Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert werden. Die von diesem Forum gesetzten Cookies werden nur auf dieser Website verwendet und stellen kein Sicherheitsrisiko dar. Cookies aus diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.
Clever-Excel-Forum Office-Anwendungen Excel v
VBAProject encryption

Baumstrukturmodus
VBAProject encryption
Fennek Offline
Benutzer
Registriert seit: 06.12.2015
Version(en): 2016
#1
18.08.2022, 12:44 (Dieser Beitrag wurde zuletzt bearbeitet: 18.08.2022, 13:26 von Fennek.)
Hallo,

in einer Excel 2003 gibt es dieses VBAProject:

Zitat:  1:      108 '\x01CompObj'
  2:      244 '\x05DocumentSummaryInformation'
  3:      220 '\x05SummaryInformation'
  4:    99903 'Workbook'
  5:      418 '_VBA_PROJECT_CUR/PROJECT'
  6:        62 '_VBA_PROJECT_CUR/PROJECTwm'
  7: m    977 '_VBA_PROJECT_CUR/VBA/Sheet1'
  8: M    3117 '_VBA_PROJECT_CUR/VBA/ThisWorkbook'
  9:      2758 '_VBA_PROJECT_CUR/VBA/_VBA_PROJECT'
10:      531 '_VBA_PROJECT_CUR/VBA/dir'
11:      3636 'encryption'

Alles ist normal bis auf die Zeile 11 'encryption' mit 3636 bytes. 

Kennt jemand dieses eher ungewöhnlichen Stream? Es sind nicht lesbare binär-Daten.

Danke

mfg


Angehängte Dateien
.txt   95580_VBA.txt (Größe: 6,75 KB / Downloads: 12)
[-] Folgende(r) 1 Nutzer sagt Danke an Fennek für diesen Beitrag:
  • Der Steuerfuzzi
Zitieren Suchen
Antworten Top
Der Steuerfuzzi Offline
Excel Rose
Registriert seit: 11.03.2015
Version(en): mittlerweile meistens 2019
#2
18.08.2022, 17:28 (Dieser Beitrag wurde zuletzt bearbeitet: 18.08.2022, 17:28 von Der Steuerfuzzi.)
Hallo,

in der Format-Spezifikation konnte ich auf Anhieb auch nichts dazu finden und eigentlich ist diese Datei eigentlich nicht aufgeführt:
https://docs.microsoft.com/en-us/openspe...433a646b88

Habe dazu auch nicht wirklich was gefunden. Im VBA-Projekt selbst kann man keine Verschlüsselung oder Ähnliches einstellen. Sehr seltsam.

Wo hast Du das denn gefunden?
Gruß
Michael
Zitieren Suchen
Antworten Top
Fennek Offline
Benutzer
ThreadStarter

Registriert seit: 06.12.2015
Version(en): 2016
#3
18.08.2022, 17:59 (Dieser Beitrag wurde zuletzt bearbeitet: 18.08.2022, 18:02 von Fennek.)
Hallo,

es ist malware von heute morgen, der SHA256 steht in der Text-Datei. (Stichwort: Bazaar)

Der Uploader hat keine Vermutungen über den/die Autor/en genannt, aber die Excel-Datei wurde wohl in den Niederlanden entdeckt.

Die Datei ist mit einem Workbook.Open password geschützt, das ich nicht überwinden konnte. Damit konnte ich das "Object1" bzw das java-script nicht analysieren.

Es wurde zeitgleich mit zwei anderen xls Version 2003 hochgeladen. Die beiden anderen starten aber einen Powershell-Code. Diese beiden sind vermutlich von der selben Quelle, aber ohne einen BLick zumindest in die Properties ist ein Vermutung, ob alle drei zusammenhängen nicht begründbar.

mfg

PS: Wenn Du einmal eine gute Analyse sehen möchtest, ist ISC von gestern ein Beispiel.
[-] Folgende(r) 2 Nutzer sagen Danke an Fennek für diesen Beitrag:
  • Zwenn, Der Steuerfuzzi
Zitieren Suchen
Antworten Top
Der Steuerfuzzi Offline
Excel Rose
Registriert seit: 11.03.2015
Version(en): mittlerweile meistens 2019
#4
19.08.2022, 08:09
Du meinst den ISC2-Blog? Der ist bei mir nicht erreichbar ... komisch
Gruß
Michael
Zitieren Suchen
Antworten Top


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste