Спроба позбутися від макрокомандних вірусів шляхом видалення з диска всіх файлів офісних документів не буде мати успіху, тому що такі віруси можуть записати себе й у файли шаблонів офісних документів.

Крім того, макрокомандні віруси можуть залишити в системі віруси або шкідливі об'єкти будь-яких інших типів.

1.2.3 Файли інтерпртованих програм

Всі комп'ютерні програми можна розділити на ті, що виконуються й інтерпретовані програми.

Програми, що виконуються, містять код, що призначений для безпосереднього виконання центральним процесором комп'ютера.

Що ж стосується інтерпретованих програм, то вони являють собою текстові файли (або фрагменти тексту, убудовані в офісні документи), які виконуються, а точніше кажучи, інтерпретуються за допомогою спеціальної програми. Така програма називається інтерпретатором.

Інтерпретовані програми складаються на таких мовах програмування, як Basic, Java, JavaScript, VB Script, Visual Basic for Application і ін. Крім того, пакетні файли, що містять команди ОС, також можна розглядати як інтерпретовані програми.

Якщо інтерпретована програма записана у файлі, то цей файл може стати об'єктом атаки комп'ютерного вірусу або шкідливої програми іншого типу.

Вірус може записати свій код усередину такого файлу, у результаті чого він одержить керування при запуску інтерпретуємої програми.

Комп'ютерний вірус може поширюватися через файли інтерпретуємих програм, у тому числі через командні файли ОС NT.

Користувач звичайно сам запускає інтерпретовані програми явним або неявним чином. Неявний запуск макрокоманд відбувається при завантаженні для редагування офісних документів. Макрокоманди документів Microsoft Office є ні що інше, як інтерпретовані програми мовою Microsoft Visual BasicApplication.

1.2.4 Завантажувальні сектори дисків і дискет

Насамперед, на першому етапі програма завантаження, записана в постійній пам'яті комп'ютера BIOS, зчитує вміст першого сектора дискети або диска (залежно від способу завантаження), де перебуває завантажувальний сектор.

У завантажувальному секторі теж є програма завантаження, що виконується на другому етапі. Ця програма призначена для завантаження ОС NT.

Програма завантаження з першого сектора диска або дискети завантажує й запускає завантажник ОС, що включається в роботу на третьому етапі.

Модифікуючи вміст перших секторів дискет і дисків, завантажувальні й комбіновані файлово-завантажувальні віруси можуть перехопити керування на другому або третьому етапі завантаження ОС NT. Якщо це відбудеться, вірус одержить керування до моменту завантаження ОС і зможе контролювати як процес завантаження, так і операції, виконувані системними модулями Windows NT.

Завантажувальні й файлово-завантажувальні віруси поширюються разом з дискетами, коли користувач намагається завантажити комп'ютер із зараженої дискети.

Якщо до користувача потрапила дискета, заражена завантажувальним вірусом, він може випадково або навмисно завантажити з її ОС (наприклад, за допомогою комбінації клавіш Control+Alt+Delete, за допомогою кнопки скидання, або будь-яким іншим способом).

Це часто відбувається, якщо користувач забуває вийняти дискету з комп'ютера після завершення роботи. Включивши комп'ютер на інший день, він може, не бажаючи цього, виконати спробу завантаження із забутої дискети.

У результаті завантажувальний вірус одержить керування, запише свій код у завантажувальний сектор жорсткого диска комп'ютера, і надалі буде заражати всі дискети, з яким працює користувач. Зараження відбудеться навіть у тому випадку, якщо користувач не копіював жодного файлу з дискети.

Якщо вірус володіє тільки властивостями завантажувального вірусу, то він здатний поширюватися лише через завантажувальні записи дискет. Однак файлово-завантажувальні віруси можуть поширюватися й через файли, тому вони можуть поширюватися швидше завантажувальних вірусів.

Крім того, завантажувальні й файлово-завантажувальні віруси можуть потрапити на комп'ютер у результаті дії вірусів і шкідливих об'єктів іншого типу.

Помітимо, що механізм завантаження ОС NT із застосуванням завантажувальних секторів допускає одночасне зараження комп'ютера відразу декількома різними завантажувальними й файлово-загрузочними вірусами.

1.2.5 Повідомлення електронної пошти

По каналах електронної пошти поширюються звичайні віруси, Worm, троянські програми, програми Backdoor, а також поштові віруси, створені спеціально для поширення через системи електронної пошти.

Сьогодні електронна пошта служить основним каналом поширення шкідливих програм самих різних типів. По цих каналах не поширюються хіба лише завантажувальні вірусиале комбіновані файлово-завантажувальні поширюються).

Електронна пошта є каналом поширення шкідливих програм практично будь-яких типів

Шкідливі об'єкти можуть впроваджуватися в поштові повідомлення такими способами:

у вигляді файлів, що вкладені;

у вигляді зсилок на шкідливі об’єкти ActiveX чи аплети Java;

у вигляді конструкцій, які є скриптами HTML.

Якщо вірус потрапив на комп'ютер користувача у вигляді приєднаного файлу, то для його активізації користувач повинен витягти й запустити такий файл на виконання.

Багато користувачів запускають приєднані файли, не замислюючись про наслідки.

Відправники поштових вірусів часто маскують дійсне призначення приєднаних файлів, вибираючи для них таке ім'я, що потенційно може викликати в користувача інтерес. Такі поштові повідомлення називаються троянськими поштовими повідомленнями.

Особливості настроювання й помилки в програмному забезпеченні поштового клієнта, а також помилки в ОС NT приводять до того, що деякі шкідливі об'єкти, впроваджені в поштові повідомлення, активізуються відразу після перегляду повідомлення.

При цьому користувач може й не виконувати ніяких спеціальних дій. При наявності помилок у поштовому клієнті й в ОС вірус може активізуватися навіть у процесі перегляду заголовків повідомлень електронної пошти.

Поштові віруси можуть самі розсилати себе по адресах, витягнутим з адресної книги поштової програми клієнта.

Збільшення вихідного трафіка електронної пошти може свідчити про те, що на комп'ютері активізувався поштовий вірус, що розсилає свій код по адресах, узятих із записної книги користувача або з інших джерел.

1.2.6 Файлообмінні мережі

Існують віруси та інші шкідливі програми, спеціально призначені для мереж обміну файлами (файлообмінними й пірінговыми мережами) між комп'ютерами користувачів Інтернету, такими як Kazaa, Windows Messenger, ICQ та ін.

Ці віруси створюють ситуацію, при якій користувач мережі копіює із зараженого вузла файл шкідливої програми. При цьому система пошуку файлів модифікується таким чином, щоб