VIRUS.GER-CON'97

Makro-Viren - Die aktuelle Situation von Stefan Kurtzhals


Weitere Themen:

Einführungsvortrag
Unternehmensweiter Virenschutz
Geschichte der Computer-Viren
Internet Insecurity


CD-ROM bestellen

Einige Photos

Die Sponsoren

Konferenz-Überblick

VHM-Startseite

VHM-Startseite Über die VHM Mitglieder der VHM Makro-Beschreibungen Frequently Asked Questions Konferenz'96 Marktübersicht AV-Software

Makro-Viren - Die aktuelle Situation

von Stefan Kurtzhals (VHM)

* Die aktuelle Situation

* Alles CAP.A oder was?

* Vicis.A - Ein komplexer Word-Makrovirus


Die aktuelle Situation

Bis Anfang 1997 waren Makroviren für Microsoft Word bis auf wenige Ausnahmen wie "Concept", "Wazzu" oder "NOP" eher zu vernachlässigen. Im ersten Quartal 1997 stieg jedoch die Zahl der Makroviren rapide an. Alleine in der ersten Maiwoche wurden ca. 100 neue Word-Makroviren klassifiziert. Von Anfang 1997 mit ca. 250 bekannten Makroviren stieg die Zahl auf über 1300 (Stand September 1997). Dieser schnelle Anstieg wurde zum größten Teil durch Microsoft Word selber verursacht. Die von Winword verwendete Systemdatei OLE2.DLL bzw. OLE32.DLL ist fehlerhaft. Unter bestimmten Umständen werden Word-Dokumente beim Sichern geringfügig beschädigt. Bei normalen Dokumenten fällt dies meistens nur dann auf, wenn kritische Bereiche des Dokuments beschädigt wurden und es sich nicht mehr Speichern oder Drucken läßt. Dieses Verhalten wird übrigens oft für die Folge einer Makrovireninfektion gehalten. Makroviren sind im Vergleich zu DOS-Viren weniger anfällig gegen eine derartige Manipulation, je nachdem welcher Bereich des Makrovirus beschädigt wurde, kann sich der Virus weiterhin ungehindert vermehren. Meistens sind nur die Varianten funktionsfähig, in denen leidlich der Schadens- und nicht der Replikationsteil verändert wurde. Einige Makroviren haben sich als besonders anfällig bzw. besonders robust gegenüber diese Art der Veränderung des Programmcodes erwiesen. Sämtliche Varianten der "Npad"-Familie (über 100 Varianten) wurden nicht von Menschen sondern von Winword selber "erstellt". Ein weiteres Beispiel ist "ShowOff", wobei hier auch oft eine zweite Art von natürlicher Mutation eintritt. Makroviren, die aus mehreren Makros bestehen neigen dazu, bereits vorhandene oder später installierte Fremdmakros mit gleichem Namen (wie etwa "AutoOpen" oder "FileSaveAs") einfach zu übernehmen und in den Virus zu integrieren. Besonders der Virus "Colors" zeigt diese Eigenart, wobei ironischerweise oft Makros von sogenannten Antiviren-Makros wie "ScanProt" übernommen werden. Dies zeigt wieder deutlich, wie unsicher der von diesen Programmen angebotene Schutz ist. Von dem Makrovirus "Wazzu" existieren ebenfalls viele Varianten, wobei diese in der Regel lediglich minimal verändert wurden (Entfernen der Schadensfunktion usw.).

Obwohl zur Zeit die Zahl der neuen Makroviren etwas zurückgeht (Stand September 1997) sind Makroviren mittlerweile weitaus häufiger als DOS-Viren. Besonders in Firmen, die ihre Korrespondenz mittels Email im Winword-Dateiformat erledigen, treten Makroviren besonders stark auf. Bei Privatanwendern sind Makroviren bis jetzt eher selten aufgetreten. Viele neue Makroviren erscheinen in Taiwan und werden über eine nicht moderierte Newsgroup veröffentlicht. Technisch fortschrittlichere Viren wie etwa "Vicis.A" wurden in dem elektronischen Magazin "SLAM" der gleichnamigen deutschen Virenprogrammierer-Gruppe "publiziert". Die Zahl der neuen Makroviren für Microsoft Excel und Word97 sind eher gering, da wohl diese Software nicht wie Winword entsprechend verbreitet ist. Dennoch hat es sich gezeigt, daß Word97 keinesfalls immun gegen Makroviren ist und im Gegenteil die Programmiersprache VBA den Virenprogrammieren neue Möglichkeiten eröffnet. Es ist anzunehmen, daß die Zahl der Makroviren für Word97 (und höhere Versionen) ansteigt, sobald sich Word97 gegenüber Word 6.0 und 7.0 durchgesetzt hat. Eine weitere Quelle für neue Varianten von Makroviren ist der Konvertierer in Word97, der in der Lage ist Word 6.0 und 7.0 Dokumente in das neue Format zu übertragen. Eine Zahl von Makroviren wird aufgrund eines einfachen Schutzmechanismus in Word97 nicht konvertiert, es bleiben jedoch genug verbreitete Makroviren übrig, die trotzdem in VBA übertragen werden. Dabei kommt es ebenfalls zu Beschädigungen des Programmcodes und zu unterschiedlichen Varianten.

Viele Hersteller haben in ihre Produkte Makro-Heuristiken eingebaut und können die meisten der neuen, einfacheren Makroviren erkennen. Es ist zu erwarten, daß dies einen Trend hin zu anti-heuristischen Makroviren verursachen wird. Zusätzlich wurden allgemeine Erkennung von bestimmten Virenstämmen wie "Wazzu", "Npad" oder "ShowOff" eingebaut um die ständig steigende Zahl der neue Varianten problemlos handhaben zu können. Das Durchsuchen von verschlüsselten Dokumenten wird ebenfalls üblich, da viele Makroviren als Schadensfunktion Dokumente mit Paßwörtern kodieren.

Alles CAP.A oder was?

Der wohl zur Zeit weltweit am stärksten verbreitete Word-Makrovirus ist "CAP.A". Mittlerweile dürfte die Anzahl der erkannten Infektionen mit "CAP.A" die der von "NOP", "Wazzu", "Clock" oder "Npad" übertroffen haben. Obwohl bei Computerviren eher die Regel gilt, daß nur einfache und robuste Viren sich besonders stark verbreiten können, hat "CAP.A" eine extreme Verbreitungsrate erreicht. Der Virus stammt laut internen Text aus Venezuela und wurde im Dezember 1996 programmiert. Die Zahl der Makros kann von 10 bis 15 variieren und hängt von der Winword-Version ab. Anhand der Menüstruktur von Winword "übersetzt" der Virus bestimmte Makronamen, die umbenannten Virenmakros der vorherigen Infektion bleiben erhalten. Aufgrund dieser Eigenart konnte sich "CAP.A" problemlos auf sämtlichen Versionen von Winword vermehren. Sämtlicher Programmcode von "CAP.A" befindet sich in dem Makro "CAP", welches von allen anderen "Satelliten"-Makros des Virus aufgerufen wird. Der Virus erkennt seine Makros nicht wie sonst üblich anhand des Namens, sondern an speziellen Makrobeschreibungen. Der Virus löscht bei einer Infektion der globalen Vorlage "NORMAL.DOT" sämtliche vorhandene Makros, dennoch sind Fälle vorgekommen, wo "CAP.A" Fremdmakros übernommen hat ("snatched"). Eine Anzahl von Antivirenprogrammen hatten offenbar Probleme mit einer zuverlässigen Erkennung von "CAP.A". Es treten immer noch Fälle auf, in denen nur die englischen Makros entfernt wurden, die restlichen Makros Word jedoch blockierten. "CAP.A" hat keine gezielte Schadensfunktion, wandelt wie bei Makroviren üblich, Dokumente in Vorlagen um und blockiert zusätzlich die Anzeige der Makroliste. Der Virus läßt sich nicht durch das Deaktivieren von Auto-Makros blockieren.

"Vicis.A" - Ein komplexer Makrovirus

"Vicis.A" wurde in dem Virenmagazin "SLAM #3" veröffentlicht und zählt derzeit als der komplexeste bekannte Makrovirus, gleichzeitig ist er als reiner Laborvirus und aufgrund seiner Komplexität und Fehler im Programmcode nicht verbreitet und hat auch nicht das dafür notwendige Potential. Der Virus besteht aus einem einzigen, nicht verschlüsselten Makro "FileSave" (und funktioniert daher nicht mit der deutschen Version von Winword). In der Normal.dot erzeugt der Virus weitere Makros mit den Namen "Vicissiatator" und "ToolsMacro". Das Makro "Vicissiator" dient lediglich als Vorlage während der Virus seinen Programmcode verändert und wird später vom Virus wieder gelöscht. "Vicis.A" ist völlig auf die Veränderung seines Programmcodes optimiert und läßt sich heuristisch leicht erkennen, eine exakte Erkennung dürfte dagegen problematisch sein. Die Komplexität des Virus ist enorm, im Gegensatz zu anderen Makroviren fügt "Vicis.A" nicht nur weitere, unwichtige Befehle ein, sondern verschiebt ganze Programmteile und ersetzt diese durch ein Unterroutinenaufruf ("Call"), substituiert Zahlen durch Additionen, Multiplikationen und ähnliche Konstrukte. Die Verschiebung von Programmteilen (Unterrroutine "Mutate") wird sogar wieder rückgängig gemacht (Unterroutine "Unmutate"), wobei sich hier einer der Fehler im Programmcode des Virus zeigt. Die Routine stellt auch wieder Unterroutinen her, die eigentlich dafür gedacht waren und erzeugen damit gelegentlich Varianten des Virus, die nicht mehr funktionsfähig sind. In seltenen Fällen entfernt der Virus zufällig gewählte Programmzeilen und zerstört sich damit selber. Der Virus ersetzt die Namen von Variablen in seinem Programmcode, wobei auch hier wieder fehlerhaft gearbeitet werden und Argumente von Funktionen ersetzt werden können.

Der Virus enthält den Kommentar:

"'You have been Infected by the Vicissitator Macro Virus."

"'(C)1997 CyberYoda A Member of the SLAM Virus Team"

Ansonsten beinhaltet "Vicis.A" keine gezielte Schadensfunktion.

[Seitenanfang]


© by Stefan Kurtzhals, Virus Help Munich

letzte Änderung: 10.10.1997
Mail an den VHM-Webmaster