还记得1990年代后期专门感染微软Office文件的Macro virus病毒吗?虽然该类型的病毒过去5年来几乎已消声匿迹,不过资安业者Sophos的威胁研究人员Gabor Szappanos于新发表的文章中表示,Macro virus病毒已在这几个月又开始复活了。
Macro virus病毒是以Macro virus语言所撰写的病毒,该语言可包装指令以执行特定的操作,且经常被嵌入像是Word等Office文件中。由于微软的Visual Basicfor Applications(VBS)语言可撰写宏功能,也成为Macro virus病毒的主要撰写语言之一。
Szappanos说明,VBA Macro virus病毒在1990年代后期非常活跃,但自2001年后逐渐没落,最近这5年,由于微软强化了Office产品的安全保护,而让外界以为Macro virus病毒已经绝种,然而,他最近发现VBA Macro virus病毒回来了,而且不再只是个会自我复制的病毒,而是会利用Office的产品漏洞来植入后门或下载木马程序。
先前微软为了防止VBA病毒的攻击,从Office 2007就关闭了VBAMacro virus的自动执行功能。不过,黑客透过社交工程手法以特定的内容来引诱用户启用Macro virus,进而开启感染大门。从今年1月迄今,市场上至少出现了75款变种的VBA Macro virus病毒。
根据Szappanos的观察,黑客是在今年的1月3日建立此一VBA木马程序家族,并藉由开发各种不同的内容与变更宏程序代码很快创造大量的恶意档案,在感染使用者后即安装各种恶意软件,例如锁定网络银行的AutoIt、锁定.NET平台的DotNET病毒,以及允许黑客远程访问的Simda等。
