Имя: Пароль:
IT
Админ
Развернуть Cacu и не запачкаться ... vba project
0 Вуглускр1991
 
25.06.15
00:35
Привет!

Пришло ко мне письмо с темой "Прекратите спам".
В нем вложенный ворд файл (.doc) видать шифровальщика заслали ...
но я скачал, весь в ожидании, что explorer распознает активное содержимое и запустит меня не спросив ... вроде скачал и вправду doc.
Фар умеет потрошить doc-ки, значит копаю внутренности - там ссылка на макрос, макрос vba проект запуск embedded вложенного объекта, сам объект то ли base64 то ли за ЮЮчен есть короче в контейнере поток похожий ...
но все это так на взгляд. Хотелось бы уметь потрошить профессионально, какие есть способы или инструменты?
1 Zamestas
 
25.06.15
00:37
(0) На виртуалке с отключенным сетевым интерфейсом поковырять не предлагать?
2 Вуглускр1991
 
25.06.15
00:42
(1) Это можно, но как ... смело открывать в ворде?
3 Zamestas
 
25.06.15
00:44
(2) А что то может случиться?
4 Вуглускр1991
 
25.06.15
02:40
(3) Мне надо программу увидеть, а не результат её работы
5 Garykom
 
гуру
25.06.15
02:54
как я радуюсь что перевел (всего 2 исключения) контору на libreoffice... ))
6 Лодырь
 
25.06.15
06:57
(5) Либреофис умеет замечательно работать с макросами )
7 МаксимМП23
 
25.06.15
08:19
(0) Открыть в ворде с отключенными стартами макросов. Открыть редактор макросов и посмотреть, что за бяка.
8 vde69
 
25.06.15
08:28
можно подключиться по COM... и потроши сколько хочешь...

а еще лучше по ADO там точно макросы в пролете, я так аксесс с активной защитой  потрошил
9 ДенисЧ
 
25.06.15
08:47
В ворде настроить безопасность на запрещение макросов. И открывать
10 vde69
 
25.06.15
08:52
(7)(9) а разве с отключёнными макросами можно сами макросы смотреть и отлаживать?
11 ДенисЧ
 
25.06.15
08:54
(10) отлаживать нельзя. посмотреть можно
12 Lama12
 
25.06.15
09:01
(0) Да в общем ты уже посмотрел. Base64 спокойно сохраняешь как исполняемый файл и смотри его как хочешь дальше. Недавно такая же ерунда приходила в явовском скрипте. Все было интересно как они шифруют на яве. Оказалось просто в скрипт вложен бинарник. Задача скрипта только вытащить этот бинарник и запустить его. Примитивно все... даже не интересно.
13 ЧеловекДуши
 
25.06.15
09:19
А разве Макросы нельзя защитить паролем? :(
14 Vladal
 
25.06.15
10:03
На прошлой работе секретарь схватил какую-то заразу, которая по локалке распространилась. Открыл письмо "Привет, здесь мои фотки", в котором был doc-файл.
Хвалёный и любимый админом eset даже не мяукнул. Зараза обнаружилась по факту создания во всех папаках программы со значком папки "start me.exe". хе хе.
15 Garikk
 
25.06.15
10:10
(14) в шею такого админа, у которого юзеры под админскими правами сидят
16 Lama12
 
25.06.15
10:34
(13) Можно, но эти пароли снимаются меньше чем за минуту.