Tiến hành extract file chm author cho để lấy flag có thể extract bằng các công cụ như 7z, ...
xem qua các file thì đa số là file nhị phân có ảnh cần xem xét và file .html
mở trên web thì không có gì đặc biệt
vào source code để đọc
thì có 2 base64 được mã hóa 1 cái được thực thi ngầm qua powershell để cưỡng chế cài explorer.exe và thực thi mã độc
decode lấy được part 1: UMDCTF{1997_called_
phần base64 sau decode ra thì có thể được địa chỉ để tải trình duyệt và thực thi
khi truy cập web thì có 2 file file sau có thể chính là một phần có flag và mở ra là base64 sau decode là part3 của flag
cho file explorer.exe lên virustotal thì
part 2 rot13 đoạn cuối base64
bingo: UMDCTF{1997_called_they_want_their_malware_back_bozo}