MS Word und die Viren

Aktuell sind wieder Trojaner im Umlauf – diesmal handelt es sich vor allem um sogenannte Verschlüsselungstrojaner. Der Trojaner verbirgt sich dabei in präparierten Word-Dokumenten und ungepatchten Adobe-Flash-Add-ins, die als E-Mail-Anhang, z. B. als Rechnung, getarnt sind.

Um sich zu schützen gibt es doch das „Trust Center“ mit strengen Makro-Einstellungen. Und mit den richtigen Einstellungen kann doch gar nichts passieren. Leider ist das nicht so!

Die Dateiendung .docm verrät, dass im Dokument Makros enthalten sein können.
Speichert man solche Dateien als .docx, sind sämtliche Makros im Dokument gelöscht.
Das bezieht sich allerdings nur auf VBA-Projekte, die von Microsoft als Makro identifiziert und bezeichnet werden. Es gibt aber eine viel ältere Art der Programmierung in Word, die immer noch funktioniert und über eine solche Identifizierung nicht erkennbar ist.

Beispiel Angebotsdatei:

  1. Bei schlechten Einstellungen in den Word-Optionen sieht die Seite so aus – völlig unverdächtig:

2. Wenn Sie die Optionen richtig einstellen ...

3. … dann sieht die Seite etwas anders aus:

4. Mit Shift+F9 werden die Feldinhalte angezeigt:

Der Satz ist hier gelb markiert, damit man sieht, was alles zwischen zwei Wörtern versteckt ist. In dem Fall geht es um eine völlig ungefährliche Datumsberechnung.

Wollte man hier aber bösartigen Code einfügen, könnte man diesen auch in einem Leerzeichen verstecken, sodass man selbst bei eingeschalteter Feldschattierung sehr genau schauen müsste. Aber dann ist es meist schon zu spät, weil der bösartige Code schon beim Öffnen des Dokuments gestartet wird.

Selbst wenn man die Datei als .docx speichert und alle VBA-Makros löscht, …

… bleibt der Code lauffähig:

Sogar ein Eliminieren der XML-Struktur und aller XML-Elemente (durch das Speichern als .doc) hat darauf keinen Einfluss:

Der Code ist noch immer da und lauffähig!

Also nicht auf die Einstellungen im Trust Center verlassen! Gesunde Skepsis walten lassen und vor dem Öffnen jeder E-Mail und jedes Dokuments prüfen, ob die Quelle plausibel und vertrauenswürdig ist.

Kommentar schreiben

Kommentar schreiben

* Diese Felder sind erforderlich

Kommentare

Kommentare

Keine Kommentare