被植入恶意代码的Emotet Downloader细节分析

我已经对Emotet Downloader进行了剖析，它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式，并且已经被上传到了VirusBay。下面我们对其进行分析！MD5哈希值:53ea2608f0e34e3e746801977b778305如下图所示(右侧是新样本,左侧是旧样本),新旧两个文档有一些相似之处,他们均通过呈现一个旧版本的Microsoft Office创建的文档，谎称出现错误,并且为了查看错误受害者需要点击Enable Content（启用内容）。这一操作看起来似乎是合法的，那么让我们看看当点击了Enable Content时会运行什么程序。当打开Macro部分时，出现两个宏，其中包含几个函数/子例程。首先查看的是autoopen()或auto_open()，因为该操作是单击“Enable Content”时被执行的。还有对Sqr()的调用，它计算一 ………………………………