Revisando la entrada de uno de los blog que suelo
leer (URL
blog) en la que se informa sobre un lanzador en formato Word, he podido analizar la macro que contenía el documento word del cual se habla y que se encuentra en pastebin. (URL macro en pastebin)
Lo primero que he querido saber, ha sido la forma en que el programador ha ofuscado la URL desde
donde se descarga el verdadero malware.
Para ello, he estado leyendo el código hasta que he encontrado las
siguientes funciones:
Función que devuelve la URL
En este punto, se me ha ocurrido escribir una macro para generar la
URL que se nos comenta en el blog, si necesidad de ejecutar el documento en ninguna sandbox.
El código es el siguiente:
Función para obtener la URL
Pero me ha surgido la siguiente pregunta.
¿Y si existe algún otra URL escondida en el código y sólo depende del valor que se tenga en la variable “LenLen”?.
¿Y si existe algún otra URL escondida en el código y sólo depende del valor que se tenga en la variable “LenLen”?.
Para ello se ha desarrollado el siguiente código,
pero teniendo en cuenta lo siguiente:
La variable “LenLen” sólo puede ir hasta el valor más bajo que se encuentre en el array, en nuestro caso: 49, ya que si no obtendríamos un error en tiempo de ejecución por intentar resolver: Chr(-1), u otro valor negativo.
La variable “LenLen” sólo puede ir hasta el valor más bajo que se encuentre en el array, en nuestro caso: 49, ya que si no obtendríamos un error en tiempo de ejecución por intentar resolver: Chr(-1), u otro valor negativo.
Función que da todas las posibles
URLs
Conclusiones
Para desgracia de mi “paranoia”, no existe ninguna
combinación que nos de otra URL a la ya aportada.
Y para más INRI, el recurso ya no se encuentra disponible
para su descarga.
No hay comentarios:
Publicar un comentario