Как найти и обезвредить вредоносный код в PowerPoint (.pptm): практическое руководство

Автор На чтение 11 мин Просмотров 2 Опубликовано

Вы получили презентацию от партнера, из интернета или даже от коллеги, но файл имеет странное расширение .pptm, и антивирус молчит. Первое желание — просто открыть и посмотреть. Остановитесь. Файлы формата .pptm — это именно та категория документов, где чаще всего прячутся самые коварные вирусы. В отличие от обычных .pptx, которые содержат только картинки и текст, .pptm — это презентации с поддержкой макросов. А макросы — это исполняемый код, способный управлять вашим компьютером.

В этой статье я не буду грузить вас теорией о том, что такое VBA или COM-объекты. Я расскажу, как на практике, своими силами и без покупки дорогого софта, проверить презентацию на наличие вредоносных элементов, как отличить легитимный файл от опасного и что делать, если сомнений не осталось.

Содержание
  1. Почему именно .pptm так опасны?
  2. Первичная диагностика: что видно без открытия файла
  3. 1. Проверка цифровой подписи
  4. 2. Аномальное поведение имен файлов
  5. 3. Анализ размера файла
  6. Как проверить файл, не запуская его в системе
  7. Виртуальная машина или «Песочница»
  8. Онлайн-сканеры (VirusTotal)
  9. Глубокий разбор: смотрим внутрь файла
  10. 1. Папка vbaProject.bin
  11. 2. Папка ppt/macros
  12. 3. Скрытые объекты
  13. Сравнительный анализ: как отличить нормальный макрос от вируса
  14. Частые ошибки при проверке
  15. Сценарии: что делать в вашей ситуации
  16. Сценарий 1: Файл пришел от проверенного партнера
  17. Сценарий 2: Файл пришел от неизвестного лица (подозрительно)
  18. Сценарий 3: Вы автор презентации, и вам нужно защитить свой файл
  19. Пошаговая инструкция: как безопасно открыть файл
  20. Защита в будущем: как настроить PowerPoint
  21. Итог: что делать прямо сейчас

Почему именно .pptm так опасны?

Чтобы понять, как искать угрозу, нужно понимать природу файла. Формат .pptx по умолчанию не поддерживает макросы. Если вы сохраните файл с кодом в этом формате, код будет вырезан. Формат .pptm (M — macro-enabled) создан специально для автоматизации: например, для создания интерактивных кнопок, автоматического обновления графиков из Excel или сложной анимации.

Проблема в том, что злоумышленники пользуются этой же функцией. Они упаковывают в презентацию скрипт, который:

  • Скачивает и устанавливает трояны или программы-шифровальщики.
  • Крадет пароли и сохраненные в браузере данные.
  • Превращает ваш компьютер в часть ботнета.
  • Шифрует документы на жестком диске.

Опасность .pptm в том, что для запуска атаки часто достаточно просто открыть файл и нажать кнопку «Включить содержимое» (Enable Content), которая всплывает желтой полосой под меню. Именно этот момент — ключевой. Если макросов нет, эта кнопка не появится. Если она есть — риск уже существует.

Первичная диагностика: что видно без открытия файла

Прежде чем запускать файл, проведите визуальную разведку. Это часто позволяет отсеять 50% угроз, не затрагивая систему.

1. Проверка цифровой подписи

Безопасные корпоративные презентации часто подписываются цифровой подписью. Это гарантия того, что файл создан доверенным источником и не был изменен.

Как проверить:

  1. Нажмите правой кнопкой мыши на файл .pptm.
  2. Выберите Свойства.
  3. Перейдите на вкладку Цифровые подписи.

Если этой вкладки нет — файл не подписан. Это не значит, что он точно вирус, но это значит, что вы не можете подтвердить авторство. Если вкладка есть, нажмите на название подписи и выберите «Сведения». Проверьте статус: он должен быть «Эта цифровая подпись верна». Если статус «Неизвестный» или есть предупреждения — файл подозрителен.

2. Аномальное поведение имен файлов

Злоумышленники часто используют социальную инженерию. Исследования показывают, что наиболее частые названия для зараженных файлов — «Счет_123.pptm», «Финансовый отчет.pptm» или «Оповещение.pptm». Если файл называется «Презентация.pptm» или содержит много точек и странных символов (например, invoice_v2_final_final.pptm), это повод для настороженности.

3. Анализ размера файла

Это простой, но работающий метод. Обычная презентация с картинками весит от 1 до 10 МБ. Если вы видите файл весом 40–50 МБ, но в нем всего 5 слайдов с текстом — внутри спрятан вредоносный модуль (например, загрузчик вируса) или скомпрометированное медиа-содержимое. Также подозрительно малый вес (менее 50 КБ), если файл должен содержать сложные данные — там может быть только код-загрузчик.

Как проверить файл, не запуская его в системе

Самый надежный способ — открыть файл в безопасной среде. Если вы не хотите возиться с виртуальными машинами, используйте онлайн-анализаторы.

Виртуальная машина или «Песочница»

Если у вас есть доступ к виртуальной машине (VirtualBox, VMware) без доступа к вашим реальным файлам и сети — это идеальное место. Откройте файл там. Если антивирус внутри ВМ не ругается, но в файле всплывает окно с предложением включить макросы — закрывайте файл. Легитимные презентации редко требуют включения макросов просто для просмотра.

Онлайн-сканеры (VirusTotal)

Не стоит полагаться на один антивирус. Используйте сервисы вроде VirusTotal. Загрузите туда файл .pptm. Он проверит его базой более 60 антивирусов сразу.

Важный нюанс: Если антивирусы молчат, это не гарантия безопасности. Новый вирус может не иметь сигнатуры (обновления для антивируса еще нет). Но если VirusTotal показывает хотя бы 2–3 красных поля — файл точно заражен. Не открывайте его.

Глубокий разбор: смотрим внутрь файла

Если файл прошел первичную проверку, но вы хотите быть уверены на 100%, можно заглянуть внутрь. PowerPoint хранит файлы в формате ZIP-архивов. Это позволяет нам увидеть структуру без запуска программы.

Инструкция по вскрытию:

  1. Сделайте копию файла .pptm.
  2. Переименуйте расширение копии с .pptm на .zip.
    (Система спросит подтверждение — соглашайтесь).
  3. Теперь откройте этот архив любым архиватором (7-Zip, WinRAR).

Что мы ищем внутри? В архиве нас интересуют папки, связанные с макросами.

1. Папка vbaProject.bin

Это сердце презентации. Она обычно находится по пути: ppt/vbaProject.bin. Если этот файл присутствует, значит, в презентации есть код. Сам по себе он не всегда опасен, но это подтверждает, что .pptm не пустой.

Если вы откроете этот файл текстовым редактором (Notepad++), вы увидите бинарный мусор. Но если вы видите там читаемые строки типа WinHTTP, Shell, Powershell, DownloadFile — это однозначный признак вредоносного кода. Легитимные макросы обычно обращаются к объектам Excel или Word, а не к системным утилитам.

2. Папка ppt/macros

В некоторых версиях структуры макросы могут быть разобраны иначе, но наличие папки macros внутри архива — это красный флаг для простой презентации.

3. Скрытые объекты

В папке ppt/media могут лежать файлы. Иногда вирусы маскируются под изображения или звуки. Если вы видите файл с расширением .exe, .dll или .ps1 внутри папки с картинками — это диверсия. Форматы изображений должны быть строго .jpg, .png, .gif.

Сравнительный анализ: как отличить нормальный макрос от вируса

Иногда макросы нужны. Например, для автоматического обновления цен в презентации из Excel. Как понять, что перед вами инструмент, а не оружие? Ниже таблица, которая поможет сориентироваться.

Критерий Безопасный макрос (Легитимный) Вредоносный макрос (Вирус)
Цель запуска Улучшение презентации: обновление слайдов, сложная анимация, интеграция с Excel. Требуется только при обновлении данных. Скрытые действия: скачивание файлов, изменение реестра, отправка писем, шифрование.
Поведение при открытии Макросы часто запускаются по кнопке на слайде или при нажатии определенной клавиши. Желтая полоса «Включить содержимое» может отсутствовать, если настройки безопасности стоят на высокий уровень. Макросы запускаются автоматически сразу после открытия файла (событие Auto_Open или Document_Open), независимо от действий пользователя.
Запрос прав доступа Происходит только при взаимодействии с другими файлами Office (например, «Открыть файл Excel»). Не запрашивает интернет. Попытки получить доступ к интернету, запуск командной строки (cmd) или PowerShell без видимой причины.
Код (через VBA) Использует понятные команды: Cells.Value, Shapes.AddShape. Код часто закомментирован и понятен. Использует команды: CreateObject("WScript.Shell"), WinHttp, RegWrite. Часто зашифрован или закодирован (Base64).
Имя файла Официальное название проекта, компании или документа. Набор цифр, случайный набор слов, или маскировка под системные файлы.

Частые ошибки при проверке

Даже опытные пользователи совершают ошибки, которые приводят к заражению. Вот чего делать категорически нельзя:

  • «Я просто отключу макросы и открою». Это работает, если вы откроете файл в обычном режиме. Но некоторые макросы могут быть встроены так, что отключение стандартной защиты не поможет, или они маскируются под изображения (OLE-объекты). Лучший вариант — не открывать файл с макросами, если вы не знаете автора.
  • «Антивирус в порядке». Не надейтесь слепо на антивирус. Вирус может быть новым (zero-day) или специально сконструированным так, чтобы обойти сигнатуры. Всегда проверяйте подозрительные файлы в песочнице или онлайн.
  • «Это не .exe, значит безопасно». Это главная ловушка. Файл .pptm — это легальный документ, в который вшит код. Для системы это не программа, а документ, и он запускается автоматически. Вредоносный код внутри .pptm может делать всё то же самое, что и .exe.
  • «Я удалил макросы, теперь всё ок». Если вы просто удалите макросы через редактор VBA, но оставите структуру файла, в некоторых случаях могут остаться скрытые ссылки на удаленные объекты, которые вызовут ошибки или будут поводом для срабатывания эксплойтов при попытке рендеринга слайдов.

Сценарии: что делать в вашей ситуации

Выбор метода проверки зависит от контекста. Hãy оцените свою ситуацию и действуйте по сценарию.

Сценарий 1: Файл пришел от проверенного партнера

Если вы знаете отправителя лично и он часто присылает презентации с макросами:

  1. Позвоните или напишите ему в мессенджер: «Отправил файл с макросами? Я не вижу кнопки включения, это нормально?» Это самый быстрый способ проверки.
  2. Если ответ положительный, откройте файл. Если антивирус не ругается, включите макросы.
  3. Если вы сомневаетесь, попросите прислать файл в формате .pptx. Макросы при конвертации удалятся, но визуальная часть останется. Если макросы критичны, партнер сможет прислать их отдельно безопасным способом.

Сценарий 2: Файл пришел от неизвестного лица (подозрительно)

Если это предложение о работе, «счет» от неизвестной компании или файл с темой «Просмотрите срочно»:

  1. Не открывайте файл на своем компьютере.
  2. Загрузите его на VirusTotal. Если там больше 0–1 срабатываний — удаляйте.
  3. Если VirusTotal чист, но файл все равно подозрительный — откройте его в изолированной среде (песочнице, виртуальной машине или через сервисы типа Any.Run, где можно увидеть поведение файла в реальном времени).
  4. Если файл требует включения макросов — закрывайте. Настоящие документы не требуют включения макросов для того, чтобы вы просто прочитали текст.

Сценарий 3: Вы автор презентации, и вам нужно защитить свой файл

Если вы создали презентацию с макросами и хотите передать её клиенту:

  1. Подпишите файл цифровой подписью. Это покажет клиенту, что файл взят у вас, а не наглеком.
  2. Установите пароль на макросы (в редакторе VBA: Tools -> VBAProject Properties -> Protection). Так, даже если кто-то откроет файл, он не сможет изменить или прочитать код, если не знает пароль.
  3. Оптимизируйте код. Убедитесь, что макрос не запускает ничего лишнего в фоне.

Пошаговая инструкция: как безопасно открыть файл

Если вам обязательно нужно открыть файл .pptm, и вы решили рискнуть, следуйте этому алгоритму, чтобы минимизировать ущерб:

  1. Начните с сетевого изолятора. Если возможно, отключите Wi-Fi и кабель. Это не даст вирусу отправиться в интернет или распространиться по локальной сети.
  2. Проверьте настройки макросов в PowerPoint. Зайдите в Файл -> Параметры -> Центр управления безопасностью -> Параметры центра управления безопасностью -> Настройки макросов. Выберите «Отключить все макросы с уведомлением». Это обязателен шаг.
  3. Откройте файл. Не нажимайте «Включить содержимое» сразу.
  4. Оцените контекст. Если на слайде нет кнопок, ссылок или призывов нажать что-то — макросы не нужны. Просто закройте файл.
  5. Проверьте код (для продвинутых). Нажмите Alt + F11. Если вы видите код, который пытается запустить Shell, Run или WScript — закрывайте и удаляйте файл. Не пытайтесь «починить» его, если не знаете, как.
  6. Включение. Если код выглядит легитимно (например, обновляет данные из Excel), и вы доверяете источнику — нажмите «Включить содержимое». Сразу после этого просканируйте файл антивирусом еще раз.

Защита в будущем: как настроить PowerPoint

Лучшая защита — это профилактика. Настройте ваш PowerPoint так, чтобы он блокировал угрозы по умолчанию.

Действия:

  • Включите Protected View (Режим защищенного просмотра). Это настройка по умолчанию, но проверьте её. Она открывает файлы из интернета в изолированном режиме, где макросы не работают.
  • В разделе «Настройки макросов» выберите «Отключить все макросы без уведомлений» для файлов из интернета. Это радикально, но эффективно. Для работы с внутренними файлами можно вернуть «с уведомлением».
  • Добавьте пути к папкам «Загрузки» (Downloads) в список «Надежных расположений» только если это действительно нужно. По умолчанию папка «Загрузки» не является надежной, что правильно.

Итог: что делать прямо сейчас

Работа с файлами .pptm требует дисциплины. Вот краткий чек-лист для принятия решения:

  • Файл .pptm — это не просто картинка. Это исполняемый код.
  • Если вы не ждали файл — не открывайте его. Спросите отправителя.
  • Макросы не нужны для просмотра текста. Если файл требует включения макросов, чтобы вы просто прочитали слайды — это 99% вирус.
  • Используйте VirusTotal. Это бесплатно и быстро.
  • Смотрите внутрь архива. Если там есть подозрительные .exe или скрипты — удаляйте.

Самый простой совет: если вам нужно просто посмотреть презентацию, попросите прислать её в формате PDF или .pptx. Потеря интерактивности в 99% случаев не стоит риска потерять данные на компьютере. Если же макросы критичны — убедитесь в цифровом подписании файла и проверьте код перед запуском.

Информация в статье носит ознакомительный характер и не заменяет профессиональные услуги специалистов по кибербезопасности. При работе с критически важными данными или в корпоративной среде всегда используйте специализированное антивирусное ПО и соблюдайте политики безопасности вашей организации.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком