简单宏病毒研究

原文地址:https://www.52pojie.cn/thread-705736-1-1.html
0.前言
分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。
分析难度:一颗星。
分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本)

1.样本信息
病毒文件:virus.doc
MD5:fe962dc6c85a6e4e2d03a8e11bf9a91e
SHA-1:ea600c1bd8edca2400236f3c6cc12832df2a4802
File Size:34.5 KB
VT First Submission:2016-03-22 16:15:18
2.样本行为
该病毒从“http://connect.businesshelpaz.com/dana/home.php”上下载名为“cdsadd.exe”的文件并运行该PE文件。笔者在分析的时候,该链接已经失效,未能捕获PE文件进行分析。
3.详细分析
笔者分析宏病毒的时候一般先提取宏代码,然后再进一步分析。
3.1 提取宏代码
使用python脚本oledump.py提取宏代码:
简单宏病毒研究_第1张图片

可以看到这段宏代码经过了混淆。面对混淆的宏代码,最好是动态调试。
打开virus.doc并启用宏(PS:这个时候宏病毒已经运行了),Alt+F11打开VBA工程,弹出一个输入密码的对话框,说明该VBA工程被加密了:
简单宏病毒研究_第2张图片

3.2 解密VBA工程
祭出神器:VBA Password Bypasser。
使用该工具打开virus.doc
简单宏病毒研究_第3张图片
再次打开VBA工程,成功打开:
简单宏病毒研究_第4张图片
至此,我们已经可以动态调试宏代码了。
3.3 动态调试
具体怎么调试的就不说了,太啰嗦,直接贴出关键代码分析结果:
简单宏病毒研究_第5张图片
所以这段宏代码的目的就是运行dsfsdsfs.VBE。3.4VBE解码
打开dsfsdsfs.VBE,一段乱码,看来又需要解密(或者说解码)了
简单宏病毒研究_第6张图片
在 http://马赛克.tw/programming/vbe-马赛克.html 上找到了解码脚本,运行解码脚本:
简单宏病毒研究_第7张图片
又需要处理一下,经过简单的处理,最后的代码如下:
简单宏病毒研究_第8张图片
这段vb脚本的功能是下载PE文件并运行,至此宏病毒和VB脚本都分析完成了。

四、总结
本次分析还是很简单的,病毒运行流程:
①宏代码从UserForm1.TextBox1中提取VBE数据,写入文件dsfsdsfs.VBE;
②宏代码运行dsfsdsfs.VBE;
③dsfsdsfs.VBE从http://connect.businesshelpaz.com/dana/home.php中获取PE数据并写入cdsadd.exe;
④dsfsdsfs.VBE运行cdsadd.exe;
⑤cdsadd.exe执行破坏活动,但我们无法分析了。
下期将为大家更新宏病毒基础理论篇。
Ps:病毒样本可以贴上来么?如果可以我就传上来。。
8.jpg (99.99 KB, 下载次数: 1)

8.jpg

你可能感兴趣的:(virus相关)