VBAProject encryption
#1
Hallo,

in einer Excel 2003 gibt es dieses VBAProject:

Zitat:  1:      108 '\x01CompObj'
  2:      244 '\x05DocumentSummaryInformation'
  3:      220 '\x05SummaryInformation'
  4:    99903 'Workbook'
  5:      418 '_VBA_PROJECT_CUR/PROJECT'
  6:        62 '_VBA_PROJECT_CUR/PROJECTwm'
  7: m    977 '_VBA_PROJECT_CUR/VBA/Sheet1'
  8: M    3117 '_VBA_PROJECT_CUR/VBA/ThisWorkbook'
  9:      2758 '_VBA_PROJECT_CUR/VBA/_VBA_PROJECT'
10:      531 '_VBA_PROJECT_CUR/VBA/dir'
11:      3636 'encryption'

Alles ist normal bis auf die Zeile 11 'encryption' mit 3636 bytes. 

Kennt jemand dieses eher ungewöhnlichen Stream? Es sind nicht lesbare binär-Daten.

Danke

mfg


Angehängte Dateien
.txt   95580_VBA.txt (Größe: 6,75 KB / Downloads: 12)
[-] Folgende(r) 1 Nutzer sagt Danke an Fennek für diesen Beitrag:
  • Der Steuerfuzzi
Antworten Top
#2
Hallo,

in der Format-Spezifikation konnte ich auf Anhieb auch nichts dazu finden und eigentlich ist diese Datei eigentlich nicht aufgeführt:
https://docs.microsoft.com/en-us/openspe...433a646b88

Habe dazu auch nicht wirklich was gefunden. Im VBA-Projekt selbst kann man keine Verschlüsselung oder Ähnliches einstellen. Sehr seltsam.

Wo hast Du das denn gefunden?
Gruß
Michael
Antworten Top
#3
Hallo,

es ist malware von heute morgen, der SHA256 steht in der Text-Datei. (Stichwort: Bazaar)

Der Uploader hat keine Vermutungen über den/die Autor/en genannt, aber die Excel-Datei wurde wohl in den Niederlanden entdeckt.

Die Datei ist mit einem Workbook.Open password geschützt, das ich nicht überwinden konnte. Damit konnte ich das "Object1" bzw das java-script nicht analysieren.

Es wurde zeitgleich mit zwei anderen xls Version 2003 hochgeladen. Die beiden anderen starten aber einen Powershell-Code. Diese beiden sind vermutlich von der selben Quelle, aber ohne einen BLick zumindest in die Properties ist ein Vermutung, ob alle drei zusammenhängen nicht begründbar.

mfg

PS: Wenn Du einmal eine gute Analyse sehen möchtest, ist ISC von gestern ein Beispiel.
[-] Folgende(r) 2 Nutzer sagen Danke an Fennek für diesen Beitrag:
  • Zwenn, Der Steuerfuzzi
Antworten Top
#4
Du meinst den ISC2-Blog? Der ist bei mir nicht erreichbar ... komisch
Gruß
Michael
Antworten Top


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste