jueves, 19 de noviembre de 2015

Una espina clavada con los documentos ofimáticos

Desde hace tiempo quería investigar un poco más sobre los documentos ofimáticas que no son utilizados como lanzadores.

Estos tipos no pueden considerarse como malware como tal, ya que  suelen realizar solicitudes de descarga de un ejecutable (malware), para luego, una vez descargado, ejecutarlo dentro del sistema.

DE entre los documentos ofimáticos encontrados que se podría catalogar como NO lanzadores, he seleccionado la siguiente macro como podía haber seleccionado otra. La diferencia no radical en el funcionamiento, sino en los nombres de variables, etc.

Macro del documento ofimático - Parte 1

Macro del documento ofimático - Parte 2

Entre las funciones que nos encontramos en la macro está la copia del documento ofimático origen por dos veces, en la ubicación: $TEMP\, con lo nombres: 322.rtf y 311.rtf.

Creación de los archivos 311.rtf y 322.rtf en la ubicación $TEMP\

Así como  la creación del archivo: $TEMP\pm2.exe, que con posterioridad se ejecuta.

Creación del archivo: $TEMP\pm2.exe y su posterior ejecución.

El contenido de este ejecutable, lo encontraremos dentro del propio documento ofimático.

Más concretamente en este caso, la encontramos en un objeto OLE Nativo de 181.467 bytes.

Estructura del documento ofimático, y en el recuadro rojo el objeto OLE embebido

Si revisamos el contenido del “stream”, nos encontramos con un archivo de tipo PE almacenado sin cifrar, ya que a simple vista se puede ver el “magic number” de estos tipos de archivos. O podemos ver la típica cadena de error que aparece cuando intentamos ejecutar el archivo en un entorno no propicio, o las distintas secciones en que se divide el archivo (text, rdata, data, rscr).

Archivo ejecutable embebido en el documento ofimático

Sin necesidad de ejecutarlo podemos extraer el contenido del ejecutable embebido.

Ejecutable extraído con el nombre: prueba.exe

Se obtiene el MD5 y un análisis estático del mismo, en donde lo que en primer lugar llama la atención es la gran cantidad motores que según VirusTotal detectan el archivo.

MD5 del archivo y los motores que lo detectan según VirusTotal.


Es decir, nos encontramos ante un gran conocido (informe de VirusTotal)

No hay comentarios:

Publicar un comentario