none
File excel con macro che segnala erroneamente Malware PP97M/Agent solo sul Cloud di Office 365 RRS feed

  • Domanda

  • Salve,

    da alcuni mesi i file che creiamo con una specifica macro vengono tolti dalle email di Office 365, perché dicono che c'è un malvare (PP97M/Agent); in precedenza tutto funzionava correttamente.

    Ho fatto una submission del file a Microsoft Windows Defender Team, che l'ha prontamente verificato, chiudendo la richiesta con "no Malware", ma guardando nei dettagli si vede che lo scan online (cloud) segnala malware, mentre quello client segnala no malware.

    Ho provato a rispondere all'email di chiusura della segnalazione, ma la risposta viene rifiutata.

    Qualcuno ha idea di come far intervenire Microsoft per fare in modo che anche online il file risulti non malware?

    Ecco i dettagli e la risposta che avevo inutilmente provato a scrivere.

    Grazie per l'aiuto

    Dear service support,

    thanks for the analysis which as I expected says that the file does not have a malware inside.

    But the problem is that, as shown by your analysis, the online (cloud) scan still says that it has a malware, and due to this we are no longer (since 3 months) able to send excel files which have the same macro of the analyzed file (dynbk0.xlsm).

    Could You please update the cloud engine scan so as it does not see files with that contents as malware?

    Many Thanks

    Best Regards

    dynbk0.xlsm

    Submission ID: 2eaadf7f-ceaa-4607-bb5f-4295c307ab0a

    Status: Completed

    Submitted by:

    Submitted: ‎Aug 16, 2017 ‎11‎:‎55‎:‎16

    Analyst comments:

    No analyst comment provided.

    Rescan submission

                  
      

    File name

      
      

    Final determination

      
      

    Protection

      
      

    Current detection

      
      

    Definition version

      

    dynbk0.xlsm

    An analyst has determined that this file is normal.It does not exhibit   malicious or unwanted behavior. Not malware

    Scan completed: Malware   detected

    No malware detected

    Online

    1.249.1077.0

     

    mercoledì 16 agosto 2017 14:23

Risposte

  • In attesa di azioni da parte di Microsoft sono riuscito a trovare una soluzione alternativa andando a fare una verifica puntuale di tutte le istruzioni macro usate nel file Excel.

    Alla fine ho trovato il problema:

    La riga in rosso traeva in inganno l'antimalware.

            If iReturn = 2 Then

                Workbooks(sNomeFileDati).Close False

                sPathWB = Environ("TEMP") & "\"

                sNomeFileDati = gksVSIZES_FileName & gksData_EstensioneFile

                GoTo lblOpenFile

            End If

    Sostituendo il pezzo costante dell’istruzione con una variabile:

    Public Const gksEnvr_Temp = "TEMP"

       '// funzione VSIZES: riesegue l'apertura del nuovo file verticalizzato

        If iReturn = 2 Then

            Workbooks(sNomeFileDati).Close False

            sPathWB = Environ(gksEnvr_Temp) & "\"

            sNomeFileDati = gksVSIZES_FileName & gksData_EstensioneFile

            GoTo lblOpenFile

        End If

    l'antimalware non rileva più alcun malware.

    lunedì 2 ottobre 2017 15:27

Tutte le risposte

  • non puoi usare questo

    https://technet.microsoft.com/library/jj200745%28v=exchg.150%29.aspx?f=255&MSPPError=-2147217396

    per eludere il blocco del filtro almeno per i files che ti interessano ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    giovedì 17 agosto 2017 07:05
    Moderatore
  • Grazie, ma temo di no, poiché la procedura automatica di invio via email cambia nome al file ad ogni invio, quindi non possiamo fissare una regola di esclusione sul nome file, e metterla sull'estensione .xlsm non sarebbe corretto poiché aprirebbe la porta a tutti i file Excel con macro.

    Inoltre l'email può essere inviata sia a utenti del dominio che ad altri utenti fuori dominio e non c'è una lista predefinita.

    In teoria dovrebbe essere Microsoft ad aggiornare l'engine online e farlo comportare come l'engine client che correttamente non segnala malware. La vedo dura però.

    Grazie per l'aiuto

    venerdì 18 agosto 2017 07:19
  • il suggerimento serviva proprio a trovare un workaround al problema in attesa e nell'ipotesi che il team apporti la correzione al filtro.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    sabato 19 agosto 2017 08:48
    Moderatore
  • In attesa di azioni da parte di Microsoft sono riuscito a trovare una soluzione alternativa andando a fare una verifica puntuale di tutte le istruzioni macro usate nel file Excel.

    Alla fine ho trovato il problema:

    La riga in rosso traeva in inganno l'antimalware.

            If iReturn = 2 Then

                Workbooks(sNomeFileDati).Close False

                sPathWB = Environ("TEMP") & "\"

                sNomeFileDati = gksVSIZES_FileName & gksData_EstensioneFile

                GoTo lblOpenFile

            End If

    Sostituendo il pezzo costante dell’istruzione con una variabile:

    Public Const gksEnvr_Temp = "TEMP"

       '// funzione VSIZES: riesegue l'apertura del nuovo file verticalizzato

        If iReturn = 2 Then

            Workbooks(sNomeFileDati).Close False

            sPathWB = Environ(gksEnvr_Temp) & "\"

            sNomeFileDati = gksVSIZES_FileName & gksData_EstensioneFile

            GoTo lblOpenFile

        End If

    l'antimalware non rileva più alcun malware.

    lunedì 2 ottobre 2017 15:27