Makrovirukset

Makrovirukset ovat sovellusohjelmaviruksia, jotka leviävät sovellusohjelmatiedostojen mukana. Sovellusohjelmatiedostoja, joiden mukana makrovirukset tavallisimmin leviävät, ovat Word- dokumentit ja Excel-työkirjat. Tietenkin muutamissa muissakin sovellusohjelmatiedostoissa voi esiintyä makroviruksia, mutta niitä esiintyy huomattavasti harvemmin. Muita sovellusohjelma-tiedostoja, joissa makrovirukset viihtyvät, ovat muun muassa LotusAmi Pro-tiedostot ja joidenkin Corel-ohjelmien tiedostot. Makrovirukset ovat nimensä mukaisesti kirjoitettu kyseisen sovellusohjelman makrokielellä.

Ohjelmistoriippuvuutensa vuoksi makrovirukset toimivat vain tiettyjen sovellusohjelmistojen yhteydessä. MS-Office-ohjelmistoperhe käyttää makrokielenä VBA (Visual Basic for Applications)-kieltä, joka on ohjelmointikielenä niin kehittynyt, että sillä voi tehdä todella tuhoisiakin viruksia. VBA on helppoutensa ja MSOffice-ohjelmien levinneisyyden vuoksi todella suosittu makrovirusten kirjoittamiskieli.

Vaikka makrovirukset ovat sovellusriippuvaisia, niin ne eivät ole välttämättä käyttöjärjestelmä riippuvaisia. Jotkin makroviruksista toimivat sekä Windows-ympäristössä että Macintosh-ympäristössä. Makroviruksia ei nykyään liiku enää kovin paljon, koska virusten kirjoittajat ovat siirtyneet "tehokkaampien" VB-Script pohjaisten matojen kirjoittamiseen.

WordMacro/CAP

CAP-viruksille on tyypillistä, että ne pyrkivät tartuttamaan useita erilaisia makroja, joita ajetaan dokumentin tallennuksen, avaamisen ja sulkemisen yhteydessä. CAP-viruksille on myös tyypillistä se, että virus tallentaa tiedoston aina DOC-tyyppiseksi riippumatta käyttäjän valitsemasta tiedostotyypistä. Dokumentti nimetään kylläkin käyttäjän haluamalle päätteelle, mutta siitä huolimatta dokumentin sisältö säilyy DOC-tyyppisenä. Makrovirusten välttely tallentamalla dokumentit RTF-tyyppiseksi ei välttämättä toimi, jos dokumentteihin on tarttunut CAP-tyyppinen virus.

CAP-virus tuhoaa muut dokumentin makrot tarttuessaan dokumenttiin, mutta ei aiheuta dokumenttien tietojen tuhoamista. CAP-tyyppisen viruksen poistaminen on yleensä kohtuullisen tuskatonta ja sen saan pois esimerkiksi F-Securen virustorjuntaohjelmilla.

WordMacro/Melissa

Melissa niminen Wordin makrovirus havaittiin ensimmäisen kerran maaliskuun 26. päivänä 1999. Melissa oli levinnyt ympäri maailmaan jo muutama tunti havaitsemisensa jälkeen ja sitä pidetäänkin siihen astisista viruksesta nopeimmin levinneenä.

Melissa-viruksen sanotaan levinneen LIST.DOC tiedoston mukana, jonka piti sisältää salasanoja "aikuisten palveluihin". Melissan hurjan leviämisnopeuden selittää se, että virus pystyi lähettämään itseään eteenpäin. Aktivoituessaan Melissa-virus lähetti tartuttamansa dokumentin viiteenkymmeneen osoitteeseen, jotka löytyivät käyttäjän MS-Outlook sähköpostiohjelman osoitteistosta.

Aktivoituessaan virus muokkasi käyttäjän dokumentteja lisäämällä omia kommenttejaan niihin. Suuret yhtiöt, kuten esimerkiksi Microsoft, reagoivat viruksen havaitessaan sulkemalla koko sähköpostijärjestelmänsä. Yhtiöiden harmiksi Melissa pystyi lähettämään salaisiksi luokiteltavia dokumentteja paikkoihin, joihin niitä ei saanut joutua.

Käyttäjien kommentit

Kommentoi tätä sivua Lisää uusi kommentti
Kurssimateriaalien käyttäminen kaupallisiin tarkoituksiin tai opetusmateriaalina ilman lupaa on ehdottomasti kielletty!
http://appro.mit.jyu.fi/doc/tyovaline/virus/index4.html
© Antti Ekonoja (anjoekon@jyu.fi) <http://users.jyu.fi/~anjoekon/>
Tommi Lahtonen (tommi.j.lahtonen@jyu.fi) <http://hazor.iki.fi/>
Jukka Mäntylä (jmantyla@iki.fi) <http://www.iki.fi/jmantyla/>
2003-09-23 15:25:33
Informaatioteknologia - Jyväskylän yliopiston IT-tiedekunta ja avoin yliopisto