Come posso visualizzare in sicurezza il codice di una macro VBA?

8

Ho ricevuto un'email di phishing con la solita fattura falsa sotto forma di un documento di Word. Sono curioso di sapere cosa il virus probabile vuole fare, quindi vorrei esaminare il codice.

Al momento Word apre il docx in modalità protetta, e non lo disabiliterò poiché presumo che la macro VBA venga eseguita immediatamente.

So che una VM può essere una soluzione, ma escludendo (non ne ho uno a portata di mano), c'è un modo semplice per vedere il codice macro senza eseguirlo? Sto pensando qualcosa come aprirlo in Blocco note o simile. So che Blocco note non legge .docx ma lungo quelle linee.

    
posta David Glickman 21.04.2016 - 10:58
fonte

2 risposte

6

I file di Microsoft Office non sono altro che file zip glorificati. Se modifichi l'estensione su .zip puoi estrarre il contenuto. Lì dovresti trovare il file word\vbaProject.bin che contiene le macro VBA. Tuttavia, come suggerisce l'estensione, questo file è binario e non è di grande aiuto per permetterti di leggere il codice sorgente.

Fortunatamente Microsoft ha pubblicato le specifiche per il formato e ci sono numerosi programmi che possono aiutarti. Non ho provato nessuno di essi, ma c'è una bella lista su Decalage . Dai un'occhiata per maggiori dettagli! Questi sono i programmi elencati qui:

Un dettaglio minore: un file docx non dovrebbe contenere una macro, in quanto non sono consentiti nei file docx. In base a Microsoft :

Word lets you save macros in two Word file types: a Word Macro-Enabled Document file (.docm) and a Word Macro-Enabled Template file (.dotm).

    
risposta data 29.04.2016 - 23:42
fonte
5

Caricalo su VirusTotal. Non solo scoprirai quanti programmi antivirus lo rilevano automaticamente e qual è la loro classificazione, ma nella scheda "Dettagli file" puoi vedere la macro e il codice VBA incorporati nel documento.

Esempio (che ho ricevuto diversi mesi fa in un messaggio quasi identico a quello che descrivi): link

Ok, questo era un vecchio documento Word in formato (OLE Compound Document File), non il nuovo formato ZIP + XML. Sarei molto sorpreso se gli strumenti non fossero in grado di eseguire almeno lo stesso livello di analisi sul DOCX.

    
risposta data 18.11.2016 - 22:18
fonte

Leggi altre domande sui tag