Malware schleicht sich via Word und Excel ein

Eine neue Malware greift Rechner von Windows-Nutzern über die Office-Anwendungen Word und Excel an. Dabei gelingt es dem Schädling in vielen Fällen unter dem Radar zu agieren. mehr... Sicherheit, Malware, Virus Bildquelle: White Web Services Sicherheit, Malware, Virus Sicherheit, Malware, Virus White Web Services

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hmm.. etwas dürftige Information. Es wäre zumindest interessant gewesen zu erfahren, ob der Schadcode z.B. nur über die Macro-Funktion ausgeführt wird oder ob eine Sicherheitslücke in Office genutzt wird. Ersteres lässt sich ja mit entsprechenden Security-Einstellungen in Office zumindest einschränken. Edit: jepp, der Wurm nutzt Macros aus und infiziert andere Dateien mit den entsprechenden Macros. Dabei wandelt er aber alle neuen Word- und Excel-Dokumente (.docx und .xlsx) in die alten Formate (.doc und .xls) um und löscht die Originale. Also aufpassen, wenn ein neues Office im Einsatz ist, aber plötzlich wieder alte Office-Dokumente auftauchen. Außerdem verringert der Wurm bei einem Infizierten System die Macro-Security-Einstellungen. Infos von http://blog.trendmicro.com/trendlabs-security-intelligence/word-and-excel-files-infected-using-windows-powershell/
 
@HeadCrash: seh ich auch so. Mehr Informationen wären schön um weitere Vorkehrungen zu treffen. Zusätzlich beruhigt mich die Info das Dropbox & Co für Dateiupload verwendet wird. (die Kommunikation zu solchen Domains kann man ja für den Geschäftsbetrieb technisch unterbinden) Für den Privaten gebrauch sind leider kaum Schutzfunktionen verfügbar wenn die Antivirensoftware-Hersteller nicht ausm Quark kommen :(
 
@HeadCrash: Danke für die tiefergehende Analyse :) ____Waren Makroviren nicht irgendwann mal out?
 
@Sturmovik82: Tja, das ist wie mit Thin Clients und Fat Clients. Alles kommt irgendwann wieder ;-)
 
@Sturmovik82: sollte so gewesen sein... die Verbreitung ist ja tatsächlich seit Office 2007 nicht mehr ganz so üblich, wie noch bei früheren Versionen. Aber sind eben weiter vorhanden. Zudem besteht ja Office heut zu Tage nicht mehr nur aus ein paar kleinen übersichtlichen Funktionen. Daher gibt es auch viel mehr mögliche Angriffsfläche. (z.b. Wenn ich so an Browserintegrität denke oder z.B. Cloudanbindungen...) Aber dafür gibt der Artikel einfach zu wenig Infos wieder.
 
was ist den überhaupt noch sicher von ms?
 
@snoopi: das hat mit MS nix zu tun. Ist eine Software weitverbreitet, wird versucht, sie zu missbrauchen. Und MS Office ist dominiert nunmal den Markt und bietet aufgund der Funktionsvielfalt mehr Angriffsfläche, wird daher entsprechend öfter angegriffen als ein Nischenprodukt.
 
@snoopi: Office ist nicht unsicher. Wenn Du z.B. einfach alle Macros deaktivierst, wirst Du den Wurm nie auf Dein System ziehen. Und wenn Du Macros nutzen möchtest, dann sorge einfach dafür, dass Du sie manuell aktivieren musst, bevor sie laufen. Und aktiviere Macros eben bei keiner Datei, die Dir nicht auf sicherem Wege und aus sicherer Quelle zugestellt wurde. Sobald man irgendwie ausführbaren Code in ein System bringen kann, ist halt kein System mehr sicher. Das hat nichts mit MS zu tun.
 
@snoopi: Jede Software die mit höheren Rechten auf einem Rechner mit Internetzugang läuft ist unsicher. Ebenso wie das darunterliegende Betriebssystem. Multifunktionelle Geräte mit einem Betriebssystem und manipulierbaren Speicherbereichen kann man einfach nicht sicher mit bidirektionalen Schnittstellen an einem öffentlichen Netz betreiben. ____

Weitverbreitete und häufig von Computer-Laien oder reinen Anwendern ohne tiefere Systemkenntnisse eingesetzte Software wie Windows und MS Office sind natürlich noch unsicherer als Software, die seltener und dann oft von fortgeschrittenen Computernutzern benutzt wird. Laien/unbedarfte Anwender kann man als Malwareautor nämlich besser mit Malware übertölpeln als Leute, die sich im von ihnen genutzten System auskennen und speziellere, weniger für Anfänger geeignete Software verwenden.____

Ich hatte schon Bekannte, die sich eine Malware eingefangen hatten, die explizit ihre MS-Office-Dokumente und MP3s in ihrem Nutzerverzeichnis verschlüsselt hatte und dann "Lösegeld" erpressen wollte um nach Zahlung des Lösegelds die Dokumente wieder zu entschlüsseln. Nachdem diese Bekannten von mir gelegentlich StarOffice-Dokumente geschickt bekamen (z.B. Abrechnungen, Briefe etc. - Ich arbeite seit Mitte/Ende der 90er Jahre nicht mehr produktiv mit MS Office, da ich viele Linux-Systeme und keine Lust auf diesen MS-Lizenz-Hickhack habe, wenn ich ein Dokument auf einem anderen System oder unterwegs vom USB-Stick nutzen will.) über die sie sich meistens ärgerten, da diese mit MS Office nicht zu öffnen waren und sie daher eine OpenOffice-Version bemühen mussten, waren diese StarOffice-Dokumente nach der Malwareattacke die einzigen Office-Dokumente, die sie noch lesen konnten, weil die Malware nach diesen unbekannteren Dateitypen nicht suchte und sie so auch nicht verschlüsselte. Das zeigt, dass der Verzicht auf Standardlösungen oft schon eine Menge mehr Sicherheit auf einem Internetrechner bringt. ____

Mit der Verbannung von MS Office und MS Outlook vor über 15 Jahren und eben der Verbannung von Virenscannern, Security-Updates und sonstiger mit höheren Rechten laufender "Security-Software" aus meinen Installationen vor über 10 Jahren habe ich das Risiko grössere Angriffsfläche für Malware zu bieten auf meinen Systemen erheblich reduziert. Dazu kann ich mit meinen seit über 15 Jahren produzierten Office-Dokumenten problemlos auf andere Betriebssysteme wechseln ohne mich um Emulatoren und Lizensierungsangelegenheiten kümmern zu müssen. Notfalls kann ich sogar ein portables OpenOffice mit meinen Dokumenten auf einen USB-Stick packen und auf dem Rechner eines Freundes so problemlos mit meinen Dokumenten arbeiten, selbst wenn der garkein Office-Paket installiert hat.____

Übrigens dürfen sich alle Nutzer in Zukunft noch auf weitere Revivals "altbekannter Schädlinge" freuen. Altbekannte "Macroviren" in Office-Dokumenten sind erst der Anfang. Wenn 2015 die erste Hardware mit der TPM Version 2.0 ausgeliefert wird, wird es mit Sicherheit bald BIOS- bzw. Firmwareviren für das UEFI-BIOS geben, ohne das Windows und keine Software darauf mehr laufen wird. Mit dem ab der Version 2.0 nicht mehr zu deaktivierenden Trusted Platform Module lässt sich Schadcode völlig vom löschenden Zugriff von Benutzer, OS und Virenscanner geschützt ausführen. Die TPM-2.0-Technologie, die MS bzw. der NSA endlich die totale Kontrolle über die auf einem Windows-Rechner auszuführenden Programme ermöglichen sollte, wird sich durch den längst durch nicht ordentlich abgesicherte FTP-Server in Hacker-/Malwareautorenkreise geleakten EFI-BIOS-Sourcecode samt Keys in Zukunft zum möglicherweise schärfsten Schwert für Malwareautoren entwickeln. Die können so in Zukunft einen Rechner noch vor dem Windows-Boot übernehmen und der Nutzer, Virenscanner und MS sind komplett machtlos dagegen. ____

Ich denke ab Anfang 2015 wird es mit der Einführung von TPM 2.0 für mich ähnlich viel zu lachen geben, wie nach den Snowden-Veröffentlichungen in 2013, nach denen ich bei meinen Bekannten von einem Verschwörungstheoretiker auf einmal zum Propheten geworden bin, der ihnen schon 10 Jahre früher die Zustände vorausgesagt hat, die 2013 sogar für alle notorischen Leugner sämtlicher Hinweise und aller vorherigen Datenschutzskandale bittere Realität wurde. ____

Wie im Jahre 2003 vor der für den Benutzer nicht zu bemerkenden Überwachung durch Mobiltelefone und der Möglichkeit mit diesen z.B. auch politische und Industriespionage zu betreiben, hat das BSI auch diesmal wieder im Vorfeld, diesmal vor der TPM-2.0-Spezifikation, gewarnt, weil der Nutzer so in Zukunft nicht mehr erkennen kann, was Hersteller/Provider/Hacker auf seinem System veranstalten. Aber das kennen die Leute ja nun schon von ihren SmartPhones mit denen sie ihre und die Daten ihrer Freunde seit Jahren an kriminelle Datensammler verraten ohne etwas davon bemerkt haben zu wollen und es scheinbar völlig normal finden sich im vollen Wissen um die Problematik zum Narren machen zu lassen und ihre Freunde gleich mitzuschädigen. ____

Ich hingegen habe mein letzten Mobiltelefon am Ende der 90er Jahre abgeschafft, weil ich mir schon damals nicht vorstellen konnte, dass eine in der Handy-Firmware der damaligen Handys implementierte Funktion zur vom Benutzer nicht festzustellenden Mikrofonaktivierung von Providerseite aus zum Vorteil des Nutzers dort plaziert worden ist. Zusammen mit der zwangsläufig durch Funkzellenortung möglichen Ortsbestimmung des Handybesitzers kam mir die Möglichkeit ihn, auch wenn er garnicht telefonierte, mit seinem Handymikro abhören zu können wie die typische Funktionsweise einer Tracking-Wanze vor und ich habe daraufhin mein Handy abgeschafft, da ich nicht auch noch selber Mobilfunkgebühren bezahlen wollte, damit mich andere Leute besser ohne mein Wissen überwachen können. Das ist jetzt über 15 Jahre her und die Leute rennen mittlerweile mit SmartPhones durch die Gegend, die noch wesentlich mehr über sie verraten und, wie z.B. der Carrier-IQ-Skandal, der Telekom-Mitarbeiterüberwachungsskandal und die Snowden-Veröffentlichungen gezeigt haben, eine perfekte automatisierte Überwachung ganzer Bevölkerungen ermöglichen. ____

Ich verlange ja nicht, dass jeder 15 Jahre im Voraus wissen muss zu was eine Technologie einmal missbraucht werden wird, aber nach zig Datenskandalen, massenweise verteilter Malware die nicht mehr Rechner beschädigt, sondern eifrig Nutzerdaten sammelt und den Snowden-Veröffentlichen wundert es mich doch, dass ich immer noch ständig Leute stolz in aller Öffentlichkeit mit ihren persönlichen Tracking-Wanzen herumrennen sehe. Habe ich was verpasst und es ist neuerdings "cool" sich von anderen Leuten (Hackern, Providern, Softwarekonzernen, Geheimdiensten, stattliche Ermittlern, Privatdetekteien etc.) zum Narren halten zu lassen und trotzdem nichts dagegen zu unternehmen? Wie sonst sollte man das Festhalten der meisten Leute an weit verbreiteter und bekannt malwareanfälliger Software und ihren persönlichen SmartPhone-Tracking-Wanzen verstehen? Die MS-Office-Hacks können nur deshalb erfolgreich sein, weil sich heutzutage scheinbar die meisten Leute weigern aus Erfahrungen zu lernen und die richtigen Schlüsse und Konsequenzen zu ziehen. Ich habe meine Hausaufgaben gemacht und brauche mir daher über Macroviren keine Gedanken mehr machen. Für mein Office-Paket verbreitet heute niemand mehr Makroviren und selbst wenn, käme er mit meinen Internetrechnern nicht weit. Meine Firewall blockt die meisten IP-Bereiche des Internets bis auf wenige Ausnahmen komplett. Wenig Chancen für einen Trojaner seine Kontrollserver zu erreichen. ;-)
 
Die größte Lücke sind wieder und wieder die Adminrechte. Powershell führt in der Standardeinstellung keine unsignierten Scripte aus. Um das umzustellen, braucht man Adminrechte. Also muss die Malware den User ja zuerst mal dazu bringen, die Scripte dementsprechend auszuführen.
 
Reine Informationsbeschaffung - Spionage
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen