Macro Virus

1. Macro Virus Seminario Sicurezza 2003/04 Pozzo Matteo Macro Virus

2. Sommario • Cos ‘ è un Macro Virus ? • Come si diffonde il Virus ? • Problemi causati • Come difendersi ? • Rimozione • Esempio : Melissa Macro Virus

3. Cos’ è un Macro Virus ? • Nato con il progredire dei programmi di Microsoft Office ( es :in Word, Excel…. ). • Una delle principali caratteristiche è quella di essere multipiattaforma. • Un insieme di procedure scritte in VBA. Sono script incorporati all’interno di particolari documenti. • Possono essere eseguiti all’atto dell’apertura dei documenti. Macro Virus

4. Come si diffonde il Virus ? • Principalmente per posta elettronica: • Attenzione agli allegati !! • Disattiva la protezione da virus di macro. • Attacca il modello Normal.dot (in Word) e Personal.xls (in Excel) creandone una copia. • Attacca qualsiasi pc dove è installato Microsoft Office. Macro Virus

5. Come si diffonde il Virus ? (1) • La locazione fisica del virus è all’interno dei files di dati. • Si nasconde dagli antivirus e dai text editor. Macro Virus

6. Problemi causati • Si pongono in memoria quando viene caricato il documento infetto e quando vengono compiute determinate azioni ( macro ) prendono il controllo del programma in questione andando a compiere azioni inaspettate come cancellare cartelle, file di sistema o peggio ancora richiamare comandi DOS come Format, Delete. • Altri problemi : - possibilità di salvare il documento solo in formato .txt . - cancellazione di icone. - occupazione eccessiva di memoria fino al blocco totale del sistema. Macro Virus

7. Come difendersi ? • Principalmente con anti-virus. • In Word o Excel abbiamo 2 metodi : - Il primo è proteggere questo file con l’attributo di sola lettura NORMAL.DOT +R (in Word), PERSONAL.XLS +R (in Excel). - Il secondo sistema (più efficace) è quello di creare un file di back up "NORMAL.BAK" e un altro "PERSONAL.BAK", di tanto in tanto confrontateli con gli originali ( DOS “FC.EXE” ). • Nella posta elettronica : - controllare bene gli allegati con anti-virus e specialmente i files eseguibili e i files documenti che possono contenere macro. Nessun rischio per i files di contenuto grafico, video e musicale. Macro Virus

8. Rimozione • Andare nella directory di installazione di Word e cancellare il modello Normal.dot e sostituirlo con uno “pulito”. • Attivare, se non era attivata, la protezione da Macro Virus. • Aprire uno per uno tutti i file di word e controllare se ci sono macro all’ interno, se si eliminare il virus. • Salvare il file con un altro nome, chiudere tutto, eliminare il vecchio file. Macro Virus

9. Alcuni Macro Virus più comuni • Word Macro/Concept : costituito da varie macro Word: AAAZAO, AutoOpen, FileSaveAs e PayLoad. • Word Macro/Atom : simile a Concept, la differenza è che è crittografato. • Word Macro/Nuclear : infetta ogni documento creato con il comando File | Salva con nome, allegando al documento le proprie macro. • Word Macro/Colors:modifica i colori di sistema. • I Love You Macro Virus

10. Esempio : Melissa • Individuato il 26 marzo 1999, è nato per replicarsi sotto Office97, per infettare documenti Word97 e Word2000. • Si diffonde anche sotto Office2000 grazie alla conversione automatica. • Il padre di Melissa è David Lee Smith. • Scritto in Visual Basic for Apllication. • Si propaga solo se sul pc è installato Microsoft Outlook e se si è connessi alla rete. Macro Virus

11. Come si presenta • Arriva come allegato (list.doc ) di un particolare messaggio di posta elettronica, avente come oggetto “Important message from (mittente)”. Macro Virus

12. Come funziona • Quando Melissa viene attivato, aprendo l’allegato list.doc, svolge 2 azioni : - Diffusione : Consiste nel cercare i primi 50 indirizzi e-mail dalla rubrica a cui mandare un identico messaggio con in allegato list.doc contenente il macro virus. - Infezione : il suo scopo è quello di disabilitare la protezione macro di Word in modo che l’utente non possa interferire sull’attivazione delle stesse. Macro Virus

13. Diffusione • Il virus manda le e-mail una sola volta e prima di farlo controlla che il valore della chiave “HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?” del registro di configurazione, abbia il seguente valore: “... by Kwyjibo” Macro Virus

14. Infezione • Controlla che nel registro di configurazione il valore della chiave : “HKEY_CURRENT_USER\Software\Microsoft\Office\ 9.0\Word\Security\Level” sia diverso da zero. • Cosi facendo Melissa ha disabilitato la voce Sicurezza dal sottomenu Macro del menu Strumenti, per evitare di essere individuato. Macro Virus

15. Problemi causati • Ha provocato ingenti danni ai server di posta che si sono trovati completamente intasati dalle e-mail spedite a causa di questo virus. • Non ha effetti distruttivi sul sistema. • Se è attivo, mentre si scrive un documento, in un giorno la cui data (giorno e mese) è uguale a quello dell'ora (ora e minuti) in cui è avvenuta l'infezione, il virus inserisce una frase, tratta dalla serie TV “The Simpson”, all’ interno del documento. Macro Virus

16. Problemi causati (1) Macro Virus

17. Virus Melissa • Codice ??? http://udsab.dia.unisa.it/ads.dir/corso-security/www/CORSO-0102/macrovirus/melissa-codi.htm • E' consigliabile visitare i siti internet dei fornitori dei programmi antivirus,  come ad esempio: http://www.f-secure.com http://www.tgsoft.it/italy/download.htmhttp://www.antivirus.com http://www.symantec.com http://www.mcafee-at-home.com Macro Virus