Программа Macros Hunter for MS Word 97/2000/XP/2003

Содержание:

  1. Предисловие
  2. Назначение
  3. Системные требования
  4. Состав
  5. Установка
  6. Удаление
  7. Восcтановление
  8. Руководство
    1. Панель управления
    2. Окно обнаружения нового макроса
    3. База макросов
    4. Окно Настроек программы
    5. Карантин
  9. Особенности
    1. антивирус Касперского
    2. Norton AntiVirus 2002
  10. Глюки


  1. Предисловие

Возврат к содержанию

Что заставило меня написать эту программу?

Наткнувшись случайно в одном из своих документов на макро вирус, я вдруг обнаружил, что больше половины файлов(около 200) уже заражено, не смотря на стоявший Norton AntiVirus 2000(мне еще повезло, у знакомого на работе этот самый NAV2000 посадил на карантин около 500 документов, при этом восстанавливать с карантина их отказался - сколько человеко\часов пропало зря можно только догадываться). Пошёл к другу и оказалось, что и AVP-шка с ним не справляется. Лень, как говорят, двигатель прогресса - не захотел я все 200 файлов чистить в ручную. Посидел, разобрался немного и написал прогу для конкретного вируса, потом немного дописал кода - вроде универсальная прога получилась. Наловил немного новых вирусов, подкорректировал программу. Данная программа не панацея, но пока она меня не подводила, а в случае, если заражение всё-таки произошло, это легко заметить.

Необходимо ли Вам ставить мою программу?

В принципе Вы можете поставить галочку в меню Сервис-Параметры-Общие-Защита от вирусов и они Вас беспокоить не будут (впрочем, как и полезные макросы). Но если Вам интересно взглянуть на вирус своими глазами или неохота каждый раз в слепую гадать, разрешить работу макросу или нет, я думаю, программой Macros Hunter Вам стоит воспользоваться.


  • Назначение

    • Возврат к содержанию

    Программа Macros Hunter for MS Word предназначена для обнаружения неизвестных макросов в документах MS Word и является фильтром, разрешая работу полезных макросов и удаляя макровирусы. Кроме того, программа позволяет создать библиотеку макросов, как вредных, так и полезных (актуально для тех, кто много пишет на VBA или работает с чужими макросами).


  • Системные требования

    • Возврат к содержанию

    Для работы программы достаточно любого компьютера на котором установлен MS Word 97/2000/XP/2003.


  • Состав

    • Возврат к содержанию

    В состав программы входят следующие файлы:

    1. FormLogo.frm
    2. FormLogo.frx
    3. FormDB.frm
    4. FormDB.frx
    5. FormViewVirus.frm
    6. FormViewVirus.frx
    7. FormAnalis.frm
    8. FormAnalis.frx 
    9. Hunter.bas
    10. Restore.bas
    11. mbase.mhw
    12. mvirbase.mhw
    13. Burn-in Day.doc
    14. Install.doc
    15. help\README.htm

    Файлы начиная c 11 не обязательны для установки программы.

  • Установка

    • Возврат к содержанию

    Чтобы установить программу Macros Hunter for MS Word необходимо:

    Автоматическая установка программы
    1. Распаковать архив.
    2. Подготовить MS Word для установки программы, для этого:

      - пользователям Word 97, которые хотят, чтобы программа работала полноценно, рекомендую отключить опцию Сервис-Параметры-Общие-Защита от вирусов в макросах;

      - тем кто работает с Word 2000 и выше для корректной работы программы необходимо на закладке Сервис-Макрос-Безопасность-Уровень безопасности выбрать Низкая; на закладке Сервис-Макрос-Безопасность-Надёжные источники (издатели) поставить галочки на против опций Доверять доступ к Visual Basic Project и Доверять всем установленным надстройка и шаблонам.

    3. При открытии файла Install.doc макросы не отключать.
    4. Далее внимательно следовать инструкциям мастера установки программы.

      При установке программы предупреждение о том, что программа установки удалит все макросы находящиеся в модуле ThisDocument шаблона Normal.dot касается только тех, кто лично сохранял там МАКРОСЫ, остальные могут смело нажимать ДА.

    5. Проверить работу программы путём открытия любого документа в MS Word, перед открытием документа должно появиться окно с бегущей строкой (см. рис.1).
    6. Запустите файл Burn-in Day.doc и посмотрите как будет выглядеть программа в случае, если она содержит макрос.
    ВНИМАНИЕ: при установке программы на компьютер, на котором установлена программа Kaspersky Anti-Virus необходимо отключать (или не устанавливать) компонент антивируса Kaspersky Office Guard. Поскольку данный компонент отключает некоторые функции VBA используемые программой Macros Hunter.

    Ручная установка программы

    В случае, если файла Install.doc нет, но файлы с 1 по 10 в наличии (см. Состав) (или по каким либо причинам в автоматическом режиме установка не получается)- можно в ручную установить программу. Для этого необходимо:

    1. Через меню 'Сервис-Макрос-Редактор Visual Basic' выйти в редактор Visual Basic.
    2. Включить через меню 'Вид-Окно проекта'.
    3. Выделить в окне проекта правой клавишей проект Normal.
    4. В появившемся меню выбрать 'Импорт файла …'.
    5. Найти файл FormLogo.frm, выделить его и нажать кнопку 'Открыть'.
    6. Аналогичные действия произвести с файлами FormViewVirus.frm, FormDB.frm, FormAnalis.frm, DirOpen.bas, Restore.bas и Hunter.bas.
    7. Открыть в блакноте файл Restore.bas и путём копирования и вставки добавить из него текст в модуль ThisDocument проекта Normal.
    8. Сохранить все внесённые изменения и ОБЯЗАТЕЛЬНО перезапустить Word.
    9. Пользуйтесь на здоровье!!!



  • Удаление

    • Возврат к содержанию

    Чтобы удалить программу Macros Hunter for MS Word необходимо открыть файл Install.doc и нажать клавишу "Удалить". Второй способ - можно просто удальть файл C:\Program Files\Microsoft Office\ Шаблоны\Normal.dot (см. Особенности п.3) при этом Word должен быть закрыт. Но это в том случае, если у Вас в Normale нет нужных макросов. Третий способ - через меню 'Сервис-Макрос-Редактор Visual Basic' выйти в редактор Visual Basic и в проекте шаблона через правую клавишу по очереди удалить модули программы FormLogo, FormDB, FormViewVirus, FormAnalis, Hunter, Restore (см. пункт Установка) и текст макроса в модуле ThisDocument.

  • Воcстановление

    • Возврат к содержанию

    Если по каким - либо причинам программа перестала работать, то для её восстановления необходимо сначала произвести удаление программы с помощью файла Install.doc, а затем произвести повторную инсталяцию.


  • Руководство

    1. Панель управления
    2. Окно обнаружения нового макроса
    3. База макросов
    4. Окно Настроек программы
    5. Карантин

    Возврат к содержанию

    Программа Macros Hunter for MS Word использует средства Visual Basic for Application для обнаружения макросов в документе MS Word. О нормальной работе программы можно судить по окну с бегущей строкой, которое появляется при открытии документа (рис.1), если данное окно не появляется значит программа заражена макровирусом или в программе запрещено выполнение автоматических макросов. Однако не всегда, когда окно с бегущей строкой появляется можно утверждать, что заражения MS Word не произошло, поэтому иногда необходимо для профилактики пользоваться кнопкой Проверка на вирус всех документов или кнопкой Проверка активного шаблона.

    рис.1


    Панель управления программой Macros Hunter


    Назначение

    Кнопки
  • Проверка на вирус всех документов
  • Проверка текущего документа
  • Проверка активного шаблона
  • База макросов
  • Настройки программы
  • Просмотр отчёта
  • Импорт/Экспорт
  • Об авторах

    		•

     

    рис.2

    Назначение
    Панель управления предстовляет пользователю возможность работать с Базой макросов, настройками программы, просматривать отчёт, добавлять новые записи в Базу. Вид панели можно настраивать по своему вкусу. Если во время настройки Вы случайно удалили калавишу, то необходима удалить всю панель и перезагрузить Word - панель полностью востановиться.

    "Проверка на вирус всех документов"
    Клавиша позволяет в любое время произвести проверку всех открытых документов (при этом всегда будет происходить полная проверка), а также шаблона Normal.dot и если шаблон был повреждён или заражен, то программа востанавливает его. Целесообразно пользоваться этой функцией, если запрещено выполнение автоматических макросов (см. форму настроек программ рис.5) или, если окно с бегущей строкой (рис.1) перестало появляться.

    "Проверка текущего документа"
    Предназначена для проверки на наличие вирусов только активного документа.

    "Проверка активного шаблона"
    Предназначена для проверки на наличие вирусов и востановления шаблона, который является основным (по умолчанию Normal.dot).

    "База макросов"
    Данная кнопка вызывает Редактор Базы Макросов (рис.4).

    "Настройки программы"
    Вызывает форму Настроек программы (рис.5).

    "Просмотр отчёта"
    Отображает отчёт и текущий размер файла отчета. Сам файл расположен в корневой директории программы и называется report_hunter.txt.

    "Импорт/Экспорт"
    Вызывает форму экспорта/импорта записей в базу. Если эта кнопка не доступна, значит данный компонент не установлен.

    "Об авторах"
    Информация об авторах программы.

    Возврат к началу раздела


    Окно обнаружения нового макроса


    Назначение

    Кнопки
  • Запомнить нужный макрос
  • Запомнить как вирус
  • Анализ макроса
  • Удалить макрос
  • Помощь
  • Пропустить
  • Сохранять леченый документ автоматически

    		•

    рис.3

    Назначение
    При обнаружении нового макроса программа выводит на экран содержание макроса (рис.3) и предлагает пользователю определить является ли макрос полезным или это очередной вирус:

    "Запомнить нужный макрос"
    Данную кнопку необходимо нажать, если пользователь определит, что данный макрос является полезным . Далее ввести имя (оно может быть любым). Программа занесёт макрос в базу макросов как полезный макрос, при этом он останется в документе и при следующем запуске документа разрешит выполнить программу заложенную в макрос, сообщение в этом случае не выводится.

    "Запомнить как вирус"
    Необходимо нажать, если пользователь определит, что данный макрос является вирусом, затем ввести имя (оно может быть любым). В базе макросов он запишется как вредный макрос, при этом будет удалён из текущего документа и при следующем обнаружении подобного макроса произойдёт его удаление из документа, о чем будет выводится сообщение.

    "Анализ макроса"
    При нажатии на эту кнопку происходит анализ макроса на предмет определения, является ли он вирусом или нет, при значении оценки большей или равной 80% целесообразно макрос отмечать как макровирус.

    Рекомендации
    Если Вы сомневаетесь, является макрос вирусом или полезным макросом, пользуйтесь следующими правилами:
    1. Если в документе, который создали Вы появился макрос - 99% это вирус.
    2. Если Ваш знакомый дал Вам документ с полезным макросом, то он Вас об этом предупредит.
    3. Если Ваш знакомый дал Вам документ и в документе оказался макрос, о котором Вас не предупредили - 90% это вирус.
    4. Даже если Вы случайно отметили нужный макрос как макроврус, Вы можете восстановить его, открыв файл backup_hunter.txt (предварительно удалив запись из Базы макросов), расположенный в директории программы Macros Hunter.
    Подробнее о борьбе с макровирусами вручную можно почитать здесь.

    "Удалить макрос"
    Кнопка предусмотрена для случаев когда очевидно, что содержимое модуля Visual Basic является "мусором" типа "dfdfdfdfdfdfdf" и т.д. и заносить в базу макросов данный макрос не целесообразно. При нажатии этой кнопки модуль из документа просто удаляется.

    "Помощь"
    Предназначена для вывода файла справки.

    "Пропустить"
    При нажатии на данную кнопку ни каких изменений в Базе макросов не произойдет и макрос, который отображён на экране будет выполнен программой.

    Сохранять леченный документ автоматически
    Если включена данная опция, то после лечения документ сохраняется автоматически.

    Возврат к началу раздела

    Окно базы макросов


    Назначение

    Кнопки
  • Удалить
  • Изменить имя
  • Вирусы, Макросы
  • Записать данные
  • Показать макрос
  • Записать
  • Помощь
  • Закрыть

    		•

    рис.4

    Назначение
    Форма База макросов позволяет посмотреть содержание Базы (рис.4) и в случае необходимости изменить некоторые данные записи: описание макроса, название макроса в базе, если известен автор макроса ввести его имя, можно ввести название темы или удалить не нужные записи. Физически База макросов представляет собой два файла в корневой директории программы Macros Hunter - mbase.mhw и mvirbase.mhw.

    "Удалить"
    Кнопка предназначена для удаления учётной записи макроса из Базы макросов, т.е. если макрос, который был сопоставлен с этой записью встретится в дальнейшем, то он будет отмечен как новый макрос.

    "Изменить имя"
    Эта кнопка меняет имя записи в Базе макросов на то, которое было записанно в поле Имя записи.

    Переключатели Вирусы, Макросы
    Данные переключатели переключают режимы просмотра записей в базе: Вирусы - отображает только макровирусы, Макросы - отображает только полезные макросы.

    "Записать данные"
    Кнопка необходима для записи изменений в полях Тема, Автор, Описание .

    "Показать макрос"
    При нажатии на данную кнопку будет показан код макроса запомненого в Базе макросов, если данный код сохранялся в Библиотеке макросов (см. Опции программы).

    "Записать"
    При нажатии на данную кнопку все изменения занесённые в базу будут сохранены в файле Базы макросов.

    "Помощь"
    Предназначена для вывода файла справки.

    "Закрыть"
    Закрывает окно Базы макросов без сохранения настроек.

    Возврат к началу раздела

    Окно Настроек программы


    Назначение

    Настройки
  • Сохранять макросы в библиотеку
  • Удалять макрос из библиотеки при удалении макроса из Базы
  • Проверка на вирус
  • Скорость Logo
  • Разрешить выполнение автоматических макросов
  • Вести файл отчета
  • Сохранять леченный документ автоматически
  • Всегда делать полную проверку шаблона
  • Ключевое слово

    Кнопки
  • Применить
  • Помощь
  • Закрыть

    		•

    рис.5

    Назначение
    Окно Настройки программы позволяет изменять настройки программы (рис.5) и состоит из разделов Путь к базе макросов, Проверка на вирус, Скорость Logo, а также различные дополнительные настройки.

    Сохранять макросы в библиотеку
    Определяет будут ли схранятся исходные тексты кода макросов на диске или нет. Файлы сохраняются в директории программы в папке Library и в Library\zoo сохраняется код макровирусов.

    Удалять макрос из библиотеки при удалении макроса из Базы
    Здесь определяется удалять ли файл исходного кода макроса из библиотеке при удалении учётной записи данного макроса.

    Проверка на вирус
    Здесь можно настроить прядок проверки документов на наличие макровирусов.

    Скорость Logo
    Данная настройка предусмотрена для того, чтобы на быстрых машинах форма сканирования документа не пробегала слишком быстро и наоборот, чтобы на медленных машинах программа не тормозила.

    Разрешить выполнение автоматических макросов
    Отключение данной опции приводит к тому, что ни один макрос автоматически в Word не запустится, это также касается и автоматической проверки на вирус. Получается, если она включена, антивирус автоматически проверяет документ, но тогда нет 100% гарантии, что какой-нибудь хитрый вирус не обойдёт антивирус. При выключенной функции проверка автоматически не проводится и пользователю каждый раз придется нажимать кнопку "Проверка на вирус всех документов", но при этом ни один вирус сам не запустится, что лучше решать Вам.

    Вести файл отчета
    Если настройка включена, то ведётся файл отчёта, кторый можно посмотреть нажав на панели управления программы (см. рис.2) кнопку Просмотр отчёта. Файл находится в корневой директории программы и называется report_hunter.txt.

    Сохранять леченный документ автоматически
    Если включена данная опция, то после лечения документ сохраняется автоматически.

    Всегда делать полную проверку шаблона
    При выключенной опции значительно увеличивается скорость проверки шаблона, т.к. проверяются только неизвестные модули.

    Ключевое слово
    Данная опция полезна тем, кто пишет программы на VBA и нехочет, чтобы его программа на стадии разработки каждый раз проверялась. Чтобы воспользоваться данной опцией необходимо набрать любое сочетание букв, далее в том модуле, который не нужно проверять в ПЕРВОЙ строке через символ ремарки необходимо вставить тоже самое сочетание букв. Например Вы набрали we~23#@#, значит в модуле необходимо вставить 'we~23#@#.

    "Применить"
    При нажатии на данную кнопку все изменения в опциях программы примут силу.

    "Помощь"
    Предназначена для вывода файла справки.

    "Закрыть"
    Закрывает окно настроек программы без сохранения настроек.

    Возврат к началу раздела


    Карантин

    Карантин предназначен для того, чтобы бороться с вирусами защищёнными раролем проекта VBA. В случае открытия документа проект которого защищён паролем, программа выводит окно (рис.6), в котором предлагает пользователю следующие варианты:
    1. При нажатии ДА документ будет преобразован в безопасный формат.
    2. При нажатии НЕТ документ будет закрыт и перемещён на карантин.
    3. При нажатии ОТМЕНА документ будет открыт без изменений.

    рис.6


    В певом случае документ будет преобразован в формат RTF, т.к. при преобразовании в RTF формат некоторые данные могут быть потеряны оригинал документа помещается на карантин.
    Во втором случае документ не открывается и просто перемещается на карантин.
    В третьем случае документ будет открыт без каких либо изменений.

    Все документы помещенные на карантин можно найти в папке quarantine, которая расположена в директории программы Macros Hunter.

    Возврат к началу раздела

    Особенности

    Возврат к содержанию

    1. База макросов располагается в корневой директории программы Macros Hunter в файлах mbase.mhw и mvirbase.mhw. Пополняется она автоматически после обнаружения Вами новых макро вирусов в документах MS Word. При отсутствии базы она создаётся автоматически. Если структура файлов базы окажется нарушенной, то файлы будут удалены и база будет создана заново.
    2. При добавлении нового вируса в базу происходит автоматическая запись тела вируса в файл backup_hunter.txt, который расположен в корневой директории программы Macros Hunter, эта функция может пригодиться, когда Вы по ошибке занесли полезный макрос в базу как вирус.
    3. Иногда, для повышения стойкости программы Macros Hunter for MS Word, имеет смысл в файле normal.dot включить атрибут "Только для чтения", но в данном случае новые настройки MS Word сохранятся не будут.
      Путь к Normal.dot:
      в office 97 : C:\Program Files\Microsoft Office\Templates (Шаблоны)
      в office 2000 : C:\Windows\Application Data\Microsoft\Templates (Шаблоны)
      в office XP : C:\Windows\Application Data\Microsoft\Templates (Шаблоны)
      Для русской верси Word папка Templates имеет название Шаблоны.
      Для Windows 2000/XP Normal.dot расположен: D:\Documents and Settings\(логин пользователя)\Application Data\Microsoft\Templates.
    4. Для гарантированной установки модули программы файла Install.doc защищены паролем - "1".
    5. Если после лечения документа при нажатии на кнопки панели управления MS Word появляется надпись "Процедура Sub или Function не определена" необходимо перезапустить MS Word. Вызвано это тем, что некоторые вирусы переопределяют стандартные функции Word, а после удаления вируса Word переопределённую функцию найти не может.
    6. При установке программы на компьютер, на котором установлена программа Kaspersky Anti-Virus необходимо отключать (или не устанавливать) компонент антивируса Kaspersky Office Guard. Поскольку данный компонент отключает некоторые функции VBA используемые программой Macros Hunter.

    7. Могут возникнуть проблемы при работе программы на компьютерах с установленным антивирусом: Norton Antivirus 2002. Так как Macros Hunter для борьбы с вирусами пользуется методами самих вирусов, то данный антивирус опознает его как вирус или запрещают работу некоторых функций. Для работы программы совместно с Norton Antivirus 2002 необходимо отключить работу манитора и убрать галочку в настойках NAV2002 отвечающую за работу с приложениями Office.

      Просьба, зараженные файлы присылать по адресу machunter@narod.ru для изучения вирусов и модернизации программы.


    1. Глюки

      Возврат к содержанию

      1. После удаления макровируса из документа в документе остаётся информация о том, что макрос все равно присутствует (справедливо только для Word 97). Это приводит к тому, что после лечения документа при его открытии программа Word выдаёт информацию о присутствии в документе макросов (если в Word-е включена защита от макросов - я её отключаю).
      2. Иногда происходит зависание в леченных AVPешкой документах (справедливо для старой версии AVP) т.к. старый AVP не удалял модули и текст макроса, а производил замену символов программы на безопасный код оставляя при этом оператор End (очень коварный оператор:-). В случае зависания необходимо нажать на клавиатуре Ctrl+Break далее нажать клавишу "Завершить" и удалить леченый макрос через кнопку "Проверка на вирус всех документов".
      3. В Word 2000/XP не удаляется панель управления программой Macros Hunter.

      Macros Hunter for MS Word поставляется КАК ЕСТЬ и является скорее экспериментом нежели готовым программным продуктом.

      Пишите письма. Всегда выслушаю Ваши предложения.

      e-mail:machunter@narod.ru

      www.machunter.narod.ru

      г 2002 Averkov Oleg

    Hosted by uCoz