Hoy y desde aquí quiero agradecer públicamente al
siguiente código las horas tan interesantes que me ha dado.
Set
of = createobject("scripting.filesystemobject")
Set
at = of.opentextfile("CodigoMalware",8,true)
at.writeline
<variable que contiene lo que queremos extraer>
Este código me ha permitido extraer muchas líneas
de comando guardas en macros de documentos ofimáticos que funcionaban como
downloaders.
Para muestra un botón…
En una muestra de esta misma mañana …
TRUCO:
El archivo ha llegado a mis manos hoy, pero originalmente fue recepcionado
el lunes día 30/09/2019. ¡La rapidez de
los análisis es fundamental.! ;-))))
1.- Despliegue de código para extraer la
información almacenada en la variable: SSLwwt, sobre el archivo: CodigoMalware
2.- Visualización del contenido del archivo
3.- Decodificación de la cadena en base64 usada por
el comando en powershell.
4.- Obtención del script utilizado.
NOTA:
Remarcado en amarillo tenemos la variable que contiene las distintas URLs que
se consultarán para descargarse “algo”
Por desgracia NO
SE HA PODIDO DESCARGAR EL MALWARE REAL
En cualquier caso …
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.
PD: Por
cierto, gran trabajo el de los chicos/as de las casas antivirus y demás analistas.
No hay comentarios:
Publicar un comentario