OfficeMalHunter.py

1. #!/usr/bin/env python
2. # -*- coding : utf-8 -*-
3. # OfficeMalHunter.py
4. # Binjo @ 2009-06-01 16:35:41
5. # Reverse 4 phun...
6. #-------------------------------------------------------------------------------
7. import os, sys
8. from ctypes    import *
9. from pythoncom import *
10. from struct    import pack, unpack
11.  
12. k32  = windll.kernel32
13. libc = cdll.msvcrt
14. nt   = windll.ntdll
15.  
16. # RATING
17. # Malicious index rating:
18. #   Executables: 4
19. #   Code       : 3
20. #   STRINGS    : 2
21. #   OLE/NOPs   : 1
22. RATING_EXEC   = 4
23. RATING_CODE   = 3
24. RATING_STRS   = 2
25. RATING_OLENOP = 1
26.  
27. g_IndentNum   = 0
28. g_macro_flg   = 0
29. g_macro_dir   = ''
30. g_f_name      = ''
31. g_f_size      = 0
32. g_f_cnt       = None
33.  
34. g_power       = 0 # indicate the malicious power
35.  
36. A8            = c_byte * 8
37. g_aOfficeSig  = A8( 0xD0, 0xCF, 0x11, 0xE0, 0xA1, 0xB1, 0x1A, 0xE1 )
38.  
39. A6            = c_byte * 6
40. g_FldzSig     = A6( 0xD9, 0xEE, 0xD9, 0x74, 0x24, 0xF4 )
41. g_CallPopSig1 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x58 )
42. g_CallPopSig2 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x59 )
43. g_CallPopSig3 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5A )
44. g_CallPopSig4 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5B )
45. g_CallPopSig5 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5E )
46. g_CallPopSig6 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5F )
47. g_CallPopSig7 = A6( 0xE8, 0x00, 0x00, 0x00, 0x00, 0x5D )
48.  
49. A5            = c_byte * 5
50. g_FS30Sig1    = A5( 0x64, 0xA1, 0x30, 0x00, 0x00 ) # MOV EAX,DWORD PTR FS:[30]
51. g_FS30Sig2    = A5( 0x64, 0x8B, 0x1D, 0x30, 0x00 ) # MOV EBX,DWORD PTR FS:[30]
52. g_FS30Sig3    = A5( 0x64, 0x8B, 0x0D, 0x30, 0x00 ) # MOV ECX,DWORD PTR FS:[30]
53. g_FS30Sig4    = A5( 0x64, 0x8B, 0x15, 0x30, 0x00 ) # MOV EDX,DWORD PTR FS:[30]
54. g_FS30Sig5    = A5( 0x64, 0x8B, 0x35, 0x30, 0x00 ) # MOV ESI,DWORD PTR FS:[30]
55. g_FS30Sig6    = A5( 0x64, 0x8B, 0x3D, 0x30, 0x00 ) # MOV EDI,DWORD PTR FS:[30]
56.  
57. A3            = c_byte * 3
58. g_NopSig      = A3( 0x90, 0x90, 0x90 )
59.  
60. APIZ          = [
61.     'UrlDownloadToFile',
62.     'GetTempPath',
63.     'GetWindowsDirectory',
64.     'GetSystemDirectory',
65.     'WinExec',
66.     'IsBadReadPtr',
67.     'IsBadWritePtr',
68.     'CreateFile',
69.     'CloseHandle',
70.     'ReadFile',
71.     'WriteFile',
72.     'SetFilePointer',
73.     'VirtualAlloc',
74.     'GetProcAddr',
75.     'LoadLibrary']
76.  
77. def usage():
78.     """usage - show help here
79.    """
80.     h = k32.GetStdHandle( 0xFFFFFFF5 ) # STD_OUTPUT_HANDLE
81.  
82.     print "\nUsage:\n------\n",
83.     print "OfficeMalScanner <PPT, DOC or XLS file> <scan | info> <brute> <debug>\n",
84.     print "\nOptions:\n",
85.     print "  scan  - scan for several shellcode heuristics and encrypted PE-Files\n",
86.     print "  info  - dumps OLE structures, offsets+length and saves found VB-Macro code\n",
87.     print "\nSwitches: (only enabled if option \"scan\" was selected)",
88.     print "  brute - enables the \"brute force mode\" to find encrypted stuff\n",
89.     print "  debug - prints out disassembly resp hexoutput if a heuristic was found\n",
90.     print "\nExamples:\n",
91.     print "  OfficeMalScanner evil.ppt scan brute debug\n",
92.     print "  OfficeMalScanner evil.ppt scan\n",
93.     print "  OfficeMalScanner evil.ppt info\n",
94.     print "\nMalicious index rating:\n",
95.     print "  Executables: 4\n",
96.     print "  Code       : 3\n",
97.     print "  STRINGS    : 2\n",
98.     print "  OLE/NOPs   : 1\n",
99.  
100.     print "----------------------------------------------------------------------------\n",
101.     k32.SetConsoleTextAttribute( h, 0x14 ), #FOREGROUND_GREEN | FOREGROUND_RED | FOREGROUND_INTENSITY ),
102.     print "    I strongly suggest you to scan malicious files in a safe environment\n",
103.     print " like VMWARE, as this tool is written in C and might have exploitable bugs!\n",
104.     k32.SetConsoleTextAttribute( h, 0x0F ), #FOREGROUND_BLUE | FOREGROUND_GREEN | FOREGROUND_RED | FOREGROUND_INTENSITY ),
105.     print "----------------------------------------------------------------------------\n",
106.  
107.     return -1
108.  
109. def save_decompressed_macro( name, buffer, idx ):
110.     """save decrompressed macro via RtlDecompressBuffer
111.  
112.    Arguments:
113.    - `name`:
114.    - `buffer`:
115.    - `idx`:
116.    """
117.     dec_data = create_string_buffer(0x800)
118.     final_size = c_ulong(0)
119.  
120.     nt.RtlDecompressBuffer(
121.         2,                        # COMPRESSION_FORMAT_LZNT1
122.         dec_data,                 # UncompressedBuffer
123.         0x800,                    # UncompressedBufferSize
124.         c_char_p(buffer[idx+1:]), # CompressedBuffer
125.         0xFFFFFF - idx,           # CompressedBufferSize
126.         byref(final_size)         # FinalUncompressedSize
127.         )
128.  
129.     try:
130.         if name == '': name = 'fvck'
131.         f = open( "%s\%s" % (g_macro_dir, name), 'wb' )
132.         f.write(dec_data.value)
133.     except Exception, e:
134.         print '[-] shit...%s' % e
135.     finally:
136.         f.close()
137.  
138. def dump_data( title, data, length ):
139.     """dump specific length of data
140.  
141.    Arguments:
142.    - `title`:
143.    - `data`:
144.    - `length`:
145.    """
146.     char_table = '................................ !\"#$%&\'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`' \
147.         'abcdefghijklmnopqrstuvwxyz{|}~...............................................................................' \
148.         '..................................................'
149.  
150.     libc.printf( "\n[ %s - %u bytes ]\n", title, length )
151.  
152.     if len(data) < length: length = len(data)
153.  
154.     for i in xrange(1, length+1):
155.         libc.printf( "%02x ", unpack('B',data[i-1])[0] )
156.         if i % 8  == 0: libc.printf(" ")
157.         if i % 16 == 0:
158.             libc.printf("| ")
159.             j = i - 16
160.             while ( j < i ):
161.                 libc.printf( "%s", char_table[unpack('B', data[j])[0]] )
162.                 j += 1
163.             libc.printf("\n")
164.  
165.     if length % 16 != 0:
166.         m = 16 - length % 16
167.         n = 16 - length % 16
168.         while n:
169.             libc.printf( "   " )
170.             if n % 8 == 0 and m != 8:
171.                 libc.printf(" ")
172.             n -= 1
173.         libc.printf(" | ")
174.         n = length - (16 - m)
175.         while n < length:
176.             libc.printf( "%s", char_table[unpack('B',data[n])[0]] )
177.             n += 1
178.  
179.     libc.printf("\n")
180.     print "--------------------------------------------------------------------------\n\n",
181.  
182. def print_stream_info( f, stg ):
183.     """print stream info
184.  
185.    Arguments:
186.    - `f`:
187.    - `stg`:
188.    """
189.     if stg is None:
190.         ost = StgOpenStorage( f, None, 0x10, None, 0 )
191.         print_stream_info( None, ost )
192.     else:
193.         estat = stg.EnumElements()
194.  
195.         if estat:
196.             s_info = estat.Next()
197.             while s_info != ():
198.                 i = 0
199.                 global g_IndentNum
200.                 while i < g_IndentNum:
201.                     libc.printf(' ')
202.                     i += 1
203.  
204.                 s_name = ''
205.                 x_name = create_string_buffer(0x400)
206.                 libc.wcstombs( x_name, c_wchar_p(s_info[0][0]), 0x400 )
207.                 for c in x_name.value:
208. #                for c in s_info[0][0].encode( 'ascii', 'ignore' ):
209.                     if ord(c) > 122 or ord(c) <= 32: continue
210.                     s_name += c
211.                     libc.printf( c )
212.  
213.                 if s_info[0][1] - 1 > 3:
214.                     print "   [TYPE: Unknown]\n",
215.                 else:
216.                     # python don't support switch...
217.                     if s_info[0][1] == 1:
218.                         print "   [TYPE: Storage]\n",
219.  
220.                         x_stg = stg.OpenStorage( s_info[0][0], None, 0x10, None, 0 )
221.                         g_IndentNum += 1
222.                         print_stream_info( None, x_stg )
223.                         g_IndentNum -= 1
224.  
225.                     elif s_info[0][1] == 2:
226.                         print "   [TYPE: Stream",
227.  
228.                         macro  = 0
229.                         stream = stg.OpenStream( s_info[0][0], None, 0x10, 0 )
230.                         s_len  = s_info[0][2]
231.                         if s_len > 0x4000: s_len = 0x4000 # !!!!!!!!!!
232.                         data   = stream.Read( s_len )
233.  
234.                         if (unpack( 'B', data[0] )[0] != 1  or
235.                             unpack( 'B', data[1] )[0] != 22 or
236.                             unpack( 'B', data[2] )[0] != 1):
237.                             macro = 0
238.                         else:
239.                             for i in xrange(s_len - 3):
240.                                 if (unpack( 'B', data[i] )[0] == 1 and
241.                                     unpack( 'B', data[i+1] )[0] and
242.                                     (unpack( 'B', data[i+2] )[0] & 0xF0 == 0xB0)):
243.                                     macro = 1
244.                                     global g_macro_flg
245.                                     g_macro_flg = 1
246.                                     break
247.  
248.                         if macro == 1:
249.                             global g_macro_dir
250.                             g_macro_dir = os.path.abspath( "%s\\%s-Macros" % (os.path.curdir, g_f_name) )
251.                             if not os.path.isdir( g_macro_dir ):
252.                                 os.mkdir( g_macro_dir )
253.                             save_decompressed_macro( s_name, data, i )  # FIXME
254.  
255.                         for i in xrange( g_f_size ):
256.                             if ( libc.memcmp( c_char_p(g_f_cnt[i:]), c_char_p(data), 5) == 0 ):
257.                                 print " - OFFSET: 0x%x - LEN: %lu]" % (i, s_len)
258.                                 break
259.  
260.                     elif s_info[0][1] == 3:
261.                         print "   [TYPE: Lockbytes]\n",
262.                     elif s_info[0][1] == 4:
263.                         print "   [TYPE: Property]\n",
264.  
265.                 s_info = estat.Next()
266.  
267. def print_opcodz( raw_data ):
268.     """print opcodz via Cadt.dll engine
269.  
270.    Arguments:
271.    - `raw_data`:
272.    """
273.     data = raw_data
274.     # cadt = cdll.LoadLibrary( 'Cadt.dll' )
275.  
276.     print ""
277.  
278.     # code = create_string_buffer(55)
279.     # asm  = create_string_buffer(44)
280.     # menm = create_string_buffer(1024)
281.  
282.     # for i in xrange(0x10):
283.     #     libc.memset( code, 0, 55 )
284.     #     libc.memset( asm,  0, 44 )
285.     #     c_len = windll.cadt.InstrDecode( c_char_p(data), code, 0 )
286.     #     windll.cadt.InstrDasm( code, asm, 0 )
287.     #     windll.cadt.MakeMnemonic( menm, asm, byref(c_int(1)) )
288.     #     data = data[c_len:]
289.     #     print "%s\n" % menm.value,
290.  
291.     from distorm import Decode, Decode32Bits
292.  
293.     l = Decode( 0x100, data, Decode32Bits )
294.     for i in l[:16]:
295.         print "%-20s %s" % (i[3], i[2])
296.  
297. def main():
298.     """TODO
299.    """
300.     mode_flg  = 0 # <scan | info> mode
301.     debug_flg = 0
302.     brute_flg = 0
303.  
304.     global g_power
305.     global g_f_cnt
306.     global g_f_size
307.     global g_f_name
308.  
309.     h = k32.GetStdHandle( 0xFFFFFFF5 )
310.     k32.SetConsoleTextAttribute( h, 0x03 ) # FOREGROUND_BLUE or FOREGROUND_GREEN
311.  
312.     # print title
313.     print "\n+------------------------------------------+\n",
314.     print "|           OfficeMalScanner v0.41         |\n",
315.     print "|  Frank Boldewin / www.reconstructer.org  |\n",
316.     print "+------------------------------------------+\n",
317.  
318.     k32.SetConsoleTextAttribute( h, 0x0F ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
319.  
320.     arg_len = len(sys.argv)
321.     if arg_len < 3 or arg_len > 5:
322.         usage()                                  # exit in usage...
323.  
324.     #
325.     # parse argvs
326.     #
327.     if sys.argv[2].upper() == "INFO":
328.  
329.         if arg_len != 3: usage()                 # exit in usage...
330.         print "\n[*] INFO mode selected\n",
331.         mode_flg = 1
332.  
333.     elif sys.argv[2].upper() == "SCAN":
334.  
335.         print "\n[*] SCAN mode selected\n",
336.         if arg_len > 3:
337.             i = 3
338.             while i < arg_len:
339.                 if sys.argv[i].upper() == "DEBUG": debug_flg = 1
340.                 if sys.argv[i].upper() == "BRUTE": brute_flg = 1
341.                 i += 1
342.     else:
343.         usage()
344.  
345.     print "[*] Opening file %s\n" % sys.argv[1],
346.     try:
347.         f       = open( sys.argv[1], 'rb' )
348.         g_f_cnt = f.read()
349.         f.close()
350.     except:
351.         print "\nCannot open file %s\n" % sys.argv[1]
352.         exit(-2)
353.  
354.     g_f_size = len(g_f_cnt)
355.  
356.     print "[*] Filesize is %lu (0x%x) Bytes\n" % ( g_f_size, g_f_size ),
357.  
358.     # skip GetFileSize/CreateFileMappingA/MapViewOfFile, since it's PYTHON ;-p
359.  
360.     # if libc.memcmp( byref(g_aOfficeSig), g_f_cnt, 8 ) != 0:
361.     #     print "\nSorry, no PPT/DOC/XLS file!\n",
362.     #     print "If this is an Office 2007 file it can be extracted\n",
363.     #     print "with winzip and directly viewed with an XML-Editor!\n",
364.     #     exit(-6)
365.     # else:
366.     #     print "[*] Valid file format found.\n",
367.  
368.     if mode_flg == 1:
369.         """INFO"""
370.         g_f_name = os.path.basename(sys.argv[1])
371.  
372.         # python's print will append a space...
373.         libc.printf( "\n-----------------" )
374.         i = 0
375.         while i <= len(g_f_name) and i <= 62:
376.             libc.printf( "-" )
377.             i += 1
378.         libc.printf("\n")
379.  
380.         k32.SetConsoleTextAttribute( h, 0x03 ) # FOREGROUND_BLUE or FOREGROUND_GREEN
381.         print "[OLE Struct of: %s]\n" % g_f_name.upper(),
382.         k32.SetConsoleTextAttribute( h, 0x0F ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
383.  
384.         libc.printf( "-----------------" )
385.         i = 0
386.         while i <= len(g_f_name) and i <= 62:
387.             libc.printf( "-" )
388.             i += 1
389.         libc.printf("\n")
390.  
391.         print_stream_info( sys.argv[1], None )
392.  
393.         if g_macro_flg == 1:
394.             print "-----------------------------------------------------------------------------\n",
395.             k32.SetConsoleTextAttribute( h, 0x0E ) # FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
396.             print "                VB-MACRO CODE WAS FOUND INSIDE THIS FILE!\n",
397.             print "               The decompressed Macro code was stored here:\n\n------> %s\n" % os.path.abspath(g_macro_dir),
398.             k32.SetConsoleTextAttribute( h, 0x0F ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
399.             print "-----------------------------------------------------------------------------\n",
400.         else:
401.             print "-----------------------\n",
402.             print "No VB-Macro code found!\n",
403.  
404.     else:
405.         """SCAN"""
406.         print "[*] Scanning now...\n\n",
407.  
408.         for i in xrange(g_f_size):
409.             if ( libc.memcmp( byref(g_FS30Sig1), g_f_cnt[i:], 5 ) == 0 or
410.                  libc.memcmp( byref(g_FS30Sig2), g_f_cnt[i:], 5 ) == 0 or
411.                  libc.memcmp( byref(g_FS30Sig3), g_f_cnt[i:], 5 ) == 0 or
412.                  libc.memcmp( byref(g_FS30Sig4), g_f_cnt[i:], 5 ) == 0 or
413.                  libc.memcmp( byref(g_FS30Sig5), g_f_cnt[i:], 5 ) == 0 or
414.                  libc.memcmp( byref(g_FS30Sig6), g_f_cnt[i:], 5 ) == 0 ):
415.                 print "FS:[30h] (Method 1) signature found at offset: 0x%x\n" % i,
416.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
417.                 g_power += RATING_CODE
418.  
419.         for i in xrange(g_f_size):
420.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x6A and
421.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x30 and
422.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x64 and
423.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0x8B ):
424.                 print "FS:[30] (Method 2) signature found at offset: 0x%x\n" % i,
425.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
426.                 g_power += RATING_CODE
427.  
428.         for i in xrange(g_f_size):
429.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x33 and
430.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xB3 and
431.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0x64 and
432.                  unpack( 'B', g_f_cnt[i+5] )[0] == 0x8B ):
433.                 print "FS:[30] (Method 3) signature found at offset: 0x%x\n" % i,
434.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
435.                 g_power += RATING_CODE
436.  
437.         for i in xrange(g_f_size):
438.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x74 and
439.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xC1 and
440.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0x0D and
441.                  unpack( 'B', g_f_cnt[i+5] )[0] == 0x03 ):
442.                 print "API-Hashing signature found at offset: 0x%x\n" % i,
443.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
444.                 g_power += RATING_CODE
445.  
446.         i = 0
447.         while ( i < g_f_size ):
448.             if ( libc.memcmp( byref(g_NopSig), g_f_cnt[i:], 3 ) == 0 ):
449.                 print "NOP slides signature found at offset: 0x%x\n" % i,
450.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
451.                 while unpack('B', g_f_cnt[i])[0] == 0x90: i += 1
452.                 g_power += RATING_OLENOP
453.             i += 1
454.  
455.         for api in APIZ:
456.             for i in xrange(g_f_size):
457.                 if libc.memcmp( c_char_p(api), g_f_cnt[i:], len(api) ) == 0:
458.                     print "API-Name %s string found at offset: 0x%x\n" % (api, i),
459.                     if debug_flg == 1: dump_data( "PE-File", g_f_cnt[i:], 0x100 )
460.                     g_power += RATING_STRS
461.  
462.         for i in xrange(8, g_f_size):
463.             if libc.memcmp( byref(g_aOfficeSig), g_f_cnt[i:], 8 ) == 0:
464.                 print "Embedded OLE signature found at offset: 0x%x\n" % i,
465.                 if debug_flg == 1: dump_data( "PE-File", g_f_cnt[i:], 0x100 )
466.                 g_power += RATING_OLENOP
467.  
468.         for i in xrange(g_f_size):
469.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x55 and
470.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x8B and
471.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xEC and
472.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x83 and
473.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0xC4 ):
474.                 print "Function prolog signature found at offset: 0x%x\n" % i,
475.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
476.                 g_power += RATING_CODE
477.  
478.         for i in xrange(g_f_size):
479.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x55 and
480.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x8B and
481.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xEC and
482.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x81 and
483.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0xEC ):
484.                 print "Function prolog signature found at offset: 0x%x\n" % i,
485.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
486.                 g_power += RATING_CODE
487.  
488.         for i in xrange(g_f_size):
489.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xFF and
490.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x75 and
491.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xFF and
492.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0x55 ):
493.                 print "PUSH DWORD[]/CALL[] signature found at offset: 0x%x\n" % i,
494.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
495.                 g_power += RATING_CODE
496.  
497.         for i in xrange(g_f_size):
498.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
499.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x34 and
500.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xAA ):
501.                 print "LODSB/STOSB XOR decryption signature found at offset: 0x%x\n" % i,
502.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
503.                 g_power += RATING_CODE
504.  
505.         for i in xrange(g_f_size):
506.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
507.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x04 and
508.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xAA ):
509.                 print "LODSB/STOSB ADD decryption signature found at offset: 0x%x\n" % i,
510.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
511.                 g_power += RATING_CODE
512.  
513.         for i in xrange(g_f_size):
514.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
515.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x2C and
516.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xAA ):
517.                 print "LODSB/STOSB SUB decryption signature found at offset: 0x%x\n" % i,
518.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
519.                 g_power += RATING_CODE
520.  
521.         for i in xrange(g_f_size):
522.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
523.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xD0 and
524.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xC0 and
525.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xAA ):
526.                 print "LODSB/STOSB ROL decryption signature found at offset: 0x%x\n" % i,
527.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
528.                 g_power += RATING_CODE
529.  
530.         for i in xrange(g_f_size):
531.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
532.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xD0 and
533.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xC8 and
534.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0xAA ):
535.                 print "LODSB/STOSB ROR decryption signature found at offset: 0x%x\n" % i,
536.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
537.                 g_power += RATING_CODE
538.  
539.         for i in xrange(g_f_size):
540.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
541.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xC0 and
542.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xC0 and
543.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0xAA ):
544.                 print "LODSB/STOSB ROL decryption signature found at offset: 0x%x\n" % i,
545.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
546.                 g_power += RATING_CODE
547.  
548.         for i in xrange(g_f_size):
549.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAC and
550.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xC0 and
551.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0xC8 and
552.                  unpack( 'B', g_f_cnt[i+4] )[0] == 0xAA ):
553.                 print "LODSB/STOSB ROR decryption signature found at offset: 0x%x\n" % i,
554.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
555.                 g_power += RATING_CODE
556.  
557.         for i in xrange(g_f_size):
558.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x66 and
559.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xAD and
560.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0x66 and
561.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x35 and
562.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0x66 and
563.                  unpack( 'B', g_f_cnt[i+7] )[0] == 0xAB ):
564.                 print "LODSW/STOSW XOR decryption signature found at offset: 0x%x\n" % i,
565.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
566.                 g_power += RATING_CODE
567.  
568.         for i in xrange(g_f_size):
569.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x66 and
570.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xAD and
571.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0x66 and
572.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x05 and
573.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0x66 and
574.                  unpack( 'B', g_f_cnt[i+7] )[0] == 0xAB ):
575.                 print "LODSW/STOSW ADD decryption signature found at offset: 0x%x\n" % i,
576.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
577.                 g_power += RATING_CODE
578.  
579.         for i in xrange(g_f_size):
580.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0x66 and
581.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0xAD and
582.                  unpack( 'B', g_f_cnt[i+2] )[0] == 0x66 and
583.                  unpack( 'B', g_f_cnt[i+3] )[0] == 0x2D and
584.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0x66 and
585.                  unpack( 'B', g_f_cnt[i+7] )[0] == 0xAB ):
586.                 print "LODSW/STOSW SUB decryption signature found at offset: 0x%x\n" % i,
587.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
588.                 g_power += RATING_CODE
589.  
590.         for i in xrange(g_f_size):
591.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAD and
592.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x35 and
593.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0xAB ):
594.                 print "LODSD/STOSD XOR decryption signature found at offset: 0x%x\n" % i,
595.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
596.                 g_power += RATING_CODE
597.  
598.         for i in xrange(g_f_size):
599.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAD and
600.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x05 and
601.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0xAB ):
602.                 print "LODSD/STOSD ADD decryption signature found at offset: 0x%x\n" % i,
603.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
604.                 g_power += RATING_CODE
605.  
606.         for i in xrange(g_f_size):
607.             if ( unpack( 'B', g_f_cnt[i]   )[0] == 0xAD and
608.                  unpack( 'B', g_f_cnt[i+1] )[0] == 0x2D and
609.                  unpack( 'B', g_f_cnt[i+6] )[0] == 0xAB ):
610.                 print "LODSD/STOSD SUB decryption signature found at offset: 0x%x\n" % i,
611.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
612.                 g_power += RATING_CODE
613.  
614.         for i in xrange(g_f_size):
615.             if libc.memcmp( byref(g_FldzSig), g_f_cnt[i:], 6 ) == 0:
616.                 print "FLDZ/FSTENV [esp-12] signature found at offset: 0x%x\n" % i,
617.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
618.                 g_power += RATING_CODE
619.  
620.         for i in xrange(g_f_size):
621.             if ( libc.memcmp( byref(g_CallPopSig1), g_f_cnt[i:], 6 ) == 0 or
622.                  libc.memcmp( byref(g_CallPopSig2), g_f_cnt[i:], 6 ) == 0 or
623.                  libc.memcmp( byref(g_CallPopSig3), g_f_cnt[i:], 6 ) == 0 or
624.                  libc.memcmp( byref(g_CallPopSig4), g_f_cnt[i:], 6 ) == 0 or
625.                  libc.memcmp( byref(g_CallPopSig5), g_f_cnt[i:], 6 ) == 0 or
626.                  libc.memcmp( byref(g_CallPopSig6), g_f_cnt[i:], 6 ) == 0 or
627.                  libc.memcmp( byref(g_CallPopSig7), g_f_cnt[i:], 6 ) == 0 ):
628.                 print "CALL next/POP signature found at offset: 0x%x\n" % i,
629.                 if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
630.                 g_power += RATING_CODE
631.  
632.         for i in xrange(g_f_size):
633.             if ( unpack( 'B', g_f_cnt[i] )[0] == 0xEB and
634.                  unpack( 'B', g_f_cnt[i+unpack('B',g_f_cnt[i+1])[0]+2] )[0] == 0xE8 ):
635.                 jmp_off  = i + unpack('B',g_f_cnt[i+1])[0] + 2
636. #                call_va  = unpack( '<L', g_f_cnt[jmp_off+1:jmp_off+5] )[0]  # python is much simple
637.                 call_va  = unpack( 'B', g_f_cnt[jmp_off + 1] )[0]
638.                 call_va += unpack( 'B', g_f_cnt[jmp_off + 2] )[0] << 8
639.                 call_va += unpack( 'B', g_f_cnt[jmp_off + 3] )[0] << 16
640.                 call_va += unpack( 'B', g_f_cnt[jmp_off + 4] )[0] << 24
641.                 if ( jmp_off + call_va + 5 < g_f_size and
642.                      ( unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x58 or
643.                        unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x59 or
644.                        unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x5A or
645.                        unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x5B or
646.                        unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x5E or
647.                        unpack( 'B', g_f_cnt[jmp_off+call_va+5] )[0] == 0x5F ) ):
648.                     print "JMP [0xEB]/CALL/POP signature found at offset: 0x%x\n" % i,
649.                     if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
650.                     g_power += RATING_CODE
651.  
652.         for i in xrange(g_f_size):
653.             if ( unpack( 'B', g_f_cnt[i] )[0] == 0xE9 ):
654. #                jmp_off = unpack( '<L', g_f_cnt[i+1:i+5] )[0]
655.                 jmp_off  = unpack( 'B', g_f_cnt[i + 1] )[0]
656.                 jmp_off += unpack( 'B', g_f_cnt[i + 2] )[0] << 8
657.                 jmp_off += unpack( 'B', g_f_cnt[i + 3] )[0] << 16
658.                 jmp_off += unpack( 'B', g_f_cnt[i + 4] )[0] << 24
659.  
660.                 if ( unpack( 'B', g_f_cnt[i+jmp_off+5] )[0] == 0xE8 ):
661. #                    call_va  = unpack( '<L', g_f_cnt[i+jmp_off+6:jmp_off+10] )[0]  # python is much simple
662.                     call_va  = unpack( 'B', g_f_cnt[i + jmp_off + 6] )[0]
663.                     call_va += unpack( 'B', g_f_cnt[i + jmp_off + 7] )[0] << 8
664.                     call_va += unpack( 'B', g_f_cnt[i + jmp_off + 8] )[0] << 16
665.                     call_va += unpack( 'B', g_f_cnt[i + jmp_off + 9] )[0] << 24
666.                     if not call_va:
667.                         if ( i + jmp_off + 10 < g_f_size and
668.                              ( unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x58 or
669.                                unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x59 or
670.                                unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x5A or
671.                                unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x5B or
672.                                unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x5E or
673.                                unpack( 'B', g_f_cnt[i+jmp_off+10] )[0] == 0x5F ) ):
674.                             print "JMP [0xE9]/CALL/POP signature found at offset: 0x%x\n" % i,
675.                             if debug_flg == 1: print_opcodz( g_f_cnt[i:] )
676.                             g_power += RATING_CODE
677.  
678.         for i in xrange(g_f_size):
679.             if ( libc.memcmp( c_char_p("MZ"), g_f_cnt[i:], 2 ) == 0 ):
680.                 pe_off  = unpack( 'B', g_f_cnt[i+0x3C] )[0]
681.                 pe_off += unpack( 'B', g_f_cnt[i+0x3D] )[0] << 8
682.                 pe_off += unpack( 'B', g_f_cnt[i+0x3E] )[0] << 16
683.                 pe_off += unpack( 'B', g_f_cnt[i+0x3F] )[0] << 24
684.                 if ( libc.memcmp( c_char_p("PE"), g_f_cnt[i+pe_off:], 2 ) == 0):
685.                     print "unencrypted MZ/PE signature found at offset: 0x%x\n" % i,
686.                     if debug_flg == 1: dump_data( "PE-File", g_f_cnt[i:], 0x100 )
687.                     g_power += RATING_EXEC
688.  
689.         if brute_flg == 1:
690.             print "\nBrute-forcing for encrypted PE- and embedded OLE-files now...\n",
691.             # TODO
692.  
693.         print "\n\nAnalysis finished!\n\n",
694.  
695.         if g_power:
696.             k32.SetConsoleTextAttribute( h, 0x0E ) # FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
697.             libc.printf( "---------------------------------------------" )
698.             i = 0
699.             while i < len(g_f_name):
700.                 libc.printf("-")
701.                 i += 1
702.             libc.printf( "\n%s seems to be malicious! Malicious Index = %02d\n", g_f_name, g_power )
703.             libc.printf( "---------------------------------------------" )
704.             i = 0
705.             while i < len(g_f_name):
706.                 libc.printf("-")
707.                 i += 1
708.             k32.SetConsoleTextAttribute( h, 0x0F ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
709.         else:
710.             k32.SetConsoleTextAttribute( h, 0x07 ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED
711.             print "---------------------------------------------------------------------\n",
712.             print "             No malicious traces found in this file!\n",
713.             print "Assure that this file is being scanned with the \"info\" parameter too.\n",
714.             print "---------------------------------------------------------------------\n",
715.             k32.SetConsoleTextAttribute( h, 0x0F ) # FOREGROUND_BLUE or FOREGROUND_GREEN or FOREGROUND_RED or FOREGROUND_INTENSITY
716.  
717. #-------------------------------------------------------------------------------
718. if __name__ == '__main__':
719.     main()
720. #-------------------------------------------------------------------------------
721. # EOF