Wie die Sophos Experten berichteten ist Visual Basic Malware leicht zu schreiben und einfach zu verändern. Dazu entdeckten Spezialisten des Sicherheitsanbieters eine Reihe von VBA-Downloader-Vorlagen mit hilfreichen Kommentaren, wo die Autoren einen bösartigen Link sowie Informationen über Methoden zur Verschleierung des Codes einfügen sollten. “Der Code hat in der Regel ein einfaches Design. Einige der Templates importieren die Windows API URLDownloadToFile, um eine ausführbare Datei in das temporäre Verzeichnis der User zu laden”, merken die Sophos-Mitarbeiter an. “Ist das geschehen, verwendet der Code einen Befehl, um die Samples als separaten Prozess auszuführen.” Damit ist die Malware aktiv.So müssen Malware-Autoren nur noch die “Direct-Link-Here”-Zeichenfolge mit einer URI zu der bösartigen, ausführbaren Datei übermitteln und der Downloader sollte fast wie von selbst funktionieren. Einige der Beispiele geben sogar vor, selbst mit Security-Software verschlüsselt worden zu sein und tarnen sich mit Tricks oft so, als seien sie von Sicherheitsfirmen.
VBA – Malware kommt zurück
