1.该病毒通过outlook邮件附件进行传播,拿到样本后是一个word文档
2.打开文档后显示vb代码
下端点调试
得到一段cmd的运行命令,
该命令被混淆了,需要对命令串进行解密还原,
解密后如下所示:
样本链接和服务器地址都可以分析出来,通过该链接将下载正真的病毒的可执行文件。对于正真的病毒可执行文件未做分析,难度也不大。
1.该病毒通过outlook邮件附件进行传播,拿到样本后是一个word文档
2.打开文档后显示vb代码
下端点调试
得到一段cmd的运行命令,
该命令被混淆了,需要对命令串进行解密还原,
解密后如下所示:
样本链接和服务器地址都可以分析出来,通过该链接将下载正真的病毒的可执行文件。对于正真的病毒可执行文件未做分析,难度也不大。