Wirus VBA ponownie niebezpieczny

Na początku roku główny badacz Sophos - Gabor Szappanos - opublikował artykuł ,,VBA nie jest martwy". Dotyczył on ponownego pojawienia się złośliwego kodu Visual Basic. Najnowsze wyniki badań laboratorium Sophos pokazują, że aktywność tego malware stale rośnie. Wzrost ten wiąże się z ,,zaletami" kodu VBA nad innymi rozwiązaniami wykorzystującymi błędy w oprogramowaniu. Visual Basic jest prosty do napisania, modyfikowania i dostosowywania. Podobną funkcjonalność można często wyrażać na wiele sposobów, dzięki czemu autor złośliwego kodu ma więcej opcji jego implementowania, niż w przypadku exploitów.

Ponadto exlpoity są przywiązane do konkretnych wersji pakietu Microsoft Office, dlatego autorzy malware, mają nadzieję, że użytkownicy korzystają z zagrożonego atakiem pakietu lub takiego, który ma nieaktywną ochronę antywirusową. Kod Visual Basic w przeciwieństwie do tego rozwiązania nie jest powiązany z konkretną wersją pakietu Office. Jest to jego niewątpliwa zaleta co nie oznacza, że nie posada on słabych stron. VBA nie radzi sobie z funkcjami Makr Microsoftu, dlatego w Office 2007 i późniejszych wersjach pakietu wszystkie Makra pochodzące z nieznanych źródeł są domyślnie wyłączane, a ich kod jest stosowany tylko przy zezwoleniu samego użytkownika. Aby obejść dane zabezpieczenia, autorzy złośliwego kodu VBA, stosują techniki inżynierii społecznej, aby skłonić użytkowników do uruchamiania makr.

W ciągu ostatnich kilku miesięcy SophosLabs odkrył liczne szablony VBA do pobrania. Próbki zawierają kod Visual Basic z pomocnymi uwagami, dotyczącymi miejsc w których należy umieścić niebezpieczne łącza, jak również o sposobach na zaciemnianie kodu. Template jest niezwykle prosty do zaprojektowania nawet przez początkującego programistę. Dany materiał jest opisem ewolucji złośliwego oprogramowania Visual Basic - zagrożenia, które wydawały się nieaktualne, po pewnym czasie mogą wrócić i oddziaływać ze zdwojoną siłą.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL.