03.07.2020, 10:14
Hallo,
könntet ihr bitte die Frage am kommenden Montag wieder löschen?
In einer Datenbank mit MS-Office Viren habe ich einige Dateien, xlsx und xls, gefunden, bei denen ich nicht einmal im Ansatz erkennen kann, was da passieren soll. Es gibt für mich keine sichtbaren ausführbaren Codes, weder VBA, Excel4Makro noch ein OLEObject.
Die Analyse wurde auf einem Raspberry Pi, also Linux, mit LibreOffice durchgeführt.
Fragen:
- welcher aktive Code / Scriptsprache könnte enthalten sein
- wie analysiert man das
Hier die bisherigen findings: (der Dateiname wurde gekürzt, damit Google das nicht findet)
1422... etc.xlsx
325 kB
zipdump failed -f l ohne Ergebnis (in diesem Fall kein manipuliertes Zip-Archiv)
python3 oledump.py Virus/xlsx/1422... etc.xlsx
1: 4096 '\x05DocumentSummaryInformation'
2: 4096 '\x05SummaryInformation'
3: 320616 'Workbook'
MAGIC-BYTES: (von xls)
head -c 32 1422... etc.xlsx | xxd
00000000: d0cf 11e0 a1b1 1ae1 0000 0000 0000 0000 ................
00000010: 0000 0000 0000 0000 3e00 0300 feff 0900 ........>.......
unzip: 7z e 142...xlsx
-rw-r--r-- 1 pi pi 4096 Jul 2 18:42 [5]DocumentSummaryInformation
-rw-r--r-- 1 pi pi 4096 Jul 2 18:42 [5]SummaryInformation
-rw-r--r-- 1 pi pi 320616 Jul 2 18:42 Workbook
head -c 200 Workbook | xxd
00000000: 0908 1000 0006 0500 5a4f cd07 c900 0200 ........ZO......
00000010: 0608 0000 2f00 c800 0100 0400 0200 0c00 ..../...........
00000020: 0000 7e00 0000 0c00 0000 0000 0000 0168 ..~............h
00000030: 0000 0480 0000 8000 0000 0100 0000 0000 ................
00000040: 0000 0000 0000 4d00 6900 6300 7200 6f00 ......M.i.c.r.o.
00000050: 7300 6f00 6600 7400 2000 4500 6e00 6800 s.o.f.t. .E.n.h.
00000060: 6100 6e00 6300 6500 6400 2000 4300 7200 a.n.c.e.d. .C.r.
00000070: 7900 7000 7400 6f00 6700 7200 6100 7000 y.p.t.o.g.r.a.p.
00000080: 6800 6900 6300 2000 5000 7200 6f00 7600 h.i.c. .P.r.o.v.
00000090: 6900 6400 6500 7200 2000 7600 3100 2e00 i.d.e.r. .v.1...
000000a0: 3000 0000 1000 0000 8c35 a9f1 9317 c3a2 0........5......
000000b0: 19be 345c 2d24 e826 fe8e fd68 b139 209e ..4\-$.&...h.9 .
000000c0: 1768 80a4 5671 40a1 .h..Vq@.
strings -2 Workbook | grep MZ
NMZ1
MZ
-------------------------------------------------
------------- Open with LibreOffice -------------
Untititled1 - LibreOffice Calc
24 sheets
Names: Excel_BuiltIn_Auto_Open $Sheet1.$M$8 (->leer)
einzig sichtbares Sheet: Arrow der Clipart, Please Click Enable Content to view the document
kein VBProject, MakroSheet
---------------------------------------------------------------
Sheets("SNCWNERc")
346 Cells
Y, m, 0, 0, U, C, m, ., 0, 0, R, l, k, L, L, t, i, o, q, v, 0, 0, f, S, h, r, n, \, E, e, s, 0, usw
Sheets("IJegpNuY")
345 Cells
Beispiele: GYVrOmeamDSnbkIDgi
XvCxKNbwyI
KjolwzPkluFz
PVowmSNOMRCuCgIsJ
aTElnIkpDzivV
HDOfgCENkR
YDQPfildCRKtceybgtE
vPuTkLkv
XOcmV
könntet ihr bitte die Frage am kommenden Montag wieder löschen?
In einer Datenbank mit MS-Office Viren habe ich einige Dateien, xlsx und xls, gefunden, bei denen ich nicht einmal im Ansatz erkennen kann, was da passieren soll. Es gibt für mich keine sichtbaren ausführbaren Codes, weder VBA, Excel4Makro noch ein OLEObject.
Die Analyse wurde auf einem Raspberry Pi, also Linux, mit LibreOffice durchgeführt.
Fragen:
- welcher aktive Code / Scriptsprache könnte enthalten sein
- wie analysiert man das
Hier die bisherigen findings: (der Dateiname wurde gekürzt, damit Google das nicht findet)
1422... etc.xlsx
325 kB
zipdump failed -f l ohne Ergebnis (in diesem Fall kein manipuliertes Zip-Archiv)
python3 oledump.py Virus/xlsx/1422... etc.xlsx
1: 4096 '\x05DocumentSummaryInformation'
2: 4096 '\x05SummaryInformation'
3: 320616 'Workbook'
MAGIC-BYTES: (von xls)
head -c 32 1422... etc.xlsx | xxd
00000000: d0cf 11e0 a1b1 1ae1 0000 0000 0000 0000 ................
00000010: 0000 0000 0000 0000 3e00 0300 feff 0900 ........>.......
unzip: 7z e 142...xlsx
-rw-r--r-- 1 pi pi 4096 Jul 2 18:42 [5]DocumentSummaryInformation
-rw-r--r-- 1 pi pi 4096 Jul 2 18:42 [5]SummaryInformation
-rw-r--r-- 1 pi pi 320616 Jul 2 18:42 Workbook
head -c 200 Workbook | xxd
00000000: 0908 1000 0006 0500 5a4f cd07 c900 0200 ........ZO......
00000010: 0608 0000 2f00 c800 0100 0400 0200 0c00 ..../...........
00000020: 0000 7e00 0000 0c00 0000 0000 0000 0168 ..~............h
00000030: 0000 0480 0000 8000 0000 0100 0000 0000 ................
00000040: 0000 0000 0000 4d00 6900 6300 7200 6f00 ......M.i.c.r.o.
00000050: 7300 6f00 6600 7400 2000 4500 6e00 6800 s.o.f.t. .E.n.h.
00000060: 6100 6e00 6300 6500 6400 2000 4300 7200 a.n.c.e.d. .C.r.
00000070: 7900 7000 7400 6f00 6700 7200 6100 7000 y.p.t.o.g.r.a.p.
00000080: 6800 6900 6300 2000 5000 7200 6f00 7600 h.i.c. .P.r.o.v.
00000090: 6900 6400 6500 7200 2000 7600 3100 2e00 i.d.e.r. .v.1...
000000a0: 3000 0000 1000 0000 8c35 a9f1 9317 c3a2 0........5......
000000b0: 19be 345c 2d24 e826 fe8e fd68 b139 209e ..4\-$.&...h.9 .
000000c0: 1768 80a4 5671 40a1 .h..Vq@.
strings -2 Workbook | grep MZ
NMZ1
MZ
-------------------------------------------------
------------- Open with LibreOffice -------------
Untititled1 - LibreOffice Calc
24 sheets
Names: Excel_BuiltIn_Auto_Open $Sheet1.$M$8 (->leer)
einzig sichtbares Sheet: Arrow der Clipart, Please Click Enable Content to view the document
kein VBProject, MakroSheet
---------------------------------------------------------------
Sheets("SNCWNERc")
346 Cells
Y, m, 0, 0, U, C, m, ., 0, 0, R, l, k, L, L, t, i, o, q, v, 0, 0, f, S, h, r, n, \, E, e, s, 0, usw
Sheets("IJegpNuY")
345 Cells
Beispiele: GYVrOmeamDSnbkIDgi
XvCxKNbwyI
KjolwzPkluFz
PVowmSNOMRCuCgIsJ
aTElnIkpDzivV
HDOfgCENkR
YDQPfildCRKtceybgtE
vPuTkLkv
XOcmV
