ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Excel-вирусы: круг второй

Все уже давно привыкли к тому, что макровирусы поражают документы Word и таблицы Excel. Известно, что эти вирусы записывают свой код в область макромодулей и макросы вируса можно посмотреть в меню Tools/Macro (если, конечно же, это меню не заблокировано вирусом - это делают некоторые стелс-макровирусы). Однако возможности Excel оказались гораздо шире - Excel-вирусы могут записывать свой код не только в область обычных макросов, но и в специальную область макросов формата Excel версии 4.0.

Несмотря на то, что в новых версиях Excel (начиная с версии 5) используются более совершенные технологии, возможность исполнения макросов старых версий Excel была оставлена для поддержания совместимости. По этой причине все макросы, написанные в формате Excel 4, вполне работоспособны во всех последующих версиях, несмотря на то, что Microsoft не рекомендует использовать их и не включает необходимую документацию в комплект поставки Excel.

Техника
Вирус нового типа размножается обычным для остальных Excel-вирусов способом: перехватывает системные события (активизация окна - OnWindow) и копирует свой код в каждую активизируемую таблицу. При первом открытии зараженного файла-таблицы вирус регистрирует его как подключаемый модуль (Add-In) с именем XLSHEET.XLA в том же каталоге или в C:\WINDOWS. При этом Excel автоматически создает копию документа с указанным выше именем и при последующих запусках загружает и активизирует его. Таким образом, после заражения Excel вирус постоянно активен и заражает все открываемые и создаваемые таблицы.

Вирус имеет французское происхождение (это видно из имен процедур и выводимого вирусом текста), однако, способен размножаться под любой национальной версией Excel. Состоит вирус из пяти процедур: auto_ouvrir, activation_feuille, protect, !!!GO, auto_fermer. Все процедуры, кроме !!!GO, при активизации вызывают подпрограмму заражения. В зависимости от системного случайного счетчика (с вероятностью 2%) активизируется процедура !!!GO, которая закрывает все открытые таблицы и удаляет с экрана все активные элементы Excel (кнопки на ToolBar, меню, StatusBar) и заменяет на экране строку Microsoft Excel на Enfin la paix ... (Наконец-то мир ...).

Обнаружение и удаление
Обнаружить новый вирус обычными способами (просмотр макросов) невозможно, поскольку вирус объявляет свой модуль крайне скрытым (VeryHidden) - такое свойство модуля не может быть отменено из меню Excel. Для просмотра модуля вируса необходимо написать специальную программу на встроенном языке Excel (Basic)

. Таким образом, обычный пользователь не имеет средств для обнаружения вируса, а все известные антивирусные программы пока не в состоянии обнаруживать и лечить вирусы этого класса. По косвенным признакам вирус может быть обнаружен следующим образом: в меню Tools/Add-Ins присутствует ссылка на файл XLSHEET. Зараженные файлы можно также определить по наличию в файле текстовых строк:

Enfin la paix ... !!!GO

Защитить систему от вируса пока возможно только частично. Для этого необходимо в каталоге C:\WINDOWS создать файл-пустышку с именем XLSHEET.XLA и установить у него атрибут read-only. После этого вирус будет не в состоянии создать в C:\WINDOWS свой Add-In. Если же вирус создаст свой файл в другом каталоге, то подобный файл-пустышку необходимо создать в том же каталоге.

Лечение зараженных файлов пока не представляется возможным, но в Лаборатории Касперского уже ведутся исследования в этом направлении.

Алексей Топунов, руководитель направления фирмы Поликом Про.

КОМПЬЮТЕР-ИНФОРМ