Анализ инфицированного .doc файла
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Анализ инфицированного .doc файла - 2011-01-13 11:20:24.870000
|
|
|
seidju
Сообщений: 2
Оценки: 0
Присоединился: 2011-01-13 10:14:02.646666
|
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Word 2003 вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним есть что-то неизвестное, допустим это вирус :).Причем если открывать этот же файл в Word 2007, то текст не отображается, только пустая таблица из одной колонки.
У меня была аналогичная ситуация с другим документом, Word так же вылетал при открытии, затем снова автоматом запускался, но потом svchost начинал слать непрерывно dns запрос на сайт с "левым" названием, появилась новая служба, и в реестр добавились данные. Так же методом тыка удалось найти созданную dll в папке system32. Здесь всё тоже самое, только dns запросы никто никуда не шлет, соответственно вычислить инфицированный процесс ( если такой имеется) я затрудняюсь, опыта маловато. Всё запускаю под VMWare, операционка XP.
Мой вопрос в следующем - какие есть способы анализа такого вот файла. Первым делом подумал на макровирус, но проверял всё Office Guard'ом и MacHunter'ом и никаких скрытых макросов они не нашли. Читал в интернете по поводу многочисленных уязвимостей MS Word по переполнению буфера, м.б. здесь применена именно такая техника? Если есть какие-то статьи, ссылки и прочее по реверсингу вот таких вот гадостей, буду очень признателен, я в этом деле начинающий…
Скажу сразу, что сам документ скинуть не удастся, т.к. в нем содержится конфиденциальная информация.
|
|
|
|
|
RE: Анализ инфицированного .doc файла - 2011-01-13 12:50:21.026666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
При переполнении эксплоит является или частью текста или иного элемента документа, часто этот элемеент виден или скрыт с помощью инструментов ворда (белый цвет на белом фоне). Если вы предоставите документ можно будет сказать больше.
За последние года дыры были в основном в макросах и шаблонах. Сам вирус в документ очень сложно запихнуть обычно только даунлоудер, но 600кб очень похоже на правду, но иногда это может быть мусор.
|
|
|
|
|
RE: Анализ инфицированного .doc файла - 2011-01-14 00:16:52.073333
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
По простому, можно анализировать вот так (на чистой вируталке, то есть на чистой вирутаке откатиться до снимка, на котором "вирус" еще не активизирован):
1. Создать коррктный документ для Word, "эталон.doс".
2. Запустить ProcMon, см. Process Monitor v2.93
3. Открыть документ в Word, посмотреть и сохранить логи ProcMon (какие файлы создаются, какие сетевые соединения открываются).
4. Открыть заражённый документ в word, посмотреть и сохранить логи ProcMon (какие файлы создаются, какие сетевые соединения открываются).
5. Найти отличия.
|
|
|
|
|
RE: Анализ инфицированного .doc файла - 2011-01-17 17:52:28.170000
|
|
|
seidju
Сообщений: 2
Оценки: 0
Присоединился: 2011-01-13 10:14:02.646666
|
Да, патчи ставил, Office не падает, не успел написать.
Собственно, пробую способ, что вы предложили, использую RegShot, Anvir и Process Monitor (Explorer).
А как можно использовать OllyDebugger в режиме Just-In-Time Debugging? В моем понимании надо в нем открыть WINWORD.EXE, поставить в дебагере галочку, и уже в Ворде открыть файл, просто в такой последовательности, как то не очень выходит, может быть что-то неправильно делаю.
|
|
|
|
|
RE: Анализ инфицированного .doc файла - 2011-02-21 15:37:26.733333
|
|
|
Acolytee
Сообщений: 5
Оценки: 0
Присоединился: 2010-08-17 15:00:38.203333
|
FileMon в помощь
|
|
|
|
|
RE: Анализ инфицированного .doc файла - 2011-02-28 11:15:39.083333
|
|
|
Tot samiy Paren 2
Сообщений: 70
Оценки: 0
Присоединился: 2011-02-28 04:23:57.640000
|
как это вообще относится к данной теме?))))
|
|
|
|
|
|
