Infikácia viacerými makrovírusmi súčasne

Na rozdiel od klasických vírusov nemajú makrovírusy jednoznačne špecifikované umiestnenie, začiatok a ani koniec svojho kódu. V mnohých prípadov sa skladajú z niekoľkých makier, čo znamená, že majú viacero vstupov a ciest, ktorými sa môžu aktivovať. Typickým príkladom sú makrovírusy využívajúce pre svoju aktiváciu automakrá FileSave (Uložiť) a FileSaveAs (Uložiť ako). Pokiaľ sa vyskytne situácia, že sa na jednom počítači nachádzajú aktívne dva makrovírusy, ktorých makrá sa čiastočne alebo úplne prekrývajú, môže dôjsť ich kombináciou k vzniku nového makrovírusu. V niektorých prípadoch je takto vzniknutý exemplár nefunkčný, t.j. nie je schopný sa ďalej replikovať a páchať škody.

Horšou je alternatíva, ak novovzniknutý vírus preberie z dvoch predchádzajúcich makrovírusov len niektoré prvky, ktoré zhodou náhod (vhodnou kombináciou) vytvoria ešte ničivejšie monštrum, než aké stáli pri jeho zrode. Niektoré staršie verzie programu MS Word obsahovali chyby, ktoré častokrát viedli za určitých podmienok k poškodeniu zdrojového kódu makier pri procese ukladania dokumentov. Kód väčšiny makier a teda aj makrovírusov obsahuje okrem nutných príkazov aj desiatky nepotrebných informácií, ktoré s ich funkčnosťou priamo nesúvisia (komentáre, reťazce znakov, ...). Problém poškodených makier v „menej významných“ častiach sa dal vo väčšine prípadov prehliadnuť, nakoľko VBA bol schopný malé nedostatky tolerovať a bez problémov pokračovať ďalej. V praxi sa to prejavuje tým, že pár mesiacov po vzniku nového makrovírusu sa objaví na svete celý rad jeho rôznych variant, ktoré vzniknú „samovoľne“, t.j. bez priameho zásahu používateľa. Ak hovoríme o nebezpečenstve „degenerácii“ makrovírusov bez zásahu používateľa, je vhodne spomenúť ešte aspoň jeden príklad.

Za posledných päť rokov sa o nemalé množstvo „nových“ makrovírusov zaslúžil aj systém automatickej konverzie makier. Jedná sa o malý modul integrovaný v aplikáciách MS Office 9x/2000, ktorý je schopný makrá vytvorené predchádzajúcimi verziami (napr. MS Word 6.0/95) automaticky previesť do nového jazyka VBA tak, aby si v maximálnej možnej miere zachovali svoje pôvodné funkcie. Problém je v tom, že programátori do tohto modulu zapustili len informácie o konverzii klasických makier a nie makrovírusov, ktoré obsahujú zložité a rozsiahle zdrojové kódy. Najbežnejším pravidlom v tomto prípade je skutočnosť, že čím jednoduchší je makrovírus, tým má väčšiu šancu na bezproblémovú konverziu. Pri zložite štruktúrovaných makrovírusoch sa najčastejšie proces konverzie končí vznikom celkom odlišných vírusov, než akými boli ich predchodcovia.

Microsoft po spŕškach neustálej kritiky zapustil do modulu konverzie primitívny mechanizmus na odhalenie a zneškodnenie najbežnejšie sa vyskytujúcich makrovírusov, ale v dnešnej dobe tento krok možno hodnotiť ako bezcennú kvapku v bezodnom oceáne.

Metódy pri detekcii makrovírusov

Z uvedeného jasne vyplýva, že problematiku makrovírusov a nebezpečenstva, ktoré predstavujú pre spoločnosť v období informačného veku, nemožno brať na ľahkú váhu. Hovoriť o tom, ako jednoducho a účinne sa dá zistiť prítomnosť makrovírusov v dokumentoch, je v tomto okamihu značne zložité. Dôvodom je najmä existencia niekoľkých tisícov vírusových exemplárov, z ktorých každý desiaty je niečím špecifický. Je nad ľudské sily popísať proces odstraňovania jednoduchších alebo komplikovanejších makrovírusov tak, aby sa dal použiť pre každý z nich. Prenechajme preto túto prácu tým, ktorí sa ju rozhodli vykonávať na profesionálnej úrovni – antivírusovým firmám, jej produktom a zamestnancom.

V dnešných antivírusových systémoch sa používajú pre identifikáciu makrovírusov nasledujúce tri metódy:

• Prvá metóda je založená na počítaní kontrolných súčtov (CRC32) makier obsiahnutých v dokumentoch a porovnávaní zistených hodnôt s tými, ktoré boli vygenerované pri ich počiatočnom vzniku. Výhodou tejto metódy je najmä to, že umožňuje identifikovať už existujúce a zdokumentované makrovírusy s maximálnou presnosťou. Naopak, negatívom je neschopnosť identifikovať poškodené a modifikované exempláre vznikajúce pri rôznorodých, vyššie popísaných procesoch práce s dokumentmi.

• Druhou metódou je vyhľadávanie charakteristických reťazcov v dokumentoch, ktoré obsahujú makrá. V pionierskych dobách prebiehal proces porovnávania reťazcov v celom súbore, čo spôsobovalo veľké spomalenie identifikačného procesu a preto sa v najnovších verziách antivírusových systémov využíva princíp kontroly len tiel makrovírusov. Pri tejto metóde sa podarilo vyriešiť existujúci problém identifikácie modifikovaných makrovírusov. Tak ako vždy a všade, aj tu sa časom objavili malé chybičky krásy, skryté v množstve falošných poplachov a nemožnosti presného určenia typu, či varianty makrovírusu.

• Poslednou – treťou metódou je heuristická analýza zdrojového kódu. Kedysi to bola metóda využiteľná výsostne len pri analýze inštrukcií obsiahnutých v spustiteľných súboroch. Dnes sa táto metóda aplikuje aj na textové súbory typu VBS, HTM, HTML a iné, ktoré sa čoraz častejšie stávajú „živnou pôdou“ pre nové typy vírusov. Maximálnym prínosom tejto metódy je využitie princípu procesu paralelného fungovania desiatok špeciálne vytvorených algoritmov kontrolujúcich obsah súboru. V konečnej fáze to pre používateľov znamená minimálnu starostlivosť o aktualizáciu databáz vírusových reťazcov (pri predchádzajúcich dvoch metódach je pravidelná aktualizácia nutnou podmienkou). Antivírusové systémy, ktoré v sebe integrujú všetky tri metódy majú v nemalej miere zásluhu pri identifikácii desiatok nových (ešte nezdokumentovaných) a neznámych (dôkladne modifikovaných) makrovírusov a vyznačujú sa minimálnym množstvom falošných poplachov.