Malware Analysis Report

2025-01-22 13:35

Sample ID 210922-qkjvgacgc9
Target 45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c
SHA256 45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c
Tags
osiris banker botnet
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V6

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c

Threat Level: Known bad

The file 45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c was found to be: Known bad.

Malicious Activity Summary

osiris banker botnet

Osiris

Executes dropped EXE

Loads dropped DLL

Uses Tor communications

Looks up external IP address via web service

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Suspicious behavior: EnumeratesProcesses

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2021-09-22 13:19

Signatures

N/A

Analysis: behavioral1

Detonation Overview

Submitted

2021-09-22 13:19

Reported

2021-09-22 13:22

Platform

win7-en-20210920

Max time kernel

153s

Max time network

128s

Command Line

"C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe"

Signatures

Osiris

banker botnet osiris

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A api.ipify.org N/A N/A
N/A api.ipify.org N/A N/A

Uses Tor communications

Enumerates physical storage devices

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe

"C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe"

C:\windows\hh.exe

"C:\windows\hh.exe"

C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

"C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe"

Network

Country Destination Domain Proto
DE 131.188.40.189:80 131.188.40.189 tcp
US 8.8.8.8:53 api.ipify.org udp
US 50.16.235.219:443 api.ipify.org tcp
SG 207.148.68.137:80 207.148.68.137 tcp
NL 185.130.47.58:443 tcp
US 8.8.8.8:53 time-a.nist.gov udp
US 129.6.15.28:13 time-a.nist.gov tcp
US 8.8.8.8:53 time-a-g.nist.gov udp
US 129.6.15.28:13 time-a-g.nist.gov tcp
SE 185.239.222.245:80 185.239.222.245 tcp
NL 109.201.133.100:443 tcp
FR 163.172.127.18:80 163.172.127.18 tcp
FR 51.15.142.0:443 tcp
FR 178.170.10.3:80 178.170.10.3 tcp
MY 124.217.246.99:80 124.217.246.99 tcp
IT 93.56.117.22:80 93.56.117.22 tcp
UA 193.218.118.156:80 193.218.118.156 tcp
US 199.249.230.121:80 199.249.230.121 tcp
LU 104.244.74.97:80 104.244.74.97 tcp
US 51.81.143.172:80 51.81.143.172 tcp
HU 91.219.238.120:80 91.219.238.120 tcp
AT 109.70.100.7:80 109.70.100.7 tcp
US 23.129.64.140:443 tcp
NO 91.149.225.131:80 91.149.225.131 tcp
RU 88.214.35.39:80 88.214.35.39 tcp
US 23.129.64.139:80 23.129.64.139 tcp
KR 52.141.33.89:80 52.141.33.89 tcp
RU 92.223.65.241:443 tcp
US 185.220.103.120:80 185.220.103.120 tcp
DE 85.214.95.94:80 85.214.95.94 tcp
US 107.174.244.102:80 107.174.244.102 tcp
CH 185.32.221.201:443 tcp
FR 50.7.117.115:80 50.7.117.115 tcp
CH 176.10.99.200:80 176.10.99.200 tcp
US 23.154.177.102:80 23.154.177.102 tcp
US 199.249.230.102:443 tcp

Files

memory/2036-54-0x00000000759B1000-0x00000000759B3000-memory.dmp

memory/2036-55-0x0000000000220000-0x0000000000221000-memory.dmp

memory/1352-56-0x0000000000000000-mapping.dmp

memory/2036-57-0x0000000001FC0000-0x00000000020A2000-memory.dmp

memory/2036-58-0x0000000000400000-0x0000000000545000-memory.dmp

memory/2036-59-0x0000000002D10000-0x0000000002DAF000-memory.dmp

\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

MD5 b4cd27f2b37665f51eb9fe685ec1d373
SHA1 7f08febf0fdb7fc9f8bf35a10fb11e7de431abe0
SHA256 91f1023142b7babf6ff75dad984c2a35bde61dc9e61f45483f4b65008576d581
SHA512 e025f65224d78f5fd0abebe281ac0d44a385b2641e367cf39eed6aefada20a112ac47f94d7febc4424f1db6a6947bac16ff83ef93a8d745b3cddfdbe64c49a1e

memory/952-61-0x0000000000000000-mapping.dmp

C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

MD5 b4cd27f2b37665f51eb9fe685ec1d373
SHA1 7f08febf0fdb7fc9f8bf35a10fb11e7de431abe0
SHA256 91f1023142b7babf6ff75dad984c2a35bde61dc9e61f45483f4b65008576d581
SHA512 e025f65224d78f5fd0abebe281ac0d44a385b2641e367cf39eed6aefada20a112ac47f94d7febc4424f1db6a6947bac16ff83ef93a8d745b3cddfdbe64c49a1e

C:\Users\Admin\AppData\Local\Temp\x64btit.txt

MD5 4de524ccc76be92b055260f11b690b1b
SHA1 801f26a75783c3b1b76f1e1f0d7920ac21b86baf
SHA256 d0f05d96817b5bcdb3eec3034032772a80dabff4fcd30e07da70a23e60b47d59
SHA512 0e798f89d8f69b1211810fa95a54be792c064b57b7aa46b29dfea4f53b7a10b6dcc2a9e4a89009b81ba08c43b00657f93051b39e728c1044d1cfc1d60287d2ae

Analysis: behavioral2

Detonation Overview

Submitted

2021-09-22 13:19

Reported

2021-09-22 13:22

Platform

win10v20210408

Max time kernel

152s

Max time network

144s

Command Line

"C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe"

Signatures

Osiris

banker botnet osiris

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A api.ipify.org N/A N/A
N/A api.ipify.org N/A N/A

Uses Tor communications

Enumerates physical storage devices

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe

"C:\Users\Admin\AppData\Local\Temp\45b8f4130d70db6e59cc17cae406798f5e40f97f460caf032d59b2a1715ec33c.exe"

C:\windows\hh.exe

"C:\windows\hh.exe"

C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

"C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe"

Network

Country Destination Domain Proto
US 204.13.164.118:80 204.13.164.118 tcp
US 8.8.8.8:53 api.ipify.org udp
US 54.243.59.231:443 api.ipify.org tcp
NL 51.158.186.59:80 51.158.186.59 tcp
FR 195.154.253.226:443 tcp
US 8.8.8.8:53 time-a.nist.gov udp
US 129.6.15.28:13 time-a.nist.gov tcp
LT 176.223.141.106:80 176.223.141.106 tcp
LV 141.136.0.117:80 141.136.0.117 tcp
DE 80.241.220.57:80 80.241.220.57 tcp
RU 80.87.111.11:80 80.87.111.11 tcp
PL 5.189.253.45:80 5.189.253.45 tcp
UA 91.229.76.124:80 91.229.76.124 tcp
DE 185.242.113.224:80 185.242.113.224 tcp
US 199.249.230.152:80 199.249.230.152 tcp
US 45.63.67.113:80 45.63.67.113 tcp
DE 94.216.184.166:443 tcp
BA 185.212.110.3:80 185.212.110.3 tcp
US 199.249.230.184:80 199.249.230.184 tcp
US 23.154.177.3:80 23.154.177.3 tcp
DE 168.119.254.102:443 tcp
US 209.141.49.232:80 209.141.49.232 tcp
US 208.68.4.129:80 208.68.4.129 tcp
NL 45.66.35.35:80 45.66.35.35 tcp
CA 198.100.147.59:443 tcp
RO 185.100.85.132:80 185.100.85.132 tcp
NL 185.238.170.92:80 185.238.170.92 tcp
DE 188.68.46.164:80 188.68.46.164 tcp
DE 193.26.156.86:443 tcp
PL 192.166.245.239:80 192.166.245.239 tcp
NL 23.154.177.133:80 23.154.177.133 tcp
NL 62.112.10.154:80 62.112.10.154 tcp
KG 91.213.233.138:443 tcp
NL 95.211.205.138:80 95.211.205.138 tcp
KE 62.12.118.116:80 62.12.118.116 tcp

Files

memory/3920-114-0x00000000007F0000-0x00000000007F1000-memory.dmp

memory/3960-115-0x0000000000000000-mapping.dmp

memory/3920-116-0x0000000002520000-0x0000000002602000-memory.dmp

memory/3920-117-0x0000000000400000-0x0000000000545000-memory.dmp

memory/3920-118-0x0000000002A10000-0x0000000002AAF000-memory.dmp

memory/1812-119-0x0000000000000000-mapping.dmp

C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

MD5 b4cd27f2b37665f51eb9fe685ec1d373
SHA1 7f08febf0fdb7fc9f8bf35a10fb11e7de431abe0
SHA256 91f1023142b7babf6ff75dad984c2a35bde61dc9e61f45483f4b65008576d581
SHA512 e025f65224d78f5fd0abebe281ac0d44a385b2641e367cf39eed6aefada20a112ac47f94d7febc4424f1db6a6947bac16ff83ef93a8d745b3cddfdbe64c49a1e

C:\Users\Admin\AppData\Local\Temp\GetX64BTIT.exe

MD5 b4cd27f2b37665f51eb9fe685ec1d373
SHA1 7f08febf0fdb7fc9f8bf35a10fb11e7de431abe0
SHA256 91f1023142b7babf6ff75dad984c2a35bde61dc9e61f45483f4b65008576d581
SHA512 e025f65224d78f5fd0abebe281ac0d44a385b2641e367cf39eed6aefada20a112ac47f94d7febc4424f1db6a6947bac16ff83ef93a8d745b3cddfdbe64c49a1e

C:\Users\Admin\AppData\Local\Temp\x64btit.txt

MD5 2e98da1f5140ccffb0f95fdd3224d9f1
SHA1 85a0f735625731ea599371b7b89b0d39b629dea6
SHA256 cc947fad01a6a93943b221db7d82573f6b254df8fbe512509e510171755a8a66
SHA512 1433b52c6949345d18ea853e8c1b8af009f3d5119c7f4ef5127e53d4ce20af0ec408597d90f861418431ce3b935e0831f4f6785fdd12c8024e1d5866b072343e