-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Die längst für ausgestorben gehaltenen Makroviren wurden von Betrügern erneut entdeckt und haben auch tatsächlich bereits Schaden angerichtet. Immer wieder tauchen E-Mails mit schädlichem .doc (Word/Write) oder .xls (Excel/Tabelle) auf, neuerdings auch mit einer fiesen Masche.

-Produktempfehlung: Kaspersky lab-

Das mag vor allem jene ein wenig erstaunen, die schon länger im Internet unterwegs sind, da diese Art von Viren, welche man Makroviren nennt, eigentlich als ausgestorben galten. Doch diese Dinosaurier der Malware scheinen eine kleine Renaissance zu erleben.

image

Wir konnten beobachten, dass immer öfter Mail mit dem Anhang .doc daherkommen und zunächst harmlos wirken. Doch diese Dokumente sind alles andere als harmlos, denn sie beinhalten Makros, welche Schaden anrichten können.

Makro

Ein Makro ist ein programmierter Ablauf, welcher in Dokumente (Text- oder Tabellendokumente) eingebettet werden kann. Der ursprüngliche Zweck von Makros ist die Arbeitserleichterung für den Nutzer: Makros sollen bestimme Vorgänge automatisieren, welche für den Nutzer mühselig oder langweilig sind. Beispiel: die automatische Erzeugung von Adressaufklebern aus Adressdateien oder automatisches Suchen und Markieren bestimmter Wörter in einem Text.

Jedoch können Makros auch schadhaft sein! Man kann mittels eines Makros auch ganze Festplatten formatieren oder schadhafte Dateien aus dem Internet nachladen. Daher wurde Makros aus unbekannten und nicht vertrauenswürdigen Quellen schon seit langem als gefährlich eingestuft. Microsoft hat ebenfalls vor Jahren schon reagiert und seit Office 2007 können Makros in den neuen Formaten XLSX, DOCX, PPTX nicht ausgeführt werden, sowie auch die automatische Ausführung von Makros standardmäßig deaktiviert ist.

image

Das sollte auch eigentlich das Ende der Makroviren gewesen sein, die gerade um die Jahrtausendwende bis hin zu 2007 recht häufig schadhafte Makros in Officedokumente eingebaut wurden und diese dann per Mail versandt wurden. Diese waren jedoch in ihrer Erscheinungsform meist schwach, so dass dies in Kombination mit den neuen Sicherheitssystemen seit 2007 zu einem Aussterben der Makroviren geführt hat.

Wieder da!

Doch sie sind wieder da. Sie sind nicht wieder da, weil die Sicherheitsvorkehrungen vielleicht entfallen sind – nein, die sind weiterhin da. Die Makros sind zurück, weil man sie heutzutage besser verpackt!

Der Empfänger einer E-Mail bekommt sein Makro heutzutage in wunderbar konstruierten Geschichten verpackt serviert. Ob als Steuerrückerstattung, Bewerbung oder Rechnung: die Betrüger geben sich Mühe, dass Interesse ihrer Opfer zu wecken, damit diese freiwillig die makros in der Datei aktivieren.

image

Zudem kommt, dass bei vielen Menschen sich mittlerweile ein Schleier des Vergessens gelegt hat und man die Angst vor gefährlichen Makros verloren hat, denn man geht ja davon aus, dass diese ausgestorben seien. Doch die Dinos trampeln wieder!

Neuer Trick!

Der Anhang solcher Mails beinhaltet vermeintliche Rechnungen. Diese beinhalten neuerdings jedoch einen Trick beinhaltet, mit dem der Empfänger in die Makrofalle tappen soll: über den mutmaßlich wichtigen und interessanten Feldern zeigt sich ein Dialogfeld. Das interessante an diesem Dialogfeld: es ist gar keines!

image

Dieses Feld ist eine reine grafische Konstruktion und Teil des Dokumentes. Wer also nun der Ansicht ist, dass dies eine Meldung von “Word” ist und der legitim anmutenden Anweisung folgt, begeht genau den Fehler und aktiviert die Makrofunktion. Folgerichtig öffnet man damit dem eingebetteten schädlichen Code Tor und Tür.

Kombinierte Gefahr

Es ist also die Kombination der verschiedenen Elemente, welche die Makroviren wieder ins Geschäft gebracht haben und auch wieder gefährlich machen.Der Aufbau einer vertrauenswürdigen Umgebung, ein authentisch wirkender Grund, ein sauberer Stil und Aufbau der Mail, das alles manipuliert den Empfänger eine Mail mit Schadsoftware so weit, dass er geneigt sein kann, ein Makro zu aktivieren. Wir empfehlen speziell für unerfahrene Nutzer: fremde Office Dokumente aus unbekannten Quellen sollte man grundsätzlich nicht mit aktivierter Makrofunktion begegnen. Im Regelfall sind diese Sicherheitseinstellungen auch aktiv, so dass man bestätigen muss, ob ein Makro ausgeführt werden soll.

Daher lieber den fremden Dateien skeptisch gegenüber sein und sie im Zweifel direkt wieder schließen und löschen. Besser sogar gar nicht öffnen, wenn man sich des Absenders und seinen Grundes nicht bewusst ist.

Weiterführende Informationen: