Makroviry - ochrana/léčení

Antivirová ochrana maker Většina produktů kancelářského balíku Microsoft Office obsahují takzvanou "antivirovou ochranu maker" (verze 97), či "zabezpečení" (verze 2000). I když se názvy odlišují, v obou případech jde o stejnou věc. Tato vymoženost umožňuje zablokovat aktivaci případných maker v otevíraném dokumentu a zabránit tak i případné aktivaci makroviru (makrovirus je jak známo složen právě z takových maker).

V MS Office 97 má ochrana pouze dvě polohy:

  • Vypnuto - uživatel není o existenci maker vůbec informován - jsou automaticky spuštěna.
  • Zapnuto - uživatel musí vždy rozhodnout, zda případná makra zakáže, či je provede.

    V MS Office 2000 má zabezpečení tři stupně:
  • Vysoké - automaticky je zakázáno spouštění všech maker. Uživatel se nemůže ani nijak jinak rozhodnout.
  • Střední - ekvivalentní k poloze Zapnuto v MS Office 97.
  • Nízká - ekvivalentní k poloze Vypnuto v MS Office 97.

    V MS Office 97 i 2000 je ochrana standardně nastavena na maximum a tak není makrovirus prakticky vůbec schopen se v tomto prostředí šířit. Až po zásahu uživatele do nastavení, má makrovirus větší šance. Pokud je ochrana MS Office 2000 nastavena v poloze Střední, stačí již jedno zaváhání uživatele a makrovirus se v systému pohodlně "usadí". Většina makrovirů navíc tuto ochranu vypíná, např. vhodnou modifikací registrů Windows, či přímo zásahem do nastavení programu.

    Makroviry pro Word 97 toho můžou například dosáhnout následujícími příkazy: 

    Options.VirusProtection = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options", "EnableMacroVirusProtection") = "0"

    Kromě toho se makrovirus většinou po aktivaci snaží trvale usídlit v systému. K tomu mu poslouží globální šablona NORMAL.DOT, která se automaticky spouští po startu Wordu. V případě Excelu stačí infikovaný list uložit do adresáře XLStart, který se nejčastěji vyskytuje v C:\Program Files\Microsoft Office\Office\.

    Příznaky napadení makrovirem

    Jaké jsou příznaky napadení makrovirem ? Třeba právě vypnutá ochrana maker (pokud ji nevypnul uživatel záměrně). Pokud tomu tak je, doporučuji:
  • Antivirovou ochranu maker opět zapnout, či nastavit na nejvyšší úroveň.
  • Vypnout a opět aktivovat postiženou aplikaci (Word, Excel).
  • Znovu se podívat na nastavení ochrany maker.
  • Pokud je opět vypnutá, za vším stojí s největší pravděpodobností makrovirus a je dobré pokračovat následovně:
  • Smazat globální šablonu NORMAL.DOT v případě Wordu, či vyprázdnit adresář XLStart v případě Excelu.
  • Spustit Word, Excel - podle situace.
  • Antivirovou ochranu maker opět aktivovat.
  • V případě, že se u libovolného otevíraného dokumentu zobrazí dialog informující o existenci maker, zvolit "zakázat makra" a dokument uložit ve formátu RTF (tj. menu Soubor/Uložit jako…/ - typ souboru: RTF).

    Převodem do formátu RTF jsou odstraněna veškerá makra z dokumentu, tedy i případná makra viru.

    Ani formát RTF nemusí být vždy bezpečný, představte si podsunutý Wordovský dokument s příponou RTF :)

    Většina dnešních makrovirů využívá techniku "Class", díky níž ukládají svoje tělo do modulu ThisDocument (Word 97/2000) či ThisWorkBook (Excel 97/2000). To má za následek, že makra viru nejsou vidět v menu Nástroje/Makro. Tělo takového makroviru lze snadno odhalit přes menu Nástroje/Makro/Editor jazyka Visual Basic, kde stačí "poklepat" myší na objekt ThisDocument popřípadě ThisWorkBook.