记一次Office宏样本分析

测试环境及工具

运行平台：Windows 7 x64 进程监控工具：ProcessHacker 调试分析工具：powershell_ise、Visual Studio2019

样本基本信息

文件名称: a474c4ea67fd30e80ca375370d19dd0712997889814c2960d8a41c2856092ce5.doc
样本类型: Microsoft Word 2007+
样本大小: 28.44KB (29123 bytes)
MD5: 9eafc9090d71b382af7c8c04e83d61d2
SHA1: 32a192bab959b725cc02cf3df9b063e160b9ac43
SHA256: a474c4ea67fd30e80ca375370d19dd0712997889814c2960d8a41c2856092ce5

在virustotal上查询该样本，被标记为Downloader，而且还有一些厂商还未捕获该样本。

沙箱检测：

沙箱检测出病毒创建了3个进程，其中有一个是powershell.exe、释放了4个文件。

下面分析一下这个样本。