Эпоха макровирусов.

Эпоха макровирусов.

В 1995 году появилась Windows 95. Благодаря приятному интерфейсу и красивым окошкам она стала самой популярной операционной системой на планете. Нельзя утверждать, что Windows 95 предоставляла создателям вирусов больше возможностей, чем ее младшая сестра MS-DOS. Наоборот, по началу программирование на чистом Win16/32 API было сущим адом. Но суть в другом: Windows стала неформальным стандартом, она поселилась на огромном числе компьютеров и набрала небывалую популярность. Эта система привлекла к себе внимание не только пользователей, но и вирусмейкеров. Начали создаваться первые исполняемые вирусы под эту платформу. Но они не приобрели широкого распространения, так как пользователи не так уж и часто обменивались между собой исполняемыми файлами. Именно этот фактор на протяжении всего времени существования MS-DOS не позволял DOS-вирусам вызывать эпидемии и наносить существенный ущерб. В те времена Интернет еще не набрал сегодняшней популярности и силы, поэтому почти единственным средством транспортировки вирусов с одного компьютера на другой были дискеты и CD-диски. А это, согласитесь, очень медленно.

Но вместе с Windows 95 пришел и Microsoft Office. Именно этот офисный пакет оказался одной из самых благотворных сред для развития и размножения вирусов. Простой и эффективный инструментарий Microsoft Office позволяет создавать макросы, исполняющиеся на компьютере пользователя во время работы с документом. Этот пакет стал также очень популярным: документооборот многих предприятий и по сей день построен на его использовании. Чем же Windows 95 отличалась от Office с точки зрения вирусмейкера? Лишь одним: скорость распространения исполняемых файлов среди пользователей была значительно ниже, чем скорость обмена документами.

Именно поэтому первый нашумевший вирус был написан для Microsoft Office. Это был Word.Concept. Особой зловредностью данный экземпляр не отличался, его эпидемия проходила очень вяло (в течение нескольких лет) и поразил он не так уж и много компьютеров (Лаборатория Касперского зарегистрировала всего 800 жалоб от клиентов на этот вирус). По сравнению с сегодняшним днем, когда Klez успевает поразить около 30 тыс. пользователей в месяц, масштабы Concept выглядят весьма скромными. Но для 1995-1997 гг. результат был очень впечатляющим. Как и маленький ручеек, дающий силу бурной реке, макровирусы предопределили стремительный выход вирусов на мировую арену.

Среди пользователей бытует мнение, что макровирус – это такая безобидная подпрограмма, способная лишь на мелкие пакости вроде замены букв и знаков препинания. На самом деле макровирус может очень многое: отформатировать винчестер или украсть что-то ценное для него не проблема.

За эпидемией Concept последовала вспышка активности вируса ColdApe. Этот “макробрат” оказался более оперативным: Лаборатория Касперского за несколько месяцев зарегистрировала около 1200 обращений в свою службу поддержки, связанных с этим вирусом. ColdApe был уже не так безобиден как предшественник, мог и файлы потереть и документы испортить. Он также содержал в себе элементы полиморфного кода, присущие лишь исполняемым вирусам. Таким образом, еще один 1998 год прошел под гнетом макровирусов.

С 1999 года макровирусы начинают постепенно терять свое господство. Это связано со многими факторами. Во-первых, пользователи осознали опасность, таящуюся в простых doc- и xls-файлах. Люди стали более внимательными, научились пользоваться стандартными механизмами защиты от макровирусов, встроенными в MS Office. Немаловажным является и то, что пользователь осознал необходимость использования антивируса. Теперь это “игрушка для хакеров и озабоченных администраторов”, а стандартное средство защиты любого ПК от всех вредных кодов. Во-вторых, антивирусные компании наконец-таки раскололи этот твердый “макро-орешек”. Любой современный антивирус показывает очень высокий результат при борьбе с макровирусами. К примеру, из недавно проведенных компанией “Реланс” тестов выяснилось, что Norton AntiVirus поймал 489 из 495 макровирусов, DrWeb – 491 из 495, а Антивирус Касперского и вовсе все 495. Согласитесь, сегодня у макровируса очень мало шансов на успех. Но это не все, что предлагает современный антивирус в борьбе с этими вредителями: в наши дни становится возможным еще и вылечить большую часть инфицированных файлов. Судите сами, из тех же тестов: Norton AntiVirus излечил 454 из 489 детектированных, DrWeb – 461 из 491 и Антивирус Касперского – 476 из 495 (как вы понимаете, антивирус мог лечить лишь те файлы, которые считал зараженными – этим и объясняется число, стоящее после слова “из”). В-третьих, к 2000 году Лабораторией Касперского была разработана уникальная технология, позволяющая нейтрализовать любой антивирус (даже тот, которого нет в антивирусной базе). Я имею в виду поведенческий блокиратор, интегрируемый в MS Office. Этот встраиваемый модуль называется Office Guard. Суть заложенных в него технологий в том, что набор используемых макровирусом функций можно ограничить. Напомним, что макросы для MS Office пишутся на языке VBA (Visual Basic for Application). Так вот оказывается, что есть команды, без которых не может обойтись ни один макровирус! Именно на них и реагирует Office Guard. Самым главным бонусом такого подхода является защита даже от еще неизвестных макро-вредителей.

Посмотрим на вирусную двадцатку за февраль этого года. По данным Лаборатории Касперского макровирусы в ней занимают лишь 4, 9, 10, 18 и 20 позиции. Всего на них приходится 5,9% от общего числа зарегистрированных заражений. Это достаточно небольшой процент (для сравнения: в 2000 году макровирусов насчитывалось 20%), который мог бы быть еще меньше, если бы пользователи защищали свой ПК с помощью Антивируса Касперского (Office Guard, входящий в его состав, защитил бы компьютер от любого макровируса) или, при использовании другого антивирусного решения, регулярно обновляли базы (Антивирус Касперского способен бороться с макро-инфекцией и без обновления баз, но для всех остальных видов вредных кодов рекомендуется обновлять базы раз в сутки). К сожалению, среди пользователей всегда остается небольшой процент тех, кто считает, что вирусы обойдут их стороной. Именно этим и объясняет халатность по отношению к установке обновленных антивирусных баз.