Dnes si budeme povídat o další skupině virů - o makrovirech. Vše začalo v srpnu 1995, kdy se přesně v den uvedení Windows 95 na trh objevil první takový virus – MW:Concept. Makroviry využívají toho, že do některých aplikací je zabudován jednoduchý programovací jazyk, jehož kód je uložen spolu s vlastními daty v dokumentu a který umožňuje manipulaci s daty aplikace i komunikaci s okolním světem. Již dříve jsme si řekli, že virus nemůže být obsažen v datových souborech, protože se jedná o program, který musí být nějakým způsobem aktivován. Dokumenty (například textové) jsou datovými soubory, a proto jsou považovány z hlediska virů za bezpečné. Problém je ale v tom, že od určitých verzí aplikačních programů typu MS-Office takové dokumenty nemusí obsahovat pouze data (texty, tabulky, čísla a podobně), ale také programy právě ve formě maker. Proto je nutno s takovými soubory jako s programy jednat. Microsoftu se navíc „povedlo“ implementovat makra (v prvních verzích se jednalo o jazyk Word Basic, v novějších je VBA – Visual Basic for Applications) hodně nešťastným způsobem.

Podpora maker je sice velmi pohodlná a uživatelsky přítulná, ale s bezpečností nemá opravdu nic společného. Makra nelze vypnout, existují tzv. automakra, která se vykonávají automaticky při nějaké činnosti (spuštění aplikace, otevření dokumentu atd), pomocí maker je možno předefinovat libovolnou položku menu či tlačítka, makra z dokumentu mají přednost před makry z globální šablony a tak dále. Kvůli těmto bezpečnostním chybám v návrhu aplikací se z makrovirů stala noční můra řady uživatelů. Nebýt jich, mohly by tyto viry živořit na okraji zájmu jako teoretický problém (podobně jako jediný virus pro AmiPro).

Prvním makrovirem byl již zmíněný MW:Concept, ale brzy se objevila řada jeho následovníků. Řada z nich byla velmi jednoduchá, jiné byly komplikovanější, objevily se i polymorfní makroviry. Některé makroviry neprovádí žádnou manipulační činnost, jiné mohou být velice nepříjemné: mohou například modifikovat obsah dokumentu (přidat slova či nějaké prohlášení, prohazovat slova či písmena), dokument zničit či znepřístupnit nebo dokonce ovlivňovat „okolní“ prostředí: mazat či měnit soubory na disku, vypouštět jiné viry, modifikovat nastavení Windows a podobně. K velkému rozšíření makrovirů přispělo i to, že si lidé dokumenty často vyměňují elektronickou poštou.

Kromě MS-Wordu se objevily viry i pro další aplikace: MS-Excel, MS-PowerPoint, MS-Access, ale třeba i pro programy firmy Corel. V současné době existuje více než 7500 druhů makrovirů. Řada z nich si je velmi podobná, protože tyto viry se šíří ve formě zdrojového textu a není složité takový program upravit, aby dělal něco jiného než původní virus. K velké změně došlo poté, co makroviry začaly samy pro své šíření aktivně používat elektronickou poštu. Prvním a nejznámějším takovým makrovirem byla MW97:Melissa. Makroviry se také úspěšně šíří pomocí spamu – nevyžádané reklamní pošty.

Novinky

Virus Win32:Magistr, o kterém jsem se zmínil před měsícem, se u nás šíří velice úspěšně. Je zajímavé, že mu trvalo asi dva týdny, než se v Česku ve větší míře objevil, ale o to více se mu daří nyní. Připomínám, že má velice nebezpečnou manipulační rutinu, protože měsíc po napadení počítače se pokusí přepsat obsah disku a také paměť Flash-BIOS, což může uživatelům zejména některých typů počítačů značně znepříjemnit život.

V posledních dnech jsme zažili dvě výročí: 26. dubna to byly dva roky od masivního útoku viru Win32:CIH (novináři pojmenovaný jako Černobyl). Tento virus i letos způsobil trochu škody (provádí stejnou destrukci jako výše uvedený Magistr), ale počet postižených uživatelů se pohyboval maximálně v desítkách. 4. května tomu byl přesně rok, co byl svět zaplaven virem VBS:LoveLetter (ILoveYou). Pro řadu lidí to bylo první setkání s virem vůbec a většina si (snad!) odnesla ponaučení, že jakákoli příloha elektronické pošty může být nebezpečná. Zdaleka ne všichni se ale tímto zlatým pravidlem řídí. A jak jste na tom Vy?