Makrovirus, det vil si selvreplikerende skadevare som med utgangspunkt i Microsoft Office-dokumenter og Visual Basic for Applications (VBA), var på slutten av 1990-tallet den aller vanligste formen for skadevare. Men utbredelsen falt relativt på starten av 2000-tallet da Microsoft begynte å forbedre sikkerheten til Office-produktene. Makrovirusene ble da erstattet av Windows-basert skadevare, ikke minst ormer.

Men nå melder Gabor Szappanos i IT-sikkerhetsselskapet Sophos at VBA-basert skadevare er i ferd med å blomstre opp igjen. Denne gangen ikke som selvreplikerende virus, men som enkle trojanere, integrert i dokumenter, som utnytter sårbarhet i Office-produktene. Disse trojanerne laster ned og utplasserer annen skadevare, for eksempel bakdører.

Ifølge tall Szappanos presenterer, dreier drøy ti prosent av alle dokumentorienterte infeksjonsrapporter Sophos mottok i mars og april seg om slik VBA Downloader-skadevare. Siden den nye typen VBA-skadevare første gang ble oppdaget i slutten av januar, skal det har blitt funnet minst 75 ulike varianter.

Siden Office 2008 har kjøring av VBA-makroer vært deaktivert som standard i programvaren. Mottakerne av filene må derfor lokkes til å aktivere kjøringen. Dette gjøre på forskjellige måter, blant annet ved å sløre til innholdet og å be brukeren klikke på knappen for kjøring for å kunne se det. Det opplyses at tilsløringen er gjort at sikkerhetsårsaker. Dette utnytter uerfarne og naive brukeres nysgjerrighet.

Szappanos råder Office-brukere til å være mistenksomme dersom de mottar Office-dokumenter hvor innholdet ikke vises før man har åpnet for kjøring av makroer.

– Sannsynligvis blir du angrepet, skriver han.