Quickpost: PDF/ActiveMime Maldocs YARA Rule
这是我开发的 YARA 规则,用于检测我在“Quickpost:PDF/ActiveMime 多语言恶意文档分析”中写到的 PDF/ActiveMime 恶意文档。它会查找以 %PDF- 开头(此标头可能被混淆)且包含字符串 QWN0aXZlTWlt(BASE64 中的字符串 ActiveMim)的文件,可能被空格字符混淆。用于检测散布的字符 QWN0aXZlTWlt 的正则表达式 […]
Quickpost: Analysis of PDF/ActiveMime Polyglot Maldocs
jpcert 报告了一种新型恶意文档:“PDF 中的恶意文档 - 通过将恶意 Word 文件嵌入 PDF 文件来绕过检测 -”。这些恶意文档是嵌入 MIME 格式的 Word 文档 (ActiveMime) 的 PDF 文件。可以通过结合我的 emldump.py 工具和 oledump.py 来分析 ActiveMime 文档。ActiveMime 文档被严重混淆了 […]
