Historia ma tendencję do powtarzania się, a twórcy złośliwego oprogramowania wykorzystują dwie szczególnie przebiegłe metody rozpraszania złośliwego kodu komputerowego na niczego nie podejrzewających użytkowników Excela.
Czytelnicy w pewnym wieku pamiętają wirusa Melissa, który po raz pierwszy pojawił się w marcu 1999 roku. Ten exploit infekował komputery na całym świecie za pomocą złośliwego kodu makro wewnątrz dokumentów pakietu Office, takich jak arkusze kalkulacyjne Excel. W efekcie wirus wysyłał wiadomość e-mail do wszystkich osób z listy kontaktów programu Outlook zainfekowanego użytkownika.
W odpowiedzi Microsoft dodał do Excela środki bezpieczeństwa, co omówię w dalszej części artykułu. Wydaje się, że wraz z rozwojem Internetu twórcy złośliwego oprogramowania przeszli od pieszych dokumentów Office do innych metod dystrybucji wirusów i złośliwego oprogramowania.
Jedna z nowych i innowacyjnych prób obejmuje pliki .IQY, które są plikami tekstowymi używanymi do przechowywania instrukcji zapytań internetowych w celu pobrania danych z programu Microsoft Excel. Te pliki .IQY są skonfigurowane do pobierania skryptu PowerShell, który z kolei może dyskretnie pobierać złośliwe oprogramowanie.
PowerShell to narzędzie do automatyzacji zadań i konfiguracji opracowane przez Microsoft. Pliki .IQY nie są arkuszami kalkulacyjnymi programu Excel, ale raczej plikami tekstowymi powiązanymi z programem Excel. Dlatego też Excel zostanie uruchomiony, jeśli użytkownik otworzy plik .IQY z załącznika do wiadomości e-mail.
Większość użytkowników napotka wówczas monit bezpieczeństwa ostrzegający o potencjalnym zagrożeniu bezpieczeństwa. Jeśli użytkownik odruchowo kliknie przycisk Włącz na monicie, wówczas skrypt PowerShell pobierze rzeczywisty złośliwy kod. Użytkownik musi wtedy kliknąć Tak na drugi monit bezpieczeństwa z pytaniem o włączenie opcji Remote Data. Wynikają z tego dwie oczywiste lekcje:
- Nigdy nie klikaj plików, które mają nieznane typy plików, takie jak format .IQY.
- Nigdy nie klikaj "Tak" lub "Włącz" na monity bezpieczeństwa pojawiające się w programie Microsoft Excel, chyba że jesteś całkowicie pewien źródła danego dokumentu.
Złośliwe dokumenty są przesyłane za pomocą metod spoofingu, które zawierają nazwy plików takie jak "Niezapłacona faktura", "Zaległa faktura" lub podobne określenia. Techniki te próbują zmusić niczego nie podejrzewających użytkowników do otwarcia załącznika.
Inny najnowszy exploit dotyczący arkuszy kalkulacyjnych Excel wiąże się z Adobe Flash, który jest aplikacją używaną do tworzenia grafiki i filmów na potrzeby Internetu i innych platform. Hakerzy znaleźli sposób na osadzenie złośliwego oprogramowania w osadzonych obiektach Flash w arkuszach kalkulacyjnych Excela.
To tylko dwa z wielu sposobów, w jaki zainfekowane arkusze kalkulacyjne mogą próbować zepsuć ci dzień lub, co gorsza, porwać twój komputer. Adobe szybko załatało ten exploit w oprogramowaniu Flash, ale jeśli ryzyko pozostaje dla każdego, kto spóźnia się z aktualizacją swojego oprogramowania.
Istnieją sposoby, aby zachować bezpieczeństwo, jednak. Pisałem wcześniej o użyciu Protected View w Excelu, aby bezpiecznie otworzyć dokumenty o niepewnym pochodzeniu. W zależności od ustawień, pliki otwierane z Internetu lub załączników poczty elektronicznej mogą automatycznie uruchamiać się w widoku chronionym.
Po włączeniu tego trybu możesz bezpiecznie przeglądać arkusz, ale nie będziesz mógł go edytować, dopóki nie klikniesz przycisku Enable Content. Podobnie wszelkiego rodzaju zewnętrzne połączenia danych są również wyłączone, gdy skoroszyt jest wyświetlany w Protected View.
