Malicious
Malicious
Infection Chain
Summary by MalvaGPT
Characteristics
Hash
 Hash Value
MD5
9f2440e8a4a561d80fabd0550927fd94
Sha1
9bcb5ca6600ef4373923b7706138b69695678f2e
Sha256
19e59830b3b6742b26575bc2b1ec3276a5d7d75a7f3c92bf0cf5762f07e9f660
Sha384
64d22d11f64201471c2b717204dcfdb2d53c786ef26b8dcf4bd748048ca4a21a1e4b6e40f666d0c4e0aa23d0fb1afe74
Sha512
1b6a6b287d016b736567ee92f778b7bf0296d8d271efb6fcd375c65ba799ce7ffe78c64938757734627152b5e17553947a4976d725bb4a0ab3aed30ccdf1b04b
SSDeep
98304:unsmtk2aQws2ANnKXOaeOgmhIguwdIaiqPNZVGEmmrQh1Sz1:wLrKXbeO7ugXviq3sEmmrl
TLSH
ED56CF13B1860536C2854A31CD63DAB24B3A7E6D2BF74977BAD87DC8BF392403D25612

PeID

BobSoft Mini Delphi -> BoB / BobSoft
Borland Delphi 4.0
Borland Delphi v3.0
Borland Delphi v6.0 - v7.0
Borland Delphi v6.0 - v7.0
D1S1G v1.1 beta --> D1N
D1S1G v1.1 beta --> D1N
Microsoft Visual C++ 6.0 DLL (Debug)
Microsoft Visual C++ 7.0 - 8.0
Microsoft Visual C++ v6.0 DLL
Pe123 v2006.4.4-4.12
File Structure
9f2440e8a4a561d80fabd0550927fd94
Malicious
[Repaired @0x005CB208]
Malicious
[Content_Types].xml
_rels
.rels
xl
_rels
workbook.xml.rels
workbook.xml
vbaProject.bin
Root Entry
PROJECT
PROJECTwm
VBA
dir
__SRP_0
__SRP_1
__SRP_2
__SRP_3
ThisWorkbook
[Stored VBA]
Malicious
[PCode]
[Decompiled VBA]
Malicious
_VBA_PROJECT
theme
theme1.xml
styles.xml
worksheets
sheet1.xml
docProps
core.xml
app.xml
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
CODE
DATA
BSS
.idata
.tls
.rdata
.reloc
.rsrc
Resources
RT_CURSOR
ID:0001
ID:0
ID:0002
ID:0
ID:0003
ID:0
ID:0004
ID:0
ID:0005
ID:0
ID:0006
ID:0
ID:0007
ID:0
RT_BITMAP
ID:0000
ID:0
RT_ICON
ID:0001
ID:0
ID:1055
RT_DIALOG
ID:0000
ID:0
RT_STRING
ID:0FE9
ID:0
ID:0FEA
ID:0
ID:0FEB
ID:0
ID:0FEC
ID:0
ID:0FED
ID:0
ID:0FEE
ID:0
ID:0FEF
ID:0
ID:0FF0
ID:0
ID:0FF1
ID:0
ID:0FF2
ID:0
ID:0FF3
ID:0
ID:0FF4
ID:0
ID:0FF5
ID:0
ID:0FF6
ID:0
ID:0FF7
ID:0
ID:0FF8
ID:0
ID:0FF9
ID:0
ID:0FFA
ID:0
ID:0FFB
ID:0
ID:0FFC
ID:0
ID:0FFD
ID:0
ID:0FFE
ID:0
ID:0FFF
ID:0
ID:1000
ID:0
RT_RCDATA
ID:0000
ID:0
Overlay_dabfd5b5.bin
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.text
.rdata
.data
.rsrc
Resources
TEXTINCLUDE
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:2052
RT_CURSOR
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:2052
ID:0004
ID:2052
RT_BITMAP
ID:0407
ID:2052
ID:040E
ID:2052
ID:0472
ID:2052
ID:0473
ID:2052
ID:0474
ID:2052
ID:0475
ID:2052
ID:0476
ID:2052
ID:0477
ID:2052
ID:0478
ID:2052
ID:0479
ID:2052
ID:67C7
ID:2052
ID:7912
ID:2052
ID:7913
ID:2052
ID:7914
ID:2052
RT_ICON
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:0
ID:0004
ID:0
ID:0005
ID:0
ID:0006
ID:0
ID:0008
ID:0
ID:0009
ID:0
ID:000A
ID:0
ID:000B
ID:0
ID:000C
ID:0
ID:000D
ID:0
ID:000E
ID:0
ID:000F
ID:0
ID:0010
ID:0
ID:0011
ID:0
ID:0012
ID:0
ID:0013
ID:0
ID:0014
ID:0
ID:0015
ID:0
ID:0016
ID:0
ID:0017
ID:0
ID:0018
ID:0
ID:0019
ID:0
ID:001A
ID:0
ID:001B
ID:0
ID:001C
ID:0
ID:001D
ID:0
ID:001E
ID:0
RT_MENU
ID:007F
ID:2052
ID:040F
ID:2052
RT_DIALOG
ID:0096
ID:2052
ID:011E
ID:2052
ID:022A
ID:2052
ID:040D
ID:2052
ID:043C
ID:2052
ID:0464
ID:2052
ID:046E
ID:2052
ID:047E
ID:2052
ID:7801
ID:2052
ID:7802
ID:2052
RT_STRING
ID:0F01
ID:2052
ID:0F02
ID:2052
ID:0F03
ID:2052
ID:0F11
ID:2052
ID:0F12
ID:2052
ID:0F13
ID:2052
ID:0F19
ID:2052
ID:0F1A
ID:2052
ID:0F1B
ID:2052
ID:0F1C
ID:2052
ID:0F1D
ID:2052
RT_GROUP_CURSOR2
ID:7901
ID:2052
RT_GROUP_CURSOR4
ID:0000
ID:0
ID:047F
ID:2052
ID:0480
ID:2052
RT_VERSION
ID:0001
ID:2052
RT_MANIFEST
ID:0001
ID:0
ID:1055
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
CODE
DATA
BSS
.idata
.edata
.reloc
.rsrc
Resources
RT_RCDATA
ID:0000
ID:0
RT_GROUP_CURSOR2
ID:7FF9
ID:0
ID:7FFA
ID:0
ID:7FFB
ID:0
ID:7FFC
ID:0
ID:7FFD
ID:0
ID:7FFE
ID:0
ID:7FFF
ID:0
RT_GROUP_CURSOR4
ID:0000
ID:1055
RT_MANIFEST
ID:0001
ID:2052
Informations
Name
 Value
Info

PE Detect: PeReader OK (file layout)
Artefacts
Name
 Value
URLs in VB Code - #1

https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
URLs in VB Code - #2

https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
URLs in VB Code - #1

https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
URLs in VB Code - #2

https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
9f2440e8a4a561d80fabd0550927fd94 (6.09 MB)
File Structure
9f2440e8a4a561d80fabd0550927fd94
Malicious
[Repaired @0x005CB208]
Malicious
[Content_Types].xml
_rels
.rels
xl
_rels
workbook.xml.rels
workbook.xml
vbaProject.bin
Root Entry
PROJECT
PROJECTwm
VBA
dir
__SRP_0
__SRP_1
__SRP_2
__SRP_3
ThisWorkbook
[Stored VBA]
Malicious
[PCode]
[Decompiled VBA]
Malicious
_VBA_PROJECT
theme
theme1.xml
styles.xml
worksheets
sheet1.xml
docProps
core.xml
app.xml
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
CODE
DATA
BSS
.idata
.tls
.rdata
.reloc
.rsrc
Resources
RT_CURSOR
ID:0001
ID:0
ID:0002
ID:0
ID:0003
ID:0
ID:0004
ID:0
ID:0005
ID:0
ID:0006
ID:0
ID:0007
ID:0
RT_BITMAP
ID:0000
ID:0
RT_ICON
ID:0001
ID:0
ID:1055
RT_DIALOG
ID:0000
ID:0
RT_STRING
ID:0FE9
ID:0
ID:0FEA
ID:0
ID:0FEB
ID:0
ID:0FEC
ID:0
ID:0FED
ID:0
ID:0FEE
ID:0
ID:0FEF
ID:0
ID:0FF0
ID:0
ID:0FF1
ID:0
ID:0FF2
ID:0
ID:0FF3
ID:0
ID:0FF4
ID:0
ID:0FF5
ID:0
ID:0FF6
ID:0
ID:0FF7
ID:0
ID:0FF8
ID:0
ID:0FF9
ID:0
ID:0FFA
ID:0
ID:0FFB
ID:0
ID:0FFC
ID:0
ID:0FFD
ID:0
ID:0FFE
ID:0
ID:0FFF
ID:0
ID:1000
ID:0
RT_RCDATA
ID:0000
ID:0
Overlay_dabfd5b5.bin
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.text
.rdata
.data
.rsrc
Resources
TEXTINCLUDE
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:2052
RT_CURSOR
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:2052
ID:0004
ID:2052
RT_BITMAP
ID:0407
ID:2052
ID:040E
ID:2052
ID:0472
ID:2052
ID:0473
ID:2052
ID:0474
ID:2052
ID:0475
ID:2052
ID:0476
ID:2052
ID:0477
ID:2052
ID:0478
ID:2052
ID:0479
ID:2052
ID:67C7
ID:2052
ID:7912
ID:2052
ID:7913
ID:2052
ID:7914
ID:2052
RT_ICON
ID:0001
ID:2052
ID:0002
ID:2052
ID:0003
ID:0
ID:0004
ID:0
ID:0005
ID:0
ID:0006
ID:0
ID:0008
ID:0
ID:0009
ID:0
ID:000A
ID:0
ID:000B
ID:0
ID:000C
ID:0
ID:000D
ID:0
ID:000E
ID:0
ID:000F
ID:0
ID:0010
ID:0
ID:0011
ID:0
ID:0012
ID:0
ID:0013
ID:0
ID:0014
ID:0
ID:0015
ID:0
ID:0016
ID:0
ID:0017
ID:0
ID:0018
ID:0
ID:0019
ID:0
ID:001A
ID:0
ID:001B
ID:0
ID:001C
ID:0
ID:001D
ID:0
ID:001E
ID:0
RT_MENU
ID:007F
ID:2052
ID:040F
ID:2052
RT_DIALOG
ID:0096
ID:2052
ID:011E
ID:2052
ID:022A
ID:2052
ID:040D
ID:2052
ID:043C
ID:2052
ID:0464
ID:2052
ID:046E
ID:2052
ID:047E
ID:2052
ID:7801
ID:2052
ID:7802
ID:2052
RT_STRING
ID:0F01
ID:2052
ID:0F02
ID:2052
ID:0F03
ID:2052
ID:0F11
ID:2052
ID:0F12
ID:2052
ID:0F13
ID:2052
ID:0F19
ID:2052
ID:0F1A
ID:2052
ID:0F1B
ID:2052
ID:0F1C
ID:2052
ID:0F1D
ID:2052
RT_GROUP_CURSOR2
ID:7901
ID:2052
RT_GROUP_CURSOR4
ID:0000
ID:0
ID:047F
ID:2052
ID:0480
ID:2052
RT_VERSION
ID:0001
ID:2052
RT_MANIFEST
ID:0001
ID:0
ID:1055
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
CODE
DATA
BSS
.idata
.edata
.reloc
.rsrc
Resources
RT_RCDATA
ID:0000
ID:0
RT_GROUP_CURSOR2
ID:7FF9
ID:0
ID:7FFA
ID:0
ID:7FFB
ID:0
ID:7FFC
ID:0
ID:7FFD
ID:0
ID:7FFE
ID:0
ID:7FFF
ID:0
RT_GROUP_CURSOR4
ID:0000
ID:1055
RT_MANIFEST
ID:0001
ID:2052
Characteristics

vbaDNA - VBA Stomping & Purging Stategy detection

Module Name
ThisWorkbook
Blacklist VBA
VBA Macro
No malware configuration were found at this point.
Artefacts
Name
 Value Location
URLs in VB Code - #1

https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download

9f2440e8a4a561d80fabd0550927fd94 > [Repaired @0x005CB208] > xl > vbaProject.bin > Root Entry > VBA > ThisWorkbook > [Stored VBA]
URLs in VB Code - #2

https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

9f2440e8a4a561d80fabd0550927fd94 > [Repaired @0x005CB208] > xl > vbaProject.bin > Root Entry > VBA > ThisWorkbook > [Stored VBA]
URLs in VB Code - #1

https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download

9f2440e8a4a561d80fabd0550927fd94 > [Repaired @0x005CB208] > xl > vbaProject.bin > Root Entry > VBA > ThisWorkbook > [Decompiled VBA]
URLs in VB Code - #2

https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1

9f2440e8a4a561d80fabd0550927fd94 > [Repaired @0x005CB208] > xl > vbaProject.bin > Root Entry > VBA > ThisWorkbook > [Decompiled VBA]
You must be signed in to post a comment.
An error has occurred. This application may no longer respond until reloaded. Reload 🗙