Comeback af virusser gemt i Officedokumenter

Der er netop nu en næsten nostalgisk revival i gang indenfor virus-udviklingen. Virusser, som har været uddød i flere år, er nu på vej tilbage.

Makroviruser - den slags, der inficerer ved at man eksempelvis åbner en inficeret wordfil - havde sin storhedstid i slutningen af 90erne, men virusgenren gik tilbage, mens tekniker og teknologi blev bedre, skriver The Register

»I de sidste fem år har makro malware været betragtet som uddød - takket være de fleste sikkerhedsforbedringer i Microsoft Office-produkter. Men i de seneste måneder er en genopblussen af ​​ondsindede VBA-makroer (Visual Basic for Applications) observeret. Denne gang, er det ikke en selvreplikerende virus, men en simpel trojan-kode,« forklarer sikkerhedsefterforsker, Gabor Szappanos fra Sophos til Virus Bulletin

Brugere som åbnede et inficeret dokument blev udsat for en ondskabsful kode, som inficerede Windows PC'er, som oftest var skrevet i programmeringssproget VBA. Virusen spredte sig ind i brugerens Office-program inden den sneg kopier af sig selv ind i alle senere ændrede dokumenter. Eksempler på macro-baserede malware inkluderer den hurtigt spredende Melissa e-mail-orm fra 1999.

Udnytter manden i stedet for systemet

På det seneste er macro-malware - altså malware eller virus, som er bygget ind i fx en wordfil - kommet tilbage. Gabor Szappanos rapporterer, at mere end halvdelen af de dokumentbaserede angreb, som er set på det seneste, indeholder VBA-makroer, som sigter efter at snyde brugere, frem for de mere esoteriske koder, som er designet til at snyde Office.

Virus-udviklerne bruger udnytter folkene, som sidder ved computeren, frem for at udnytte software-bugs og sikkerhedshuller for at sprede de seneste generationer af makro-viruser.

»Forbrydere bruger ofte tilstedeværelse af makroer i deres dokumenter som en undskyldning for, at deres dokumenter er mere sikre end normalt, og påstår at dokumentet på en eller anden måde er 'beskyttet' indtil du slår makroerne til eller dekrypterer det,« siger anti-virus veteran Poul Ducklin på en post på Sophos' Naked Security Blog.

Sådan undgår du dem

Sikkerhedssoftware burde fange de seneste generationer af macroviruser i de fleste tilfælde, men det vil være dumdristigt at sætte sin fulde lid til dette. Gabor Szappanos giver en idiotsikker måde at undgå at få computeren inficeret. Nemlig ved at deaktivere makroer.

»Der er ingen grund til, at indholdet af et dokument kun kan vises ordentligt, hvis eksekveringen af makroer er sat til. Hvis du modtager en dokument med dette råd, så vær på vagt; så er du formodentligt ved at blive angrebet,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Simonsen

Virus-udviklerne bruger udnytter folkene...

?

...som sigter efter at snyde brugere, frem for de mere esoteriske koder, som er designet til at snyde Office....

er det mon nogen bestemte "koder" der er designet til at snyde office?

blaehh....

  • 0
  • 0
Jesper Lund Stocholm Blogger

er det mon nogen bestemte "koder" der er designet til at snyde office?

blaehh....


Umiddelbart vil jeg tro, at det er forbundet med meget større kompleksitet at snyde Office's indbyggede forsvar imod (skadelige) makroer (så de eksekveres automatisk) end det er at snyde brugerne ved at sige, "hvis du klikker OK om lidt, så får du masser af porno helt gratis".

  • 1
  • 0
Rasmus Arndal

Fra artiklen:
"Windows PC'er, som oftest var skrevet i programmeringssproget VBA"
En hel windows pc, skrevet i VBA, den lyder styg.
Og, altså, en ting er software og firmare/binary-blobs, men, hvordan hulen kan hardwaren "skrives" i VBA?
Jeg vil mene, at hvis man sætter sin lid, til en hel maskine, skrevet i VBA, så er macro-vira de mindste af ens problemer.

  • 0
  • 1
Log ind eller Opret konto for at kommentere