记一次Office宏样本分析

Shell2015 恶意软件 24044

测试环境及工具

运行平台:Windows 7 x64 进程监控工具:ProcessHacker 调试分析工具:powershell_ise、Visual Studio2019

样本基本信息

文件名称: a474c4ea67fd30e80ca375370d19dd0712997889814c2960d8a41c2856092ce5.doc
样本类型: Microsoft Word 2007+
样本大小: 28.44KB (29123 bytes)
MD5: 9eafc9090d71b382af7c8c04e83d61d2
SHA1: 32a192bab959b725cc02cf3df9b063e160b9ac43
SHA256: a474c4ea67fd30e80ca375370d19dd0712997889814c2960d8a41c2856092ce5

在virustotal上查询该样本,被标记为Downloader,而且还有一些厂商还未捕获该样本。

沙箱检测:

沙箱检测出病毒创建了3个进程,其中有一个是powershell.exe、释放了4个文件。

下面分析一下这个样本。

回复

我来回复
  • 暂无回复内容

扫码关注
扫码关注
分享本页
返回顶部