Transformacja makrowirusów

Jak obronić się przed mutacjami makrowirusów w środowisku Office 97?

Jak obronić się przed mutacjami makrowirusów w środowisku Office 97?

Od czasu pojawienia się na rynku pakietu Microsoft Office 97, wiele firm i przedsiębiorstw zdecydowało się na aktualizację, przechodząc z Office 95 do nowszej wersji tego zestawu aplikacji biurowych. Niestety, wraz z zainstalowaniem Office 97 nie znikają problemy z wirusami zagnieżdżonymi w makropoleceniach aplikacji Word (makrowirusy). Okazuje się, że po przeniesieniu do środowiska Office 97 niektórych wirusów obecnych w makrach towarzyszących dokumentom Word 6 i Word 7, pojawiają się ich nowe mutacje. Co gorsza, po wykonaniu konwersji programy antywirusowe często nie mogą wykryć mutantów.

Nowe makrowirusy Word powstałe w wyniku operacji upconversion (transformacja programów z wersji Visual Basic for Application 3.0 na wersję 5.0) różnią się tak bardzo od oryginału, że programy antywirusowe nie dostrzegają ich. Aby zrozumieć przyczyny takiego stanu rzeczy, należy wrócić do pakietu Office 95 i procesorów tekstu Word 6 i Word 7. Pierwsze makrowirusy były pisane w języku WordBasic, towarzyszącym starszym wersjom procesorów tekstu Word.

Kiedy Microsoft wprowadził na rynek pakiet Office 97, zmianie uległ nie tylko format dokumentów tworzonych przez Word, ale pojawiło się też nowe narzędzie - język Visual Basic for Application 5.0 (VBA5). Aby nie zawieść użytkowników używających makropoleceń napisanych przy wykorzystaniu WordBasic, firma opracowała narzędzie, które automatycznie konwertuje programy WordBasic na format zgodny z VBA5. Microsoft pomyślał też o makrowirusach Word, wyposażając pakiet Word 97 w mechanizm, który zapobiega konwersji znanych wirusów, takich jak Alliance, Atom, Bandung, Concept, NPAD, Wazzu i Xenixos. Opracowana metoda umożliwia blokowanie 40 najbardziej znanych makrowirusów, które są unieszkodliwiane i nie poddawane operacji upconversion w momencie otwierania dokumentów w środowisku Office 97. Dostępna jest też funkcja disable/enable macros, dzięki której aplikacja może ostrzegać użytkownika przed zagnieżdżonym makrowirusem w przetwarzanym dokumencie.

Jednak antywirusowy program pakietu Office 97 nie pracuje bezbłędnie. Niekiedy nie dostrzega on pewnych wirusów, które powinny być wykryte. Dzieje się to wówczas, gdy wirus został zmodyfikowany lub jego kod pojawia się w nieoczekiwanych miejscach. Ponadto Microsoft nie wprowadził programu antywirusowego do wersji beta Office 97 i niektóre wirusy, takie jak W97/Wazzu.A, przeniknęły niepostrzeżenie do środowiska Office 97. Aby jeszcze bardziej skomplikować sprawę, operacja upconversion może czasami, na bazie wirusów wykrytych w Word 6 i Word 7, wyprodukować nowe ich odmiany, przenosząc je do środowiska Office 97.

Odmienne zdania

W gronie specjalistów dyskutuje się wiele nad tym, czy nowy rodzaj makrowirusów (nazwanych umownie upconverted) stanowi rzeczywiście duże zagrożenie i w jaki sposób zapobiec ich rozprzestrzenianiu się.

Jak twierdzi jeden ze znawców tego problemu dr V. Bontchew z Frisk Software International (http://www.complex.is), twórca znanego programu antywirusowego F-Prot, wirusy tego rodzaju nie stanowią dużego zagrożenia.

Przez ostatnich 18 miesięcy na liście znanych makrowirusów kategorii upconverted pojawiło się ich tylko pięć. Można się z nią zapoznać pod internetowym adresem http://www.wildlist.org. Krążą jednak opinie, że wirusów jest znacznie więcej. Jednocześnie specjaliści ostrzegają, iż najwięcej tego rodzaju wirusów może wystąpić w biurach i przedsiębiorstwach, które jednocześnie eksploatują obie wersje pakietów Office 95 i Office 97. Bezpieczniej jest stosować jednolite środowisko.

Czy jednak fakt, że użytkownicy pakietu Office 97 i tak muszą wykorzystywać funkcję upconversion nie prowadzi do wniosku, iż producenci programów antywirusowych też powinni stosować tę technologię do wytwarzania nowych makrowirusów, aby wcześniej przygotować odpowiednie szczepionki?

Firmy wytwarzające tego typu oprogramowanie różnie odnoszą się do tego problemu. Popularna jest opinia, że nie powinno się tego robić, ponieważ jest to równoznaczne z produkowaniem nowych wirusów. Zwolennicy tego poglądu argumentują, że byłoby to działanie nieetyczne. Innego zdania są np. w IBM (http://antyvirus.ibm.com). Programiści pracujący w tej firmie twierdzą, że należy zrobić wszystko, aby ustrzec użytkownika przed źle napisanym oprogramowaniem. Ich zdaniem, stare makrowirusy należy poddawać operacji upconversion i następnie pisać programy unieszkodliwiające nowe ich wersje. Według IBM, nie ma w tym nic nieetycznego, pod warunkiem że proces ten jest kontrolowany i użytkownicy otrzymają nowe narzędzia, unieszkodliwiające kolejną generację wirusów.

W przeszłości producenci programów antywirusowych i niezależni twórcy tego rodzaju narzędzi testowali skuteczność oprogramowania, pobierając próbki pojawiających się w otoczeniu wirusów i sprawdzając czy są one wykrywane i usuwane.

Z wirusami typu upconverted sprawa nie jest tak prosta, nigdy nie wiadomo bowiem, jaki będzie końcowy wynik takiego testu.

Szybka rada

Na szczęście istnieje jednak sposób na to, aby uporać się z makrowirusami typu upconverted, choć Microsoft nie propaguje tej metody. Jest to łata Service Release 1 for Office 97, której zainstalowanie powoduje, że makrowirusy WordBasic nie są poddawane operacji konwersji i nie przenikają do środowiska Office 97 w postaci wersji upconverted. W pakiecie Office 97 można wtedy spotkać tylko rodzime wirusy (czyli takie, które replikują się na bazie mechanizmów używanych w tym środowisku). I choć SR1 stanowi skuteczną barierę, przez którą makrowirusy Word 6 i Word 7 nie przedostaną się do środowiska Office 97, to trzeba używać narzędzi antywirusowych, które unieszkodliwiają wirusy tworzone przez VBA5. SR1 nie chroni też przed pewnymi nietypowymi wirusami, zagnieżdżonymi w arkuszach kalkulacyjnych Excel, ponieważ arkusz ten nie tylko wykonuje operację upconversion (z VBA3 na VBA5), ale automatycznie dokonuje operacji downconversion (z VBA5 na VBA3). W tym przypadku użytkownik może tylko wybrać opcję wyłączenia obsługi makropoleceń dostępną w Excelu.

Choć wirusów typu upconverted jest bardzo mało w porównaniu do ok. 2000 wirusów zagrażających użytkownikom Office 95, nie oznacza to wcale, że nie należy z nimi walczyć. Wykonując proste zalecenia, opracowane przez ekspertów antywirusowych (patrz tabela), można uchronić się przed większością zagrożeń stwarzanych przez nowy rodzaj makrowirusów.

Co zrobić, aby w środowisku Office 97 nie pojawiły się makrowirusy typu upconverted?

Zainstalować łatę Service Release 1 for Office 97.

Jeśli to możliwe, używać tylko jednego pakietu: Office 95 lub Office 97. Jednoczesna eksploatacja obu wersji zwiększa niebezpieczeństwo pojawienia się makrowirusów upconverted.

Jeżeli nie ma potrzeby używania makropoleceń, dokumenty Word należy zapisywać w formacie RTF.

Zainstalować jeden z programów antywirusowych.

<hr size=1 noshade>Na podstawie tygodnika InfoWorld wydawanego przez IDG opr. Jch