凶险病毒篡改doc文档留言“邹小朋爱邹琪”
发布时间:2021-09-08 14:14:20 所属栏目:安全 来源:互联网
导读:近期,有一种恶意篡改DOC的病毒。此类病毒会篡改用户电脑后缀名为doc的word文档的DOC头,同时隐藏原始doc文件,并且创建一个同名的exe来启动被篡改以后的doc文档。这个exe会在内存中修复doc头,因此使用这个exe文件加载的doc文档可以正常显示内容。 一旦病毒
|
近期,有一种恶意篡改DOC的病毒。此类病毒会篡改用户电脑后缀名为doc的word文档的DOC头,同时隐藏原始doc文件,并且创建一个同名的exe来启动被篡改以后的doc文档。这个exe会在内存中修复doc头,因此使用这个exe文件加载的doc文档可以正常显示内容。
一旦病毒体被安全软件查杀,此时用户打开doc文档会发现是乱码,当然可以正常显示出来的内容是“邹小朋爱邹琪”——看上去像是一个男人喜欢一个女人的样子。
安全专家拿到病毒样本,进行了深入解析,这个病毒样本是一个名为“增电源标识8.30.doc”的word文档。
1、病毒简介
使用word打开“增电源标识8.30.doc”文档,显示的是乱码,只有使用“增电源标识8.30.exe”打开才能正常显示内容。
(1)增电源标识8.30.exe
doc文档加载器,图标是doc的默认图标,会释放灰鸽子等其他病毒木马。
(2)增电源标识8.30.doc
被恶意篡改过的doc文档,用户机子上应该是被隐藏,需要显示隐藏文件才能查看到。
2、增电源标识8.30.exe doc文档相关的行为
(1)获取doc文档的完整路径并且以可写的方式打开,比如C:增电源标识8.30.doc。
(2)将正确的DOC的头数据“D0CF11E0A1B11AE100000000”写入到C:增电源标识8.30.doc中(内存中的doc文件,硬盘里面的数据没有被修改的)。
(3)调用ShellExecuteA打开当前的doc文档
3、使用16进制编辑工具c32asm修复被篡改的doc文档(其他的16进制编辑工具也可以)。
(1)用c32asm打开被篡改的doc文档,选择doc文档的前12个字节的数据,复制引号内的数据“D0CF11E0A1B11AE100000000”替换原先的数据:选择编辑-特殊粘帖-ACSSII Hex。
(2)修复后的文档,貌似应该正常吧。
 (编辑:鹤壁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
