详细内容或原文请订阅后点击阅览
分析 VSTO Office 文件
VSTO Office 文件是链接到 Visual Studio Office File 应用程序的 Office 文档文件。打开后,它们会启动自定义 .NET 应用程序。有多种方法可以实现这一点,包括通过外部 Web 服务器提供 VSTO 文件的方法。最近发表了一篇关于为……创建这些文档文件的文章继续阅读分析 VSTO Office 文件 →
来源:NVISO Labs _恶意软件VSTO Office 文件是链接到 Visual Studio Office File 应用程序的 Office 文档文件。打开后,它们会启动自定义 .NET 应用程序。有多种方法可以实现此目的,包括通过外部 Web 服务器提供 VSTO 文件的方法。
最近发表了一篇关于为网络钓鱼目的创建这些文档文件的文章,从那时起,我们在 VirusTotal 上观察到了一些 VSTO Office 文件。
最近发表了一篇关于为网络钓鱼目的创建这些文档文件的文章分析方法 (OOXML)
分析方法 (OOXML)Sample Trusted Updater.docx(0/60 检测)于 2022 年 4 月 20 日首次出现在 VirusTotal 上,即该文章发布 6 天后。它是一个 .docx 文件,可以预料的是,它不包含 VBA 宏(根据定义,.docm 文件包含 VBA 宏,.docx 文件不包含):
Trusted Updater.docx 所述文章看一下 ZIP 容器(.docx 文件是 OOXML 文件,即包含 XML 文件和其他文件类型的 ZIP 容器),有一些方面我们通常在“经典” .docx 文件中看不到:
OOXML值得注意的是以下内容:
- 文件夹 vstoDataStore 中存在文件。这些文件包含用于执行 VSTO 文件的元数据。某些文件的时间戳不是 1980-01-01,而使用 Microsoft Office 应用程序(如 Word)创建的文档应该是这样的。docsProp/custom.xml 文件的存在。