邮箱附件，doc，宏病毒，已鉴定

Autonomous

邮箱又收到了所谓的账单，说我消费了$46.11，然后煞有其事的附了个doc文件，说是账单。



然后这是doc文件，用pages打开后是这个：



然后解包，看到了这些：



总觉得非常可疑。

最后给出样本，注意慎用Microsoft Word打开！



压缩包没有密码

Autonomous

VirSCAN.org Scanned Report :
Scanned time   : 2014-08-02 22:37:18
Scanner results: 10%的杀软(4/39)报告发现病毒
File Name      : Payment.doc
File Size      : 39936 byte
File Type      : application/msword
MD5            : 62ec8995c31d7f455ebc0c0b4fc943c4
SHA1           : 9112e22f18bf6974ec5b16a743f45a2a114dffd8
Online report  : http://r.virscan.org/report/299e0c5ce0399ae9a4ca9d44934dfada

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
ahnlab         9.9.9          9.9.9             2013-05-28     3    Found nothing                 
antivir        1.9.2.0        1.9.159.0         7.11.164.232   15   Found nothing                 
antiy          014621         AVL140512         2014-07-30     5    Found nothing                 
arcavir        1.0            2011              2014-05-30     9    Found nothing                 
asquared       9.0.0.4157     9.0.0.4157        2014-07-30     2    Found nothing                 
avast          140801-0       4.7.4             2014-08-01     23   Found nothing                 
avg            2109/7410      10.0.1405         2014-07-24     1    Found nothing                 
baidu          2.0.1.0        4.1.3.52192       2.0.1.0        1    to                           
baidusd        1.0            1.0               2014-04-02     1    Found nothing                 
bitdefender    7.56160        7.90123           2014-08-01     11   Found nothing                 
clamav         19250          0.97.5            2014-08-01     1    Found nothing                 
comodo         15023          5.1               2014-07-30     3    Found nothing                 
ctch           4.6.5          5.3.14            2013-12-01     1    Found nothing                 
drweb          5.0.2.3300     5.0.1.1           2014-07-30     40   W97M.DownLoader.55            
fortinet       22.576         5.1.153           2014-08-02     1    Found nothing                 
fprot          4.6.2.117      6.5.1.5418        2014-08-01     1    W97M/Bernie.B                 
fsecure        2014-04-02-01  9.13              2014-04-02     1    Found nothing                 
gdata          24.3405        24.3405           2014-07-30     9    Found nothing                 
hauri          2.73           2.73              2014-06-13     1    Found nothing                 
ikarus         1.06.01        V1.32.31.0        2014-08-01     22   Found nothing                 
jiangmin       16.0.100       1.0.0.0           2014-07-28     13   Found nothing                 
kaspersky      5.5.33         5.5.33            2014-04-01     32   Found nothing                 
kingsoft       2.1            2.1               2013-09-22     2    Found nothing                 
mcafee         7474           5400.1158         2014-06-19     21   Found nothing                 
nod32          9809           3.0.21            2014-05-16     1    Found nothing                 
panda          9.05.01        9.05.01           2014-06-15     1    Found nothing                 
pcc            10.958.06      9.500-1005        2014-08-01     1    Found nothing                 
qh360          1.0.1          1.0.1             1.0.1          1    Found nothing                 
qqphone        1.0.0.0        1.0.0.0           2014-08-02     1    Found nothing                 
quickheal      14.00          14.00             2014-06-14     1    Found nothing                 
rising         25.17.00.04    25.17.00.04       2014-06-02     1    Found nothing                 
sophos         5.02           3.51.0            2014-06-20     6    Troj/DocDl-D                  
sunbelt        3.9.2589.2     3.9.2589.2        2014-06-13     1    Found nothing                 
symantec       20030814.017   1.3.0.24          2003-08-14     1    Found nothing                 
tachyon        9.9.9          9.9.9             2013-12-27     3    Found nothing                 
thehacker      6.8.0.5        6.8.0.5           2014-06-12     1    Found nothing                 
tws            17.47.17308    1.0.2.2108        2014-06-16     1    Found nothing                 
vba            3.12.26.3      3.12.26.3         2014-08-01     5    Found nothing                 
virusbuster    15.0.865.0     5.5.2.13          2014-08-01     17   Found nothing                 

Autonomous

火眼--结果分析--Payment.doc http://fireeye.ijinshan.com/anal ... fd8&type=1#full

每次火眼分析这种doc文件都说 压缩包内没有可执行文件……

free4537

过红伞，已上报。

fuzhk

Autonomous 发表于 2014-8-2 22:43
火眼--结果分析--Payment.doc http://fireeye.ijinshan.com/anal ... c31d7f455ebc0c0b4fc ...

火眼还不支持分析doc。

Autonomous

fuzhk 发表于 2014-8-2 22:47
火眼还不支持分析doc。

doc也算是染毒重灾区啊，得管管啊

fuzhk

https://b-chao.com/index.php/Ind ... A114DFFD8/ajax/demo
分析结果

XywCloud

巡警文档启发杀

webkiller

抓包分析,前几个地址没什么,估计抓你本机ip.提取你的系统指纹,和办公系统环境,比对匹配.
他自动下载这个才是重点.http://moviebernie1996.ru/a.exe
然后提取这个a.exe的时候,谷歌报毒了.估计进黑名单了
不管他,继续下.结果avast报毒了.看来被很多拉黑了.hoho

b573684723

好压MISS

EAV4.2MISS