Makrovirus, det vil si selvreplikerende skadevare som med utgangspunkt i Microsoft Office-dokumenter og Visual Basic for Applications (VBA), var på slutten av 1990-tallet den aller vanligste formen for skadevare. Men utbredelsen falt relativt på starten av 2000-tallet da Microsoft begynte å forbedre sikkerheten til Office-produktene. Makrovirusene ble da erstattet av Windows-basert skadevare, ikke minst ormer.
Men nå melder Gabor Szappanos i IT-sikkerhetsselskapet Sophos at VBA-basert skadevare er i ferd med å blomstre opp igjen. Denne gangen ikke som selvreplikerende virus, men som enkle trojanere, integrert i dokumenter, som utnytter sårbarhet i Office-produktene. Disse trojanerne laster ned og utplasserer annen skadevare, for eksempel bakdører.
Ifølge tall Szappanos presenterer, dreier drøy ti prosent av alle dokumentorienterte infeksjonsrapporter Sophos mottok i mars og april seg om slik VBA Downloader-skadevare. Siden den nye typen VBA-skadevare første gang ble oppdaget i slutten av januar, skal det har blitt funnet minst 75 ulike varianter.
Siden Office 2007 har kjøring av VBA-makroer vært deaktivert som standard i programvaren. Mottakerne av filene må derfor lokkes til å aktivere kjøringen. Dette gjøre på forskjellige måter, blant annet ved å sløre til innholdet og å be brukeren klikke på knappen for kjøring for å kunne se det. Det opplyses at tilsløringen er gjort at sikkerhetsårsaker. Dette utnytter uerfarne og naive brukeres nysgjerrighet.
Szappanos råder Office-brukere til å være mistenksomme dersom de mottar Office-dokumenter hvor innholdet ikke vises før man har åpnet for kjøring av makroer.
– Sannsynligvis blir du angrepet, skriver han.
Les også:
- [01.06.2006] Makrovirus rammer OpenOffice
- [05.03.2002] Nettsted sprer makrovirus-generator
- [09.05.2001] Slik stopper du alle makrovirus
- [08.04.1999] Office 2000 kan løse makrovirusproblemet
- [28.01.1997] Office 97 - virusfare