¿Cómo puedo ver con seguridad el código de una macro VBA?

Question

¿Cómo puedo ver con seguridad el código de una macro VBA?

#1 de Anders (6 votos)
#2 de Ben Voigt (5 votos)

8

He recibido un correo electrónico de suplantación de identidad con la factura falsa habitual en forma de documento de Word. Tengo curiosidad acerca de lo que quiere hacer el virus probable, así que me gustaría inspeccionar el código.

En este momento, Word abre el docx en modo protegido, y no lo voy a deshabilitar ya que asumo que la macro VBA se ejecutará de inmediato.

Sé que una máquina virtual puede ser una solución, pero excluirla (no tengo una a mano), ¿existe una forma sencilla de ver el código de macro sin ejecutarlo? Estoy pensando en algo así como abrirlo en Notepad o similar. Sé que el Bloc de notas no lee .docx pero en ese sentido.

virus phishing office

pregunta David Glickman 21.04.2016 - 10:58

fuente

2 respuestas

Lea otras preguntas en las etiquetas virus phishing office

¿Qué está mal con este sistema de autenticación? ¿Implicaciones del proyecto de ley del senado de Burr-Feinstein propuesto? [cerrado]

score 6 · Answer 1

Los archivos de Microsoft Office en realidad no son más que archivos zip glorificados. Si cambia la extensión a .zip , puede extraer el contenido. Allí debe encontrar el archivo word\vbaProject.bin que contiene las macros de VBA. Sin embargo, como sugiere la extensión, este archivo es binario y no es de mucha ayuda para permitirle leer el código fuente.

Afortunadamente, Microsoft ha publicado las especificaciones del formato y hay varios programas que pueden ayudarlo. No he probado ninguno de ellos, pero hay una buena lista en Decalage . ¡Échale un vistazo para más detalles! Estos son los programas listados aquí:

Un detalle menor: un archivo docx no debe contener una macro, ya que no están permitidos en los archivos docx. Según Microsoft :

Word le permite guardar macros en dos tipos de archivos de Word: un archivo de documento habilitado para macros de Word ( .docm ) y un archivo de plantilla habilitado para macros de Word ( .dotm ).

score 5 · Answer 2

Subirlo a VirusTotal. No solo descubrirá cuántos programas antivirus lo detectan automáticamente y cuál es su clasificación, sino que en la pestaña "Detalles del archivo" puede ver la macro y el código VBA incrustado en el documento.

Ejemplo de

(que recibí hace varios meses en un mensaje casi idéntico al que usted describe):

Ok, este era un documento de Word de formato antiguo (archivo de documento compuesto OLE), no el nuevo formato ZIP + XML. Me sorprendería mucho si las herramientas no pudieran realizar al menos el mismo nivel de análisis en la DOCX.