#Macro enabled text document# （2020-8-22）

川建国代理人

https://app.any.run/tasks/2689c8b7-1a32-4646-84fc-f64f61bd6962/ 搬运
https://any.run/report/bd88c8b5c31176a08da52cafc73d008879cbcc2386fd8b71b6cb6cd5c5ca0862/2689c8b7-1a32-4646-84fc-f64f61bd6962 文本资源策划
蓝奏云：https://www.lanzoux.com/iNJ24fxfmje
IOC:

1. Main object- "C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\K8F0UFLO\form.doc"
   
2.         sha256        bd88c8b5c31176a08da52cafc73d008879cbcc2386fd8b71b6cb6cd5c5ca0862       
   
3.         sha1        42039978e1c3984da7e19d34966f63640accc3f6       
   
4.         md5        cb956a74d5f4672a1232afe5dabf7397       
   
5. DNS requests
   
6.         domain        saimission.org       
   
7.         domain        tonmeister-berlin.de       
   
8.         domain        powerfrog.net       
   
9.         domain        sasystemsuk.com       
   
10.         domain        toprakmedia.com       
    
11.         domain        www.essand.com       
    
12.         domain        gzamora.es       
    
13. Connections
    
14.         ip        67.23.226.119       
    
15.         ip        185.12.108.170       
    
16.         ip        81.169.145.86       
    
17.         ip        87.106.197.82       
    
18.         ip        74.208.242.159       
    
19.         ip        37.122.210.206       
    
20.         ip        173.209.38.35       
    
21. HTTP/HTTPS requests
    
22.         url        http://tonmeister-berlin.de/Dokumente/Zqmb3/       
    
23.         url        http://saimission.org/sai/fU/       
    
24.         url        http://powerfrog.net/Anna/ifqE/       
    
25.         url        http://www.essand.com/test/SOx5LA/       
    
26.         url        http://gzamora.es/9s52_ou17husakvth9fs_resource/sFe3aa/       
    
27.         url        http://sasystemsuk.com/recruit/H/       
    

复制代码

TEXT  ERPORT:

1. General Info
   
2. File name
   
3. C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\K8F0UFLO\form.doc
   
4. Full analysis https://app.any.run/tasks/2689c8b7-1a32-4646-84fc-f64f61bd6962
   
5. Verdict Malicious activity
   
6. Threats:
   
7. Emotet
   
8. Emotet is one of the most dangerous trojans to have been created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns.
   
9. 
   
10. Malware Trends Tracker
    
11. 
    
12. More details
    
13. Analysis date 8/22/2020, 11:05:29
    
14. OS: Windows 7 Professional Service Pack 1 (build: 7601, 64 bit)
    
15. Tags: macros macros-on-open generated-doc emotet-doc emotet
    
16. Indicators: No indicators
    
17. 
    
18. MIME: application/msword
    
19. File info: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.2, Code page: 1252, Title: Modi., Author: Camille Morin, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Sat Aug 22 00:32:00 2020, Last Saved Time/Date: Sat Aug 22 00:32:00 2020, Number of Pages: 1, Number of Words: 3, Number of Characters: 18, Security: 0
    
20. MD5
    
21. CB956A74D5F4672A1232AFE5DABF7397
    
22. SHA1
    
23. 42039978E1C3984DA7E19D34966F63640ACCC3F6
    
24. SHA256
    
25. BD88C8B5C31176A08DA52CAFC73D008879CBCC2386FD8B71B6CB6CD5C5CA0862
    
26. SSDEEP
    
27. 3072:7J6YW1MGPQIBHGWB6ESLBTH8YUYDRBFTDFGKT+MLSWABPH:7HGTEWPSL/ATYT9GKT+MLSWABX

复制代码

a233

Avast
Script:SNH-gen [Trj]

xiuzhiguo

eset 报木马下载器

OVS

kis  mr2  kill

1. C:\Users\123\Desktop\form.doc\form.doc\JIM;检测到;检测到恶意对象;HEUR:Trojan.MSOffice.SAgent.gen;机器学习;文件;C:\Users\123\Desktop\form.doc\form.doc/;JIM;检测到;木马程序;高;启发式分析;DESKTOP-2051LJ2\123;活动用户;;;智能查杀;;;;1CB35B2729639A72818C8B3F5C40133F;今天，2020/8/22 18:01;事件 :        检测到恶意对象
   
2. 用户 :        DESKTOP-2051LJ2\123
   
3. 用户类型 :        活动用户
   
4. 组件 :        智能查杀
   
5. 结果 :        检测到
   
6. 结果说明 :        检测到
   
7. 类型 :        木马程序
   
8. 名称 :        HEUR:Trojan.MSOffice.SAgent.gen
   
9. 精确度 :        启发式分析
   
10. 威胁级别 :        高
    
11. 对象类型 :        文件
    
12. 对象名称 :        JIM
    
13. 对象路径 :        C:\Users\123\Desktop\form.doc\form.doc/
    
14. MD5 :        1CB35B2729639A72818C8B3F5C40133F
    
15. 原因 :        机器学习

复制代码

浪里个浪9527

360TS

intherain

非正规ID

McAfee 扫描miss 运行kill

救命稻草

Nocria

心醉咖啡

毒霸

1. 扫描时间：[2020-08-23 08:08:17]
   
2. 扫描用时：[00:00:06]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：1
   
5. 扫描速度：1文件/秒
   
6. 发现威胁：1个
   
7. 清除威胁：1个
   
8. =============================================
   
9. [2020-08-23 08:08:27]
   
10. 威胁：e:\浏览器下载\form.doc\form.doc
    
11. 类型：win32.scriptc.undef.a.(kcloud)
    
12. 处理方式：修复
    
13. 
    

复制代码