Makrovirus ei pohjimmiltaan eroa tiedosto- ja levykeviruksesta mitenkään, sekin on ohjelmakoodia, joka suoritetaan. Makrovirus vain ei ole enää tietokoneen konekielinen ohjelma, vaan se on jokin sovellusohjelman käyttämällä makrokielellä tehty ohjelma, joka toimii siten vain tämän ohjelman alla.
Ylivoimaisesti suosituin alusta makroviruksille on Microsoftin Office-paketti ja sieltä Word. Tälle seikalle on kaksi syytä: ensinnäkin kyseessä on varmasti levinnein toimistosovellus maailmassa ja toisekseen Officen käyttämä makrokieli sisältää sellaisia ominaisuuksia, joilla voidaan suorittaa makroja automaattisesti. Tämä tapahtuu esimerkiksi antamalla makrolle nimeksi "AutoOpen". Tällöin makro käynnistetään automaattisesti kun makron sisältämä dokumentti avataan. Muitakin keinoja on.
Koska Word-tiedostot pohjautuvat aina johonkin pohjaan (template)
ja joista yleisimmin on käytössä pohja nimeltään NORMAL.DOT,
on makrovirukselle luontevin paikka tarttua juuri tämä tiedosto.
Tällöin voi yrittää estää virusten tarttumista
kirjoitussuojaamalla tämän tiedoston. Tosin tällöin siihen ei
voi tehdä muitakaan muutoksia ja on olemassa viruksia, jotka
osaavat kiertää tämän.
Luontevin tapa saada makrovirus koneeseensa, on sähköpostin tiedostoliite. Jos saat tiedostoliitteen joltakulta, sitä ei todellakaan ole syytä rynnätä suin päin avaamaan. Toisaalta muutenkin Word-dokumenttien lähettämistä sähköpostiliitteinä kannattaisi välttää ja jos on pakko lähettää tiedostoliite, sitten käyttää jotakin yleisesti tunnettua formaattia, kuten RTF.
Makroviruksien varalle Officen ohjelmissa on nykyisin varoitus, jos asiakirja sisältää makroja:
Tässä on vaan se ongelma, että jos asiakirjassa on valmiiksi
makroja, näidenkin suorittaminen estyy, jos makroja ei oteta käyttöön.
Kuitenkin varoitus on riittävä, jos asiakirjan ei pitäisi sisältää
makroja. Tosin jos vastaat tässä "Ota makrot käyttöön",
usea makrovirus estää seuraavalla kerralla tämän viestin näkymisen.
(Huomasit varmaan, että rasti ruutuun-valinnalla voidaan määrätä
tämä)
Office97:ssä tämä asetus on valmiiksi päällä, mutta asia on varmistettavissa Työkalut - asetukset... - valinnan kautta:
Kohdassa "Makrojen virussuojaus" pitää olla rasti.
Melissa on varmaankin yksi maailman nopeimmin levinneistä
viruksista. Se levisi uskomattoman nopeasti ympäri maapalloa,
kyse oli vain tunneista sen ensimmäisen havainnon jälkeen.
Melissaa levitettiin aluperin sähköpostiviestissä, jossa oli
liitteenä LIST.DOC-niminen Word-dokumentti. Tässä
liitteessä oli tekstinä salasanoja erilaisiin seksipalvelimiin
ja makrona Melissa-virus:
From: (saastutetun käyttäjän nimi) Subject: Important Message From (saastutetun käyttäjän nimi) To: (50 nimeä alias-listasta) Here is that document you asked for ... don't show anyone else ;-) Attachment: LIST.DOC |
Käynnistyessään Melissa sotkee käyttäjän dokumentteja Simpsoneista lainatuilla sitaateilla. Jos käyttäjällä on koneessaan Outlook-sähköpostiohjelma ja siellä osoitekirjassa osoitteita, Melissa lähettää LIST.DOC-tiedoston heillekin liitteenään. Huomaa, että Melissa ymmärtää vain Outlookin (ei edes Outlook Expressin) osoitteet. Lisäksi Melissa tarttuu kaikkiin tämän dokumentin jälkeen avattuihin Word-dokumentteihin. Melissa aktivoituu silloin kun saastunutta dokumenttia käytettäessä kellonajan minuutit ovat samat kuin päiväys. (esimerkisi 6.3. ja klo 15.06)
Melissasta on runsaasti erilaisia variaatioita liikkeellä, jotka toimivat huomattavasti eri tavoin kuin alkuperäinen Melissa. Oikeastaan makroviruksista onkin helpompi tehdä variaatioita kuin perinteisistä viruksista. Makrovirusten kanssa kun ei tarvitse hallita laitteen konekieltä, vaan "normaali" ohjelmointikielten (makrokielen) hallinta riittää. Näin ollen virusten laatimisen kynnys on selvästi laskenut.1
Papa on jokseenkin samanlainen virus kuin Melissakin. Se saapuu tiedostoliitteenä, tällä kertaa Excel-tiedostona:
Papa leviää kuten Melissakin Outlookin sähköpostilistojen mukana. Liitteessä mainitaan osoite all.net, jonka haltijalla ei ole mitään tekemistä tämän viruksen kanssa.