Symptomen

  • Een document dat macro’s bevat verwerkt de handelingen van de macro niet of niet correct bij openen.
  • Een document met macro’s kan niet worden geopend.
  • Een document met macro’s toont onverwachte vensters zoals reclamebanners.
  • Nieuwe documenten vertonen onverwacht gedrag of laten ongewenste vensters zien.

Remedie

De bovengenoemde verschijnselen kunnen het gevolg zijn van macrovirussen die in de programmeeromgeving voor macro’s – de VBA-editor – geactiveerd zijn. Diverse beveiligingsmaatregelen kunnen zulke virussen verhinderen om toe te slaan of voorkomen dat ze zich verder verspreiden. Daartoe behoren antivirusprogramma’s en ook de beveiligingsinstellingen in de Office-programma’s zelf. Open nooit Office-bestanden waarvan u de herkomst niet weet of waarvan u de inhoud niet vertrouwt, zonder die eerst door virusbestrijdingsprogramma’s te laten controleren.

Verdieping

In tegenstelling tot de meeste reguliere virussen richten macrovirussen zich niet op het besturingssysteem of de hardware, maar tasten ze de programmeeromgeving aan binnen Office-toepassingen en kunnen ze gegevens in bestanden benaderen of besmetten. Omdat Office de VBA-programmeermodule niet uit kan schakelen, is er altijd een koppeling tussen de programmeeromgeving en de gegevensbestanden. Het beroemde macrovirus Melissa bijvoorbeeld zat verstopt in een Word-document en als zo’n besmet document in Outlook – als bijlage – werd geopend bleek het virus in staat om zichzelf verder te verspreiden naar andere contactpersonen die in de Outlookbestanden stonden.
Behalve in aan de uitgang makkelijk herkenbare bestanden zoals die van Office, kunnen macrovirussen ook voorkomen in invoegtoepassingen, applets en ActiveX-besturingselementen. En die zijn heel wat lastiger te herkennen, laat staat te ontdekken.

Sjablonen

Vooral in sjablonen is het gebruik van macro’s populair en daarbij zijn ook zelfstartende macro’s erg handig. Van zulke eigenschappen kan een macrovirus gretig gebruikmaken. De kwaadaardige code – in feite zelf ook een macro – dringt meestal ook door tot de globale standaardsjabloon die in een programma gebruikt wordt om nieuwe documenten te maken. Als bijvoorbeeld de Normal.dot van Word tot 2003 of de Normal.dotx van Word 2007 en hoger is geïnfecteerd, dan kunnen ook nieuwe documenten die u op die sjabloon baseert besmet zijn. Een handige oplossing die in dat geval nog al eens werkt – maar niet altijd, dat kan afhankelijk zijn van de ‘schadelijkheid’ van het macrovirus – is het vervangen van die besmette Normal.dot door een schone versie (bijvoorbeeld uit uw backup).

Digitaal ondertekend

Bestanden en ook andere elementen waarin macrovirussen zouden kunnen voorkomen, worden door de makers ervan vaak digitaal ondertekend met een versleutelde veiligheidscode (certificaat) om de betrouwbaarheid te garanderen. Vooral als de digitale handtekening afkomstig is van bekende namen of van daarin gespecialiseerde organisaties zoals Verisign, kunt u er meestal van uitgaan dat u geen macrovirus binnenhaalt. Maar uiteindelijk ligt die beslissing over de betrouwbaarheid toch bij uzelf.

Macrobeveiliging

Speciale beveiligingsinstellingen in de Office-omgeving kunnen er echter wel voor zorgen dat het uitvoeren van macro’s niet zonder meer altijd is toegestaan. Zo vindt u in de instellingen opties om macro’s al dan niet te vertrouwen wanneer het programma ze wil uitvoeren, van niveau Laag tot Zeer hoog:

LaagAlle macro’s worden uitgevoerd. In feite betekent deze instelling dat de beveiliging tegen macrovirussen is uitgeschakeld.
NormaalU krijgt een waarschuwing in een dialoogvenster dat er een of meer macro’s in het bestand voorkomen en u kunt kiezen die wel of niet uit te voeren.
HoogAlleen betrouwbare digitaal ondertekende macro’s en macro’s van betrouwbare locaties in uw organisatie worden uitgevoerd. Niet ondertekende macro’s zijn uitgeschakeld en u krijgt bij het openen van het bestand geen melding van de aanwezigheid van macro’s.
Zeer hoogU kunt alleen macro’s uitvoeren van betrouwbare locaties, alle andere macro’s – zelfs digitaal ondertekende – worden niet uitgevoerd. Eventueel schakelt u ook de vertrouwde macro’s uit als u helemaal geen macro’s wilt uitvoeren.

Standaard is het beveiligingsniveau ingesteld op Zeer hoog. Bij de niveaus Normaal of Hoog kunt u betrouwbare bronnen en locaties van macro’s in een lijst plaatsen.

Bestandsformaten in Office 2007 en hoger

In Office versie 2007 en daarna zijn verschillende bestandsformaten beschikbaar die inherent macro’s wel of niet toestaan. Zo kent Word behalve de standaard .docx documentuitgang waarin geen macro’s kunnen worden uitgevoerd speciale.docm documenten die macro’s wel toestaan. Naast de sjabloonuitgang .dotx bestaat er ook een .dotm uitgang voor sjablonen met macro’s. Voor Excel geldt hetzelfde: naast .xlsx is er .xlsm en naast .xltx ook .xltm, en ook in PowerPoint heeft u de keuze tussen .pptx en .pptm, .potx en .potm.

Tip

  • U kunt een besmette Normal.dot(x) ook gewoon verwijderen: de volgende keer dat Word start, wordt automatisch een nieuwe, schone Normal.dot(x) aangemaakt. Maar doe dat alleen als er weinig tot niets in uw standaardsjabloon wordt bijgehouden, want bedenk wel dat ook bijvoorbeeld (aangepaste) menu’s werkbalken, tekstfragmenten, en dergelijke in sjablonen zijn opgeslagen, en dat is vaak in de standaardsjabloon.