|
Развернуть Cacu и не запачкаться ... vba project | ||
|---|---|---|---|
|
0
Вуглускр1991
25.06.15
✎
00:35
|
Привет!
Пришло ко мне письмо с темой "Прекратите спам". В нем вложенный ворд файл (.doc) видать шифровальщика заслали ... но я скачал, весь в ожидании, что explorer распознает активное содержимое и запустит меня не спросив ... вроде скачал и вправду doc. Фар умеет потрошить doc-ки, значит копаю внутренности - там ссылка на макрос, макрос vba проект запуск embedded вложенного объекта, сам объект то ли base64 то ли за ЮЮчен есть короче в контейнере поток похожий ... но все это так на взгляд. Хотелось бы уметь потрошить профессионально, какие есть способы или инструменты? |
||
|
1
Zamestas
25.06.15
✎
00:37
|
(0) На виртуалке с отключенным сетевым интерфейсом поковырять не предлагать?
|
||
|
2
Вуглускр1991
25.06.15
✎
00:42
|
(1) Это можно, но как ... смело открывать в ворде?
|
||
|
3
Zamestas
25.06.15
✎
00:44
|
(2) А что то может случиться?
|
||
|
4
Вуглускр1991
25.06.15
✎
02:40
|
(3) Мне надо программу увидеть, а не результат её работы
|
||
|
5
Garykom
гуру
25.06.15
✎
02:54
|
как я радуюсь что перевел (всего 2 исключения) контору на libreoffice... ))
|
||
|
6
Лодырь
25.06.15
✎
06:57
|
(5) Либреофис умеет замечательно работать с макросами )
|
||
|
7
МаксимМП23
25.06.15
✎
08:19
|
(0) Открыть в ворде с отключенными стартами макросов. Открыть редактор макросов и посмотреть, что за бяка.
|
||
|
8
vde69
25.06.15
✎
08:28
|
можно подключиться по COM... и потроши сколько хочешь...
а еще лучше по ADO там точно макросы в пролете, я так аксесс с активной защитой потрошил |
||
|
9
ДенисЧ
25.06.15
✎
08:47
|
В ворде настроить безопасность на запрещение макросов. И открывать
|
||
|
10
vde69
25.06.15
✎
08:52
|
(7)(9) а разве с отключёнными макросами можно сами макросы смотреть и отлаживать?
|
||
|
11
ДенисЧ
25.06.15
✎
08:54
|
(10) отлаживать нельзя. посмотреть можно
|
||
|
12
Lama12
25.06.15
✎
09:01
|
(0) Да в общем ты уже посмотрел. Base64 спокойно сохраняешь как исполняемый файл и смотри его как хочешь дальше. Недавно такая же ерунда приходила в явовском скрипте. Все было интересно как они шифруют на яве. Оказалось просто в скрипт вложен бинарник. Задача скрипта только вытащить этот бинарник и запустить его. Примитивно все... даже не интересно.
|
||
|
13
ЧеловекДуши
25.06.15
✎
09:19
|
А разве Макросы нельзя защитить паролем? :(
|
||
|
14
Vladal
25.06.15
✎
10:03
|
На прошлой работе секретарь схватил какую-то заразу, которая по локалке распространилась. Открыл письмо "Привет, здесь мои фотки", в котором был doc-файл.
Хвалёный и любимый админом eset даже не мяукнул. Зараза обнаружилась по факту создания во всех папаках программы со значком папки "start me.exe". хе хе. |
||
|
15
Garikk
25.06.15
✎
10:10
|
(14) в шею такого админа, у которого юзеры под админскими правами сидят
|
||
|
16
Lama12
25.06.15
✎
10:34
|
(13) Можно, но эти пароли снимаются меньше чем за минуту.
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|