Прошел почти год с того момента, как появился первый вирус в Microsoft Word. Недавно появился и уже обнаружен в нескольких странах вирус в Microsoft Excel. Новый вирус, получивший название Laroux, заражает XLS-файлы (электронные таблицы Excel), но к счастью, не несет в себе никаких опасных функций.
Следует отметить, что вирусов для MS Word уже около тридцати. Будет ли вспышка вирусов для MS Excel столь же грандиозной?
Проверить систему на наличие вируса несложно. Если вирус уже проник в компьютер, то в каталоге Excel должен присутствовать файл PERSONAL.XLS (если, конечно же, Вы сами его там не создавали), а в зараженных файлах видна строка "laroux" (маленькими буквами без кавычек).
Как и у Word-вирусов, принцип действия Laroux основывается на наличии в файлах так называемых макросов - программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS Word, и, как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы.
Специалистам по антивирусным программам потребовалось примерно полгода, чтобы разобраться с форматами MS Word и научиться находить и лечить вирусы для Word. Сколько потребуется времени для такой же работы с Excel пока непонятно, поскольку внутренний формат Excel в несколько раз сложнее формата Word, а формат данных встроенного в Excel языка Basic на порядок сложнее, чем в Word.
В фирме Kami специалисты отдела Евгения Касперского ведут борьбу с новым вирусом, но она еще не завершена, поскольку задача оказалась довольно сложной. (Насколько известно, специалисты из других антивирусных компаний пока тоже разводят руками.) Скорее всего, сначала будет выпущена специальная вакцина, предотвращающая заражение компьютера новым вирусом и уничтожающая уже существующий в системе вирус.
Телефон фирмы Kami:
(095) 494-4311.
E-mail: avpsales@kamis.msk. su.
WWW: http://www.kamiu.ru.
FIDO: AVP.SUPPORT.
Н. К.
Macro.Excel.Laroux
Вирус содержит два макроса: auto_open и check_files.
При открытии заражённого файла Excel автоматически выполняется auto_open. В вирусе макрос auto_open содержит всего одну команду, которая определяет макрос check_files как выполняемый при активизации любой таблицы (Sheet). Таким образом, при активизировании таблицы заражённый Excel вызывает макрос check_files, т. е. код вируса.
Получив управление, макрос check_files ищет файл
PERSONAL.XLS в каталоге запуска Excel (Startup Directory) и проверяет количество модулей в текущем WorkBook.
Если активным является WorkBook с вирусом и файл PERSONAL.XLS не существует (первое заражение), то вирус c помощью команды save as создаёт в каталоге запуска Excel файл PERSONAL.XLS. В результате из текущего файла код вируса записывается в файл PERSONAL.XLS. И при очередной загрузке Excel считает файл PERSONAL.XLS, вирус опять получит управление и при открытии таблиц будет вызываться макрос check_files из PERSONAL.XLS.
Если же количество модулей в текущем WorkBook равно 0 (заражённый WorkBook не является активным) и файл PERSONAL.XLS уже существует, то вирус переписывает свой код в активный WorkBook. После этого активный WorkBook становится заражённым.
