måndag 18 januari 2016

Makro-infektionerna lurar fortfarande användarna

Under mer än 20 år har vi sett hur små inbyggda skript i Office-dokument infekterat system och spridit skadlig kod. Microsoft deaktiverade automatisk körning av makron redan i Office 2003, men fortfarande luras användare att tillåta makron att köra i dokument från okända avsändare.

Makron är små skript med en rad kommandon och förekommer ibland i Office-dokument för att automatisera annars tidskrävande uppgifter. I mer än 20 år har makro-funktionen utnyttjats för att infektera datorer med skadlig kod och ofta har de lyckats kringgå många antivirusfilter eftersom filerna i sig själva inte är körbara.

Redan i Office 2003 beslutade sig Microsoft för att som standard inte köra Makron per automatik. Istället får användaren en fråga om Makrot ska tillåtas köra eller ej. Trots detta infekteras tusentals datorer genom Makro-virus.

Microsoft varnar sedan Office 2003 innan ett makro körs.

Många av den senaste tidens makrovirus sprids via förfalskad e-post som lurar användaren att dokument rör en leverans, en faktura, eller bekräftelse på ett köp. 

Den senaste varianten ava spam som sprider makrovirus påstår sig komma från en lokal nätverksskanner.

I de moderna makrovirus som WeCloud analyserat är makrot och Office-dokumentet i sig sällan skadliga. Istället återfinns kommandon som hämtar hem den verkligt skadliga koden från Internet och exekverar den. För att få användaren att tillåta aktivering av makrot utformas dokumenten med oläsbar information med undantag för en uppmaning att tillåta makrot att köra för att göra informationen läsbar.

Texten i dokumentet uppmanar användaren att aktivera makrot

Om makrot aktiveras laddas en exekverbar fil hem från Internet. Filen som hämtas från Internet byts ut med högt intervall för att öka risken att användaren saknar ett antivirusprogram som kan detektera och blockera filen. 

Med WeClouds molnbaserade klientskydd, SecureAnywhere, kontrolleras alla processer på datorn för att detektera mystiskt beteende eller nedladdningar från webbservrar som är kända för att hosta skadlig kod. Om den skadliga koden laddas ned kommer SecureAnywhere analysera

Ett annat effektivt skydd för att stoppa ny skadlig kod från att hämtas hem från Internet är att skapa ett regelverk i WeCloud's molnbaserade webbproxy som bestämmer vilka användare som får lov att ladda hem exekverbara filer från Internet, och varifrån dessa filer i så fall får hämtas.

Det är relativt ovanligt att legetima dokument innehållande makron skickas utanför den egna verksamheten, så se upp med bifogade word-filer från okända avsändare. Om du får frågan om ett makro ska aktiveras bör du ovillkorligen svara nej och ta bort dokumentet.