DOC00039217.doc运行恶意VBA脚本来下载可安装其他恶意软件的第二阶段木马程序。

文件名：DOC00039217.doc

壳：PECompact2

MD5：31529e5221e16a522e8aece4998036d7

样本：下载地址（https://www.reverse.it/sample/f934141126cdc13d1078e8c463b7241594d354c5513aa025d32853a658d237e7?environmentId=100）

类型：TrickBot木马下载者和僵尸网络

视频： 

我们首先分析DOC的文件头，看到了PK和XML引用，这表示该文件为Microsoft Word DOCX或DOCM文件。 为了检查文档中包含的各个文件，我们只需将DOC扩展名更改为ZIP，并使用归档管理器打开该文件（即解压压缩文件）。

在解压出来的文件中，我们找到一个包含VBA宏代码的vbaProject.bin文件。在文本编辑器中打开它，我们可看到在打开原始文档后运行的脚本。 该脚本将从http://appenzeller.fr/aaaa下载一个文件。

aaaa文件是一个VBScript，它调用Wscript.Shell并运行Powershell来下载另一个文件。 下载此文件的变量是由第一个脚本“amphibiousvehicle.eu/0chb7”传递的一个参数构成。

值得注意的是文件被下载到％TEMP％文件夹并被命名为petya.exe。这个文件并不是最近的Petya勒索软件，而是个木马。

下载的木马带有PECompact2壳。 为了脱壳，我们首先将其加载到调试器中，并找到“入口点”。

然后我们找到EAX中的第一个地址，即0x002440e4。

接下来，我们从0x002440e4向下滚动到大量的0x00000000字节前的最后一条指令。该指令应该是一个JMP跳转，再进一步到入口点（OEP）。此时可以使用传统的输入表重建工具来还原文件。 脱不脱壳并不影响文件运行，但脱壳后静态分析会更容易。

petya.exe在执行之后将自身复制到Roaming\winapp目录，并重命名自身为odsxa.exe。它还生成了一个包含受害者身份字符串的client_id和group_tag文件，并且创建了一个Modules文件夹，用来存放之后下载的其他恶意软件、模块和插件。

一旦将所有东西复制到新文件夹，petya.exe将退出，之后由odsxa.exe接管。odsxa启动挂起状态的SVCHOST.EXE，并继续将数据注入到内存，这被称为Process Hollowing。通过此方法，注入的代码在Windows操作系统中拥有更大的自由度，因为它运行于SVCHOST.EXE的安全上下文之下。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)