 97 lze doporuΦit vyu₧itφ mo₧nosti nahrßt dokument bez maker, kterou Word nabφzφ
v p°φpad∞, ₧e v nahrßvanΘm dokumentu n∞jakß makra najde. Nenφ vhodnΘ toto varovßnφ
vypφnat.
Pokud se vßm poda°φ p°i spouÜt∞nφ Wordu dr₧et klßvesu shift, neprovede se makro AutoOpen,
obdobn∞, stisknut² shift p°i ukonΦenφ Wordu zabrßnφ provedenφ makra AutoClose. Pro rutinnφ
pou₧φvßnφ vÜak tato rada p°φliÜ praktickß nenφ, proto₧e d°φve Φi pozd∞ji na stisk klßvesy shift
zapomenete (nadto jsou situace, kdy se stisk tΘto klßvesy neprojevφ).
Vhodn∞jÜφ °eÜenφ tΘto situace nabφzφ obecn² zßkaz spouÜt∞nφ automaker. Toho lze dosßhnout
vytvo°enφm makra AutoExec, kterΘ bude obsahovat p°φkaz
DisableAutoMacros 1
Takto vytvo°enΘ makro pak musφ b²t ulo₧eno v globßlnφ Üablon∞ p°φpadn∞ v libovolnΘ Üablon∞
umφst∞nΘ v adresß°i pro automatick² start. Je z°ejmΘ, ₧e jedinΘ automakro, kterΘ se provede,
je prßv∞ makro AutoExec, tato metoda tedy nenφ pou₧itelnß, pokud sami vyu₧φvßte n∞kterß jinß
automakra.
Za normßlnφch okolnostφ m∙₧e makrovirus zapsat do globßlnφ Üablony bez jakΘhokoliv varovßnφ,
doporuΦujeme proto vyu₧φvat mo₧nost podmφnit takov²to zßpsi dotazem.
Toto lze docφlit zaÜkrtnutφm polo₧ky v²zva pro ulo₧enφ normßlnφ Üablony v menu nßstroje/mo₧nosti/uklßdßnφ.
Musφm ovÜem p°ipomenout, ₧e tato v²zva se objevφ a₧ p°i ukonΦenφ Wordu. To ₧e virus mß mo₧nost tuto
volbu programov∞ vypnout u₧ snad ani p°ipomφnat nemusφm, to je u Wordu normßlnφ.
Pokud neprovßdφte p°φliÜ ΦastΘ zm∞ny v globßlnφ Üablon∞, je velmi ·ΦinnΘ ochrßnit globßlnφ Üablonu proti
zßpisu nastavenφm systΘmovΘho atributu read-only. Na rozdφl od p°edchozφch p°φpad∙ by nem∞lo b²t mo₧nΘ, aby
virus v jednom spuÜt∞nφ odstranil atribut read-only a potΘ zapsal do globßlnφ Üablony.
TakΘ je mo₧nΘ (a velmi vhodnΘ) si vytvo°it zßlo₧nφ kopii souboru normal.dot a v p°φpad∞
napadenφ Wordu nahradit tuto infikovanou Üablonu p∙vodnφ. V nouzi lze globßlnφ Üablonu i smazat
(Word si vytvo°φ novou), p°ijdete tak vÜak o vÜechna u₧ivatelskß nastavenφ, kterß v nφ byla ulo₧ena.
Proti jednotliv²m konkrΘtnφm vir∙m se lze n∞kdy brßnit vytvo°enφm n∞kter²ch specißlnφch maker.
Nap°φklad virus Concept stejn∞ jako Φesk² virus Bertφk lze od dalÜφ Φinnosti odradit vytvo°enφm maker
Payload p°φpadn∞ FileSaveAs. Pokud je n∞kterΘ z t∞chto maker p°φtomno, zmφn∞nΘ viry se nebudou nijak
projevovat ani Üφ°it. N∞kterΘ mΘn∞ chytrΘ antivirovΘ programy ovÜem mohou na tato makra reagovat
pon∞kud podrß₧d∞n∞ (t.j. zobrazenφm faleÜnΘho poplachu).
P°i podez°enφ z napadenφ Wordu je vhodnΘ zkotrolovat jestli a jakß makra jsou aktivnφ. Bohu₧el,
prost°edky Wordu umo₧≥ujφ vir∙m, modifikovat menu, tak₧e typick² postup Nßstroje/Makro m∙₧e b²t z
d∙vod∙ nepu₧iteln² (ovÜem u₧ samotnΘ zmizenφ polo₧ky Makro z menu signalizuje n∞co nekalΘho). O n∞co
spolehliv∞jÜφ metoda ke kontrole maker vede p°es menu Soubor/èablony, tlaΦφtko Organizßtor, panel Makra.
OvÜem ani tato metoda nenφ dokonalß, bohu₧el se mi nepoda°ilo najφt zp∙sob zobrazenφ seznamu maker,
kter² bych byl ochoten oznaΦit za spolehliv².
K automatickΘmu zavedenφ maker slou₧φ krom∞ globßlnφ Üablony takΘ vÜechny Üablony ulo₧enΘ ve specißlnφm
adresß°i. JmΘno tohoto adresß°e je v r∙zn²ch variantßch Wordu r∙znΘ a lze jej nalΘzt pomocφ menu
Nßstroje/Mo₧nosti panel Umφst∞nφ soubor∙, polo₧ka SpouÜt∞nφ. TypickΘ jmΘno je wrdstart nebo startup
v adresß°i Wordu. N∞kterΘ viry umis¥ujφ svß makra do tohoto adresß°e a nevyu₧φvajφ NORMAL.DOT, je tedy
vhodnΘ p°i podez°enφ prohlΘdnout jeho obsah.
Mezi makroviry je populßrnφ metodou, jak dosßhnout svΘho cφle vytvo°enφ a spuÜt∞nφ b∞₧nΘho dosovΘho
programu. K tomu vir∙m velmi dob°e slou₧φ program Debug, kter² je standardnφ souΦßstφ DOSu i Windows
a je schopen vytvo°it binßrnφ program z textovΘho scriptu obsa₧enΘho v t∞le makroviru. Pokud program
debug.exe (d°φve DEBUG.COM) p°ejmenujete, znemo₧nφte makrovir∙m jeho zneu₧itφ.
Äßdnß z v²Üe popsan²ch metod nenφ stoprocentnφ a ani jejich kombinace nevylouΦφ mo₧nost napadenφ virem.
P°esto ale vhodn²m v²b∞rem a kombinacφ metod, kterΘ vßs neomezujφ, lze dosßhnout nezanedbatelnΘho zv²Üenφ
bezpeΦnosti a omezenφ Üφ°enφ makrovir∙.
Zdroj: Virus Info - Makroviry? Bijte je! - Grisoft s.r.o.