"VBA is not dead!" - donosi Virus Bulletin. Powróciły niesławne makra, które w latach 90' spędzały sen z powiek użytkowników Worda czy Excela.
VBA, czyli Visual Basic for Applications, dziś znany jest głównie jako sposób na pisanie skomplikowanych makr przez guru Excela. Jednak w latach 90' VBA kojarzono głównie z malware, najbardziej opresyjnymi wirusami. Zagnieżdżały się one w dokumentach, przejmując kontrolę nad pakietem Office za pomocą poleceń (które robiły dokładnie to, na co wskazują ich nazwy): AutoOpen dla Worda czy Auto_Open dla Excela. Otwarcie takiego dokumentu replikowało wirusa do stron szablonowych i tym samym zagnieżdżało go w przyszłych, edytowanych przez program plikach. Poniższy wykres, stworzony przez Gabora Szappanosa z Virus Bulletin, przedstawia typy samoreplikującego się malware'u na przestrzeni lat 1996-2005.
Węgierski specjalista dzięki przeprowadzonym badaniom zauważył wielki powrót złośliwych makr. "W ciągu ostatnich pięciu lat wirusy makro (i, bardziej ogólnie, macro malware) mogły zostać uznane za wymarłe - głównie dzięki poprawkom bezpieczeństwa (...) poczynionych w produktach Microsoftu." Tak było do tej pory, jednak ostatnio nasiliła się tendencja do skrywania makr pod przykrywką - na ironię - bezpieczeństwa. Dokument może być "chroniony" specjalnym algorytmem, a otworzyć go możemy, klikając przycisk... aktywujący makro. Inna technika polega na rozmyciu rzekomego dokumentu, tak, że staje się on niemożliwy do odczytania. Klikając przycisk, aktywujący makra, użytkownik miałby uzyskać dostęp do treści dokumentu, który w rzeczywistości jest falsyfikatem.
Czy zagrożenie jest poważne? Z raportu wynika, że ponad połowa ataków, wykorzystujących dokumenty, opierała się na makrach VBA, oszukujących użytkownika. Ataki z użyciem exploitów, wykorzystujących luki bezpieczeństwa Office'a, zdarzały się o wiele rzadziej. Jak zabezpieczyć się przed atakiem? "Nie ma litości dla dokumentów, których treść miałaby być wyświetlona jedynie po zaakceptowaniu wykonania makra. Jeżeli otrzymasz dokument z taką prośbą, bądź ostrożny: prawdopodobnie jesteś atakowany." - radzi specjalista.
341f31d.png)