Artikel top billede

(Foto: Computerworld)

Mikro-virus eller makro-virus?

Makroer i Office-programmer kan optræde som ransomware. Den slags kriminalitet var meget udbredt for ti år siden. Nu er makro-vira atter på banen, og der er ikke tale om mikro-risiko.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Nogle husker måske endnu den såkaldte Melissa-virus fra 1999, der var et tidligt eksempel på en makro-virus altså en virus indlagt i Word-dokument. Hvis du åbnede dokumentet, sendte den ondsindede programkode sig selv videre med e-mail til de første 50 personer i din adressebog.
Og i 2007 berettede en af verdens største it-sikkerhedsvirksomheder, amerikanske Network Associates (nu McAfee), om nok en ny ondsindet makro-virus, W97M/Heathen, som også angreb Microsoft Word og gemte sig i tekstdokumenter.

Hvis du åbnede dem, blev tre malware-filer ved navn heathen.vdo, heathen.vdl og heathen.vdx lige så stille placeret i dit Windows-bibliotek. Efter næste opstart af computeren blev opstartsfilen til din Explorer-browser (explorer.exe) inficeret og indstillet til at søge efter nye dokumenter, der kunne ”smittes”. På den måde blev alle dokumenter på din maskine ramt og ødelagt ganske hurtigt.

Herefter var der en forholdsvis fredelig tid, hvor makro-virus stod lidt i skyggen af nye it-trusler, der var endnu værre. Men i de seneste år er der sket en opblomstring af antallet af angreb gennem makroer i PDF’er og Office-programmer som Word, Excel og Power Point. Og det er nok værd at være på vagt.

Ren automatskrift

En makro er en serie af programordrer og altså i bund og grund små simple programmer, der kan igangsætte og afvikle visse funktioner og opgaver. De fleste af denne type makroprogrammer ligger ofte indbygget som en nyttefunktion i større programmer og applikationer (som Word mv.), hvor de giver mulighed for at få rækker af forskellige kommandoer eller tekststrenge udført automatisk ved blot at trykke på en simpel tastekombination. På den måde kan du eksempelvis få indføjet kontaktoplysninger mv. på et øjeblik og slipper for møjsommeligt at skrive din adresse eller lignende gang efter gang.

virus Sådan kan en sikkerhedsadvarsel se ud i Word, hvis programmet opdager en makro i et vedhæftet dokument. Makroen behøver dog ikke nødvendigvis at være ondsindet, men så er du advaret.

Makroer er rigtigt anvendt et snildt redskab i dit computerarbejde, men muligheden for at indføre makroer kan også være et tilbud til programudviklere, der på den måde kan skræddersy et program til specielle opgaver efter behov. Den eneste forudsætning er, at makro-ordrerne kan læses og forstås af det program, makroerne adresserer.

Men en makro-kode kan også være destruktiv og ødelæggende, og det er netop det, der kendetegner en makro-virus. En makro-virus er med andre ord en ondsindet kode, som it-kriminelle har skrevet i makro-programmering og indlagt som skjult makro i en fil, en skabelon, et plugin-modul eller et kontorprogram som Word ved hjælp af e-mail-angreb.

virus Måden makroer håndteres på er lidt forskellig fra version til version af Word.

Hyppigst sker sådanne angreb i form af e-mails, der udgiver sig for at være eksempelvis en jobansøgning, en regnskabsrapport eller en vigtig meddelelse fra et firma eller en organisation. Afsenderne kan foregive at komme fra kendte kilder som Amazon eller PayPal, men i de fleste tilfælde benytter it-svindlerne sig ikke af så velkendte afsendernavne.

Fælles er dog, at mailen beder dig om at åbne den vedhæftede fil, der kunne være et CV i et Word-dokument, et Excel regnskabsark eller andet tilsyneladende tilforladeligt materiale. Men de vedhæftede dokumenter kan indeholde en makro-virus, der med et enkelt klik vil inficere og skaffe sig adgang til alle computerens filer, som den derefter ødelægger eller krypterer til ukendelighed. Og det vil kunne gå ud over din backup, alt indhold i din Dropbox, på dine USB-nøgler og alt, hvad der er tilsluttet computeren på infektionstidspunktet overhovedet.

virus Typisk phishing-mail, der forsøger at lokke dig til at åbne et makro-inficeret dokument. Men er mailen fra ukendt afsender, ved du i realiteten ikke, hvad makroen vil sætte gang i.

Om phishing-mailen vil opføre sig som ransomware og opkræve løsepenge eller andet, er op til de kriminelle, men i alle tilfælde vil angrebet give ubehageligheder (hvilket er en god grund mere til aldrig at åbne ukendte og uventede filer vedhæftet e-mails fra ukendt og uventet side).

Sådan magter du makroer

I Microsofts kontorprogrammer som bl.a. Word, Excel, PowerPoint m.fl. kan du normalt aktivere eller deaktivere makroer og indstille sikkerhedsniveauet. Det sker i de fleste tilfælde via menu-punkterne ”Funktioner”, ”Indstillinger” og ”Sikkerhed”. Det er dog lidt forskelligt, hvordan du præcis håndterer makroer afhængigt af både program og programversion. Men almindeligvis kan du vælge mellem flere niveauer.

virus I Word kan du vælge sikkerhedsindstillinger for makroer under menupunktet Funktioner.

Meget høj: Kun makroer, som er installeret behørigt og tilladeligt og på steder, du kan have fuld tillid til, kan køre. Alle andre signerede og usignerede makroer deaktiveres.

Høj: Du kan kun køre makroer, der er digitalt signeret, og som du selv bekræfter stammer fra en pålidelig kilde. Usignerede makroer deaktiveres automatisk.

Mellem: Du bliver advaret, hvis der optræder en makro fra en ikke 100 % sikker kilde, og du kan vælge at aktivere eller deaktivere makroen, når du åbner den pågældende fil.

Lav: Vælg kun denne indstilling, hvis du er sikker på, at alle filer og dokumenter mv. er fuldt sikre. Det deaktiverer makrobeskyttelsen globalt i programmet, og alle makroer vil blive aktiveret, når du åbner det pågældende dokument eller den pågældende fil.

Som standard er sikkerhedsniveauet indstillet til Høj.

Indbygget sikkerhedsfunktion

Eftersom en makro-virus huserer i et softwareprogram snarere end i selve computerens operativsystem, kan den ondsindede kode inficere en hvilken som helst computer, der kan køre det pågældende softwareprogram. Da bl.a. Word også eksisterer i versioner til Mac-computere, kan en makro-virus indlejret i et Word-dokument beregnet til Windows-platformen også inficere en Mac.

I starten udnyttede hackere ofte makro-vira til at downloade alskens skidt fra internettet uden nogen opdagede det, men som oftest opdagede brugeren disse programmer og afinstallerede dem igen. I dag er det ikke helt så enkelt, for det er ikke alle virusprogrammer, der spotter kriminelle makrokoder med tilstrækkelig sikkerhed. Og selv om et antivirusprogram kan afsløre makro-vira, er det ikke altid nemt at være på højde med, hvad de egentlig gør.

Makroer kan dog være ”signeret” med en digital signatur, der godtgør, at makroen stammer fra den udvikler, der har signeret den, og at den ikke er ændret. Det betyder dog ikke nødvendigvis, at de så også altid er fuldt sikre.

Generelt kan programmer fra Microsoft Office-pakken udmærket tillade, at makroer bliver startet og afviklet automatisk, når programmerne bliver åbnet. Og netop det giver jo god mulighed for, at makro-vira kan sprede sig lynhurtigt.

Til gengæld har kontorprogrammerne indbygget en effektiv sikkerhedsfunktion, der kan håndtere og eventuelt spærre for makro-funktioner. Sædvanligvis viser Office til Windows en advarsel, når du forsøger at åbne et dokument, der indeholder en makro. Meddelelsen angiver dog ikke, om makroen faktisk indeholder en virus eller ej.

Nyttige links for at få nytte af makroer

virus Herfra kan du så under Indstillinger vælge mellem forskellige sikkerhedsniveauer. Højeste sikkerhed er valgt som forudindstilling.

Support.office.com giver adgang til adskillige nyttige info-sider om oprettelse, brug og håndtering af Office-makroer.

https://support.office.com/da-dk/article/Aktivere-eller-deaktivere-makroer-i-Office-filer-12b036fd-d140-4e74-b45e-16fed1a7e5c6

https://support.office.com/da-dk/article/Indspille-eller-afspille-en-makro-c6b99036-905c-49a6-818a-dfb98b7c3c9c