利用恶意文档传播安装SSLOAD木马详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/14505 先知社区 作者：熊猫正正 笔者最近逛malware-traffic-analysis网站，发现有一个新的Loader比较有意思，利用WORD中包含的恶意宏代码加载SSLOAD恶意软件，然后下载安装CS木马，如下所示： 从该网站下载样本之后，对恶意文档以及SSLOAD的加载过程进行了详细分析，供大家参考学习。 详细分析 1.恶意文档包含宏代码，如下所示： 2.当关闭文档的时候，会自动执行AutoClose()函数，使用MSXML2.DomDocument对象来加载和转换存储在UserForm1表单上标签的Caption属性中包含的XML字符串内容，如下所示： 3.通过分析该XML文件内容前面包含的特征字符串#@~^，以及前面的语言特征jscript.encode，可以发现该字符串是通过JScript.Encode加密的，如下所示： 4.使用scrdec18解密JScript.Encode加密 ………………………………