本文讲述了作者在分析一个钓鱼邮件附件时,发现了一个名为apmp.kill的宏病毒免疫程序。该程序使用病毒代码来实现自我免疫,作者对此表示惊讶,并批评了沙箱和杀软的误报问题,同时指出微步云沙箱在OLE分析上的不足。文章还提及安装oletools以方便后续分析。
今天公司的没什么乱用的沙箱又报警了,还是老样子,钓鱼邮件。
黄老师把邮件发过来,我看了下
标题是xxx会议通知,附件一个doc,一个rar:
会议通知,看上去确实比较可疑。先用winhex打开rar。
只有ace格式才会被恶意解析。再看内容是3个jpg。看上去没啥问题。好下一个。
再看doc。
处理doc的原则是千万别在实体机上点开任何doc,教训太惨痛……我这台机器又没有装虚拟环境,借用微步云沙箱看看。。。。修改文件名,上传。这里必须注意涉密文件万不能上传。
一看吓一跳。
难道沙箱办了回人事?
再一看代码,这有短短的一小段
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
