- プロジェクトサイト: malzilla.sourceforge.net
- ダウンロード: malzilla.sourceforge.net/downloads.html
パート1
次の図を見てみましょう。
これはページのコンテンツであり、スパムとともに私に送信されたリンクです。
マルウェアへの直接リンクを取得するために、JavaScript関数unescape()を扱います。 これはまったく問題ではありません、ニュアンス
この関数に渡されるすべてのデータを処理する必要はありません。 私たちはこれに個人的に対処するので、必要です
スキップする部分とスキップしない部分に注意してください。
[ スクリプトをデコーダーに送信 ]ボタンをクリックします。アクティブな[ デコード ]タブで、[ スクリプトを実行 ]をクリックします。
下のパネルで結果を見ることができます-VBScriptは悪意のあるファイルをダウンロードするために使用されます。
次の例では、ダウンロードをバイパスして、データをバイナリファイルに直接書き込むスクリプトを扱っています。
VBScriptで記述されているため、SpiderMonkeyエンジンはこれを解釈できないため、Malzillaの他の機能を使用します。
最初に、スクリプトのソースコードを[Misc Decoders]タブにコピーする必要があります 。
現在の例の最初の図を見ると、 MZ署名が最初のステップでファイルに書き込まれ、他のすべてのデータが2番目のステップで書き込まれていることがわかります。 両方の操作をdingステップで行います。 前のスクリーンショットでは、 \ u4D5Aをコードの先頭に追加しました。これはASCIIエンコードのMZという単語です。 次の関数は値\ uではなく値%uを期待するため、ここで値"Override default delimiter"を\ uに設定する必要があります 。
「UCS2 To Hex」ボタンを押すと 、次の結果が得られます。
「Hex To File」をクリックして、結果をハードドライブに保存します。
VirusTotal.comでファイルをチェックした結果:
次の例では、より複雑な変換と数学関数を使用してデータを復号化します。
eval()関数は、復号化結果を実行するために使用されます。これもスクリプトです:
;
スクリプトのソースコードを表示して実行しないように、 eval()をdocument.write()関数に変更します。 結果はVBScriptになります。
ご覧のとおり、変換が必要なUNICODEコードのシーケンスがあります。
このコードを[Misc Decodres]タブにコピーして、 UCS2のデコード機能を使用してみましょう。
変換の結果はシェルコードになり、悪意のあるファイルのダウンロードアドレスも確認できます。
次の例は、前の例よりも少し複雑です。
ここでは、 dFと呼ばれるスクリプトを使用します(変数名の後に、このスクリプトでよく使用されますが、この例ではzXに変更されます)。
[ スクリプトをデコーダーに送信 ]をクリックしてスクリプトを実行すると、次のように表示されます。
スクリプトの最初の部分のみが復号化されます(スクリーンショットで強調表示) 。 復号化されたスクリプトを選択します(<script>タグなし) :
元のスクリプトの上に、現在復号化されている部分に貼り付けます。
スクリプト全体を再度実行し、結果を確認します。
元のスクリプトでトップタブ全体をクリアし、結果のコードをそこに貼り付けます。
もう一度スクリプトを実行をクリックします 。
少し下にスクロールすると、おなじみのUNICODE文字が表示されます。
前の例に示すようにそれらをデコードします。
その結果、malvaraへの直接リンクを持つ別のシェルコードがあります。
最後に、別のユースケース:
このようなコードを手動で解読するには多くの時間と労力がかかります... Malzillaでは、 スクリプトをDecoderに送信するだけでスクリプトを [ デコード ]タブに送信し、実行して結果を取得できます。
スクリーンショットのURLは、感染したファイルへの直接リンクにすぎません!