ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析
http://blog.trendmicro.co.jp/archives/12713

『図4：復号後の JavaScript例』は、『正規ソフトである「Avira」というウイルス対策ソフトのインストーラ』の方っぽいぽい。
手元にある添付ファイルのうち、夜這い方の一つだと、

https://www.virustotal.com/ja/file/63d33d0a37ac792ac0b8d8d80bb6744414661db2754d3da4260632fe2fe377b8/analysis/

なファイルを落としに行く。
なお、落とすタイミングによって中身が変わり、

https://www.virustotal.com/ja/file/5a45a0e0e055dc5d3cae77b78e64620c1dd563d1ff817e4ea0a281977597bd7e/analysis/1450159773/

になっていたりするする。