Macro-malware
Geschreven door Tomas Meskauskas op (bijgewerkt)
Macro-malware verwijderingsgids
Wat is macro-malware?
Macro-malware (ook bekend als Microsoft Office Macro-virus of gewoon als macro-virus) is een generieke naam voor systeeminfecties die verspreid worden met behulp van Microsoft Office macro-opdrachten. Cybercriminelen ontwerpen MS Office-documenten en zorgen ervoor dat deze opdrachten kunnen uitvoeren die virussen in het systeem downloaden en installeren. In de meeste gevallen worden dergelijke besmette documenten verspreid met behulp van spamcampagnes.
Cybercriminelen versturen duizenden bedrieglijke e-mails met berichten waarin de gebruikers aangemoedigd worden om de bijgevoegde MS Office-documenten te openen. Om het geloofwaardiger te maken, doen de criminelen vaak alsof ze werknemers zijn van populaire bedrijven/banken/overheidsinstanties en stellen ze de bijlagen voor als facturen of andere belangrijke documenten. Eénmaal geopend, toont de bijlage onmiddellijk een bericht waarin aan de gebruikers gevraagd wordt om macro-opdrachten in te schakelen, anders wordt de inhoud zogezegd niet correct weergegeven. Zo kunnen de bijlagen echter scripts uitvoeren die malware in het systeem injecteren. Meestal wordt deze tactiek gebruikt om trojan-infecties te verspreiden (vb., TrickBot, FormBook, Adwind, Emotet, en vele andere). De aanwezigheid van dergelijke infecties kan tot allerlei problemen leiden. Ten eerste is het vermeldenswaard dat de meeste infecties die verspreid worden met behulp van MS Office-macro's ontworpen zijn om gevoelige gegevens te verzamelen (bijvoorbeeld logins/wachtwoorden, bankgegevens, enz.). Dit betekent dat de cybercriminelen de identiteit van het slachtoffer kunnen stelen en ook geld kunnen stelen dat wordt bewaard op gekaapte bankrekeningen. In sommige gevallen worden de virussen die worden verspreid ontworpen om "keteninfecties" te veroorzaken. Met andere woorden, deze trojans infiltreren in computers en blijven extra virussen injecteren (vb., ransomware). Zo kan het openen van een kwaadaardig MS Office-document uiteindelijk leiden tot ernstige privacyschendingen, evenals tot aanzienlijke financiële verliezen, dataverlies en permanente systeemschade. Als u dus onlangs dubieuze bestanden hebt geopend en daarbij toestemming hebt gegeven om macro's uit te voeren, moet u het systeem onmiddellijk scannen met een betrouwbare anti-virus/anti-spyware software en alle gedetecteerde bedreigingen verwijderen.
| Naam | Macro-virus |
| Bedreigingstype | Trojan, virus dat wachtwoorden steelt, online bankieren malware, spyware |
| Symptomen | Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en zich stil te houden, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidings- methoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarecracks. |
| Schade | Gestolen bankgegevens en wachtwoorden, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet. |
| Verwijdering | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Er bestaan tientallen spamcampagnes die gebruikt worden om kwaadaardige MS Office-documenten te verspreiden. Bekende voorbeelden zijn "USPS Email Virus", "Royal Bank Of Canada Email Virus", "Scotiabank Email Virus", "Love Letter Email Virus", enzovoort. Zoals hierboven vermeld, verzenden de oplichters berichten die de gebruikers aanmoedigen om de bijgevoegde bestanden te openen. Het probleem is dat er duizenden zorgeloze en goedgelovige gebruikers zijn die voor zo'n truc vallen. Ze denken vaak iets gratis te krijgen (vooral wanneer in het bericht staat dat de ontvanger een pakket heeft ontvangen, er geld overgeboekt is naar zijn/haar account of iets dergelijks). Zo kunnen oplichters gemakkelijk de nieuwsgierigheid en roekeloosheid van de gebruikers misbruiken.
Hoe infiltreerde macro-malware in mijn computer?
Zoals hierboven vermeld, vragen de kwaadaardige Microsoft Office-documenten (Word, Excel, Powerpoint, enz.) aan de gebruikers om macro-opdrachten in te schakelen (in de meeste gevallen wordt gesteld dat de inhoud pas wordt weergegeven als de macro's zijn ingeschakeld). Eénmaal ingeschakeld, worden de macro's gebruikt om te communiceren met een externe server en malware te downloaden/installeren. Cybercriminelen maken vaak misbruik van VBA-programma's (Visual Basic for Applications) geïmplementeerd in Microsoft Office om de infecties te verspreiden en zo inkomsten te genereren.
Hoe de installatie van malware te vermijden?
Om deze situatie te voorkomen moeten de gebruikers zeer voorzichtig zijn bij het surfen op het internet. Open nooit een e-mailbijlage (link/bestand) die irrelevant is en/of is verzonden vanaf een verdacht/onherkenbaar e-mailadres. Houd er rekening mee dat dergelijke e-mails vaak misleidende berichten bevatten waarin staat dat u gekoppelde bestanden/links moet openen. Doe dit zeker niet. Een andere manier om dergelijke mails te kunnen onderscheiden is het controleren van het e-mailadres van de afzender. Sommige criminelen gebruiken een zogenaamde "spoofing"-methode waarmee ze het e-mailadres van de afzender kunnen vervalsen. Ze gebruiken deze methode om het te laten lijken alsof de ontvanger de e-mail van zichzelf heeft ontvangen. Criminelen kunnen ook gehackte e-mails en accounts gebruiken in sociale netwerken (Facebook, Twitter en anderen) of instant messaging-applicaties (Skype, Messenger, etc.) om kwaadaardige MS Office-bestanden te verspreiden. Als u dus een dubieus bestand van een contactpersoon ontvangt, open het dan niet zonder u er eerst van te verzekeren dat het echt veilig is. We raden u ook aan om 2010 of nieuwere versies van MS Office te gebruiken, omdat deze een "Protected View"-modus geïmplementeerd hebben die voorkomt dat kwaadaardige bijlagen automatisch macro's uitvoeren. Een legitieme anti-virus/anti-spyware-software is ook noodzakelijk, omdat deze meer dan waarschijnlijk malware kunnen detecteren en verwijderen voordat het systeem schade ondervindt. Als u denkt dat uw computer al geïnfecteerd is, dan raden we u aan een scan uit te voeren met Combo Cleaner om de geïnfiltreerde malware automatisch te verwijderen.
Voorbeelden van kwaadaardige Microsoft Office documenten die vragen om macro-opdrachten in te schakelen:
Voorbeelden van email-spamcampagnes die kwaadaardige Microsoft Office bijlagen verspreiden:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is macro-malware?
- STAP 1. Handmatige verwijdering van macro-malware.
- STAP 2. Controleren of uw computer virusvrij is.
Hoe malware handmatig te verwijderen?
Handmatig verwijderen van malware is een gecompliceerde taak, meestal is het beter om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, moet u eerst de naam kennen van de malware die u probeert te verwijderen. Hier een voorbeeld van een verdacht programma dat op de computer van de gebruiker wordt uitgevoerd:
Als u de lijst met programma's op uw computer hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer en een programma hebt geïdentificeerd dat er verdacht uitziet, gaat u verder met de volgende stappen:
Download het programma Autoruns. Dit programma toont toepassingen die automatisch starten, register- en bestandssysteemlocaties:
Herstart uw computer in Veilige Modus:
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk F5 om in Veilige Modus met netwerk te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.
Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":
Pak het archiefbestand uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-applicatie bovenaan op "Opties" en verwijder de vinkjes bij "Hide Empty Locations" en "Hide Windows Entries". Na deze procedure klikt u op het pictogram "Refresh".
Controleer de lijst van de Autoruns-applicatie en zoek het malwarebestand uit dat u wilt verwijderen.
Schrijf het volledige pad en de naam op. Merk op dat sommige malware de procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u 'Delete'.
Nadat u de malware hebt verwijderd via de Autoruns-applicatie (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende opstart van het systeem), moet u de malwarenaam op uw computer zoeken. Zorg dat u verborgen mappen en bestanden inschakelt voordat u doorgaat. Als u het bestand van de malware vindt, verwijder het dan.
Start uw computer opnieuw op in normale modus. Door deze stappen te volgen, kunt u eventuele malware van uw computer verwijderen. Merk op dat voor het handmatig verwijderen van malware een grondige computerkennis noodzakelijk is. Het wordt daarom aanbevolen om de verwijdering van malware over te laten aan antivirus- en antimalwareprogramma's. Deze stappen werken mogelijk niet met geavanceerde malware-infecties. Zoals altijd is het beter om besmettingen te voorkomen dan achteraf malware te moeten verwijderen. Om ervoor te zorgen dat uw computer veilig blijft, moet u steeds de meest recente updates van het besturingssysteem installeren en antivirussoftware gebruiken.
Om zeker te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner.
Uitmuntend!
▼ Toon discussie