aclarado esto vamos a la taque, tomaremos de referencia el virus de macro que analizamos anteriormente estos son los link:
http://elblogdeflamer.blogspot.mx/2016/04/analizando-una-muestra-de-un-virus-de.html
http://elblogdeflamer.blogspot.mx/2016/03/analizando-una-muestra-de-un-virus-de.html
pero tomaremos de referencia la primera parte del análisis ya que tenemos el archivo xml reparado sin errores y la macro nos pide la contraseña como en la imagen siguiente
pasaremos a convertir el archivo xml a otra extencion para eso damos clic en archivo y guardar como y elegimos la opción siguiente
elegimos Documento habilitado con macro de word y le pondremos como nombre virusmacros y damos clic en aguardar y si nos aparece un mensaje damos clic en aceptar, por ultimo nos quedara un archivo similar a un archivo comprimido así
así que lo abriremos y extraemos el archivo vbaProject.bin, este se encuentra en la carpeta word
para extraerlo daremos clic derecho y Extraer sin pedir confirmación
Nota: si salta el antivirus es mejor que lo apaguen ya que no podrán seguir
ahora ya que lo tenemos el archivo vbaProject.bin en el escritorio pasaremos a abrirlo con un editor hexadecimal yo usare este: http://mh-nexus.de/en/hxd/
elegimos el archivo a abrir así
ya que lo tenemos abierto daremos clic en buscar así
y buscaremos la cadena DPB asi
luego daremos clic en aceptar y después que la hallamos encontrado remplazaremos la cadena DPB por otra, yo le pondré DPP así
por ultimo daremos clic en aguardar cambios como se muestra a continuación
ya que hallamos aguardado los cambios cerramos el editor y de nuevo abrimos el archivo virusmacros con el winrar y borramos el archivo vbaProject.bin que contiene adentro así
nos aparecerá un mensaje y damos clic en si.
después de esto añadimos el nuevo archivo vbsProject.bin que modificamos anteriormente con el editor hexadecimal dando clic derecho y clic en añadir ficheros al archivo
y elegimos el archivo mencionado
por ultimo damos clic en aceptar y en esta siguiente ventana también en aceptar
después de esto abriremos el archivo virusmacros así
ahora damos clic en la ficha de programador y luego en visual basic
y como ven al dar clic en visual basic no marcara el siguiente error
y daremos clic en si y en aceptar en el siguiente cuadro y si vuelve a a parecer damos clic en aceptar de nuevo
y guala el proyecto esta desbloqueado y ahora podemos ver los módulos que contienen y parte de su código
ahora si no quieren que les muestre error cada ves que cargan el proyecto de visual basic solo modifican las propiedades del proyecto así
y luego en la siguiente ventana dan clic en protección y desmarcan la opción bloquear proyecto para visializacion
por ultimo dan clic en aceptar y aguardan los cambios y como verán al abrir el proyecto de la macros de nuevo ya no les marcara error
bueno amigos creo que eso es todo, pensaba poner como titulo la tercera parte del análisis del virus de macros pero al ver el poco código que me encontré no me dio mucho interés así que mejor le cambie de tema.
si quieren ver el tutorial de mi amigo [Thunder] lo pueden encontrar aquí: https://reversec0de.wordpress.com/2016/04/13/accediendo-a-codigo-vba-protegido/
bueno amigos saludos Flamer