Rechner gegen Makroviren absichern

I

Inateck

Gast
Hallo,
ein Freund hat heute Mittag eine Spam-Mail mit einem .doc-Dateuanhang geöffnet.
Beim Öffnen wurde ihm kein Inhalt angezeigt. Dürfte also ein Makrovirus sein
Ergebnis von virustotal.com: https://www.virustotal.com/de/file/...42382a3cd592fe64ba770e1a/analysis/1453737836/

Mein Bekanntenkreis ist soweit gut durch mich im Umgang mit Mails geschult, aber es gibt manchmal
dann doch Mails, die zu echt aussehen bzw. wie eine aussehen, auf die man wartet.

Ich wollte dann nun bei ihm die Makros deaktivieren nach https://support.office.com/de-de/ar...kumenten-7b4fdd2e-174f-47e2-9611-9efe4f860b12

Voreingestellt ist "Alle Makros mit Benachrichtigung deaktivieren Dies ist die Standardeinstellung. Klicken Sie auf diese Option, wenn Makros deaktiviert werden sollen, Sie jedoch benachrichtigt werden möchten, falls Makros vorhanden sind. Auf diese Art können Sie je nach der Situation auswählen, ob die jeweiligen Makros aktiviert werden sollen."

An sich sind die Makros ja deaktiviert und eine Infektion dürfte erst nach konkretem Bestätigen ausgeführt werden.
Nach seiner Aussage kam allerdings kein Dialog zur Bestätigung ob Makros aktiviert werden sollen oder Ähnliches.

Bei heise.de gab es ja eine News: http://www.heise.de/security/meldun...ngstrojaner-kommt-mit-Word-Datei-3039927.html

"Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. "

Ich habe gerade ein Logikproblem. Es ist ein Makrovirus, aber beim Öffnen der Datei wurde nicht gefragt, was mit Makros passieren soll. Wo ist der Fehler? Meine andere Frage wäre, wieso soviele Rechner trotz einer solchen Voreinstellung für Makros infiziert werden? Weil alle Leute einfach wie die Deppen auf Ja klicken und dadurch die Makrofunktion des Dokumentes aktiviert wird?

Infiziert sieht der Rechner nicht aus. Das ganze ist nun 4 Stunden her. Virenscanns geben nichts her, Prozesse sind normal, keine erhöhte CPU-Auslastung, persönliche Dateien wurden bisher auch noch nicht verschlüsselt. Für den Fall der Fälle gibts ein 4 Tage altes Backup.

Spricht etwas dagegen die Option bei Word zu verwenden "Alle Makros ohne Benachrichtigung deaktivieren Klicken Sie auf diese Option, wenn Sie Makros nicht vertrauen. Alle Makros in Dokumenten sowie Sicherheitshinweise zu Makros werden deaktiviert. Dokumente mit nicht signierten Makros, die Sie für vertrauenswürdig halten, können Sie an einen vertrauenswürdigen Speicherort verschieben. Dokumente an vertrauenswürdigen Speicherorten können ohne Überprüfung durch das Sicherheitssystem des Vertrauensstellungscenters ausgeführt werden."?
Ich kenne Makros soweit nicht und laut Google dienen die der Programmierung in Word sozusagen. Sofern Word nur für Texte, Tabellen und paar Formulare verwendet wird, kann man die Makros deaktivieren, wenn ich das richtig sehe.
 
Inateck schrieb:
Ich habe gerade ein Logikproblem. Es ist ein Makrovirus, aber [...]

Das ist einfach nur deine Vermutung, die du daran fest machst, dass der Anhang als *.doc kam, oder?

edit:
Wobei.. W2kM/Dridex scheint ein Makrovirus zu sein.
"W2000M: macro virus for Microsoft Word 2000"

Tja. Dann hat wohl der Microsoft-Makrovirenschutz Schlupflöcher - wen überrascht's? :D

Das einzige, was du machen kannst, wäre das bei MS zu melden und hoffen, dass sie es patchen.


edit2:
hier mehr Infos:

http://www.trendmicro.com/vinfo/us/...b-attack/3147/dealing-with-the-mess-of-dridex
http://www.it-finanzmagazin.de/neue...nfiziert-seit-21-oktober-per-word-makro-5576/

Laut diesen Quellen soll der Makro-Schutz aber eine Infektion verhindern. Ich würd auf jeden Fall das Backup nutzen...
 
Zuletzt bearbeitet:
Danke für die Quellen. Backup nutzen wäre wohl die beste Option. Muss mal schauen, ob ich das remote hinbekomme. Besagter Freund ist über 65 und mit IT kann er kaum...sonst muss das bis zum WE warten und ich dann mal vorbeischaue.
 
Grundsätzlich von unbekannten anbieter keine Mail öffnen, gleich recht nicht wenn sich diese im Junk / Spam Ordner befinden.
 
Zurück
Oben