# Tổng quan về mã độc name: wedmeymarsp.exe type: PE32 md5: 875b5af7b5c56f1913978cc8f535a114 sha256: 3f65f8e74e4ced282a3f46df38dc2550abedf3ffebf6d523386902680905a865 size: 699.50 KiB DIE: - Compiler: Borland Delphi(7)[-] - Linker: Turbo Linker(2.25*,Delphi)[GUI32] - Overlay: Binary # phân tích ## entry point  Gọi `Unit1_InitExe()` Init các thành phần cho chương trình. Bên trong hàm này có các hàm con, vòng lặp gọi tất cả các hàm Initialization. Tại hàm Initialization cuối là `Unit1_Initialization`, gọi đến hàm con là `sub_46014C()`. Khi chạy hàm này xảy ra exception divide by zero, gọi đến exception handler.  Handler gọi đến hàm `sub_460070()`.  Hàm này alloc bộ nhớ, ghi shellcode lên đó rồi bắt đầu thực thi từ offset 0xCE3. ## shellcode analysis