Sven的忘却日记

样本可用下载地址：https://github.com/InQuest/malware-samples/blob/master/2019-01-15-Mal-Excel-Doc-Macrosheet/98e4695eb06b12221f09956c4ee465ca5b50f20c0a5dc0550cad02d1d71315260）常规宏病毒跟以往的宏病毒不太一样，平时遇到宏病毒，可以按住shi...

首先使用Word创建一个利用宏代码弹MsgBox的样本，如下图：保存内容后，另存为MHT格式文件文件内容如下：此时，再使用一些常用的ole分析工具，就识别不了这个类型了，比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据正常的word文档，使用7z查看问题就在，如过把刚刚的2.mht 改成2.doc，完全不影响宏执行...

在分析宏病毒样本时，偶尔会遇到带密码的宏病毒样本，有些工具可以直接读取或绕过输入密码这里使用一种简单粗暴的方法来绕过宏密码保护，使用任意一款16进制编辑器，搜索DPB将其修改为DPX保存后，重新打开宏病毒样本，WORD弹出错误提示，点击 是使用ALT+F11打开宏编辑器，然后打开右键Project属性在属性窗口->保护 我们可以取消密码保护，或输入一个新密码这里我选择...

一般Word被嵌入了带有恶意行为的宏代码（VBA代码），当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。或者有的word默认是禁止宏运行，会弹出一个提示，是否允许运行携带的宏代码。上面是一个11月份的比较新的，针对银行的木马，主要通过垃圾邮件附件的方式传播，以Word宏作为病毒载体。我使用的是Office2013默认禁止运行宏。但是邮件的内容是诱导用户去点击那个"启动内容"...

当你打开恶意docx文件时，会有提示信息，不过通过解析路径的手段，把可疑部分隐藏了。这个提示信息，看起来是启动我Word安装目录下的一个程序，普通人觉得，Word启动它自己目录下的程序，应该很正常呀！于是就点了是此时用procexp查看进程列表，恶意的代码已经执行了~如果用7z来打开这个docx文件，可以看到里面的footer.xml文件中包含的恶意部分DDEAUTO "C:\\P...