Die Rückkehr der Makro-Viren

Nachdem Hersteller wie Microsoft Anwendungen wie Office nachrüsteten, galten auf Visual Basic for Applications basierende Malware nahezu als ausgestorben. Jetzt kehrt diese Schädlingsform laut Sicherheitsunternehmen Sophos über soziale Netzwerke wieder zurück.

Sie basieren wie in den späten Neunziger Jahren auch heute auf Visual Basic for Applications (VBA).

Über social Engineering versuchen Hacker vermehrt ahnungslose Opfer zum Aktivieren von Makros zu bewegen, die dann Office oder andere Produktiv-Programme befallen können. Quelle: Sophos
Über social Engineering versuchen Hacker vermehrt ahnungslose Opfer zum Aktivieren von Makros zu bewegen, die dann Office oder andere Produktiv-Programme befallen können. Quelle: Sophos

Das britische Sicherheitsunternehmen Sophos warnt jetzt vor der Rückkehr von auf Visual Basic for Applications (VBA) basierenden Schädlingen. In den vergangenen Jahren, war diese Form der Malware praktisch bedeutungslos. In Zeiten aber, in denen Word- und Excel-Dateien über Soziale Netzwerke verteilt werden, lassen sich offenbar über einige Tricks, die meist auf die Arglosigkeit der Nutzer abzielen, diese Makro-Malware wieder erfolgreich verbreiten. Nutzer werden meist mit dem Versprechen geködert, dass nach Aktivierung des Makros weitere ‘hochinteressante’ Inhalte zu sehen sind.

Makro-Viren waren vor allem ein Phänomen den späten Neunziger Jahren. Gabor Szappanos vom Security-Anbieter Sophos allerdings erklärt in einem Blog, dass diese heute wieder häufiger festgestellt werden. Um sie zu erstellen nutzen Angreifer Visual Basic for Applications (VBA) weshalb sie auch als VBA-Viren bezeichnet werden.

VBA-Viren nisteten sich früher heimlich in Office-Dokumenten ein und übernahmen in Word Applikationsfunktionen wie “Auto Open” – was zum ärgerlichen, automatischen Öffnen von zahllosen Word-Dokumenten führte und den Rechner bald an die Grenze seiner Leistungsfähigkeit brachte. Außerdem konnten sich VBA-Viren in den Office-Template-Dateien verstecken und sich von dort aus selbst in alle künftig bearbeiteten Dokumente kopieren. Das Aufkommen an Makro-Malware ging allerdings aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte um die Jahrtausendwende nahezu auf null zurück.

Aktuell kursieren in Sozialen Netzwerken Dokumente mit vorgeblich mehr oder weniger vertraulichen Inhalten, die Nutzer aber erst dann sehen können sollen, nachdem sie Makros aktiviert haben. Sobald der Nutzer aber manuell zustimmt, starten diese neuen bösartigen Makros laut Szappanos den Download von Trojaner-Codes.

Inzwischen enthalten mehr als die Hälfte aller von den Sophos Labs untersuchten, auf Office-Dokumenten beruhenden Angriffen VBA-Makros. Allerdings lassen sie sich leicht abwehren: “Es gibt keinerlei Grund dafür, dass der Inhalt eines Dokuments nur dann richtig angezeigt werden kann, wenn Makros aktiviert sind. Wenn Sie also solch eine Meldung bekommen, werden Sie höchstwahrscheinlich gerade gehackt”, so Szappanos. Es genügt also, der Aufforderung Makros zu aktivieren, nicht nachzukommen. Außerdem empfiehlt der Experte natürlich wie immer ein aktuelles Antivirenprogramm.

VBA-basierte Viren, die sich zum Beispiel über Office weiterverbreiten,können über Virenprogramme jedoch und die Sensibilisierung von Nutzern abgehalten werden. Quelle: Sophos
VBA-basierte Viren, die sich zum Beispiel über Office weiterverbreiten,können über Virenprogramme jedoch und die Sensibilisierung von Nutzern abgehalten werden. Quelle: Sophos

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de