Makroviruser – den slags, der inficerer ved at man eksempelvis åbner en inficeret wordfil – havde sin storhedstid i slutningen af 90erne, men virusgenren gik tilbage, mens tekniker og teknologi blev bedre, skriver The Register
»I de sidste fem år har makro malware været betragtet som uddød – takket være de fleste sikkerhedsforbedringer i Microsoft Office-produkter. Men i de seneste måneder er en genopblussen af ondsindede VBA-makroer (Visual Basic for Applications) observeret. Denne gang, er det ikke en selvreplikerende virus, men en simpel trojan-kode,« forklarer sikkerhedsefterforsker, Gabor Szappanos fra Sophos til Virus Bulletin
Brugere som åbnede et inficeret dokument blev udsat for en ondskabsful kode, som inficerede Windows PC’er, som oftest var skrevet i programmeringssproget VBA. Virusen spredte sig ind i brugerens Office-program inden den sneg kopier af sig selv ind i alle senere ændrede dokumenter. Eksempler på macro-baserede malware inkluderer den hurtigt spredende Melissa e-mail-orm fra 1999.
Udnytter manden i stedet for systemet
På det seneste er macro-malware – altså malware eller virus, som er bygget ind i fx en wordfil – kommet tilbage. Gabor Szappanos rapporterer, at mere end halvdelen af de dokumentbaserede angreb, som er set på det seneste, indeholder VBA-makroer, som sigter efter at snyde brugere, frem for de mere esoteriske koder, som er designet til at snyde Office.
Virus-udviklerne bruger udnytter folkene, som sidder ved computeren, frem for at udnytte software-bugs og sikkerhedshuller for at sprede de seneste generationer af makro-viruser.
»Forbrydere bruger ofte tilstedeværelse af makroer i deres dokumenter som en undskyldning for, at deres dokumenter er mere sikre end normalt, og påstår at dokumentet på en eller anden måde er ‘beskyttet’ indtil du slår makroerne til eller dekrypterer det,« siger anti-virus veteran Poul Ducklin på en post på Sophos’ Naked Security Blog.
Sådan undgår du dem
Sikkerhedssoftware burde fange de seneste generationer af macroviruser i de fleste tilfælde, men det vil være dumdristigt at sætte sin fulde lid til dette. Gabor Szappanos giver en idiotsikker måde at undgå at få computeren inficeret. Nemlig ved at deaktivere makroer.
»Der er ingen grund til, at indholdet af et dokument kun kan vises ordentligt, hvis eksekveringen af makroer er sat til. Hvis du modtager en dokument med dette råd, så vær på vagt; så er du formodentligt ved at blive angrebet,« siger han.
Leave a Reply