[Linux-bruxelles] Brave Clamav..

[Fredux]

Hello la liste,

une connaissance, après une arnaque à la carte de crédit en vacances, se 
voit maintenant réclamer 900€ par une société de recouvrement bidon. Le 
détail de la 'facture' par mail dans un .zip.
Avast sonne l'alerte ! Trojan..
Je récupère la pièce jointe pour investiguer deep down sur un de mon 
Handylinux, où je crains moins les dégâts que sur son win7. J'installe 
et mets à jour Clamav.  Je dézipe. Bingo : Doc.Dropper.Agent-1430951..

Je tente farouchement d'ouvrir ces 34,8 ko dans LibreOffice, mais il 
n’activera pas les macros pour des raisons de sécurité. Et le document 
est vide de caractères... L'arnaque continue pour de bon.

voilà pour le contexte.

Voici pour ma demande :
Je n'y connais rien³ aux macros. Y aurai-t-il un risque quand bien même 
c'est sur un OS gnu-linux, alors que ça a été conçu à 98% pour du win$ ?
Quelle précaution prendre pour activer ces macros "sans risque" et 
essayer de remonter aux sources de ce trojan, découvrir un nom, une IP ? 
Ptêt via live-cd sur un ordi non connecté ? Qemu ?

Le but serait d'arriver à (dé)montrer à visa qu'il s'agit bien d'une 
grosse arnaque, d'un abus de faiblesse (vente sous contrainte), ensuite 
d'une tentative d"extorsion de fond et d'infection volontaire d'ordi, à 
des fins qu'il faut encore découvrir selon le champs d'action de ces 
macros.. Jusqu'à présent, visa se dédouane et se retranche derrière le 
fait que la première transaction a été est faite avec 
""""consentement"""" (Je vous passe les détails.. )

Merci d'avance, chers mercenaires, toutes suggestions bienvenues..

Fred