Вирусы в макросах документов: Способы внедрения, распространения и защиты

Цель дипломной работы заключается в анализе системы антивирусной защиты от вредоносных кодов, встроенных в макросы.

Необходимо также отметить, что в некоторых версиях OLE2.DLL имеется недочет, в результате которого в процессе работы с документами MS Office в неиспользуемые блоки могут попадать также случайные данные с дисков, включая конфиденциальные сведения (например, данные удаленных файлов, каталогов и т. д.).
Рассмотрим принципы работы макровирусов.
При работе с документами MS Office пользователи выполняют различные действия: открытие документов, сохранение, печать, закрытие и т. д. При этом текстовый процессор проводит поиск и выполнение соответствующих встроенных макросов: при сохранении файла по команде File/Save проводится вызов макроса FileSave, в процессе сохранения с помощью команды File/SaveAs — FileSaveAs, при выполнении команды печати - макрос FilePrint и т. д., если, данные макросы определены в соответствующем шаблоне.
Имеется также несколько макросов, вызов которых проводится автоматически при различных условиях. Так, при открытии документов Word проводит проверку их на наличие макроса AutoOpen. Если данный макрос присутствует, то текстовый процессор проводит его выполнение. При вызове операции закрытия документа текстовым процессором вызывается макрос AutoClose, при запуске текстового процессора проводится вызов макроса AutoExec, в случае завершения его работы — макрос AutoExit, при вызове операции по созданию нового документа — макрос AutoNew. Схожие механизмы, но имеющие другие наименования макросов и функций, реализованы и в табличных процессорах.
Макровирусы, осуществляющие заражение файлов MS Office, как правило используются один из указанных приемов:
использование автомакросов;
переопределение одного из стандартных системных макросов (ассоциированного с каким-либо из пунктов меню);
автоматический вызов макроса при нажатии на некоторую клавишу, либо комбинацию клавиш.
Существуют также полувирусы, не использующие перечисленные приемы и воспроизводящиеся при самостоятельном вызове их пользователем.
Большая часть макровирусов содержит весь свой функционал в форме стандартных макросов MS Office. При этом имеются вирусы, которые используют приемы по скрытию своего кода путем хранения своего кода не в форме макросов. Существует три способа для реализации данных методов. Все они используют возможности макросов по созданию, редактированию и исполнению других макросов. Как правило, макровирусы подобного вида работают с небольшим (иногда полиморфным) макросом-загрузчиком, вызывающим встроенный редактор макросов, создающим новый макрос, проводящим его заполнение основным кодом макровируса с дальнейшим выполнением и уничтожением для сокрытия следов присутствия вируса. Основной код таких макровирусов может присутствовать либо в теле самого вируса в форме текстовых строк, либо храниться в области переменных документа или в области Auto-text.
Большая часть известных макровирусов для текстовых процессоров при запуске производит перенос собственного кода в область глобальных макросов документа («общие» макросы).
При закрытии тестового процессора глобальные макросы проводят автоматическую запись в DOT-файл глобальных макросов (как правило, это файл NORMAL.DOT). Таким образом, активация макровируса произвоится в тот момент, когда текстовый процессор производит загрузку глобальных макросов.
Далее макровирус производит переопределение одного или нескольких стандартных макросов (например таких как, FileOpen, FileSave, FileSaveAs, FilePrint) и перехват команд, использующих сервисы работы с файлами. В случае вызова данных команд проводится заражение файлов, к которым производится обращение. Для этого макровирус проводит конвертацию файла в формат шаблона (что предполагает невозможность дальнейшего изменения файлового формата, т. е. конвертацию в какой-либо формат, отличающийся от шаблонного) и запись в файл своих макросов, включая Auto-макрос.
Другой метод внедрения макровируса в систему основан на так называемых «Add-in» файлах, т. е. файлах, представляющих собой служебные дополнения к Word. В данном случае не производится изменение шаблона NORMAL.DOT, а текстовый процессор при запуске проводит загрузку макросов вируса из файлов, определенных как «Add-in». Данный метод практически в полном объеме повторяет технологию заражения глобальных макросов за тем лишь исключением, что хранение макросов вируса производится не в NORMAL.DOT, а в некотором другом файле.
Вероятно также внедрение макровирусов в файлы, которые располагаются в каталоге STARTUP. В данном случае Word в автоматическом режиме проводит загрузку файлов шаблонов из данного каталога.
Рассмотрим порядок обнаружения макровирусов.
Присутствие макровирусов в документов предполагает наличие следующих признаков:
невозможно конвертирование зараженных документов Word в другие форматы;
зараженные файлы имеют шаблонный (dot) формат, так как при проведении заражения макровирусы проводят конвертацию файлов из формата Word Document в шаблонный
невозможность проведения записи документов в другие каталоги или диски посредством команды «Сохранить Как»;
Наличие посторонних файлов в STARTUP-каталогах;
скрытые листы в электронных таблицах.
Проверку системы на наличие макровирусов можно производить с использованием пункта меню "Вид - Макросы". Если обнаруживаются макросы, с которыми пользователь не работает, это является признаком возможного вирусного заражения. Однако данный метод неприменим при необходимости обнаружения стелс-вирусов, запрещающих работу данного пункта меню, что, в свою очередь, также является признаком зараженности системы.
Многие макровирусы имеют ошибочный код или некорректно функционируют в различных версиях MS Office, в результате чего данные программы могут выдавать сообщения об ошибках вида:
"WordBasic Err = № ошибки".
При появлении данного сообщения при работе с новым документом или таблицей и при этом заведомо не использованы какие-либо пользовательские макросы, то это также является признаком зараженности системы. Также признаком наличия макровируса является изменение в файловой структуре и системной конфигурации MS Office и операционной системы. Многие макровирусы посредством выполнения скриптов проводят изменение пунктов меню Tools/Options через разрешение или запрещение функций встроенной антивирусной защиты, сохранения в шаблон, работы с макросами. Некоторые макровирусы проводят установку паролей на файлы. Большое число макровирусов проводят создание новых секций и/или опций в конфигурационном файле Windows (WIN.INI).
Также к проявлениям активности макровирусов относятся такие признаки, как появление сообщений или диалогов с нетипичным содержанием, либо или на языке, который не совпадает с языком установленной версии Word/Excel.

Политика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной работы невозможно охарактеризовать ее в полном объеме.
В рамках данной работы рассмотрены анализа системы антивирусной защиты в части обезвреживания угроз вредоносного кода, встроенного в макросы документов.
В ходе работы над проектом был проведен анализ структуры макровирусов, механизмов реализации вредоносных кодов. Показано, что хоть макровирусы в настоящее время легко обнаруживаются и обезвреживаются пренебрежение требованиями информационной безопасности при работе с офисными приложениями может привести к потере документов в очень больших количествах, и, как следствие, значительным затратам на их восстановление.
Далее был проведен анализ технологий защиты от макровирусов, что предполагает работу как антивирусных систем, так и встроенной защиты офисных приложений.
В практической части работы посредством использования технологий виртуализации был проведен эксперимент, связанный с заражением текстового документа макровирусом, исследован механизм вредоносного действия, самовоспроизведения и дальнейшего обезвреживания вируса.