Powraca wirus VBA

Przeczytaj także: McAfee: zagrożenia internetowe III kw. 2011

VBA vs exploity

Wzrost aktywności tego malware wiąże się z "zaletami” kodu VBA, które stanowią jego przewagę nad innymi rozwiązaniami wykorzystującymi błędy w oprogramowaniu. Visual Basic jest prosty do napisania, modyfikowania i dostosowywania. Podobną funkcjonalność można często wyrażać na wiele sposobów, dzięki czemu autor złośliwego kodu ma więcej opcji jego implementowania, niż w przypadku exploitów. Ponadto exlpoity są przywiązane do konkretnych wersji pakietu Microsoft Office, dlatego autorzy malware mają nadzieję, że użytkownicy korzystają z zagrożonego atakiem pakietu lub takiego, który ma nieaktywną ochronę antywirusową. Kod Visual Basic w przeciwieństwie do tego rozwiązania nie jest powiązany z konkretną wersją pakietu Office. Jest to jego niewątpliwa zaleta, co nie oznacza, że nie posada on słabych stron. VBA nie radzi sobie z funkcjami Makr Microsoftu, dlatego w Office 2007 i późniejszych wersjach pakietu wszystkie Makra pochodzące z nieznanych źródeł są domyślnie wyłączane, a ich kod jest stosowany tylko przy zezwoleniu samego użytkownika. W celu obejścia zabezpieczeń autorzy złośliwego kodu VBA stosują techniki inżynierii społecznej, aby skłonić użytkowników do uruchamiania makr.

VBA template

W przeciągu ostatnich kilku miesięcy SophosLabs odkrył liczne szablony VBA do pobrania. Próbki zawierają kod Visual Basic z pomocnymi uwagami dotyczącymi miejsc, w których należy umieścić niebezpieczne łącza, jak również o sposobach na zaciemnianie kodu. Template jest niezwykle prosty do zaprojektowania nawet przez początkującego programistę.