垃圾邮件
假冒dropbox发送垃圾邮件
JustPlay 2018-03-22 19:11:17 1388人浏览

今日看到一篇关于fake dropbox的资讯,大致意思是攻击者假冒dropbox发送垃圾邮件,邮件中包含有word的下载链接,word最终又会下载银行木马。个人感觉挺有意思,就简单看了一下。 

 邮箱中的word包含恶意的宏代码,使用微步云沙箱检测一下,提取到了包含的宏代码,部分宏代码如下所示:

Sub AutOOpen()
agentJ64
andysophie = 80 - 6
andysophie = 38 + 82 + 30 + 8
andysophie = 139 + andysophie + 81 * andysophie
andysophie = andysophie - andysophie - 133 - 7
andysophie = 1 * andysophie + andysophie * andysophi
andysophie = 118 - 139 + 99 * 12
End Sub

同时也看到样本具有释放脚本文件和下载文件的功能。

image.png

脚本文件内容即为powershell的命令行代码。 

 从命令行中可以看出来,它会尝试从以下两个网站进行下载:

 http://pcstore.com.ve/farestod.png

 http://techknowlogix.net/farestod.png 

 将下载下来的放到临时目录下,名称随机,但是文件格式为exe,所以可以肯定,网址中的.png后缀名只是为了隐藏真是的文件名。现在这两个网站已经无法访问了,所以文件也没有下载下来,不过这个样本已经在沙箱中有记录了。 

 本人才疏学浅,并没有看出来最终的样本有什么恶意的行为,感兴趣的朋友可以下载下来分析一下。Word链接:

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/a9f2f850cba8c30f9208ace29e08c65ff719ae5c2464015d15d4b7f3624e1c51/

可执行程序链接:

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/f02048c2d51493b3c428e6bf5231d1bbd6a25a92459cbc70856ff736313f8b49/

评论 17
匿名用户 2018-05-22 16:04:11 回复
还有这种操作?
匿名用户 2018-05-21 16:18:01 回复
不错
匿名用户 2018-05-21 16:11:57 回复
姿势可以
匿名用户 2018-05-21 16:10:34 回复
姿势可以
匿名用户 2018-05-21 16:07:51 回复
学习学习1
h0st 2018-05-21 16:07:19 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:31 回复
学习学习
匿名用户 2018-05-21 16:04:43 回复
厉害了
匿名用户 2018-05-21 15:57:06 回复
学习个
匿名用户 2018-05-21 15:50:15 回复
niupi 1
匿名用户 2018-05-21 15:49:18 回复
niupi
匿名用户 2018-05-21 15:48:02 回复
77777
匿名用户 2018-05-21 15:46:57 回复
666
匿名用户 2018-05-21 15:45:38 回复
666
匿名用户 2018-05-21 15:44:34 回复
666
neo 2018-03-24 11:36:08 回复
。。。。
微步情报局 2018-03-22 21:29:49 回复
写的很详细啊。 已加分