Se ha procedido a analizar el siguiente archivo.
Nombre: 22051501.doc
MD5: 00E3AF0258E50D0FF0BB0B83AEA4AA6C
Comprobamos que efectivamente nos encontramos ante un documento para
Microsoft Word.
Lectura de las primeras posiciones del archivo, donde se define el tipo del mismo.
Se comprueba, en un entorno controlado, la existencia de macros (M)
dentro del archivo.
Contenido del "índice" del archivo a
estudio
Se procede a la búsqueda de URLs dentro de archivo a estudio mediante un
plugin que busca patrones que pudieran coincidir con las típicas cadenas de las
URL.
Detección del objeto XMLHTTP dentro del stream 8 del documento.
Se pasa a investigar más en profundidad el stream 8, mediante el
análisis del código fuente del mismo
Parte del código fuente del stream 8
Del código obtenido, como se puede apreciar en la imagen anterior, vemos
que el procedimiento “baV5XhIz81()” va a resultar de interés su análisis debido
a que se utiliza en dicho código la función "Chr()" que permite
utilizar el código ASCII para definir el carácter que queremos utilizar.
Procedimiento “baV5XhIz81()”
Se procede a su traducción para una compresión más profunda del
funcionamiento.
Procedimiento “baV5XhIz81()” traducido
Se procede a analizar el funcionamiento de la función, concluyendo que
lo que esta función realiza es: intenta descarga el archivo “632.exe” desde la
URL “nextexpresscompany.com/253/632.exe”, salvando el contenido en la carpeta
“TEMP” y dándole otro nombre “blogdynamoocom.exe”. Así mismo, tras la descarga
se procederá a ejecutar el archivo.
NOTA: Lo novedoso para mí es la inclusión del carácter “<” dentro de
la URL. ¿Otro grado más de camuflaje?
Por último se pasa a analizar el código contenido en el stream 9, para
lo cual se visualiza el mismo.
Este stream lo único que contiene es la declaración de variables y la
inicialización de las macros mediante el procedimiento “autoopen”, que se
lanzará según se ejecute el documento analizado.
Código incluido en la macro, que muestra las variables declaradas así como el procedimiento de inicio de la macro
No hay comentarios:
Publicar un comentario