Makroviry jsou zpět a slaví úspěch
Titulek je trochu zavádějící, protože se nejedná o klasické makroviry, tak jak je známe z devadesátých let, kdy napadaly další dokumenty a vkládaly do nich svůj kód, nýbrž o makra, která slouží hlavně ke stažení a zavedení dalšího škodlivého kódu do počítače oběti.
Tento útok funguje v zásadě velice jednoduše. Útočník doručí oběti soubor s makrem v jazyce VBA (Visual Basic for Application), ta je zvědavá a soubor otevře. V závislosti na nastavení zabezpečení buď dojde ke spuštění makra, nebo nikoliv.
Vzhledem k tomu, že všechna makra jsou od verze MS Office 2007 ve výchozím nastavení zakázána a spuštění každého makra se musí povolit, mohlo by se zdát, že je to dostatečná ochrana před zavlečením škodlivého kódu.
Jak již ale tušíte, není tomu tak. Útočník spoléhá na přirozenou lidskou zvědavost, kterou ještě podnítí použitím technik sociálního inženýrství a dosáhne toho, že oběť makra povolí.
V okamžiku, kdy dojde k povolení maker, tak příkazový interpreter jazyka VBA hledá, zda se v makru nenachází funkce Auto_Open a pokud ano, tak ji spustí a začne vykonávat příslušný kód.
Zcela jistě v tomto kódu najdete i další funkce jako je URLDownloadToFile, které slouží ke stažení souboru z internetu a SHELL, která zajistí jeho následné spuštění jako další proces. Přičemž stažený soubor se uloží do adresáře, do kterého má uživatel právo zápisu, zpravidla %APPDATA% nebo %USERPROFILE%.
VBA kód může být chráněn heslem, a stejně tak může být i různě obfuskovaný. URL odkud se bude malware stahovat, nemusí být zobrazeno v čitelném tvaru, může být použito šifrování, kódování, skrývání apod. jako v případě Poweliks.
Šířit malware tímto způsobem jest velice jednoduché, protože upravit kód ve VBA zvládne prakticky každý uživatel MS Office. Na druhou stranu se nabízí i jednoduchá obrana, nepovolovat makro v každém souboru, který se k vám dostane.
Zdroj: Sophos.com
Štítky: malware
K článku “Makroviry jsou zpět a slaví úspěch” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Dalším zajímavým makrovirem je Rovnix, sloužící je krádeži hesel a zadávaných údajů a nacházející se zpravidla ve wordovském dokumentu, který obsahuje makra chráněná heslem. V okamžiku, kdy uživatel makra povolí, dojde ve finále k zavedení rootkit driveru do nerozděleného prostoru na NTFS disku, který není vidět z operačního systému a změně IPL, aby byl zaveden ještě před startem systému.