Двадцать лет назад многие пользователи Windows вынуждены были бороться с макровирусами, легко запускавшимися в Microsoft Office. Прошло много лет, офисный пакет стал гораздо безопаснее. Однако макровирусы по-прежнему существуют и могут быть весьма опасны.
Как распространились макровирусы
Что такое макровирус? Это вирус, который использует продвинутые возможности офисных пакетов и других программ, поддерживающих создание макросов, — специальных сценариев, позволяющих автоматизировать рутинные действия. Большинство подобных вредоносных программ заражают шаблоны и документы Microsoft Word и Microsoft Excel.
Основной лазейкой распространения макровирусов в конце 90-х стала несовершенная система безопасности в Microsoft Word 97. Текстовый процессор позволял легко запускать любые макросы, чем пользовались создатели вредоносного ПО. Вскоре были найдены уязвимости, позволяющие запускать макросы автоматически в Microsoft Office 97 и 2000, даже если пользователь менял настройки и запрещал выполнять сценарии в документах. Всего за несколько лет были разработаны десятки тысяч разновидностей макровирусов.
Эволюция макровирусов
Первые макровирусы работали по похожим схемам:
- Распространение нередко начиналось с передачи по электронной почте или на дискетах и дисках ранее зараженных файлов. При первом запуске переопределялся и перезаписывался какой-либо стандартный макрос Word 97 или 2000. Часто использовался AutoOpen — макрос, исполняемый при открытии нового документа.
- В переопределенный макрос записывались команды: например, можно было испортить все офисные документы, открываемые пользователем, или вообще отформатировать диск в фоновом режиме.
- Команды для «размножения» макросов записывались в шаблон normal.dot, содержавший стандартные стили Word. Таким образом, все новые документы, созданные пользователем, уже были инфицированы — вирус распространялся дальше.
Более современные модификации макровирусов научились взаимодействовать с другим вредоносным ПО, закачивать трояны и программы, рассылающие спам. Известны случаи запуска шифровальщиков из документов, содержащих вредоносные макросы. Более того, некоторые опасные трояны распространялись с помощью макровирусов в 2016–2018 годах.
Таким образом, макровирусы все еще могут быть опасны. Для защиты своего компьютера необходимо использовать современный антивирусный продукт, например, антивирус «Лаборатории Касперского». Абоненты ОнЛайм могут подключить базовую антивирусную защиту всего за 99 руб. в месяц.
Современные и очень опасные
Сейчас макровирусы редко используются непосредственно для заражения документов, но довольно часто применяются для загрузки в операционную систему другого вредоносного ПО. Показательна схема распространения одной из разновидностей трояна Emotet в 2016 году.
Сначала пользователь получал электронное письмо с вложением, замаскированным под финансовые документы. В документе содержались нечитаемые символы и предупреждение: «Для правильного отображения содержимого включите выполнение сценариев в Microsoft Word». Сотни тысяч пользователей самостоятельно запускали макрос, который подгружал банковский троян. Подгруженный троян подключался к сетевым API-интерфейсам и перехватывал данные клиентов ряда крупных финансовых организаций. Похищенная информация до отправки на серверы злоумышленников хранилась в ветках реестра Windows. Это позволяло на какое-то время скрыть активность Emotet от антивирусов. Впрочем, популярные антивирусы быстро научились обезвреживать подобные угрозы.
Защита от макровирусов
Как уже сказано выше, современные антивирусные программы эффективно справляются с новыми макровирусами. Даже если вы уже загрузили зараженный документ, антивирус, как правило, не позволит запустить сценарий, скачивающий трояны и прочие вредоносные программы.
Если вы сами не пишете полезные макросы для автоматизации своей ежедневной работы, вы можете отключить возможность запуска сценариев в Microsoft Office. Это можно сделать во вкладке «Файл», «Параметры». Необходимо перейти в «Параметры центра управления безопасностью» и в параметрах макросов выбрать настройку «Отключить все макросы с уведомлением» (подробнее — в справке на сайте Microsoft).
Разумеется, не надо забывать о базовых правилах безопасности. Макровирусы, как и полезные макросы, выполняются в Microsoft Office с правами текущего пользователя, поэтому не стоит постоянно использовать учетную запись администратора компьютера и отключать контроль учетных записей в Windows (UAC). Также не стоит открывать офисные документы, присланные по электронной почте, если отправитель сообщения вам неизвестен. И, конечно, не стоит запускать макросы в документах, если вы не знаете точно, что делает выполняемый сценарий.
