Analysis
-
max time kernel
147s -
max time network
168s -
platform
windows7_x64 -
resource
win7v20210408 -
submitted
31-08-2021 15:51
Static task
static1
Behavioral task
behavioral1
Sample
обÑ_азцы пÑ_одукции заказать pdf.exe
Resource
win7v20210408
General
-
Target
обÑ_азцы пÑ_одукции заказать pdf.exe
-
Size
559KB
-
MD5
f750108de86e79c14390ac0661a67b87
-
SHA1
d83e517431a18b4fbe0d477ec980e08b3d57bf1c
-
SHA256
de73d97fc56e19954fbec37b94bc65014305cc288b71ae6889bf37ac193c0333
-
SHA512
f0b2a919ae68a1aab25901662d5a240620030093f87c3e7e3262822c5b085b88d9039cb594ff7c94e38072c4803b0b3beff5f15e651cd92824752df27820d761
Malware Config
Extracted
formbook
4.1
n7ak
http://www.kmresults.com/n7ak/
modischoolcbse.com
theneverwinter.com
rszkjx-vps-hosting.website
fnihil.com
1pbet.com
nnowzscorrez.com
uaotgvjl.icu
starmapsqatar.com
ekisilani.com
extradeepsheets.com
jam-nins.com
buranly.com
orixentertainment.com
rawtech.energy
myol.guru
utex.club
jiapie.com
wowig.store
wweidlyyl.com
systaskautomation.com
citromudas3a.com
plasticstone.icu
pawchamamapet.com
beautybybby.com
mor-n-mor.com
getoffyourhighhorses.com
chieucaochoban9.xyz
grahamevansmp.com
amplaassessoria.net
nutricookindia.com
wazymbex.icu
joansironing.com
hallforless.com
mycourseprofits.com
precps.com
cookislandstourismpodcast.com
bestonlinedealslive.com
bug.chat
ptjbtoqonjtrwpvkfgmjvwp.com
tortniespodzianka.store
qxkbjgj.icu
aurashape.com
guinealive.com
mondialeresources.com
offthebreak.site
maxamproductivity.com
thebiztip.com
thelocalrea.com
laeducacionadistancia.com
inpakgroup.com
lvgang360.com
allvegangoods.com
tymudanzaramos.com
simpleframeswork.com
thehappycars.com
directfenetres.net
norskatferdsterapi.com
hostingcnx.com
ksmh5x.com
thespiritworldinvitational.com
jetsetwilly3.com
gameflexdev.com
tryhuge.com
vaporvspaper.com
Signatures
-
Formbook Payload 3 IoCs
Processes:
resource yara_rule behavioral1/memory/544-68-0x0000000000400000-0x000000000042E000-memory.dmp formbook behavioral1/memory/544-69-0x000000000041ECE0-mapping.dmp formbook behavioral1/memory/852-75-0x00000000000D0000-0x00000000000FE000-memory.dmp formbook -
Deletes itself 1 IoCs
Processes:
cmd.exepid process 1888 cmd.exe -
Suspicious use of SetThreadContext 3 IoCs
Processes:
обÑ_азцы пÑ_одукции заказать pdf.exeобÑ_азцы пÑ_одукции заказать pdf.exeNAPSTAT.EXEdescription pid process target process PID 2020 set thread context of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 544 set thread context of 1220 544 обÑ_азцы пÑ_одукции заказать pdf.exe Explorer.EXE PID 852 set thread context of 1220 852 NAPSTAT.EXE Explorer.EXE -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Creates scheduled task(s) 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
-
Suspicious behavior: EnumeratesProcesses 26 IoCs
Processes:
обÑ_азцы пÑ_одукции заказать pdf.exeобÑ_азцы пÑ_одукции заказать pdf.exeNAPSTAT.EXEpid process 2020 обÑ_азцы пÑ_одукции заказать pdf.exe 2020 обÑ_азцы пÑ_одукции заказать pdf.exe 2020 обÑ_азцы пÑ_одукции заказать pdf.exe 544 обÑ_азцы пÑ_одукции заказать pdf.exe 544 обÑ_азцы пÑ_одукции заказать pdf.exe 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE 852 NAPSTAT.EXE -
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
Processes:
Explorer.EXEpid process 1220 Explorer.EXE -
Suspicious behavior: MapViewOfSection 5 IoCs
Processes:
обÑ_азцы пÑ_одукции заказать pdf.exeNAPSTAT.EXEpid process 544 обÑ_азцы пÑ_одукции заказать pdf.exe 544 обÑ_азцы пÑ_одукции заказать pdf.exe 544 обÑ_азцы пÑ_одукции заказать pdf.exe 852 NAPSTAT.EXE 852 NAPSTAT.EXE -
Suspicious use of AdjustPrivilegeToken 5 IoCs
Processes:
обÑ_азцы пÑ_одукции заказать pdf.exeобÑ_азцы пÑ_одукции заказать pdf.exeNAPSTAT.EXEExplorer.EXEdescription pid process Token: SeDebugPrivilege 2020 обÑ_азцы пÑ_одукции заказать pdf.exe Token: SeDebugPrivilege 544 обÑ_азцы пÑ_одукции заказать pdf.exe Token: SeDebugPrivilege 852 NAPSTAT.EXE Token: SeShutdownPrivilege 1220 Explorer.EXE Token: SeShutdownPrivilege 1220 Explorer.EXE -
Suspicious use of FindShellTrayWindow 4 IoCs
Processes:
Explorer.EXEpid process 1220 Explorer.EXE 1220 Explorer.EXE 1220 Explorer.EXE 1220 Explorer.EXE -
Suspicious use of SendNotifyMessage 4 IoCs
Processes:
Explorer.EXEpid process 1220 Explorer.EXE 1220 Explorer.EXE 1220 Explorer.EXE 1220 Explorer.EXE -
Suspicious use of WriteProcessMemory 23 IoCs
Processes:
обÑ_азцы пÑ_одукции заказать pdf.exeExplorer.EXENAPSTAT.EXEdescription pid process target process PID 2020 wrote to memory of 792 2020 обÑ_азцы пÑ_одукции заказать pdf.exe schtasks.exe PID 2020 wrote to memory of 792 2020 обÑ_азцы пÑ_одукции заказать pdf.exe schtasks.exe PID 2020 wrote to memory of 792 2020 обÑ_азцы пÑ_одукции заказать pdf.exe schtasks.exe PID 2020 wrote to memory of 792 2020 обÑ_азцы пÑ_одукции заказать pdf.exe schtasks.exe PID 2020 wrote to memory of 1468 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 1468 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 1468 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 1468 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 2020 wrote to memory of 544 2020 обÑ_азцы пÑ_одукции заказать pdf.exe обÑ_азцы пÑ_одукции заказать pdf.exe PID 1220 wrote to memory of 852 1220 Explorer.EXE NAPSTAT.EXE PID 1220 wrote to memory of 852 1220 Explorer.EXE NAPSTAT.EXE PID 1220 wrote to memory of 852 1220 Explorer.EXE NAPSTAT.EXE PID 1220 wrote to memory of 852 1220 Explorer.EXE NAPSTAT.EXE PID 852 wrote to memory of 1888 852 NAPSTAT.EXE cmd.exe PID 852 wrote to memory of 1888 852 NAPSTAT.EXE cmd.exe PID 852 wrote to memory of 1888 852 NAPSTAT.EXE cmd.exe PID 852 wrote to memory of 1888 852 NAPSTAT.EXE cmd.exe
Processes
-
C:\Windows\Explorer.EXEC:\Windows\Explorer.EXE1⤵
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\обÑ_азцы пÑ_одукции заказать pdf.exe"C:\Users\Admin\AppData\Local\Temp\обÑ_азцы пÑ_одукции заказать pdf.exe"2⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\schtasks.exe"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\FmsSuTN" /XML "C:\Users\Admin\AppData\Local\Temp\tmp8A26.tmp"3⤵
- Creates scheduled task(s)
-
C:\Users\Admin\AppData\Local\Temp\обÑ_азцы пÑ_одукции заказать pdf.exe"{path}"3⤵
-
C:\Users\Admin\AppData\Local\Temp\обÑ_азцы пÑ_одукции заказать pdf.exe"{path}"3⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\NAPSTAT.EXE"C:\Windows\SysWOW64\NAPSTAT.EXE"2⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: MapViewOfSection
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exe/c del "C:\Users\Admin\AppData\Local\Temp\обÑ_азцы пÑ_одукции заказать pdf.exe"3⤵
- Deletes itself
Network
MITRE ATT&CK Matrix ATT&CK v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
C:\Users\Admin\AppData\Local\Temp\tmp8A26.tmpMD5
58139132315c2225669c0cfd5737f866
SHA1e62ff4995d441e36d1e19d68fb67178584f68d4c
SHA256c32462f1d1bcdffc9cf931eee037e478e29471fb173038720ce794788a0c93ba
SHA512a1b967241ca46fa1459758e1f9b04bfd30edc7c0c24a3534fe737cd5bd90982effa4866b13f4f978106f27ef491257bc2d9fddbd75abcaf0c70e2af04594b0c8
-
memory/544-70-0x0000000000B50000-0x0000000000E53000-memory.dmpFilesize
3.0MB
-
memory/544-71-0x0000000000190000-0x00000000001A4000-memory.dmpFilesize
80KB
-
memory/544-69-0x000000000041ECE0-mapping.dmp
-
memory/544-68-0x0000000000400000-0x000000000042E000-memory.dmpFilesize
184KB
-
memory/792-66-0x0000000000000000-mapping.dmp
-
memory/852-75-0x00000000000D0000-0x00000000000FE000-memory.dmpFilesize
184KB
-
memory/852-80-0x00000000754F1000-0x00000000754F3000-memory.dmpFilesize
8KB
-
memory/852-78-0x00000000009B0000-0x0000000000A43000-memory.dmpFilesize
588KB
-
memory/852-77-0x0000000002170000-0x0000000002473000-memory.dmpFilesize
3.0MB
-
memory/852-73-0x0000000000000000-mapping.dmp
-
memory/852-74-0x0000000000D20000-0x0000000000D66000-memory.dmpFilesize
280KB
-
memory/1220-79-0x0000000006F60000-0x0000000007089000-memory.dmpFilesize
1.2MB
-
memory/1220-72-0x0000000003B80000-0x0000000003C70000-memory.dmpFilesize
960KB
-
memory/1888-76-0x0000000000000000-mapping.dmp
-
memory/2020-60-0x0000000000AB0000-0x0000000000AB1000-memory.dmpFilesize
4KB
-
memory/2020-62-0x00000000003E0000-0x00000000003E1000-memory.dmpFilesize
4KB
-
memory/2020-63-0x00000000003C0000-0x00000000003CE000-memory.dmpFilesize
56KB
-
memory/2020-64-0x0000000000520000-0x00000000005B2000-memory.dmpFilesize
584KB
-
memory/2020-65-0x0000000004780000-0x00000000047C3000-memory.dmpFilesize
268KB