Analysis
-
max time kernel
153s -
max time network
117s -
platform
windows7_x64 -
resource
win7 -
submitted
13/07/2020, 11:48
Static task
static1
Behavioral task
behavioral1
Sample
gl2.exe
Resource
win7
windows7_x64
0 signatures
0 seconds
Behavioral task
behavioral2
Sample
gl2.exe
Resource
win10v200430
windows10_x64
0 signatures
0 seconds
General
-
Target
gl2.exe
-
Size
112KB
-
MD5
ee47c0c2197e0e632af3e656c42b9641
-
SHA1
6ba06ba4b0ffe65ef960082283c7a0096d4c750e
-
SHA256
893033ccdb5795d90f5cad3d4e2121307a9f18b05f74c39970395a2f1a6a40ec
-
SHA512
2cab6db853d82728d2df127b58651349cb971c98c388aa17c0611b7a287a6096ea1230858ac1c0ad98030d8067fd456f5667040d3e35400e806c3272e01d8ae3
Score
5/10
Malware Config
Signatures
-
Suspicious use of NtSetInformationThreadHideFromDebugger 1 IoCs
pid Process 900 gl2.exe -
Suspicious use of AdjustPrivilegeToken 2 IoCs
description pid Process Token: SeDebugPrivilege 1440 taskmgr.exe Token: SeDebugPrivilege 1796 powershell.exe -
Suspicious use of FindShellTrayWindow 117 IoCs
pid Process 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe -
Suspicious use of SendNotifyMessage 117 IoCs
pid Process 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe -
Suspicious behavior: EnumeratesProcesses 105 IoCs
pid Process 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1796 powershell.exe 1796 powershell.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe 1440 taskmgr.exe -
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
pid Process 1440 taskmgr.exe -
Suspicious use of WriteProcessMemory 3 IoCs
description pid Process procid_target PID 1836 wrote to memory of 1796 1836 cmd.exe 29 PID 1836 wrote to memory of 1796 1836 cmd.exe 29 PID 1836 wrote to memory of 1796 1836 cmd.exe 29 -
Suspicious use of SetWindowsHookEx 1 IoCs
pid Process 900 gl2.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\gl2.exe"C:\Users\Admin\AppData\Local\Temp\gl2.exe"1⤵
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious use of SetWindowsHookEx
PID:900
-
C:\Windows\system32\taskmgr.exe"C:\Windows\system32\taskmgr.exe" /41⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
PID:1440
-
C:\Windows\system32\cmd.exe"cmd.exe" /s /k pushd "C:\Users\Admin\Desktop"1⤵
- Suspicious use of WriteProcessMemory
PID:1836 -
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exepowershell2⤵
- Suspicious use of AdjustPrivilegeToken
- Suspicious behavior: EnumeratesProcesses
PID:1796
-