Ez,sau khi unpack ,xem các string sẽ thấy rất rõ là nó sẽ dùng một hàm để mở default browser của bạn và load tới trang web adobe thật nhưng nó sẽ dùng XSS để thay đổi giao diện trang web --> lừa bạn tải về một mã độc khác (mã độc thật sự) / phising bạn
Ví dụ một string :
003D4D74 UNICODE
http://labs.adobe.com/downloads/flashplayer.html' target='_blank'>Adobe Labs finden Sie das aktuelle Installationsprogramm. Die Betaversion, die Sie gerade zu installieren versuchen, ist nicht die neueste Version."
File unpacked tí up lên .
//unpacked :
https://www.sendspace.com/file/w9tmmd (pass: infected)
//Phí 5p của cuộc đời