ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА
Еще одно приложение Microsoft
Office
пало жертвой компьютерного вируса
В конце марта этого года разработчики нескольких антивирусных компаний
получили образец нового компьютерного паразита. Это очередной вид столь
распространенного сегодня семейства макро-вирусов. Однако в отличие от
вездесущих макро-вирусов, поражающих документы Word и таблицы Excel, новый
вирус поселился в доселе незанятой экологической нише - средой обитания
для него являются базы данных MS Access.
Для обеспечения своей жизнедеятельности новый вирус использует тот факт,
что MS Access, как и практически все приложения MS Office, поддерживает
специальные программы, написанные на языке Visual Basic for Applications
- так называемые макросы. Оказалось, что возможности этого языка, встроенного
в MS Access, содержат все необходимое для существования вируса - процедуры
поиска файлов (баз данных MS Access) и создания в них новых вирусных макросов.
Скорее всего, вирусы нового типа не получат сколь-либо широкого распространения
по той причине, что обмен базами данных MS Access происходит не так часто,
как документами Word или таблицами Excel. Однако в пределах предприятия
Access-вирусы могут принести немало хлопот пользователям и системным администраторам.
Следует отметить, что идея Access-вирусов становится довольно популярной
в кругах вирусописателей, - на сегодняшний день известно уже три(!) различных
варианта вирусов, заражающих базы MS Access. Таким образом, компьютерные
вирусы занимают все новые и новые ниши, ставя под удар различные операционные
системы и приложения. В случае с MS Access задача создания антивирусных
программ значительно осложняется тем фактом, что структура баз данных Access
имеет крайне сложный формат (сложнее, чем форматы документов Word и таблиц
Excel) и не существует простых способов обнаружить и удалить вирус из базы
данных. Процедуры обнаружения и лечения Access-вирусов включены в последний
(апрельский) кумулятивный апдейт AVP.
Алгоритм работы
вирусов для Access
Поскольку Access является частью пакета
Office97 Pro, то вирусы для Access представляют собой такие же макросы
на языке Visual Basic, как и прочие вирусы, заражающие приложения Office97.
Однако в данном случае вместо авто-макросов в системе присутствуют автоматические
скрипты, которые вызываются системой при различных событиях (например,
Autoexec). Данные скрипты затем могут вызывать различные макро-программы.
Таким образом, при заражении баз данных Access вирусу необходимо заменить
какой-либо авто-скрипт и скопировать в заражаемую базу свои макросы. Заражение
скриптов без дополнительных макросов не представляется возможным, поскольку
язык скриптов достаточно примитивен и не содержит необходимых для этого
функций. Следует отметить, что в терминах Access скрипты называются макросами
(macro), а макросы - модулями (module), однако, в дальнейшем будет использоваться
унифицированная терминология - скрипты и макросы. Лечение баз данных Access
является более сложной задачей, чем удаление прочих макро-вирусов, поскольку
в случае Access необходимо обезвредить не только вирусные макросы, но и
авто-скрипты. А так как значительная часть работы Access возложена как
раз на скрипты и макросы, то некорректное удаление или деактивация какого-либо
элемента может привести к невозможности операций с базой данных. То же
справедливо и для вирусов - некорректное замещение авто-скриптов может
привести к потере данных, хранящихся в базе.
Macro.AccessiV
Первый известный макро-вирус, заражающий
базы данных, MS Access. При заражении замещает в базе данных скрипт "Autoexec"
(макрос "Autoexec" в терминах Access) и копирует в базу дополнительный
макрос (модуль в терминах Access) с именем "Virus". При открытии зараженной
базы управление передается на скрипт "Autoexec". В зараженных базах данных
этот скрипт вызывает функцию "AccessiV", расположенную в макросе вируса.
Эта функция ищет базы данных Access в текущем каталоге и заражает их. При
поиске используется маска "*.MDB". Вирус никак не проявляет себя. Содержит
строки: Find MS Database File! Find another MS Database File!
Наталья Гончарова, AVP
КОМПЬЮТЕР-ИНФОРМ