jueves, 19 de mayo de 2016

Quitando La Contraseña De La Macros En Word

Nota: este truco de quitar la contraseña a los archivos macro de word que muestra mi amigo [Thunder]  es similar al truco que yo ya me sabia de quitar la contraseña a los archivos de Excel en las versiones anteriores del office, no se si sirva para las nuevas versiones ya que hace mucho que no lo asía, la confusión esta que yo no sabia que servia para las macros.

aclarado esto vamos a la taque, tomaremos de referencia el virus de macro que analizamos anteriormente estos son los link:

http://elblogdeflamer.blogspot.mx/2016/04/analizando-una-muestra-de-un-virus-de.html

http://elblogdeflamer.blogspot.mx/2016/03/analizando-una-muestra-de-un-virus-de.html

pero tomaremos de referencia la primera parte del análisis ya que tenemos el archivo xml reparado sin errores y la macro nos pide la contraseña como en la imagen siguiente


pasaremos a convertir el archivo xml a otra extencion para eso damos clic en archivo y guardar como y elegimos la opción siguiente



elegimos Documento habilitado con macro de word y le pondremos como nombre virusmacros y damos clic en aguardar y si nos aparece un mensaje damos clic en aceptar, por ultimo nos quedara un archivo similar a un archivo comprimido así



así que lo abriremos y extraemos el archivo vbaProject.bin, este se encuentra en la carpeta word



para extraerlo daremos clic derecho y Extraer sin pedir confirmación

Nota: si salta el antivirus es mejor que lo apaguen ya que no podrán seguir

ahora ya que lo tenemos el archivo vbaProject.bin en el escritorio pasaremos a abrirlo con un editor hexadecimal yo usare este: http://mh-nexus.de/en/hxd/

elegimos el archivo a abrir así



ya que lo tenemos abierto daremos clic en buscar así



y buscaremos la cadena DPB asi


luego daremos clic en aceptar y después que la hallamos encontrado remplazaremos la cadena DPB por otra, yo le pondré DPP así



por ultimo daremos clic en aguardar cambios como se muestra a continuación


ya que hallamos aguardado los cambios cerramos el editor y de nuevo abrimos el archivo virusmacros con el winrar y borramos el archivo vbaProject.bin que contiene adentro así



nos aparecerá un mensaje y damos clic en si.

después de esto añadimos el nuevo archivo vbsProject.bin que modificamos anteriormente con el editor hexadecimal dando clic derecho y clic en añadir ficheros al archivo




y elegimos el archivo mencionado



por ultimo damos clic en aceptar y en esta siguiente ventana también en aceptar



después de esto abriremos el archivo virusmacros así




ahora damos clic en la ficha de programador y luego en visual basic




y como ven al dar clic en visual basic no marcara el siguiente error


y daremos clic en si y en aceptar en el siguiente cuadro y si vuelve a a parecer damos clic en aceptar de nuevo


y guala el proyecto esta desbloqueado y ahora podemos ver los módulos que contienen y parte de su código



ahora si no quieren que les muestre error cada ves que cargan el proyecto de visual basic solo modifican las propiedades del proyecto así





y luego en la siguiente ventana dan clic en protección y desmarcan la opción bloquear proyecto para visializacion  


por ultimo dan clic en aceptar y aguardan los cambios y como verán al abrir el proyecto de la macros de nuevo ya no les marcara error

bueno amigos creo que eso es todo, pensaba poner como titulo la tercera parte del análisis del virus de macros pero al ver el poco código que me encontré no me dio mucho interés así que mejor le cambie de tema.

si quieren ver el tutorial de mi amigo [Thunder]  lo pueden encontrar aquí:  https://reversec0de.wordpress.com/2016/04/13/accediendo-a-codigo-vba-protegido/

bueno amigos saludos Flamer


No hay comentarios.:

Publicar un comentario