Office (OLE) malware analysis — malicious · b65007df00c2cb9b

MALICIOUS

Office (OLE)

144.5 KB Created: 2012-09-19 07:40:36 Authoring application: Microsoft Excel First seen: 2019-01-12

MD5: 55dd3bc0f2b9e97e6af22c70ec8df74c SHA-1: 6ed4bda66a3f240173e352928aea27c6aa3c3d05 SHA-256: b65007df00c2cb9b026123186a4115200875c833c9dd71de77661b5efa1c0bf3

60 Risk Score

Malware Insights

MITRE ATT&CK

T1059.005 Visual Basic T1203 Exploitation for Client Execution

The file is an Excel document containing VBA macros. The 'OLE_VBA_PCODE_AUTOEXEC_EXEC' heuristic indicates that the Workbook_open auto-exec event is configured to run a shell command. This strongly suggests the macro is designed to download and execute a secondary payload, a common technique for malware delivery.

Heuristics 2

VBA macros detected medium 1 related finding OLE_VBA_MACROS

Document contains VBA macro code
VBA p-code auto-exec with execution tokens high OLE_VBA_PCODE_AUTOEXEC_EXEC

Compiled VBA/cache stream contains an auto-execution token together with shell/download/object-execution tokens. This catches p-code-only or source-extraction-failure macro documents where visible source is unavailable.

Extracted artifacts 1

Files carved from inside the sample during analysis.

Filename Kind Source Size

macros.bas vba-macro oletools.olevba.extract_macros (decoded VBA source) 10742 bytes

Filename	Kind	Source	Size
`macros.bas`	vba-macro	oletools.olevba.extract_macros (decoded VBA source)	10742 bytes
SHA-256: `ae438dbd52015cbc9d29ad70ac470831df0e0774422fd6aacda9e2a5e9eb0ba7`
Preview script First 1,000 lines of the extracted script 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed Attribute VB_Name = "Sheet1" Attribute VB_Base = "0{00020820-0000-0000-C000-000000000046}" Attribute VB_GlobalNameSpace = False Attribute VB_Creatable = False Attribute VB_PredeclaredId = True Attribute VB_Exposed = True Attribute VB_TemplateDerived = False Attribute VB_Customizable = True 'acro Fixed By 360.QEX 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fixed 'fi ... (truncated)

SHA-256: ae438dbd52015cbc9d29ad70ac470831df0e0774422fd6aacda9e2a5e9eb0ba7

Preview script

First 1,000 lines of the extracted script

'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
        
Attribute VB_Name = "Sheet1"
Attribute VB_Base = "0{00020820-0000-0000-C000-000000000046}"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = False
Attribute VB_Customizable = True

'acro Fixed By 360.QEX
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fixed
'fi
... (truncated)

Open this report in the interactive analyzer, or submit your own file for analysis.