Makrovirus

Aus IT-Forensik Wiki

Definition

Ein Makrovirus ist eine Unterart des Computervirus, der nicht direkt als ausführbarer Code vorliegt, sondern als Programmteil (Makro) in einer fremden Applikation eingebettet ist. Diese sind typischerweise Office-Makros in Dokumenten von Microsoft Word oder Excel. Diese Viren nutzen die Makrofunktionalität der Software aus, um den Schadcode auszuführen.

Bedeutung in der IT-Forensik

Typischerweise werden Makros in VBA/VBS programmiert und in Microsoft Office Dokumente eingebettet. Diese Dokumente werden häufig als Phishing-Mails verbreitet und sind das Einfallstor bei IT-Sicherheitsvorfällen. Die für die Untersuchung dieser Vorfälle beauftragten IT-Forensiker müssen die Funktionsweise von Makroviren kennen, um das Einfallstor des Angriffs nachvollziehen zu können.

Maßnahmen durch Microsoft

Beginnend mit Microsoft Office 2007 sind Makros nur noch in den dafür vorgesehenen Office-Dateiendungen (z.B. docm statt docx) ausführbar. Seit April 2022 werden Makros, die aus dem Internet stammen, in Microsoft Office blockiert.

Schutzmaßnahmen

Um sich vor Makroviren zu schützen, ist es ratsam, Makros in Office-Dokumenten standardmäßig deaktiviert zu lassen. Es ist empfehlenswert, stets aktuelle Antiviren-Software, die speziell für den Schutz vor Makroviren entwickelt wurde, einzusetzen. Dazu gehört auch, keine Dateien oder Links von unbekannten Quellen zu öffnen. Ebenfalls gilt es sicherzustellen, dass das Betriebssystem und alle Anwendungen regelmäßig aktualisiert werden.

Bekannte Makroviren

  • Concept (1995): Der erste weit verbreitete Makrovirus, der Microsoft Word betraf.
  • Melissa (1999): Verbreitete sich über E-Mail-Anhänge und verursachte massive Störungen weltweit.
  • I LOVE YOU (2000): Ein Virus, der als Liebesbrief getarnt war und sich über Outlook verbreitete.
  • ZeuS/Zbot (2007): Schadsoftware, die zum Ausspähen von Finanz- und Privatdaten eingesetzt wurde. Bekannte Zeiele waren das das US-amerikanische Verkehrsministerium, Bank of America, NASA, ABC, Oracle, Cisco, Amazon und BusinessWeek
  • Emotet (2014): Malware, die vorrangig Behörden und Unternehmen befiel, mit dem Ziel, Lösegeldzahlungen zu erpressen. Trotz einem Gegenschlag von Europol in 2021 ist die Schafsoftware bis heute aktiv.
  • TrickBot (2016): Trickbot ist ein hochentwickelter Banking-Trojaner, der sich zu einer modularen Malware weiterentwickelt hat, die eine Vielzahl bösartiger Aktivitäten ausführen kann. Dieser ist bis heute aktiv.

Erkennung und Entfernung

Moderne Antivirenprogramme sind in der Lage, Makroviren zu erkennen und zu entfernen. Ein vollständiger Systemscan sollte regelmäßig durchgeführt werden. Bei Verdacht auf eine Infektion sollte das betroffene Dokument nicht weiterverwendet und umgehend gelöscht werden.

Quellen