martes, 7 de julio de 2015

Análisis del "22051501.doc"

Se ha procedido a analizar el siguiente archivo.

Nombre: 22051501.doc
MD5: 00E3AF0258E50D0FF0BB0B83AEA4AA6C

Comprobamos que efectivamente nos encontramos ante un documento para Microsoft Word.




Lectura de las primeras posiciones del archivo, donde se define el tipo del mismo.

Se comprueba, en un entorno controlado, la existencia de macros (M) dentro del archivo.


Contenido del "índice" del archivo a estudio

Se procede a la búsqueda de URLs dentro de archivo a estudio mediante un plugin que busca patrones que pudieran coincidir con las típicas cadenas de las URL.


Detección del objeto XMLHTTP dentro del stream 8 del documento.

Se pasa a investigar más en profundidad el stream 8, mediante el análisis del código fuente del mismo


Parte del código fuente del stream 8

Del código obtenido, como se puede apreciar en la imagen anterior, vemos que el procedimiento “baV5XhIz81()” va a resultar de interés su análisis debido a que se utiliza en dicho código la función "Chr()" que permite utilizar el código ASCII para definir el carácter que queremos utilizar.



Procedimiento “baV5XhIz81()”

Se procede a su traducción para una compresión más profunda del funcionamiento.


Procedimiento “baV5XhIz81()” traducido

Se procede a analizar el funcionamiento de la función, concluyendo que lo que esta función realiza es: intenta descarga el archivo “632.exe” desde la URL “nextexpresscompany.com/253/632.exe”, salvando el contenido en la carpeta “TEMP” y dándole otro nombre “blogdynamoocom.exe”. Así mismo, tras la descarga se procederá a ejecutar el archivo.

NOTA: Lo novedoso para mí es la inclusión del carácter “<” dentro de la URL. ¿Otro grado más de camuflaje?

Por último se pasa a analizar el código contenido en el stream 9, para lo cual se visualiza el mismo.

Este stream lo único que contiene es la declaración de variables y la inicialización de las macros mediante el procedimiento “autoopen”, que se lanzará según se ejecute el documento analizado.












Código incluido en la macro, que muestra las variables declaradas así como el procedimiento de inicio de la macro






Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)