Пришло по почте говницо в виде .mht архива, с измененным расширением .doc Ворд видит там макросы, и судя по всему это давнлоадер какой то. Как открыть и посмотреть макросы в ворде я знаю, вопрос можно ли сделать это же не активируя их?. Пробовал выдрать содержание, результатом которого получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

--> Link <--

| Сообщение посчитали полезным:

KingSise пишет:
получился editdata.mso (ActiveMime object (.MSO)) Но чем его открыть, тоже не понятно.
https://blog.cyren.com/articles/new-tricks-of-macro-malware.html

cmd> OfficeMalScanner vbaProject.bin info

| Сообщение посчитали полезным: KingSise

-=AkaBOSS=-, толь я твое сообщение не увидел, толи еще что. Спасибо за инфу, это то что нужно.

Один маленький вопрос, в статье говориться что ActiveMime. пожат zlib´ом.

вопрос снимается, не увидел вот это:

The zlib compressed data on ActiveMime part starts with the magic hex number 0x789C (zlib compressed data) upto the end of file. You can use the following simple python code that I wrote that can decode the discussed zlib compressed data on ActiveMime.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise

зеленым отмечен размер блока, начиная со следующего байта.
начало сжатых данных отмечено жёлтым - zlib видно невооружённым глазом.

я уже ведь вытащил всё и предоставил в предыдущем посте.
сам скрипт после деобфускации выглядит примерно так:



пары ключевых переменных не хватает, куда они пропали - хз.
на форме еще висят две строчки, возможно как-то связаны:
"91.223.88.50"
"cmd /c start %TMP%/suka.exe"

| Сообщение посчитали полезным:

Мдя, автор с переменными особо не старался ;) Особенно радует karma, anal, suka ☺

Добавлено спустя 1 минуту
-=AkaBOSS=- пишет:
я уже ведь вытащил всё и предоставил в предыдущем посте.

да, я видел, хотел на будущее саму распаковку понять. Что то много последнее время говница такого приходить стало...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

От модератора: Забанить тебя что ли на недельку за атачи вирусни на форуме?

| Сообщение посчитали полезным: KingSise

int пишет:
за атачи вирусни на форуме?

ну в общем было бы справедливо. Как то подзабыл запаролить и на обменник кинуть.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
С 2003го офиса же политика безопасности по дефолту не позволит исполнить макрос в doc, xls

А что толку? - Редактирование макросов всё равно запаролено.



| Сообщение посчитали полезным:

Может для кого-то окажется открытием. Я без проблем открывал макросы, заблокированные в мелкомягком офисе, через open-office. Макрос был исправлен на бинарном уровне. Open-office всякий мусор в коде макроса выводил, но прочитать и понять макрос не составило труда. Исправить и сохранить правда не получится.

| Сообщение посчитали полезным:

есть макрос для corel, он привязан к железу, думаю что к жёсткому диску. есть какие5 либо варианты сделать этот макрос что бы он ставился на любое железо? программой HENPortable добираюсь до состовляющих этого макроса, изменяю DPB на DPx, вижу коды которые указывают на железо а изменить их или выкинуть ну ваще не получаеться. вот пример того что мне открываеться.
под пункт run program
Public Sub Zapysk()

Dim strComputer As String
Dim objWMIService As Object
Dim k As Double
Dim serial As String
Dim s As String

Dim colDiskDrive As Object, objDiskDrive As Object
strComputer = "."
TB_path = Application.Path

Set myFSO = CreateObject("Scripting.FileSystemObject")
Set Fld = myFSO.GetFolder(TB_path + "GMS\Sborka_T")

Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!" & strComputer & "\root\cimv2")
Set colDiskDrive = objWMIService.execquery("SELECT * FROM Win32_PhysicalMedia ")

For Each objDiskDrive In colDiskDrive
k = k + 1
Debug.Print "Serial Namber HDD:" & objDiskDrive.SerialNumber '????? ? ???? immediate
If k = 1 Then
s = objDiskDrive.SerialNumber
End If
Next

' MsgBox "SerialNumber: " & s & Chr(10)


serial = " здеся я так думаю и прописано железо .номер убрал"

zf = Trim(s)
serial = Trim(serial)

' MsgBox Len(serial) & " " & Len(zf)

Debug.Print "PC_code |" & zf & "| " & "Klient code |" & serial & "| "
Debug.Print InStr(1, zf, serial, vbTextCompare)

If InStr(1, zf, serial, vbTextCompare) = 1 Then
frmFasad.Show
Else

Fld.Delete
Kill TB_path + "GMS\*.gms"

MsgBox "Bye"
Exit Sub

End If

End Sub

| Сообщение посчитали полезным:

s = objDiskDrive.SerialNumber - вот тут считанный серийник винта
;serial по ходу это введённый юзером серийник же

;а вот и проверка
If InStr(1, zf, serial, vbTextCompare) = 1 Then
frmFasad.Show
Else
Fld.Delete
Kill TB_path + "GMS\*.gms"
MsgBox "Bye"
Exit Sub
End If

; вместо неё можно просто оставить
frmFasad.Show

| Сообщение посчитали полезным: