722350

Kein Schutz vor Winword-Makros

Anforderung

Zeitaufwand

Einige neue Makro-Rezepte: Das angebliche Zaubermittel gegen Winword-Viren AutoMakroUnterdrücken 1 kann mich nicht mehr irritieren. Die meisten Mitkreaturen sind sowieso nicht informiert, und gegen die wenigen anderen habe ich mir neue Rezepte einfallen lassen. Eine interessante Anregung erhielt ich durch Virenprogrammierer im Internet: Auch ohne selbstausführende Makros wie "AutoOpen" oder "AutoClose" lassen sich Makros in den Feindrechner injizieren, indem man seinen Ködertext mit einer Reihe von verbogenen Standardbefehlen versieht. Insbesondere einschlägig sind die Winword-Standardbefehle "DateiSchließen" und "DokumentSchließen", da einer dieser Befehle aller Voraussicht nach ausgeführt wird, um den von mir infizierten Text wieder zu schließen. Ich setze also meine "MakroKopieren"-Anweisungen nicht nur in das "AutoOpen"-Makro (das Besserwisser durch den Disable-Befehl deaktivieren), sondern zusätzlich in Makros mit diesen Makronamen. Daneben sorge ich in meinem Netz-Umfeld dafür, daß der Disable-Befehl in bestimmten Fällen gleich wieder rückgängig gemacht wird. Hier helfen mir wieder Registry-Einträge, die Drag& Drop-Aktionen unterlaufen: Gelingt es mir nämlich, meine eigenwillige Winword-Registrierung einzuschleusen, dann steht unter "ddeexec" und ifexec" nicht mehr[DateiÖffnen("%1")]sondern:[AutoMakroUnterdrücken 0][ DateiÖffnen("%1")]

Damit setze ich den eventuell gegenteiligen Disable-Befehl unerkannt wieder zurück.Wie Sie sich wehren -Kommentar der Redaktion Der genannte Befehl wirkt unter Winword 6 und 7 für die Dauer der gesamten Winword-Sitzung, solange kein gegenteiliger Makrobefehl (mit Parameter "1") erfolgt. Unter Version 2 lautet er "DisableAuto-Macros". Als Eintrag im "AutoExec"-Makro ist er ein wirksamer Schild gegen alle automatisch ausgelösten Winword-Makros (" AutoOpen", "AutoClose", "AutoNew", "AutoExit"), abgesehen vom AutoExec-Makro selbst.Dennoch ist diese Vorsichtsmaßnahme in der Tat keine hundertprozentige Garantie gegen Makroviren und Makroanschläge. Sie zwingt den Angreifer aber immerhin zu einem erheblich höheren Organisationsaufwand und reduziert damit die Infektionsgefahr.Der Hacker deutet den Weg an, über einen eingeschleusten Registry-Eintrag die Auto-Makros wieder zu aktivieren. Das ist nicht ernsthaft zu befürchten. Ein realistisch denkender Hacker wird nicht versuchen, erst die Registry zu korrumpieren, um sie später besser korrumpieren zu können, um sie noch später noch besser ... TIP: Gegen die Makroviren-Schlupflöcher gibt es nur das Gegenmittel der permanenten Kontrolle. In der PC-WELT 1/ 96 haben wir ein Winword-2-Makro "DateiÖffnen" veröffentlicht (Seite 56). Es prüft jede geöffnete Datei dahingehend, ob es sich um eine Makrovorlage handelt. Den leicht modifizierten Code für die neueren Word-Versionen finden Sie im Bild auf Seite 92. Meldet Ihnen das Makro eine als Text getarnte Vorlage, sollten Sie die Vorlagen-Makros über "Extras, Makros" einsehen und sie dann entweder umgehen oder löschen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

722350