Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Анализ инфицированного .doc файла
 
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Ворд вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним явно вирус. Запускаю файл на виртуальной машине, после запуска запросы ни к каким левым сайтам не идут,определить, создались ли после запуска какие-нибудь "левые" файлы тоже не получилось (скорее всего плохо искал  ). Соответственно olly доковский файл не открыть на прямую. Читал статьи по макровирусам, под описание вроде не подходит. Подскажите пожалуйста как в такой ситуации анализировать вирус, буду очень признателен.
 
Поставь опенофис и пересохрани в .doc им. Мне он помогал в таких случаях много раз. Если неохота тащить полную версию, у Инфры есть портабельная.

Цитата
соответственно остальные 500 с лишним явно вирус
Прям таки вирус :)
Неизвестное содержимое - это ещё не вирус. Это вполне могут быть, например, фрагменты данных быстрого сохранения, шрифты и т.п. не всегда заметные включения.
 
Ну если все таки предположить, что это все таки вирус, то вообще какие способы есть анализа таких инфицированных файлов, может быть какие-то утилиты есть специальные или еще что-нибудь. Просто до этого у меня был аналогичный случай, документ так же вылетал, потом открывался снова. Сниффером отследил, что процесс svchost иницирует непрерывные dns запросы на непонятный сайт. В итоге определил, что создается dll в папке system32 ну и т.д. Просто в данном случае никто никуда не лезет, но подозрение всё равно есть :)
 
скорее всего в документе макросы есть и могут быть скрипты, хоть документ покажи, мы не экстрасенсы
 
Дело в том, что сам документ содержит в себе как бы конфиденциальную информацию, так бы я уже давно его выложил. Я извиняюсь, изначально некорректно поставил вопрос. Меня интересует, есть ли возможность внесения вредоносного кода в документ Word, помимо использования макросов, и если да, то примерно по какой схеме собственно с этим документом работать, чтобы до гипотетического вируса добраться.
 
да есть и не только макросы, скажем *.js, *vbs скрипты, также функции Word'a, скажем давно известно что Exel'e для атаки испоьзовали функцию Host(),....
 
а есть какая-нибудь информация об этом в сети? Потому что кроме как с макровирусами бороться я ничего найти не могу. Юзал Office Guard Касперского и MacHunter (www.machunter.narod.ru), они ничего не выдали. Я в деле совсем начинающий, поэтому скорее всего что-то недопонимаю до конца.
И еще второй вопрос. Как тогда используются уязвимости Microsoft Word по переполнению буфера, в смысле как в сам файл дописывается вредоносный код, hex-редактор?
 
иногда и HEX'oм, есть разные атаки на переполнение буфера, среди них очень часто это строчки куда можно много строк... можно много по этому поводу писать, тут все практика и умение и знание системы
 
Цитата
Здравствуйте. У меня следующая проблема. Имеется доковский файл размеров 600 кб, при открытии файла Ворд вылетает и тут же восстанавливается. Скопировал текст документа в созданный заново файл, он занимает около 29 кб, соответственно остальные 500 с лишним явно вирус. Запускаю файл на виртуальной машине, после запуска запросы ни к каким левым сайтам не идут,определить, создались ли после запуска какие-нибудь "левые" файлы тоже не получилось (скорее всего плохо искал ). Соответственно olly доковский файл не открыть на прямую. Читал статьи по макровирусам, под описание вроде не подходит. Подскажите пожалуйста как в такой ситуации анализировать вирус, буду очень признателен.

Современные версии пакета Microsoft Office (2007/2010) не позволяют таким зловредам исполняться соответствующим уведомлением, по умолчанию они отключены. Макросы характерны только для старых систем, либо отдельных систем с некорректными настройками безопасности самого Office'a (http://office.microsoft.com/en-us/excel-help/enable-or-disable-macros-in-office-documents-HA010031071.aspx).

Цитата
да есть и не только макросы, скажем *.js, *vbs скрипты, также функции Word'a, скажем давно известно что Exel'e для атаки испоьзовали функцию Host(),....

Цитата
Как тогда используются уязвимости Microsoft Word по переполнению буфера, в смысле как в сам файл дописывается вредоносный код, hex-редактор?

Как раз все это и есть содержимое макроса, только реализовывать макросы можно в виде проекта VBA, никак иначе. В содержимом конечно можно предусмотреть распаковку и запуск JS, но это из другой серии. Это OpenOffice позволяет писать макросы на Java Script. В добавок, у Excel нет функции "Host()". Зная структуру документа и описание формата, можно создать вредоносный документ, который бы воздействовал на клиента, эксплуатируя ту ил иную уязвимость.    

Для анализа можно использовать утилиту от самой компании Microsoft - Offviz, которая может парсить как старый бинарный формат, так и новый, который по сути представляется простым XML. Для обнаружения вредоносного кода - универсальное решение вряд ли найдется, есть конкретные продукты, которые ищут сигнатуры известных багов в Office (OfficeMalwareScanner, известные антивирусные решения), но обнаружают их не всегда корректно по причине возможности обфускации кода, а так же использование в самом содержимом Office-документа сторонних технологий (например, Adobe Flash).
Страницы: 1
Читают тему