Čo je makrovírus
Makrovírusom vo väčšine prípadov nazývame také makrá alebo súhrn makier, ktoré sú schopné zabezpečiť skopírovanie samého seba z jedného dokumentu do druhého (resp. ďalšieho, ...), prípadne ešte obsahujú nejaké deštrukčné rutiny poškodzujúce údaje v systéme, či systém samotný. Uvedená charakteristika je dosť povrchná, nakoľko nie vždy makro, ktoré kopíruje samo seba do iných súborov musí predstavovať vírus. Pre lepšie pochopenie a objasnenie si činnosti týchto typov vírusov sa musíme vrátiť o pár krokov späť .. . Väčšina klasických vírusov napádajúcich spustiteľné súbory sa vyrovnala veľmi rýchlo a bez veľkej ujmy na „zdraví“ s nástupom nových operačných systémov MS Windows 9x/NT/2000. Prostredníctvom stoviek nových funkcií a modulov sa tvorcom vírusov otvoril svet nevídaných možností, v ktorom mohli premeniť svoje minulé predstavy o vírusoch šíriacich sa prostredníctvom textových a multimediálnych dokumentov na realitu. Nástupom aplikácií balíka MS Office 9x/2000 na softvérový trh sa zistilo, že najväčšia hrozba sa ukrýva v ich unifikovanom prostredí a spôsobe, akým pristupujú k spracúvaným údajom. Problém bol a je najmä v tom, že makrá sú ukladané do toho istého súboru ako text (MS Word), či tabuľky a grafy (MS Excel). V takomto prípade už nemožno hovoriť o dátových súboroch, ale skôr o malých programoch, čo výrazne mení aj prístup k nim z hľadiska bezpečnosti. Ako prebieha replikácia makrovírusov Pri aplikácii MS Word 9x/2000 rozlišujeme dva typy súborov, s ktorými možno pracovať. Na jednej strane stoja „prázdne“ dátové súbory a na druhej šablóny. Pre makrovírusy majú väčší význam práve šablóny, ktoré môžu okrem klasického formátovaného textu obsahovať aj iné informácie, týkajúce sa definícií tlačidiel na ovládacej lište, klávesových skratiek, odstránenia niektorých položiek z programových ponúk, či špeciálne upravené makrá reprezentujúce činnosť určitého makrovírusu. Podstatný rozdiel medzi dokumentom a šablónou spočíva tiež v tom, že makrovírus uložený v infikovanom dokumente (s príponou .DOC) je v pasívnom stave, zatiaľ čo v šablóne (s príponou .DOT) v stave plnej aktivity. Každý už asi tuší, čo v sebe skrývajú pojmy aktívny a pasívny makrovírus. Nuž je tomu tak, že reálne sa môže šíriť len aktívny makrovírus. Jeho pasívny kolega je len výsledkom procesu svojho predchodcu - aktívneho makrovírusu.
Celý tento cyklus si možno predstaviť ako začarovaný kruh, kedy na počiatku makrovírus uložený v dokumente skopíruje svoje telo do šablóny (NORMAL.DOT) a vykoná nevyhnutné zmeny v systémových registroch týkajúce sa zníženia stupňa ochrany MS Office 9x/2000 proti makrovírusom, skrytia niektorých položiek nachádzajúcich sa v základnom menu Nástroje/Makro, .. . Keďže sa základná šablóna aktivuje pri každom štarte programu MS Word môže sa v nej uložený makrovírus prekopírovať do ďalších vznikajúcich a spracovávaných dokumentov. Cyklus sa „čiastočne končí“ v tom okamihu, keď makrovírus uložený v dokumente zistí, že existujúca šablóna je už infikovaná (je zbytočné infikovať jednu a tú istú šablónu viac krát). Proces kopírovania makrovírusu zo šablóny do dokumentov pokračuje samozrejme ďalej. Tu sa oplatí ešte spomenúť to, že existuje nespočetné množstvo možností aktivovania makrovírusov v závislosti od: dátumu, času, stlačenia klávesovej skratky (napr. CTRL+F+G), tlače, uloženia, uzatvorenia dokumentu, či kontroly gramatiky a pod.. Čo ak je počítač infikovaný viacerými makrovírusmi súčasne Na rozdiel od klasických vírusov nemajú makrovírusy jednoznačne špecifikované umiestnenie, začiatok a ani koniec svojho kódu. V mnohých prípadov sa skladajú z niekoľkých makier, čo znamená, že majú viacero vstupov a ciest, ktorými sa môžu aktivovať. Typickým príkladom sú makrovírusy využívajúce pre svoju aktiváciu automakrá FileSave (Uložiť) a FileSaveAs (Uložiť ako). Pokiaľ sa vyskytne situácia, že sa na jednom počítači nachádzajú aktívne dva makrovírusy, ktorých makrá sa čiastočne alebo úplne prekrývajú, môže dôjsť ich kombináciou k vzniku nového makrovírusu. V niektorých prípadoch je takto vzniknutý exemplár nefunkčný, t.j. nie je schopný sa ďalej replikovať a páchať škody. Horšou je alternatíva, ak novovzniknutý vírus preberie z dvoch predchádzajúcich makrovírusov len niektoré prvky, ktoré zhodou náhod (vhodnou kombináciou) vytvoria ešte ničivejšie monštrum, než aké stáli pri jeho zrode. Niektoré staršie verzie programu MS Word obsahovali chyby, ktoré častokrát viedli za určitých podmienok k poškodeniu zdrojového kódu makier pri procese ukladania dokumentov. Kód väčšiny makier a teda aj makrovírusov obsahuje okrem nutných príkazov aj desiatky nepotrebných informácií, ktoré s ich funkčnosťou priamo nesúvisia (komentáre, reťazce znakov, ...). Problém poškodených makier v „menej významných“ častiach sa dal vo väčšine prípadov prehliadnuť, nakoľko VBA bol schopný malé nedostatky tolerovať a bez problémov pokračovať ďalej. V praxi sa to prejavuje tým, že pár mesiacov po vzniku nového makrovírusu sa objaví na svete celý rad jeho rôznych variant, ktoré vzniknú „samovoľne“, t.j. bez priameho zásahu používateľa.
Ak hovoríme o nebezpečenstve „degenerácii“ makrovírusov bez zásahu používateľa je vhodne spomenúť ešte aspoň jeden príklad. Za posledných päť rokov sa o nemalé množstvo „nových“ makrovírusov zaslúžil aj systém automatickej konverzie makier. Jedná sa o malý modul integrovaný v aplikáciách MS Office 9x/2000, ktorý je schopný makrá vytvorené predchádzajúcimi verziami (napr. MS Word 6.0/95) automaticky previesť do nového jazyka VBA tak, aby si v maximálnej možnej miere zachovali svoje pôvodné funkcie. Problém je v tom, že programátori do tohto modulu zapustili len informácie o konverzii klasických makier a nie makrovírusov, ktoré obsahujú zložité a rozsiahle zdrojové kódy. Najbežnejším pravidlom v tomto prípade je skutočnosť, že čím jednoduchší je makrovírus, tým má väčšiu šancu na bezproblémovú konverziu. Pri zložite štruktúrovaných makrovírusoch sa najčastejšie proces konverzie končí vznikom celkom odlišných vírusov, než akými boli ich predchodcovia. Microsoft po spŕškach neustálej kritiky zapustil do modulu konverzie primitívny mechanizmus na odhalenie a zneškodnenie najbežnejšie sa vyskytujúcich makrovírusov, ale v dnešnej dobe tento krok možno hodnotiť ako bezcennú kvapku v bezodnom oceáne. Aké sú deštrukčné rutiny makrovírusov? Makrovírusy môžu podobne ako klasické vírusy, okrem svojho šírenia sa vykonávať aj deštrukčnú činnosť. Všetko záleží na úmysloch a morálnom profile autora makrovírusu. Zatiaľ, čo prvé výtvory typu WM/Concept, WM/Atom obsahovali len jednoduché – nie príliš nebezpečné deštrukčné rutiny upozorňujúce používateľa na ich prítomnosť v počítači, tak ďalšie makrovírusy už také zhovievavé a ohľaduplné neboli a ani nie sú. Ako univerzálny príklad môže poslúžiť modifikovaná verzia makrovírusu Melissa nazvaná W97M/Resume.A. Jej deštrukčné rutiny sú naprogramované tak, aby nič netušiacemu používateľovi vymazali súbory uložené na všetkých dostupných diskoch (v rozsahu A: až Z:) a nevynímajúc systémové súbory. Pri polemike na túto tému je vhodné podotknúť, že dobre naprogramované makrovírusy sú schopné vykonávať častokrát deštrukčnejšiu činnosť než na akú sme boli zvyknutí pri klasických súborových vírusoch. Realita je taká, že prostredníctvom makrovírusov je možné používateľov pripraviť nielen o stovky megabajtov diskového priestoru, generovaním súborov s nezmyselným obsahom, ale aj o všetky uložené dokumenty, multimediálne súbory, súbory obsahujúce databázy vírusových reťazcov (čím dochádza k ochromeniu antivírusových systémov), či systémové súbory.
Získavať súkromné informácie, heslá a prístupové práva do počítačových sietí sú tiež aspekty, ktoré moderným makrovírusom šíriacim sa elektronickou poštou alebo IRC kanálmi nerobia žiadne problémy. S nástupom nových techník v oblasti programovania sa pomaly ale iste začínajú vytrácať žartovné makrovírusy pokúšajúce sa o prehadzovanie písmen v texte, presuny tabuliek, či zmeny farbených koncepcií vytvorených dokumentov a do popredia sa dostávajú „totálni ničitelia“, ktorí sú dielami tvorcov vírusov túžiacich po mediálnej sláve a obdive (neskôr po desiatich rokoch väzenia).
Linky:
http://www.virusy.sk - www.virusy.sk
|