Security-Tipp

Wiedergeburt der Makroviren

Eingebettete Malware, die sich in Form von Makros in Office-Dokumenten verbirgt und beim Öffnen automatisch ausgeführt wird, war vor 15 Jahren äußerst populär. In den letzten Jahren war diese Form von Schadcode nahezu komplett in Vergessenheit geraten – sicherlich auch weil Hersteller das Ausführen von Makros standardmäßig in ihren Produkten abgeschaltet hatten. Doch sind Makroviren nun wieder auf dem Vormarsch.
Mit der heraufziehenden dunklen Jahreszeit beginnt auch wieder die Einbruchsaison. Mit dem Schutz vor digitalen Einbrechern befasst sich IT-Administrator in der ... (mehr)

Microsoft hat bereits 2001 in seinen Office XP-Produkten die Sicherheitsrichtlinie eingeführt, die erstmals den Anwender per Routine abfragte, ob eingebetteter Code in Dokumenten ausgeführt werden soll oder nicht. Das sorgte dafür, dass diese Angriffe nur noch schwer durchführbar waren und andere Verbreitungspfade weitaus lukrativer wurden. Eine von Microsoft veröffentlichte Studie im ersten Quartal 2015 zeigt mittlerweile jedoch, dass eine Wiedergeburt der Makroviren stattgefunden hat. Mehr als 500.000 Systeme konnten über Spam-E-Mails verbreitete Malware den Informationen nach innerhalb kürzester Zeit infiziert werden.

Versteckt in Office-Dateien

Ein Makrovirus ist Schadcode, der nicht als eigenständiges und ausführbares Programm vorliegt, sondern als Makro in ein Dokument eingebettet ist. Ein Makro kann bestimmte Vorgänge automatisiert durchführen und wird dafür genutzt, um schädliche Aktionen wie die Installation weiteren Schadcodes auszuführen. Dateien, die ein Makrovirus enthalten und über E-Mails verteilt werden, sind in der Regel so aufgebaut, dass sie dem Empfänger unverdächtig erscheinen. So öffnen die meisten Anwender üblicherweise Rechnungen, Mahnungen oder Bewerbungsunterlagen, ohne groß nachzudenken.

Nun sind Makros in den Standardeinstellungen deaktiviert. Daher enthalten viele dieser Dokumente Schritt-für-Schritt-Anleitungen zur Freigabe von Makros. Ansonsten, so wird dem Empfänger dann beispielsweise vorgetäuscht, lasse sich das Dokument nicht öffnen beziehungsweise lesen. Das Opfer wird also dazu verleitet, die Ausführung von Makros zu erlauben. Hinzu kommt, dass das Interesse der Opfer mit gezieltem Social Engineering geweckt wird und so zielgerichtete Angriffe auf große Personenkreise und Unternehmen stattfinden – Stichwort: »Gehaltsliste Vorstand.xlsx« oder »Konferenzagenda.xlsx« .

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite