分析一个用于传播Hancitor恶意软件的Word文档
5页1、分析一个用于传播Hancitor恶意软件的Word文档最近,TechHelpList将一个用于传播Hancitor恶意软件的Word文档上传到了VirusBay,并概述了与之相关的站点、C2服务器以及由该文档所释放的payload。由于Hancitor通常被用于下载Pony和ZeusPanda恶意软件,因此我决定对这个文档进行分析,以了解程序流程和功能。恶意文档在打开恶意文档之后,我们首先会看到一张图片,告诉我们有一份新的传真电文,并且只有在单击“Enable Editing”和“Enable Content”之后才能查看具体的内容。可恨的是,在点击了所述的按钮之后,我仍然没有能够看到传真电文的实质内容。好吧!反正我也不想看。在我们激活了宏的几秒钟之后,Word突然退出,给人的印象是“Word似乎崩溃了”。正如你可能已经猜到的那样,Word并没有崩溃,实际上这是Hancitor恶意软件所使用的一种策略。它提取了一个经打包的可执行文件,并用一个干净版本(即不包含恶意宏)替换了恶意文档,以防止出现几个Hancitor实例同时运行的情况。恶意宏接下来,让我们来看看恶意宏,你会注意到Docum
2、ent_Open()子程序首先会被执行,但是还有一个Document_Close()子程序会在程序关闭时执行,它调用了子程序closee()。让我们暂时先忘掉这个最后被执行Document_Close()子程序,来看看这个首先被执行的Document_Open()子程序。通过查看它,你会发现Document_Open()负责调用另外3个子程序:kfs()、sdfsdf()和Module1.killo()。接着,让我们看看每个函数的作用。kfs()kfs()看上去像是垃圾代码,因为它的作用只是简单地将页面向下移动14,向右移动24,使用backspace一次,然后复制一些东西,而这并不会造成太大的影响。这让我感到很困惑,因为Hancitor的开发者应该不会做一些无用功。于是,我决定对文档和宏进行了更细致的观察。我注意到,在恶意文档中有一个很小的但很显眼的小黄点。我们可以点击它并将其放大,从而看到这样一张图片:在查看了下一个子程序sdfsdf()之后,我明白了这张图片的作用。我们在下图中可以看到,恶意宏将目录更改为了“TEMP”,并创建了一个 Scripting.FileSystemObj
3、ect。Scripting.FileSystemObject会将5C.pif的内容复制到UserForm2.TextBox1.Text和6.pif,然后返回。乐淘棋牌http:/sdfsdf()sdfsdf()似乎负责提取恶意代码,因为在与文档中的.pif图标交互时,它会在%TEMP%文件夹中创建一个快捷方式文件,即使你没有单击启用宏。在关闭文档时,快捷方式文件会消失。因此,它似乎是由恶意文档所创建的临时文件。这样,sdfsdf()就能够将内容复制到另一个文件,而不是执行5C.pif。此外,将5C.pif的数据复制到UserForm2.TextBox1.Text,还会导致一个名为“6.exe”的文件在%TEMP%文件夹中被创建。实际上,6.exe 和 6.pif 是两个完全相同的文件,只是文件扩展名不同而已。让我想想,如果.pif文件被嵌入在文档中,那么我们该如何提取它呢?又怎样才能找到这个文件的位置呢?这让我想到了名为hexedit和 CFF Explorer的小工具。我在主机上执行了 hexedit ,看看是否可以通过检查十六进制代码找到嵌入的文件。由于.pif文件的执行方式与可执
《分析一个用于传播Hancitor恶意软件的Word文档》由会员m****分享,可在线阅读,更多相关《分析一个用于传播Hancitor恶意软件的Word文档》请在金锄头文库上搜索。
DB2发生死锁情况时应该怎么处理
Python 为何能成最强编程语言
面试前必须要知道的Redis面试
MySQL下自动删除指定时间以前的记录的操作方法
深入理解FastCGI协议以及在PHP中的实现
MySQL数据库性能优化之硬件瓶颈分析
NoSQL数据库大全收集整理
2018 – 2019 年前端 JavaScript 面试题
PHP文件包含漏洞的形式总结
5种使用Python代码轻松实现数据可视化的方法
改进JavaScript和Bust的互操作性:深入认识wasm-bindgen组件
C#图片缩放平移从功能分析到编码实现
详解网络蜘蛛的安全隐患及预防方法
利用NAP解除安全隐患自动隐藏你的IP地址
解决分布式数据库和离线网络中原子性问题的新方法
bbed恢复数据遇到延迟块清除的问题
Oracle Data Redaction数据加密
linux下du和df结果不一致的原因及处理
基于QMP实现对qemu虚拟机进行交互
解读Java并发队列BlockingQueue
2024-03-26 33页
2023-07-05 6页
2023-01-18 51页
2022-10-13 8页
2022-08-03 9页
2022-08-03 35页
2022-08-03 9页
2022-08-03 10页
2022-08-03 9页
2022-08-01 60页