翻出了之前未看的样本，从app.any.run下载的，非PE类样本，简单分析了下。分析后得知属于恶意宏样本，点击允许后会执行auto_open函数，存在大量的混淆代码阻止分析，在调试后发现会拼接bas...