Radzenie sobie z inwencyjnymi złośliwymi narzędziami w programie Excel

Historia ma tendencję do powtarzania się, a twórcy złośliwego oprogramowania wykorzystują dwie szczególnie przebiegłe metody, aby rozproszyć złośliwy kod komputerowy na niczego niepodejrzewających użytkowników Excela.

Czytelnicy w pewnym wieku przypomną sobie wirus Melissa, który został po raz pierwszy uwolniony w marcu 1999 roku. Wykorzystuje on zainfekowane komputery na całym świecie za pomocą złośliwego kodu makro w dokumentach biurowych, takich jak arkusze kalkulacyjne Excel. W efekcie wirus wysyłałby maile do wszystkich użytkowników z listy kontaktów w Outlooku.

W odpowiedzi Microsoft dodał do Excela środki bezpieczeństwa, co omówię w dalszej części tego artykułu. Wraz z rozwojem Internetu wydaje się, że twórcy złośliwego oprogramowania przenieśli się z dokumentów Biura dla pieszych do innych metod dystrybucji wirusów i złośliwego oprogramowania.

Jedną z nowych i innowacyjnych prób są pliki .IQY, które są plikami tekstowymi używanymi do przechowywania instrukcji zapytań internetowych do pobierania danych z programu Microsoft Excel. Te pliki .IQY są skonfigurowane do pobierania skryptu PowerShell, który z kolei może dyskretnie pobierać złośliwe oprogramowanie.

PowerShell jest narzędziem do automatyzacji i konfiguracji zadań opracowanym przez Microsoft. Pliki IQY nie są arkuszami kalkulacyjnymi Excel, ale raczej plikami tekstowymi związanymi z programem Excel. Dlatego też, Excel uruchomi się, jeśli otworzysz plik .IQY z załącznika e-mail.

Wówczas większość użytkowników spotka się z szybkim ostrzeżeniem o potencjalnych zagrożeniach dla bezpieczeństwa. Jeśli użytkownik odruchowo kliknie przycisk Włącz, skrypt PowerShell pobierze aktualny złośliwy kod. Następnie użytkownik musi kliknąć przycisk Tak, aby wyświetlić drugi monit bezpieczeństwa z pytaniem o włączenie funkcji Zdalnych danych. Pojawiają się tutaj dwie oczywiste lekcje:

  1. Nigdy nie klikaj na pliki, które mają nieznane typy plików, takie jak format .IQY.
  2. Nigdy nie należy klikać “Tak” lub “Włącz” na poleceniach bezpieczeństwa pojawiających się w programie Microsoft Excel, chyba że masz całkowitą pewność co do źródła danego dokumentu.

Złośliwe dokumenty są przekazywane za pomocą metod spoofingowych, które zawierają nazwy plików, takie jak “Nieopłacona faktura”, “Faktura przeterminowana” lub podobne terminy. Techniki te starają się zainspirować niepodejrzewających użytkowników do otwarcia załącznika.

Innym niedawnym zastosowaniem arkuszy kalkulacyjnych Excela jest Adobe Flash, który jest aplikacją używaną do tworzenia grafiki i filmów dla Internetu i innych platform. Hakerzy znaleźli sposób na osadzenie ładunków złośliwego oprogramowania we wbudowanych obiektach Flash w arkuszach kalkulacyjnych Excela.

Są to tylko dwa z wielu sposobów, na jakie zainfekowane arkusze kalkulacyjne mogą próbować zrujnować ci dzień, lub co gorsza, porwać twój komputer. Adobe szybko naprawił tę lukę w oprogramowaniu Flash, ale jeśli ryzyko pozostanie dla każdego, kto pozostaje w tyle, na bieżąco aktualizując swoje oprogramowanie.

Są jednak sposoby, aby pozostać bezpiecznym. Już wcześniej pisałem o użyciu Protected View w Excelu do bezpiecznego otwierania dokumentów o niepewnej proweniencji. W zależności od ustawień, pliki otwierane z Internetu lub załącznika poczty elektronicznej mogą być automatycznie uruchamiane w programie Protected View.

Po włączeniu tego trybu możesz bezpiecznie przeglądać arkusz kalkulacyjny, ale nie będziesz mógł go edytować, dopóki nie klikniesz przycisku Włącz zawartość. Podobnie, wszelkie zewnętrzne połączenia danych są również wyłączone, gdy skoroszyt jest wyświetlany w widoku chronionym.