简单宏病毒研究

最新推荐文章于 2024-06-28 16:12:25 发布
最新推荐文章于 2024-06-28 16:12:25 发布
阅读量3.5k 收藏 4
点赞数
分类专栏: virus相关

原文地址:https://www.52pojie.cn/thread-705736-1-1.html
0.前言
分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。
分析难度:一颗星。
分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本)

1.样本信息
病毒文件:virus.doc
MD5:fe962dc6c85a6e4e2d03a8e11bf9a91e
SHA-1:ea600c1bd8edca2400236f3c6cc12832df2a4802
File Size:34.5 KB
VT First Submission:2016-03-22 16:15:18
2.样本行为
该病毒从“http://connect.businesshelpaz.com/dana/home.php”上下载名为“cdsadd.exe”的文件并运行该PE文件。笔者在分析的时候,该链接已经失效,未能捕获PE文件进行分析。
3.详细分析
笔者分析宏病毒的时候一般先提取宏代码,然后再进一步分析。
3.1 提取宏代码
使用python脚本oledump.py提取宏代码:
这里写图片描述

可以看到这段宏代码经过了混淆。面对混淆的宏代码,最好是动态调试。
打开virus.doc并启用宏(PS:这个时候宏病毒已经运行了),Alt+F11打开VBA工程,弹出一个输入密码的对话框,说明该VBA工程被加密了:
这里写图片描述

3.2 解密VBA工程
祭出神器:VBA Password Bypasser。
使用该工具打开virus.doc
这里写图片描述
再次打开VBA工程,成功打开:
这里写图片描述
至此,我们已经可以动态调试宏代码了。
3.3 动态调试
具体怎么调试的就不说了,太啰嗦,直接贴出关键代码分析结果:
这里写图片描述
所以这段宏代码的目的就是运行dsfsdsfs.VBE。3.4VBE解码
打开dsfsdsfs.VBE,一段乱码,看来又需要解密(或者说解码)了
这里写图片描述
在 http://马赛克.tw/programming/vbe-马赛克.html 上找到了解码脚本,运行解码脚本:
这里写图片描述
又需要处理一下,经过简单的处理,最后的代码如下:
这里写图片描述
这段vb脚本的功能是下载PE文件并运行,至此宏病毒和VB脚本都分析完成了。

四、总结
本次分析还是很简单的,病毒运行流程:
①宏代码从UserForm1.TextBox1中提取VBE数据,写入文件dsfsdsfs.VBE;
②宏代码运行dsfsdsfs.VBE;
③dsfsdsfs.VBE从http://connect.businesshelpaz.com/dana/home.php中获取PE数据并写入cdsadd.exe;
④dsfsdsfs.VBE运行cdsadd.exe;
⑤cdsadd.exe执行破坏活动,但我们无法分析了。
下期将为大家更新宏病毒基础理论篇。
Ps:病毒样本可以贴上来么?如果可以我就传上来。。
8.jpg (99.99 KB, 下载次数: 1)

8.jpg

richard1230
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
宏病毒组介绍
tinygene的博客
05-09 3099
病毒是一种个体微小,结构简单,只含一种核酸(DNA 或 RNA),必须在活细胞内寄生并以复制方式增殖的非细胞型生物。病毒是地球上丰度最高的“生物”类群,它们广泛地存在于所有已知的生态环境中,从水体,土壤再到人体,病毒无处不在。病毒能够感染所有已知的生物类型,从动物、植物到微生物,包括细菌和古菌。 人体内的病毒主要包括真核病毒和噬菌体,按核酸类型,可分为双链DNA(double-stranded DNA,dsDNA)病毒,单链 DNA(single-stranded DNA ,ssDNA)病毒和RNA 病毒
oledump-py office ole dump
cnbird's blog
05-19 2014
http://blog.didierstevens.com/programs/oledump-py/
记录处理宏病毒的过程
u013930899的博客
06-28 295
以下是堂弟个人电脑中毒的处理过程,作为网络安全从业人员,第一次遇到宏病毒,以前只是听过过这种病毒,从未见过。
宏病毒研究与实例分析01——基础篇
鬼手的博客
03-10 1万+
文章目录前言基础知识宏与宏病毒VB基础sub与functionVB基本函数对象宏病毒实例分析实例1oledump.py宏病毒的分析技巧自动执行隐秘执行调用外部例程和命令执行字符串隐写Chr()函数Replace()函数CallByname 函数Alias替换函数名利用窗体、控件隐藏信息利用文件属性恶意行为字符串宏病毒的防御手段禁用宏越过自动宏恢复被宏病毒破坏的文档说明 前言 本系列文章将由浅入深对...
宏病毒研究与实例分析03——宏病毒处理篇
鬼手的博客
03-11 3261
文章目录宏病毒处理思路破坏宏标志宏清除脚本手工清理宏(针对* .DOCM和* .XLSM文档)替换宏代码说明 在前一章我们解析了宏病毒的二进制格式,本篇紧跟上文,利用宏病毒的二进制格式清除宏病毒宏病毒处理思路 破坏宏标志 在解析OLE文件时,我们介绍过Directory,其中其偏移0x42H这个字节的表示DirectoryEntry的类型Type。0为非法,1为目录(storage),2为节点...
宏病毒相关研究
richard1230的博客
03-13 1356
基础知识 宏与宏病毒 原文地址:https://www.52pojie.cn/thread-706440-1-1.html 基础知识 宏与宏病毒 宏(英文Macro),广义上的定义是:宏就是把一系列的指令组织成一独立的命令,类似C语言中#define宏定义,避免同一动作的一再重复;狭义上,宏特指office系列办公软件中的宏,Microsoft Offi...
宏病毒研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
文档宏病毒
weixin_43781139的博客
07-16 3186
文档类病毒介绍 许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件,再由PE文件执行恶意行为。一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。 下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点: 可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件的分析技巧就变得极为重要,我们将
宏病毒研究——实战研究
dfdhxb995397的博客
03-27 1037
本文作者:i春秋作家——icq5f7a075d 宏病毒专辑:https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=133 3.宏病毒实例分析 3.1实例1 接下来,我将以demo2.doc为例,实例分析宏病毒,demo2是一个真实的宏病毒,请在虚拟机中分析。 打开demo...
关于使用Cobalt Strike制作宏病毒
m0_52027565的博客
07-08 1963
关于使用Cobalt Strike制作宏病毒 事情的起因经过是这样的,那天晚上我正在埋头学习,突然小A走了过了,过来说他喜欢班花小B很久了,我一脸不相信的看着他,好家伙,竟然忍了整整一年,大一不表白,现在晚了吧?我看来看小A心想这小子突然开窍了吗?结果现实给了我一巴掌,小A说大一就想表白了,可他自己不确定小B到底喜不喜欢他,就一直拖着,直到大二。想让我帮忙查查小B的喜好,然后“投其所好”直接表白。我看在他一年单相思(不对是烧烤+啤酒)的份上,不忍心看着他单着,于是同意帮小A帮查查小B的喜好。...
宏病毒研究与实例分析01——基础篇1
08-03
宏病毒研究涉及宏的基本概念、VB编程、病毒分析技巧和防御策略。深入理解这些知识点,可以帮助我们更好地识别和防范宏病毒,降低其带来的潜在危害。随着技术的发展,宏病毒的形态和攻击方式也在不断演变,因此持续...
电脑病毒的彻底研究
11-06
3. 宏病毒:利用文档中的宏语言编写,常存在于Microsoft Office文档中。 4. 蠕虫病毒:独立运行,无需宿主程序,通过网络传播。 5. 特洛伊木马:伪装成合法软件,用户下载安装后,窃取信息或破坏系统。 二、病毒...
【精美排版】计算机病毒.doc
10-11
计算机病毒的类型包括启动区病毒、宏病毒和脚本病毒等,它们的传播机制类似于生物病毒,将自身嵌入宿主程序中。预防计算机病毒的措施包括定期更新操作系统和应用程序以修补安全漏洞,安装并及时更新防病毒软件,不...
计算机病毒防范艺术Peter Szor中文版
10-05
病毒的种类繁多,包括文件病毒、引导扇区病毒、宏病毒等,每种都有其独特的感染机制。了解这些机制对于识别和防止病毒感染至关重要。 其次,书中会详细介绍反病毒技术的发展历程。从早期的简单扫描到现在的行为检测...
PPO算法,即Proximal Policy Optimization(近端策略优化).pdf
08-05
PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广泛应用的策略梯度方法。由OpenAI在2017年提出,PPO旨在解决传统策略梯度方法中策略更新过大导致的训练不稳定问题。它通过引入限制策略更新范围的机制,在保证收敛性的同时提高了算法的稳定性和效率。 一、PPO算法简介 PPO算法的核心思想是通过优化一个特定的目标函数来更新策略,但在这个过程中严格限制策略变化的幅度。具体来说,PPO引入了裁剪(Clipping)和信赖域(Trust Region)的概念,以确保策略在更新过程中不会偏离太远,从而保持训练的稳定性。 二、PPO算法的主要变体 PPO算法主要有两种变体:裁剪版(Clipped PPO)和信赖域版(Adaptive KL Penalty PPO)。其中,裁剪版PPO更为常见,它通过裁剪概率比率来限制策略更新的幅度,而信赖域版PPO则使用KL散度作为约束条件,并通过自适应调整惩罚系数来保持策略的稳定更新。PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广
GC032A datasheet(侵删)
最新发布
08-05
GC032A datasheet(侵删)
opencv的概要介绍与分析
08-05
OpenCV (Open Source Computer Vision Library) 是一个开源的计算机视觉和机器学习软件库。它提供了大量的算法和函数,可用于图像处理、视频分析、特征检测、对象识别等多种应用。下面是一些关于 OpenCV 的资源描述,帮助您学习和使用这项强大的技术。 ### OpenCV 资源描述 #### 1. **官方文档和GitHub仓库** - **GitHub 仓库**:OpenCV 的官方 GitHub 仓库是获取最新代码、预训练模型、开发指南和示例代码的地方。这是了解 OpenCV 最新进展和功能的最佳起点。 - **官方文档**:OpenCV 的官方文档包含了详细的使用说明、API 参考和常见问题解答。 #### 2. **在线教程和课程** - **Codecademy**:Codecademy 提供了互动式的 OpenCV 课程,适合完全的新手。 - **freeCodeCamp**:freeCodeCamp 是一个非营利性组织,提供免费的编码课程,包括 OpenCV 基础。 #### 3. **书籍** - **《Learning
"宏病毒研究与实例分析01——基础篇1
第二部分是深入篇,我们会研究更底层的东西,解析Offcie文档、分析宏数据在文件中的存储方式并研究宏病毒处理的方式;第三部分是实战篇,不定期更新,分析一些有意思的宏病毒宏病毒是一种常见的计算机病毒,寄存...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值