0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc(见附件) MD5:fe962dc6c85a6e4e2d03a8e11bf9a91e SHA-1:ea600c1bd8edca2400236f3c6cc12832df2a4802 File Size:34.5 KB VT First Submission:2016-03-22 16:15:18 2.样本行为 该病毒从“http://connect./dana/home.php”上下载名为“cdsadd.exe”的文件并运行该PE文件。笔者在分析的时候,该链接已经失效,未能捕获PE文件进行分析。 3.详细分析 笔者分析宏病毒的时候一般先提取宏代码,然后再进一步分析。 3.1 提取宏代码 使用python脚本oledump.py提取宏代码: 提取出的宏代码位于macros.txt。macros.txt部分内容如下: 可以看到这段宏代码经过了混淆。面对混淆的宏代码,最好是动态调试。 打开virus.doc并启用宏(PS:这个时候宏病毒已经运行了),Alt+F11打开VBA工程,弹出一个输入密码的对话框,说明该VBA工程被加密了: 3.2 解密VBA工程 祭出神器:VBA Password Bypasser。 使用该工具打开virus.doc 再次打开VBA工程,成功打开: 至此,我们已经可以动态调试宏代码了。 3.3 动态调试 具体怎么调试的就不说了,太啰嗦,直接贴出关键代码分析结果: 所以这段宏代码的目的就是运行dsfsdsfs.VBE。 3.4VBE解码打开dsfsdsfs.VBE,一段乱码,看来又需要解密(或者说解码)了 在 http:///programming/vbe-decoder.html 上找到了解码脚本,运行解码脚本: 又又需要处理一下,经过简单的处理,最后的代码如下: 这段vb脚本的功能是下载PE文件并运行,至此宏病毒和VB脚本都分析完成了。 四、总结 本次分析还是很简单的,病毒运行流程: ①宏代码从UserForm1.TextBox1中提取VBE数据,写入文件dsfsdsfs.VBE; ②宏代码运行dsfsdsfs.VBE; ③dsfsdsfs.VBE从http://connect./dana/home.php中获取PE数据并写入cdsadd.exe; ④dsfsdsfs.VBE运行cdsadd.exe; ⑤cdsadd.exe执行破坏活动,但我们无法分析了。 |
|