Connaître les conséquences d'un script sans l'éxecuter

Signaler
-
Malekal_morte-
Messages postés
176524
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 mars 2020
-
Bonjour,
Ma copine à reçu un mail de ma part qui était une réponse à un précédent mail que je lui avait envoyé, la réponse comprenait un lien accompagné de la mention "The contract has been updated. Please check"

Sans se douter du phishing car venant de mon adresse perso, elle a cliqué sur ce lien, qui l'a fait télécharger un .zip, qui à l’ouverture a lancé sa console et exécuté un script

Après une 1 seconde de recherche sur la mention j'ai lu que c'était un script VBA mais rien de plus, d'où ma question : comment savoir ce que ce script à exécuté sans avoir à le lancer moi même ?

Je précise qu'elle à un mac récent, je sais pas si c'est une info pertinente mais je vous dit tout ce que je sais

Merci d'avance, je m'y connais très peu et j'avoue que tout aide sera la bienvenue, en espérant que vous pourrez m'aider,
Lucas


Configuration: Windows / Firefox 74.0

1 réponse

Messages postés
176524
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 mars 2020
20 038
Salut,

Héberge le quelque part dans un zip avec un mot de passe, par exemple sur https://pjjoint.malekal.com
Je te dirai ce qu'il fait.
En général, il s'agit de Trojan Downloader, le script télécharge un malware en ligne et l'exécute sur le PC.

Elle est sur Windows sur Mac ?



Si oui - tu peux vérifier le PC :

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).