Sophos stellt Renaissance der Makro-Viren fest

Office-AnwendungenSicherheitSoftwareVirus
Word-Dokument mit Makro-Virus (Bild: Sophos)

Sie basieren wie in den späten Neunziger Jahren auch heute auf Visual Basic for Applications (VBA). Allerdings werden so infizierte Word- und Excel-Dateien heute oft über Soziale Netzwerke verteilt. Die Angreifer wollen Nutzer mit dem Versprechen zur Aktivierung von Makros verleiten, danach einen angeblich geheimen Inhalt sehen zu können.

Eine längst für überholt geglaubte Gattung von Computerviren erlebt gerade ein Comeback: Sogenannte Makro-Viren, die vor allem in den späten Neunziger Jahren in Umlauf waren, werden derzeit laut Gabor Szappanos vom Security-Anbieter Sophos wieder häufiger festgestellt. Um sie zu erstellen nutzen Angreifer Visual Basic for Applications (VBA) weshalb sie auch als VBA-Viren bezeichnet werden.

Die neue Generation mit Makro-Viren verseuchter Dokuemnte fordert Nutzer zum Aktivieren von Makros auf, damit sie angeblich geheime oder vertrauliche Inhalte sehen können (Bild: Sophos Labs).
Die neue Generation mit Makro-Viren verseuchter Dokuemnte fordert Nutzer zum Aktivieren von Makros auf, damit sie angeblich geheime oder vertrauliche Inhalte sehen können (Bild: Sophos Labs).

VBA-Viren nisteten sich früher heimlich in Office-Dokumenten ein und übernahmen in Word Applikationsfunktionen wie “Auto Open” – was zum ärgerlichen, automatischen Öffnen von zahllosen Word-Dokumenten führte und den Rechner bald an die Grenze seiner Leistungsfähigkeit brachte. Außerdem konnten sich VBA-Viren in den Office-Template-Dateien verstecken und sich von dort aus selbst in alle künftig bearbeiteten Dokumente kopieren. Das Aufkommen an Makro-Malware ging allerdings aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte um die Jahrtausendwende nahezu auf null zurück.

Aber wie so oft sitzt die größte Gefahr vor dem Computerbildschirm: Aktuell kursieren in Sozialen Netzwerken Dokumente mit vorgeblich mehr oder weniger vertraulichen Inhalten, die Nutzer aber erst dann sehen können sollen, nachdem sie Makros aktiviert haben. Sobald er das manuell tut, steht der neuen Genration von Makro-Viren Tür und Tor offen: Sie nutzen dies Szappanos zufolge aber nicht mehr, um den Nutzer zu ärgern oder den Rechner zum Absturz zu bringen, sondern um Trojaner-Codes zu laden.

Inzwischen enthalten mehr als die Hälfte aller von den Sophos Labs untersuchten, auf Office-Dokumenten beruhenden Angriffen VBA-Makros. Allerdings lassen sie sich leicht abwehren: “Es gibt keinerlei Grund dafür, dass der Inhalt eines Dokuments nur dann richtig angezeigt werden kann, wenn Makros aktiviert sind. Wenn Sie also solch eine Meldung bekommen, werden Sie höchstwahrscheinlich gerade gehackt”, so Szappanos. Es genügt also, der Aufforderung Makros zu aktivieren, nicht nachzukommen. Außerdem empfiehlt der Experte natürlich wie immer ein aktuelles Antivirenprogramm.

Eine Variante der neuen Makro-Viren ist es, schlicht die Neugier der Anwender auszunutzen. In diesen Fällen kommt die Empfehlung Makros zu aktivieren dann oft im Zuge der Verbreitung über Soziale Netzwerke mit (Bild: Sophos Labs).
Eine Variante der neuen Makro-Viren ist es, schlicht die Neugier der Anwender auszunutzen. In diesen Fällen kommt die Empfehlung Makros zu aktivieren, dann oft im Zuge der Verbreitung über Soziale Netzwerke mit (Bild: Sophos Labs).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen