Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Ворд вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним явно вирус. Запускаю файл на виртуальной машине, после запуска запросы ни к каким левым сайтам не идут,определить, создались ли после запуска какие-нибудь "левые" файлы тоже не получилось (скорее всего плохо искал ). Соответственно olly доковский файл не открыть на прямую. Подскажите пожалуйста как в такой ситуации анализировать вирус, я в деле совсем новичек, буду очень признателен.

| Сообщение посчитали полезным:

Ггг. Зайди в редактор макросов в самом ворде и смотри.

-----
SaNX

| Сообщение посчитали полезным:

seidju
Также можешь каким-нибудь HEX-редактором, который умеет отображать дизассемблерный листинг. Например FileInsight.

| Сообщение посчитали полезным:

seidju, а лучше открыть пустой документ и настромть политику безопасности макросов. что б выполнялись только по требованию...

Ну а насчет простого текста, то тоже ворд вырубается, если определенную строку вбить... В старых это вроде "правоспособность-способность лица иметь гражданские права и нести обязанности"

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

а на счёт размеров, было замечено, что в процессе редактирования, документ раздувается... Т.ч. если готовый документ копируешь в новый, часто занимает меньше, не знаю почему
к тому же вирус в макросе на пол метра это бред! он раз в 50, а то и в 100 меньше был бы

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

seidju
Файл именно *.DOC ? Просто если DOCX-то его можно WinRAR'ом открыть, это обычный zip архив.
Зато олли может открыть winword, и открыть файл-можно отловить момент когда ворд закрывается и что его закрывает. А макросы ... смотреть над

| Сообщение посчитали полезным:

seidju
Если в файле нет конфиденциальной инфы, то выложить его уже давно пора.

Раздувание файлов ворд формата 97-2003 по мере внесения изменений в файл я тоже наблюдал, судя по всему в файле остается некоторая (или, возможно, вся) инфа, которая была в файле до этого. Но это разбухание идет только до определенного момента и после n-ного сохранения размер файла резко уменьшается, а потом снова начинает нарастать. Разбухание отсутствует, если в ворде в опциях задано делать резервные копии (файлы .wbk) после каждого сохранения (или закрытия, не помню). Примерно такую картину я когда-то наблюдал, работая с вордом 2003.

| Сообщение посчитали полезным:

Не хочется новую тему начинать.
Скачал с одного сайта .xls файл, а он по структуре - обычный PE.
После переименования называет себя mstsc.exe.
Самое любопытное, что при открытии в Excel спрашивает об отключении макросов - это как? Эксель сначала ищет макросы, а уже потом проверяет структуру файла?

Вот, у меня вопрос: может, кто посмотрит, стоит ждать пакостей? Может быть, у кого-то есть оригинальный mstsc нужной версии? Чтобы сравнить.

Тему "Запросы на исследование вирусов" не нашел, удалили?

eb56_23.08.2011_EXELAB.rU.tgz - price.zip

| Сообщение посчитали полезным:

На месте тема. И даже прикреплена https://ssl.exelab.ru/f/action=vthread&forum=2&topic=15227&page=6

| Сообщение посчитали полезным:

tomac
напоминает dloader или Potao

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Isaev пишет:
а на счёт размеров, было замечено, что в процессе редактирования, документ раздувается... Т.ч. если готовый документ копируешь в новый, часто занимает меньше, не знаю почему

Цитата: Внутреннее содержимое формата DOC включает не только предыдущие редакции текста, но и название принтера (если принтер сетевой, то с сетевым путем к нему в формате UNC), полный локальный путь к файлу, в том числе сетевой, если доступ к файлу был по сети — опять же в формате UNC, каталог для хранения временных файлов. Кроме даты создания и последней модификации документа (эта временная метка не одно и то же, что Windows ассоциирует с файлом, и они могут не совпадать), в файле сохраняется и другая статистика: общее время редакции и количество правок. Кроме этого, файл содержит имя владельца и название компании, на которую был зарегистрирован Office при инсталляции, имя человека, редактировавшего документ, и его адрес (то, что устанавливается в "Параметрах.../Пользователь"). Другими словами, это то, что видно при вызове диалога свойств документа. Обычная замена в "Параметрах..." имени пользователя не даст полного сокрытия, только добавит имя человека, редактировавшего документ, оставив реквизиты владельца в прежнем виде. Это первый и простой способ к установлению авторства и происхождения документа. Для хакера может быть шагом к раскрытию сетевых имен и топологии. Хотя сами по себе демографические данные в большинстве случаев безусловно полезны, позволяя быстро просматривать документы или сортировать по нужным критериям, бывают ситуации, когда необходима анонимность или нельзя публиковать полную историю документа в Интернет. Для желающих убрать демографические данные придется проделать не сложные, но кропотливые процедуры. Сохранение в формате RTF из Word или Excel не принесет желаемого результата. Я приведу несколько рекомендаций:
1. Для того чтобы убрать из документа предыдущую копию и уменьшить размер, в первую очередь необходимо убрать в диалоге "Параметры" на странице "Сохранение" флажок "разрешить быстрое сохранение" и повторно сохранить документ. Заметьте, что изменяя всего один символ в документе (причем один раз Вы его вставляете, сохраняете документ, а потом удаляя этот же символ и опять сохраняя документ) Вы можете получить разный результат. Проделать операцию N-раз, желательно закрывая и открывая документ. Размер файла постоянно увеличивается (только *.doc и *.rtf файлы редактируемые Вордом). При этом количество символов не изменяется (см. статистику файла или же считать по-символьно вручную). Это связано с тем, что Ворд скидывает в файл разный цифровой мусор из оперативной памяти, что очень вредит Вашей конфиденциальности (Пример. Армия. Со штаба дают примеры оформления различной документации. Размер файла необыкновенно велик 1,9 МБ, а текста всего 2 странички и одна небольшая табличка. Запускаем Total Commander и встроенным вьюером просматриваем содержимое документа. И что мы видим… Куски текста секретных приказов, распоряжений, причем несколько отрывков приказов Министерства Иностранных Дел и Министерства Обороны. Огромное количество фамилий авторов, редактировавших этот документ.) Чтобы убрать этот “цифровой мусор” и тем самым очистить документ необходимо сохранить документ в RTF формате (причем документ не утратит оригинальное форматирование : цвет текста, тип и кегель шрифта, таблицы и прочее.) Но при этом все макросы будут утеряны (см. описание бреши в RTF формате).

--> Link <--

сам проверял

| Сообщение посчитали полезным: DenCoder, =TS=

tomac пишет:
Не хочется новую тему начинать.Скачал с одного сайта .xls файл, а он по структуре - обычный PE.

Не нашел разбора этой темы, но сочетаю что ее все же можно поднять... Во вложенном файле ничего опасного нет, и весь прткол в том, что это не просто ехе а ocx файл, который коннектится к офиссу, который передал ему управление при запуске. Неплохая идея для вирусов...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Так OCX надо регать. Или там это все и заложено в экзешке.

| Сообщение посчитали полезным:

ну с учетом того, что OCX-у передает управоение офис, регать его не нужно...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Я почему спросил: я юзаю в Офисе два OCX - их на другом компе регать приходится. Правда я их из макросов вызываю. Видимо поэтому?

| Сообщение посчитали полезным:

tundra37, видимо поэтому. Но ведь самим макросом до вызова можно OCX зарегать, или?
Call ShellExecute(Nothing, "Open", "regsvr32", "FileName.ocx", 0, 0)

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным: