SKADEVARE

«Makrovirusene» er tilbake

Varianter av 1990-tallets svøpe rammer Word og Excel på nytt.

Den nye VBA-skadevaren kan ikke infisere systemene direkte, men lokker brukerne til å hjelpe til med dette.
Den nye VBA-skadevaren kan ikke infisere systemene direkte, men lokker brukerne til å hjelpe til med dette. Bilde: Sophos
Harald BrombachHarald BrombachNyhetsleder
22. juli 2014 - 13:59

Makrovirus, det vil si selvreplikerende skadevare som med utgangspunkt i Microsoft Office-dokumenter og Visual Basic for Applications (VBA), var på slutten av 1990-tallet den aller vanligste formen for skadevare. Men utbredelsen falt relativt på starten av 2000-tallet da Microsoft begynte å forbedre sikkerheten til Office-produktene. Makrovirusene ble da erstattet av Windows-basert skadevare, ikke minst ormer.

Men nå melder Gabor Szappanos i IT-sikkerhetsselskapet Sophos at VBA-basert skadevare er i ferd med å blomstre opp igjen. Denne gangen ikke som selvreplikerende virus, men som enkle trojanere, integrert i dokumenter, som utnytter sårbarhet i Office-produktene. Disse trojanerne laster ned og utplasserer annen skadevare, for eksempel bakdører.

Ifølge tall Szappanos presenterer, dreier drøy ti prosent av alle dokumentorienterte infeksjonsrapporter Sophos mottok i mars og april seg om slik VBA Downloader-skadevare. Siden den nye typen VBA-skadevare første gang ble oppdaget i slutten av januar, skal det har blitt funnet minst 75 ulike varianter.

Selvreplikerende skadevaretyper oppdaget i perioden 1996 til 2005. <i>Bilde: Sophos</i>
Selvreplikerende skadevaretyper oppdaget i perioden 1996 til 2005. Bilde: Sophos

Siden Office 2007 har kjøring av VBA-makroer vært deaktivert som standard i programvaren. Mottakerne av filene må derfor lokkes til å aktivere kjøringen. Dette gjøre på forskjellige måter, blant annet ved å sløre til innholdet og å be brukeren klikke på knappen for kjøring for å kunne se det. Det opplyses at tilsløringen er gjort at sikkerhetsårsaker. Dette utnytter uerfarne og naive brukeres nysgjerrighet.

Szappanos råder Office-brukere til å være mistenksomme dersom de mottar Office-dokumenter hvor innholdet ikke vises før man har åpnet for kjøring av makroer.

– Sannsynligvis blir du angrepet, skriver han.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.