Igiho stránka o virech

Makroviry - ochrana / léčení

Antivirová ochrana maker Většina produktů kancelářského balíku Microsoft Office obsahují takzvanou "antivirovou ochranu maker" (verze 97), či "zabezpečení" (verze 2000). I když se názvy odlišují, v obou případech jde o stejnou věc. Tato vymoženost umožňuje zablokovat aktivaci případných maker v otevíraném dokumentu a zabránit tak i případné aktivaci makroviru (makrovirus je jak známo složen právě z takových maker).

V MS Office 97 má ochrana pouze dvě polohy:

Vypnuto - uživatel není o existenci maker vůbec informován - jsou automaticky spuštěna.

Zapnuto - uživatel musí vždy rozhodnout, zda případná makra zakáže, či je provede.

V MS Office 2000 má zabezpečení tři stupně:

Vysoké - automaticky je zakázáno spouštění všech maker. Uživatel se nemůže ani nijak jinak rozhodnout.

Střední - ekvivalentní k poloze Zapnuto v MS Office 97.

Nízká - ekvivalentní k poloze Vypnuto v MS Office 97.

V MS Office 97 i 2000 je ochrana standardně nastavena na maximum a tak není makrovirus prakticky vůbec schopen se v tomto prostředí šířit. Až po zásahu uživatele do nastavení, má makrovirus větší šance. Pokud je ochrana MS Office 2000 nastavena v poloze Střední, stačí již jedno zaváhání uživatele a makrovirus se v systému pohodlně "usadí". Většina makrovirů navíc tuto ochranu vypíná, např. vhodnou modifikací registrů Windows, či přímo zásahem do nastavení programu.

Makroviry pro Word 97 toho můžou například dosáhnout následujícími příkazy:

Options.VirusProtection = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options", "EnableMacroVirusProtection") = "0"

Kromě toho se makrovirus většinou po aktivaci snaží trvale usídlit v systému. K tomu mu poslouží globální šablona NORMAL.DOT, která se automaticky spouští po startu Wordu. V případě Excelu stačí infikovaný list uložit do adresáře XLStart, který se nejčastěji vyskytuje v C:\Program Files\Microsoft Office\Office\.

Příznaky napadení makrovirem

Jaké jsou příznaky napadení makrovirem ? Třeba právě vypnutá ochrana maker (pokud ji nevypnul uživatel záměrně). Pokud tomu tak je, doporučuji:

Antivirovou ochranu maker opět zapnout, či nastavit na nejvyšší úroveň.

Vypnout a opět aktivovat postiženou aplikaci (Word, Excel).

Znovu se podívat na nastavení ochrany maker.

Pokud je opět vypnutá, za vším stojí s největší pravděpodobností makrovirus a je dobré pokračovat následovně:

Smazat globální šablonu NORMAL.DOT v případě Wordu, či vyprázdnit adresář XLStart v případě Excelu.

Spustit Word, Excel - podle situace.

Antivirovou ochranu maker opět aktivovat.

V případě, že se u libovolného otevíraného dokumentu zobrazí dialog informující o existenci maker, zvolit "zakázat makra" a dokument uložit ve formátu RTF (tj. menu Soubor/Uložit jako…/ - typ souboru: RTF).

Převodem do formátu RTF jsou odstraněna veškerá makra z dokumentu, tedy i případná makra viru.

Ani formát RTF nemusí být vždy bezpečný, představte si podsunutý Wordovský dokument s příponou RTF :)

Většina dnešních makrovirů využívá techniku "Class", díky níž ukládají svoje tělo do modulu ThisDocument (Word 97/2000) či ThisWorkBook (Excel 97/2000). To má za následek, že makra viru nejsou vidět v menu Nástroje/Makro. Tělo takového makroviru lze snadno odhalit přes menu Nástroje/Makro/Editor jazyka Visual Basic, kde stačí "poklepat" myší na objekt ThisDocument popřípadě ThisWorkBook.