привязки программы на макро-языке к конкретному файлу;
копирования макро-программ из одного файла в другой;
возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word и AmiPro, а также электронная таблица Excel. Эти системы содержат в себе макро-языки (Word — Word Basic, Excel — Visual Basic), при этом:

макро-программы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel);
макро-язык позволяет копировать файлы (AmiPro) или перемещать макро-программы в служебные файлы системы (Word, Excel);
при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макро-программы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel).
Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

На сегодняшний день известны три системы, для которых существуют вирусы — Microsoft Word, Excel и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что макро-вирусы являются резидентными вирусами — они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Word/Excel-вирусы

При работе с документом Word (так же как и Excel) выполняет различные действия — открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие макросы — при сохранении файла вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т.д. если, конечно, таковые макросы определены.

При открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose.

Вирусы семейства Macro.Word содержат в себе как минимум один из автоматических макросов (AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew) или один из стандартных макросов (FileOpen, FileClose, FileSaveAs и т.д.). Если документ заражен, то при открытии документа Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и, таким образом, запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если же вирус содержит макросы со стандартными именами, то они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs).

Во всех известных вирусах семейства Macro.Word макросы AutoOpen/AutoClose и (или) макросы со стандартными именами содержат команды переноса макросов вируса в область глобальных (общих) макросов Word, т.е. при запуске Auto-макроса или при вызове соответствующей стандартной функции вирус заражает область глобальных макросов. При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, при следующем запуске Word вирус активизируется в тот момент, когда WinWord грузит глобальные макросы, т.е. сразу.

Затем вирус переопределяет один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможной дальнейшие изменения формата файла, т.е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.

Таким образом, если вирус перехватывает макрос FileSaveAs, то заражается каждый DOC-файл, сохраняемый через перехваченный вирусом макрос. Если перехвачен макрос FileOpen, то вирус записывается в файл при его считывании с диска.

Следует отметить, что Word позволяет шифровать присутствующие в документе макросы. Таким образом, некоторые Macro.Word-вирусы присутствуют в зараженных документах в зашифрованном виде.

Известные вирусы семейства Macro.Word заражают DOC-файлы формата Microsoft Word версий 6 и 7. Заражение системы происходит при редактировании зараженного DOC-файла. Характерными проявлениями вирусов семейства macro.Word являются:

Невозможность конвертирования зараженного документа Word в другой формат;
Невозможность записи документа в другой каталог/на другой диск командой «Save As»;
Зараженные файлы имеют формат Template. При заражении вирусы WinWord конвертируют файлы из формата Word Document в Template.
Большинство известных вирусов для Word несовместимы с национальными (в том числе с русской) версиями Word, или наоборот — рассчитаны только на локализованные версии Word и не работают под английской версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленными на них соответствующей версией Word.

Вирусы для Word могут заражать компьютеры любого класса, а не только IBM-PC. Заражение возможно в том случае, если на данном компьютере установлет текстовый редактор, полностью совместимый с Microsoft Word версии 6 или 7.

Частично защититься от вирусов WinWord можно при помощи системного макроса DisableAutoMacros, который запрещает автоматический запуск Auto-макросов при работе с файлами. Однако при этом не запрещается макрос AutoExec и не запрещается запуск макросов со стандартными именами.

AmiPro-вирусы

При работе с каким-либо документом редактор AmiPro создает два файла — непосредственно текст документа (расширение имени файла — SAM) и дополнительный файл, содержащий макросы документа и, возможно, прочую информацию (расширение имени — SMM).

Документу можно поставить в соответствие какой-либо макрос из SMM-файла (команда AssignMacroToFile). Этот макрос является аналогом AutoOpen и AutoClose в MS-Word и вызывается редактором AmiPro при открыти или закритии файла.

Видимо, в AmiPro отсутствует возможность помещать макросы в «общую» область, поэтому вирусы для AmiPro могут заразить систему только при открытии зараженного файла, но не при загрузке системы, как это происходит с MS-Word после заражения файла NORMAL.DOT.

Как и MS-Word, AmiPro позволяет переопределять системные макросы (например, SaveAs, Save) командой ChangeMenuAction. При вызове переопределенных функций (команд меню) управление получают зараженные макросы, т.е. код вируса.

TheDetoxUnit
SetStartupProperties
ChangeProperty
Info

При открытии зараженной базы выполняется авто-скрипт Autoexec, вызывающий на выполнение процедуру «TheDetoxUnit», которая затем ищет и заражает все базы данных в текущем каталоге (файлы с расширением имени .MDB). Перед заражением вирус уничтожает пункт меню Tools/Options и изменяет несколько настроек системы: блокирует просмотр макросов по «горячим» ключам и при ошибках, запрещает отмену запуска авто-скриптов при нажатой клавише Shift.

Подпрограмма Info не содержит ничего кроме строк комментирия:

The Detox Unit Access Macro Virus written by Sin Code IV
(an old friend by any other name...)

При открытии зараженной базы управление передается на скрипт «Autoexec». В зараженных базах данных этот скрипт вызывает функцию «AccessiV», расположенную в макросе вируса. Эта функция ищет базы данных Access в текущем каталоге и заражает их. При поиске используется маска «*.MDB».

Вирус никак не проявляет себя. Содержит строки:

Find MS Database File!
Find another MS Database File!

AccessiV.b

Практически полностью повторяет «AccessiV». В марте выдает MessageBox:

AccessiV - Strain B
I am the AccessiV virus, Strain B
Written by Jerk1N, of the DIFFUSION Virus Team
AccessiV was/is the first ever Access Virus!!!

Затем создает и запускает файл, зараженный COM-вирусом «Jerkin.443».

Вирус имеет французское происхождение (это видно из имен процедур и выводимого вирусом текста), однако способен размножаться под любой национальной версией Excel. Состоит вмрус из пяти процедур: auto_ouvrir, activation_feuille, protect, !!!GO, auto_fermer. Все процедуры кроме !!!GO при активизации вызывают подпрограмму заражения. В зависимости от системного случайного счетчика (с вероятностью 2%) активизируется процедура !!!GO, которая закрывает все открытые таблицы и удаляет с экрана все активные элементы Excel (кнопки на ToolBar, меню, StatusBar) и заменяет на экране строку "Microsoft Excel" на "Enfin la paix ..." ("Наконец-то мир ...").

Обнаружить новый вирус обычными способами (просмотр макросов) невозможно, поскольку вирус объявляет свой модуль "крайне скрытым" (VeryHidden) - такое свойство модуля не может быть отменено из меню Excel. Для просмотра модуля вируса необходимо написать специальную программу на встроенном языке Excel (Basic).

Таким образом, обычный пользователь не имеет средств для обнаружения вируса, а все известные антивирусные программы пока не в состоянии обнаруживать и лечить вирусы этого класса. По косвенным признакам вирус может быть онаружен следующим образом: в меню Tools/Add-Ins присутствует ссылка на файл XLSHEET. Зараженные файлы можно также определить по наличию в файле текстовых строк:

Enfin la paix ...
!!!GO

Частично защитить систему от вируса возможно и без применения программ-антивирусов. Для этого необходимо в каталоге C:\WINDOWS создать файл-пустышку с именем XLSHEET.XLA и установить у него атрибут read-only. После этого вирус будет не в состоянии создать в C:\WINDOWS свой Add-In. Если же вирус создаст свой файл в другом каталоге, то подобный файл-пустышку необходимо создать в том же каталоге.

Заражение системной области макросов происходит при открытии инфицированных файлов. Проникновение в документы происходит при их закрытии.

Отключает встроенную в Word защиту от макро-вирусов, причем делает это двумя способами: при помощи команды Basic и прямой записью в системный реестр.

Является стелс-вирусом: при зараженнии системы создает дополнительный макрос, блокируищий просмотр кода вируса. При этом код стелс-макроса содержит команду завершения работы Word.

Вирус также использует полиморфик-механизм: случайным образом изменяет имена переменных и функций внутри своего кода.

Код вируса располагается в одном модуле и в зараженных документах состоит из одного авто-макроса Document_Open. При открытии документно макрос Document_Open вызывается Word-ом, код вируса получает управление и инсталлирует себя в систему. При этом вирус переносит свой код в облать глобальных макросов под именем Document_Close и затем, соответственно, заражает документы при их закрытии. Дополнительно к этому макросу вирус создает также дополнительный стелс-макрос ViewVBCode.

В том случае, если номер текущего дня совпадает с показанием минут системного таймера, вирус проявряется видео-эффектом: выдает поверх текста текущего документа от 1 до 70 разноцветных геометрических фигур произвольной формы.

Код вируса содержит комментарий:

W97M/PSD by ALT-F11, VAMP Poly by VicodinES
Converted to W2000/PSD by VicodinES