Makro-Viren

Inhalt:

Einleitung

Wordmacro.Concept

Infektionserkennung

Infektionsvorbeugung

Sicherheitslücke 1.

Abhilfe

Sicherheitslücke 2.

Abhilfe

Bemerkungen

Wordmacro.Nuclear

Möglickeiten unter WordBasic

Generelle Funktion einesbMakro-Virus

Auswirkungen

Copyright-Hinweise

Einleitung

Mit dem zunehmenden Feature-Wahn bei Applikations-Software wurden auch die integrierten Makro-Sprachen in den letzten Jahren entsprechend ausgebaut und mit mächtigen Befehlen und Möglichkeiten versehen. Das wohl bekannteste Beispiel dafür dürfte die Makro-Sprache WordBasic sein, die unter anderem in den Applikationen des Softwarepakets Microsoft Office zu finden ist.

Mit den zunehmenden Programmiermöglichkeiten die eine Makro-Sprache bietet nehmen auch die Möglichkeiten des gefährlichen Mißbrauchs zu. Was bis vor kurzem noch in Forschungspapieren diskutiert wurde ist nun Realität geworden. Es wurde in einer Makro-Sprache für eine Applikationssoftware ein Computervirus programmiert der sich auch mit relativ großem Erfolg weltweit weiterverbreitet hat. Weitaus interessanter ist aber die Tatsache, daß die gefunden Makro-Viren auf unterschiedlichen Plattformen sich ausbreiten können da sie nicht von einer spezifischen Hardwareplattform (CPU) oder einem Betriebssystem abhängig sind. Die vorliegenden Makro-Viren funktionieren unter Microsoft WinWord, egal ob dieses WinWord unter Windows, Windows 95, Windows NT oder gar auf Apple MacIntosh läuft, da alle WinWord Versionen über die gleiche Makro-Sprache WordBasic verfügen in welcher der Makro-Virus programmiert wurde.

Wordmacro.Concept

Der Wordmacro.Concept Virus, der auch unter den Namen WinWord.Concept, WW6Macro und Prank Macro bekannt wurde, dürfte wohl als der erste wirklich weit verbreitete Makro-Virus seiner Art gelten und wurde für die englische Version von Word für Windows 6.0 programmiert. Der Virus besteht aus fünf verschiedenen Makros mit den Namen AAAZAO, AAAZFS, FileSaveAs, AutoOpen und Payload.

Wird eine infizierte DOC-Datei unter WinWord 6 geöffnet, wird automatisch das Makro AutoOpen ausgeführt. Dieses Makro kontrolliert nun, ob der Virus nicht bereits installiert ist. Hierzu wird das Vorhandensein von den Makros Payload und FileSaveAs überprüft. Werden diese beiden Makros nicht angetroffen kopiert das Makro AutoOpen alle fünf Makros in die gültige globale Dokumentenvorlage welche bei einer Standardinstallation von WinWord die Datei NORMAL.DOT ist. Als nächstes ändert das Makro die Datei WINWORD6.INI. Hier wird der Eintrag „WW6I= 1 hinzugefügt. Danach wird dem Anwender eine Message-Box auf dem Bildschirm angezeigt welche die Zahl „1“ enthält. Um weiter arbeiten zu können muß der Anwender auf die Schaltfläche „OK“ klicken. Durch diese Message-Box verrät sich der Virus während der Installation absichtlich. Sollte bei der Infektion bereits ein Makro mit dem Namen AutoOpen existieren wird dieses Makro einfach um die Befehle der Virus-Version erweitert.

Als nächstes wird der WinWord-Befehl „FileSaveAs“ um einige Makrobefehle erweitert die sicherstellen, daß jedes weitere Dokument das mit dem Befehl „FileSaveAs“ abgespeichert wird nicht als Dokument sondern als Dokumentenvorlage abgespeichert wird und das alle zu dem Virus gehörenden Makros in das zu speichernde Dokument kopiert werden.

Ist WinWord erst durch den Wordmacro.Concept Virus infiziert, tut dieser nichts anderes als sich weiter zu verbreiten. Der Virus enthält keinerlei Triggerfunktion oder Schadensroutine obwohl eine solche durch die Existenz des Makros Payload angedeutet wird. Das Makro Payload enthält nur einen Kommentar und wird nicht aufgerufen oder ausgeführt.

Es gibt einige Anzeichen die dafür sprechen, daß der Wordmacro.Concept Virus ein Test- oder Forschungsvirus ist mit dem der Beweis angetreten werden sollte das es möglich ist in einer Makto-Sprache Viren zu programmieren. So erscheint bei der Infektion die Message-Box mit der „1“ auf dem Bildschirm womit die Infektion optisch kenntlich gemacht wird, ein leeres Makro mit dem Namen Payload existiert und last but not least lassen sich einige Kommentare in den Makros so deuten. Die wohl eindeutigsten Kommentare vom Programmierer dürften wohl „That´s enough to prove my point“ sein, sowie „Payload is just for fun“.

Durch eine kleine Besonderheit ist es dem Virus Wordmacro.Concept nicht möglich sich unter der deutschen Version von WinWord 6 weiter zu verbreiten. Da der englische Befehl „FileSaveAs“ nicht in der deutschen Version funktioniert wo der korrekte Befehl „DateiSpeichernUnter“ lautet kann der Virus zwar die globale Dokumentenvorlage NORMAL.DOT infizieren, er kann sich aber nicht in Dokumenten abspeichern. Damit ist der Verbreitung innerhalb Deutschlands Grenzen gesetzt und eine Verbreitung beschränkt sich lediglich auf die englische Version von WinWord 6.

Beim Beenden von WinWord wird ohne Rückfrage die Datei NORMAL.DOT abgespeichert und damit die vom Wordmacro.Concept Virus durchgeführten Veränderungen.

Infektionserkennung

Die Infizierung der globalen Dokumentenvorlage wie auch der abgespeicherten Dokumente ist relativ einfach zu erkennen. Wird unter WinWord 6 der Menüpunkt „Extras|Makro...“ angewählt erscheinen alle in der NORMAL.DOT gespeicherten Makros. Sollten sich die fünf Makros des Wordmacro.Concept Virus darunter befinden, so ist es vollkommen ausreichend die entsprechenden Makros zu markieren und zu löschen. Danach muß in den Dokument-Dateien nach einer etwaigen Infizierung gesucht werden.

Weiterhin könnte eine Infektion anhand des Eintrages in der WINWORD6.INI erkannt werden.

In Dokument-Dateien kann mit einem ASCII-Editor nach dem Textstrings „iWW6IInstance“, „That´s enough to prove my point“ oder „see if we´realready installed“ gesucht werden.

Infektionsvorbeugung

Um einer erneuten Infektion durch den Wordmacro.Concept Virus vorzubeugen reicht es vollkommen aus ein leeres Makro mit dem Namen Payload zu erzeugen. Weiterhin sollte die automatische Ausführung von Makros unterdrückt werden.

Zusammenfassend kann auch gesagt werden, daß der Virus Wordmacro.Concept auch einige Sicherheitslücken in der Standardinstallation von WinWord 6 ausnützt.

Sicherheitslücke 1.

WinWord 6 führt beim Öffnen einer Dokument-Datei automatisch die darin enthaltenen Makros aus ohne vorher den Anwender zu fragen ob dies überhaupt erwünscht ist.

Abhilfe

Das automatische Ausführen von Makros kann in WinWord durch das Halten der <Shift> Taste beim Öffnen eines Dokuments unterbunden werden. Ebenfalls kann das automatische Ausführen von Makros beim Start von WinWord durch das halten der <Shift> Taste oder durch den Aufrufparameter /M unterbunden werden. Es liegen allerdings auch Meldungen aus England vor, wonach dies ebenfalls nicht funktioniert hat.

Es ist auch möglich den automatischen Start von Makros beim Öffnen von Dateien durch ein Makro zu unterbinden. Ein solches Makro für die englische Version sollte AutoExec heißen und den folgenden Inhalt haben:

Sub MAIN
DisableAutoMacros
MsgBox „AutoMacros Off!“,
End Sub

Für die deutsche Version kann ein gleichnamiges Makro mit dem folgenden Inhalt erstellt werden:

Sub MAIN
AutoMakroUnterdrücken
MsgBox „Kein automatischer Start von Makros“,
End Sub

Sicherheitslücke 2.

Die globale Dokumentendatei NORMAL.DOT wird ohne vorherige Abfrage oder Bestätigung durch den Anwender abgespeichert wenn WinWord beendet wird.

Abhilfe

Unter dem Menüpunkt „Extras|Optionen|Speichern“ kann eine Abfrage beim Abspeichern der Datei NORMAL.DOT eingeschaltet werden. Bei jeder Veränderung die Abgespeichert werden soll wird der Anwender nun vorher um Einverständnis gefragt.

Weiterhin kann die Datei NORMAL.DOT mit dem ReadOnly Flag von DOS versehen werden. Müssen legitime Änderungen an der Datei vorgenommen werden muß dieses Dateiattribut vorher entfernt werden. Außerdem ist dies nicht auf dem Apple MacIntosh möglich.

Außerdem ist es ratsam eine Sicherungskopie der Datei NORMAL.DOT anzulegen. So braucht man im Ernstfall die infizierte NORMAL.DOT nur mit der Sicherungskopie zu überschreiben.

Bemerkungen

Obwohl in relativ kurzer Zeit ersichtlich wurde, daß der Makro-Virus Wordmacro.Concept eine große Verbreitung gefunden hatte wurde die ganze Angelegenheit anfänglich von Microsoft als harmloser Streich abgetan, später wurde dann eine Lösung in Form eines WinWord 6 Dokumentes zur Verfügung gestellt das nach den Makros in der Datei NORMAL.DOT sucht und bei Vorhandensein löscht. Nichts desto Trotz wurde der Wordmacro.Concept Virus auch von Microsoft selbst verbreitet. So wurde in Deutschland eine Microsoft CD-ROM mit dem Titel „Migration 95“ verteilt die im Hauptverzeichnis eine infizierte DOC-Datei mit dem Namen INHALT.DOC enthält. Weiterhin ist eine CD-ROM von der Firma Serverware mit dem Titel „Snap-On Tools for the Windows NT Professional“ bekannt die 7 infizierte DOC-Dateien enthält. Die schnelle und weite Verbreitung des Wordmacro.Concept Virus liegt in der Tatsache begründet, das Anwender viel mehr Daten-Dateien, in diesem Fall DOC-Dateien, zu Informationszwecken weitergeben oder austauschen als ausführbare Dateien.

Auch wenn sich der Virus unter der deutschen Verison von WinWord 6 weiterverbreitet liegen genügend Infektionsmeldungen aus Deutschland vor. Vor allen Dingen international verbreitete Unternehmen die sowohl mit deutschen als auch mit englischen WinWord Versionen arbeiten sind hier von diesem Virus betroffen gewesen.

Alle hier beschriebenen Besonderheiten und Maßnahmen beziehen sich ausschließlich auf den Wordmacro.Concept Virus!

Wordmacro.Nuclear

Nach der Entdeckung des Wordmacro.Concept Virus war es nur eine Frage der Zeit bis weitere Viren des Makro-Typs auftauchen würden. So wurde einige Wochen später im Internet bei einem der größten amerikanischen Internet-Provider der nächste Makro-Virus entdeckt.

Es handelt sich dabei um ein infiziertes WinWord 6 Dokument das ursprünglich von dem russischen AV-Forscher Eugene Kaspersky als Hilfe gegen den Wordmacro.Concept Virus kostenlos in Datennetzen zur Verfügung gestellt wurde. Das Originaldokument von Eugene Kaspersky heißt AVPWW102.DOC und wird in einem gleichlautenden ZIP-Archiv vertrieben, während die geänderte, infizierte Version unter dem Namen WW6INFO.DOC in dem ZIP-Archiv WW6.ALERT.ZIP verteilt wird.

Verändert wurde das Dokument von dem australischen Virenprogrammierer Qark der auch führendes Mitglied in Virengruppe VLAD ist. Das Besondere an dem Wordmacro.Nuclear Virus ist die Tatsache, das es sich hier um mehrere Viren handelt die unter unterschiedlichen Systemen funktionieren. So besteht der Wordmacro.Nuclear Virus aus einem Makro-Teil der sich unter WinWord verbreitet und aus einem Dropper-Script welches versucht einen DOS-Virus auf dem System zu plazieren und auszuführen.

Ein mit dem Wordmacro.Nuclear infiziertes Dokument enthält die Macros AutoExec, AutoOpen, DropSuriv, FileExit, FilePrint, FilePrintDefault, FileSaveAs, InsertPayload und Payload.

Alle Makros sind ExecuteOnly, können also unter WinWord 6 nicht eingesehen oder verändert werden. Das machte die Sache etwas schwerer als bei dem Wordmacro.Concept da jetzt erst die Verschlüsselung der Makros geknackt werden mußte bevor die Makros analysiert werden konnten. Microsoft war in diesem Fall äußerst unkooperativ und stellte keinerlei Informationen über die Dateistruktur oder Verschlüsselungsart zur Verfügung.

Beim Öffnen des infizierten Dokuments wird das Makro AutoExec automatisch ausgeführt. Dieses Makro leitet nun die Infizierung der globalen Dokumentenvorlage in die Wege, ähnlich wie bereits beim Wordmacro.Concept Virus beschrieben. Ich will deshalb an dieser Stelle nur auf die Besonderheiten des Wordmacro.Nuclear eingehen.

Während der Infektion wird vom Wordmacro.Nuclear keine Message-Box dem Anwender angezeigt. Die Infektion geht unbemerkt von statten.

Das Makro Payload verfügt über eine Schadensroutine. Es überprüft das Systemdatum und löscht am 5. April die DOS Systemdateien COMMAND.COM, IO.SYS und MSDOS.SYS.

Das Makro FileExit schaltet unter dem Menüpunkt „Extras|Optionen|Speichern“ die Abfrage zum Abspeichern der Datei NORMAL.DOT aus, sofern diese Option eingeschaltet war (wie beim Wordmacro.Concept empfohlen). Die erste aktive Maßnahme des Virus gegen Entdeckung.

Der Virus schreibt sich in jede Dokumenten-Datei die mit der Funktion SaveAs abgespeichert wird.

Während ein Dokument ausgedruckt wird fügt der Virus etwa bei jedem zwölften Dokument zwischen der 55ten und 59ten Sekunden den folgenden Text beim Ausdruck ein.

„And finally I would like to say:“
„STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!“

Das Makro DropSuriv enthält ein Script für einen DOS-Virus der COM / EXE / NewEXE Dateien infiziert (Suriv = Virus rückwärts geschrieben). Dieses Script entspricht dem Ph33r Virus der in der neuesten Ausgabe 5 des Viren-Magazins VLAD bereits veröffentlicht wurde. Zwischen 17.00 Uhr und 17.59 versucht Wordmacro.Nuclear diesen DOS-Virus aktiv in das System einzuschleusen.

Dazu sucht ein Makro nach der Datei DEBUG.COM im Unterverzeichnis C:\DOS. Wird diese Datei gefunden erstellt er eine temporäre Datei mit dem Namen PH33R.SCR im Unterverzeihnis C:\DOS und schreibt das Script aus dem Makro DropSuriv in diese Datei. Danach erstellt der Virus eine temporäre Batch-Datei mit dem Namen EXEC_PH.BAT und führt diese aus. Die Batch-Datei erstellt nun mit Debug eine lauffähige Kopie des Virus Ph33r und führt diesen aus. Dies alles soll im Hintergrund geschehen, ohne das der Anwender davon etwas bemerkt. Anschließend werden die beiden temporären Dateien PH33R.SCR und EXEC_PH.BAT vom Virus gelösch um keine verräterischen Spuren zu hinterlassen. Wird kein DEBUG.COM gefunden wird auch nicht versucht den Ph33r Virus zu aktivieren.

Durch einen Programmierfehler im Ph33r Virus stürzt DEBUG ab. Dadurch ist es bis jetzt noch nicht erfolgreich gelungen ein System wie oben beschrieben zu infizieren. Der Virenprogrammierer hat allerdings im Internet bereits angekündigt, er werde ein funktionsfähiges „Update“ demnächst veröffentlichen.

Der DOS-Virus Ph33r ist ein speicherresidenter Virus der VSAFE im Speicher abschaltet (Retro-Virus), unter Windows funktioniert und die für Windows typischen NewEXE Dateien fehlerfrei infizieren kann ohne das es von Windows zu Fehlermeldungen oder Abstürzen kommt. Der Ph33r Virus kann keine WinWord Dokumenten-Dateien infizieren(!) und enthält den Textstring:

=Ph33r=
Qark/VLAD

Der Ph33r Virus enthält keine Triggerbedingungen oder zerstörerische Routinen.

Möglichkeiten unter WordBasic

Grob umrissen stellt WordBasic die folgenden Funktionalitäten zur Verfügung die bei entsprechender Anwendung auch eine Gefahr darstellen können und als potentielle Sicherheitslücke zu betrachten sind:

1. Volle Unterstützung von DDE und OLE

2. Automatische und unbemerkte Ausführung von Makros, Event- oder Zeitgesteuert.

3. Umfangreiche Dateizugriffsfunktionen aus einem Makro heraus mit den Möglichkeiten:

a. Abändern bestehender Makros
b. Dateien erstellen und in Makros einfügen
c. Hinzufügen und Entfernen von Verzeichnissen
d. Voller Netzwerkzugriff
e. Abändern von Dateiattributen
f. Automatisches Einfügen von Makros in Dateien

4. Ein SHELL-Kommando welches es erlaubt eine Applikation aus einem Makro heraus zu starten.

Generelle Funktion eines Makro-Virus

Die generelle Infektionsfunktion eines Makro-Virus läuft folgendermaßen ab:

1. Führe ein Makro automatisch aus

Z.B. wenn eine infizierte Datei geöffnet wird. Dieses automatisch ausgeführte Makro kann dann noch andere benötigte Makros in den Infektionsprozeß miteinbeziehen damit diese später auch automatisch ausgeführt werden können.

2. Infiziere globale Dokumentenvorlage

Damit stellt der Virus sicher , das er resident im (WinWord)System vorhanden ist und gegebenenfalls auf Anwenderaktionen reagieren kann (z.B. Abspeichern von Dokumenten).

3. Infiziere Dokumente die abgespeichert werden.

Damit stellt der Virus seine Replikation und Weiterverbreitung sicher.

4. Abspeichern der infizierten globalen Dokumentenvorlage

Damit wird sichergestellt das der Virus auch in Zukunft in diesem WinWord System Dateien infizieren kann.

5. Führe sonstige Aktionen aus.

Die sonstigen Aktionen können durch irgendwelche Triggerbedingungen ausgelöst werden und sind nicht notwendiger Bestandteil der Überlebensfunktionen des Makro-Virus. Es kann aber jetzt schon davon ausgegangen werden das es gerade die sonstigen Funktionen sind die noch die eine oder andere Überraschung präsentieren werden.

Auswirkungen

Nachdem nun die Büchse der Pandora geöffnet wurde sind bereits jetzt einige Auswirungen für die Zukunft abzusehen.

Wurde noch bis vor kurzem dem Anwender gesagt, das Dateien die nur Daten enthalten keine Viren ausführen können, so muß jetzt dieser Standpunkt revidiert werde solange die Datendateien mit Applikationsprogrammen erstellt und weiterverarbeitet werden die über eine entsprechend mächtige Makro-Sprache verfügen. Die Unsicherheit in Bezug auf Computerviren die man bisher nur bei ausführbaren Dateien auf DOS-Ebene hatte wird nun in die Applikationsprogramme hineingetragen.

Es kann ebenso ruhigen Gewissens behauptet werden, daß die derzeit bekannten Makro-Viren erst die technologisch einfache Vorhut bilden für wesentlich komplexere und gefährlichere Makro-Viren die ebenso Schaden anrichten können wie die derzeit weit verbreiteten DOS-Viren, sich aber anderen und ganz neuen Techniken und Sicherheitslücken in den grafischen Benutzeroberflächen und Applikationsprogrammen bedienen.

Die Analyse von Makro-Viren wird sich in Zukunft schwieriger gestalten da WordBasic nicht die einzige Makro-Sprache auf diesem Planeten ist. In Zukunft wird die AV-Industrie praktisch gezwungen wegen jedem neuen Makro-Virus sich erst einmal die dazugehörige Applikation zu kaufen und dann die Handbücher durchzulesen um die Makro-Sprache überhaupt erst zu erlernen. Erst danach kann der Virus analysiert und auf Funktion hin getestet werden. Diese Sache ist sowohl kosten- als auch zeitintensiv.

Es werden Leute in die Lage versetzt Makro-Viren zu programmieren die nie in ihrem Leben einen Computervirus unter DOS hätten programmieren können. Sie müssen keinerlei Programmierkenntnisse mehr haben, sie müssen nur eine Schulung über die entsprechende Applikation und ihre Makro-Sprache erfolgreich abschließen. Damit wird es für einige Personengruppen noch einfacher Viren herzustellen und zu verbreiten. Auch könnte sich daraus ein ganz neuer Virenuntergrund entwickeln.

Auch im Bereich der Antiviren-Software werden die Auswirkungen zu spüren sein. Sucht die derzeitige Antiviren-Software nur in ausführbaren Dateien nach Computerviren werden in Zukunft auch immer mehr Dateien untersucht werden müssen die nicht ausführbar sind. Dies wird sich negativ auf die Suchgeschwindigkeit vieler Produkte auswirken. Hinzu kommt noch das es in der Regel immer mehr Daten-Dateien auf einem System gibt als ausführbare Dateien, die Daten-Dateien in der Menge ständig zunehmen und auch ungleich größer sind als ausführbare Dateien. Hier sei nur daran erinnert, daß eine Datenbank-Datei oder Spreadsheet-Datei schnell einige Megabyte groß werden kann.

Leider sind die beiden hier geschilderten Makro-Viren nicht mehr die einzigen. So gibt es bereits einen Makro-Virus der auch Excel-Dateien infiziert sowie einige andere Makro-Viren. Keiner dieser Viren sit aber bis jetzt „In the Wild“ bei einem Anwender gefunden worden während die hier besprochenen Makro-Viren doch als verbreitet gelten dürfen.

Es ist jedem DV-Verantwortlichen in einem Unternehmen zu raten sich jetzt darüber zu informieren welche im Unternehmen eingesetzte Software welche Makro-Möglichkeiten bietet und wie vor allen Dingen der automatische Start von Makros in jeder Applikation effektiv unterbunden werden kann. Auch sollte daran gedacht werden die unternehmensinternen Datensicherheitsrichtlinien (so es überhaupt welche gibt) um den Punkt des Makro-Handlings durch Anwender zu erweitern um wenigsten einige Präventivmaßnahmen gegen Makro-Viren zu ergreifen.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.