1.1 Макровирусы общие сведения
Физическое расположение вируса внутри
файла зависит от его формата,
который в случае продуктов Microsoft
чрезвычайно сложен: каждый файл-документ
Word, Office 97 или таблица Excel представляют
собой последовательность блоков данных
(каждый из которых также имеет свой формат),
объединенных между собой при помощи большого
количества служебных данных. Этот формат
носит название OLE2 (Object Linking and Embedding). Структура
файлов Word, Excel и Office 97 (OLE2) напоминает усложненную
файловую систему дисков DOS: «корневой
каталог» файла-документа или таблицы
указывает на основные подкаталоги различных
блоков данных, несколько «таблиц FAT» содержат
информацию о расположении блоков данных
в документе и т. д.
Более того, система Office Binder, поддерживающая
стандарты Word и Excel, позволяет создавать
файлы, одновременно содержащие один или
несколько документов в формате Word и одну
или несколько таблиц в формате Excel, причем
Word-вирусы способны при этом поражать
Word-документы, а Excel-вирусы — Excel-таблицы,
и все это возможно в пределах одного дискового
файла. То же справедливо и для Office 97.
Следует отметить, что MS Word версий 6 и
7 позволяет шифровать присутствующие
в документе макросы. Таким образом, некоторые
Word-вирусы присутствуют в зараженных документах
в зашифрованном (Execute only) виде.
Большинство известных вирусов
для Word несовместимы с национальными
(в том числе с русской) версиями Word или,
наоборот, рассчитаны только на локализованные
версии Word и не работают под английской
версией. Однако вирус в документе все
равно остается активным и может заражать
другие компьютеры с установленной на
них соответствующей версией Word.
Вирусы для Word могут заражать компьютеры
любого класса, а не только IBM PC. Заражение
возможно в том случае, если на данном
компьютере установлен текстовый редактор,
полностью совместимый с Microsoft Word версии
6 или 7 (например, MS Word for Macintosh). То же справедливо
и для MS Excel и MS Office 97.
Интересно, что форматы документов
Word, таблиц Excel и особенно Office 97 имеют следующую
особенность: в файлах-документах и таблицах
присутствуют «лишние» блоки данных, т.
е. данные, никак не связанные с редактируемым
текстом или таблицами, либо случайно
оказавшиеся там копии прочих данных файла.
Причиной возникновения таких блоков
данных является кластерная организация
данных в OLE2-документах и таблицах. Даже
если введен всего один символ текста,
то под него выделяется один или даже несколько
кластеров данных. При сохранении документов
и таблиц в кластерах, не заполненных «полезными»
данными, остается «мусор», который попадает
в файл вместе с прочими данными. Количество
«мусора» в файлах может быть уменьшено
отменой пункта настройки Word/Excel «Allow Fast
Save», однако это лишь уменьшает общее количество
«мусора», но не убирает его полностью.
Классификация вирусов по способу маскировки
При создании копий для маскировки могут применяться следующие технологии:
Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают.
Шифрованный вирус
Это вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
Вирус-шифровальщик
В большинстве случаев вирус-шифровальщик приходит по электронной почте в виде вложения от незнакомого пользователю человека, а возможно, и от имени известного банка или действующей крупной организации. Письма приходят с заголовком вида: «Акт сверки…», «Ваша задолженность перед банком…», «Проверка регистрационных данных», «Резюме», «Блокировка расчетного счета» и прочее. В письме содержится вложение с документами, якобы подтверждающими факт, указанный в заголовке или теле письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно и мгновенно зашифрует все документы. Пользователь обнаружит заражение, увидев, что все файлы, имевшие до этого знакомые значки, станут отображаться иконками неизвестного типа. За расшифровку преступником будут затребованы деньги. Но, зачастую, даже заплатив злоумышленнику, шансы восстановить данные ничтожно малы.
Вложения вредоносных писем чаще всего бывают в архивах .zip, .rar, .7z. И если в настройках системы компьютера отключена функция отображения расширения файлов, то пользователь (получатель письма) увидит лишь файлы вида «Документ.doc», «Акт.xls» и тому подобные. Другими словами, файлы будут казаться совершенно безобидными. Но если включить отображение расширения файлов, то сразу станет видно, что это не документы, а исполняемые программы или скрипты, имена файлов приобретут иной вид, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика. Вот лишь краткий список самых популярных «опасных» расширений файлов: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Поэтому, если пользователю не известно, что ему прислали во вложении, или отправитель не знаком, то, вероятнее всего, в письме – вирус-шифровальщик.
На практике встречаются случаи получения по электронной почте обычного `вордовского` (с расширением .doc) файла, внутри которого, помимо текста, есть изображение, гиперссылка (на неизвестный сайт в Интернете) или встроенный OLE-объект. При нажатии на такой объект происходит незамедлительное заражение.
Вирусы-шифровальщики стали набирать большую популярность начиная с 2013 года. В июне 2013 известная компания McAfee обнародовала данные, показывающие что они собрали 250 000 уникальных примеров вирусов шифровальщиков в первом квартале 2013 года, что более чем вдвое превосходит количество обнаруженных вирусов в первом квартале 2012 года .
В 2016 году данные вирусы вышли на новый уровень, изменив принцип работы. В апреле 2016 г. в сети появилась информация о новом виде вируса-шифровальщика Петя (Petya), который вместо шифрования отдельных файлов, шифрует таблицу MFT файловой системы, что приводит к тому что операционная система не может обнаружить файлы на диске и весь диск по факту оказывается зашифрован.
Полиморфный вирус
Вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.
Классификация вирусов по способу заражения
Резидентные
Такие вирусы, получив управление, так или иначе остается в памяти и производят поиск жертв непрерывно, до завершения работы среды, в которой он выполняется. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений Microsoft Office, являются резидентными вирусами. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.
Нерезидентные
Получив управление, такой вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту). К такому типу вирусов можно отнести скрипт-вирусы.