Windows 7 deprecation
Windows 7 will be removed from tria.ge on 2025-03-31
Analysis
-
max time kernel
132s -
max time network
135s -
platform
windows7_x64 -
resource
win7-20220331-en -
submitted
13/04/2022, 01:40
Static task
static1
Behavioral task
behavioral1
Sample
이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe
Resource
win7-20220331-en
Behavioral task
behavioral2
Sample
이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe
Resource
win10v2004-20220331-en
General
-
Target
이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe
-
Size
971KB
-
MD5
1ba7523c76e971353d27e9ea6ec8c524
-
SHA1
a1c4f870568cf082ba0d2d70defb5b6b268c4684
-
SHA256
27b3a2a3edfa308e17e57ca50ed33092e6ca7173e5109f8e94b9640fb2b09538
-
SHA512
afd0289e13f3fe6b2162e1a983f4cc088e97bfa4be98d5075a3c14782b2f2e8632622bb758bf2bfd43b3853d29b78d8a83902c8d1c26d9f8a0a6b26842c0556e
Malware Config
Extracted
C:\Users\Admin\AppData\Local\Temp\readme-warning.txt
makop
Signatures
-
Makop
Ransomware family discovered by @VK_Intel in early 2020.
-
Deletes shadow copies 2 TTPs
Ransomware often targets backup files to inhibit system recovery.
-
pid Process 1708 wbadmin.exe -
Loads dropped DLL 2 IoCs
pid Process 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 2036 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe -
Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Legitimate hosting services abused for malware hosting/C2 1 TTPs
-
Suspicious use of SetThreadContext 1 IoCs
description pid Process procid_target PID 852 set thread context of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 -
Drops file in Program Files directory 64 IoCs
description ioc Process File opened for modification C:\Program Files\Java\jre7\lib\zi\America\Argentina\Salta 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Common Files\microsoft shared\TRANSLAT\MSB1AR.LEX 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\MEDIA\OFFICE14\LINES\BD14516_.GIF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\jre\lib\cmm\PYCC.pf 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\TN00231_.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\PUBWIZ\DGBORDER.DPV 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\PUBWIZ\DGPUNCT.DPV 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\Weather.Gadget\images\undocked_blue_snow.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\J0185842.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\MEDIA\CAGCAT10\J0216516.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\SlideShow.Gadget\images\on_desktop\slideshow_glass_frame.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\WB01301_.GIF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\PUBBA\MSPUB6.BDR 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Media Player\de-DE\setup_wm.exe.mui 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File created C:\Program Files\Java\jdk1.7.0_80\lib\missioncontrol\features\org.eclipse.help_2.0.102.v20141007-2301\META-INF\readme-warning.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\1047x576black.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File created C:\Program Files\Java\jdk1.7.0_80\lib\missioncontrol\features\com.jrockit.mc.feature.rcp_5.5.0.165303\readme-warning.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jre7\lib\zi\Europe\Amsterdam 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\J0199473.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Templates\1033\OrielMergeFax.Dotx 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\DVD Maker\en-US\WMM2CLIP.dll.mui 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\J0187921.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\OutlookAutoDiscover\YAHOO.DE.XML 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\PicturePuzzle.Gadget\es-ES\gadget.xml 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\jre\bin\server\classes.jsa.[4D29E014].[[email protected]].noctua 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jre7\lib\calendars.properties 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Adobe\Reader 9.0\Resource\Font\PFM\zx______.pfm 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\Microsoft.Office.Interop.InfoPath.SemiTrust.xml 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\lib\visualvm\visualvm\modules\com-sun-tools-visualvm-profiling.jar 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\jre\lib\zi\Pacific\Wake 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Windows Sidebar\Gadgets\CPU.Gadget\logo.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Windows Sidebar\Gadgets\Weather.Gadget\ja-JP\js\weather.js 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File created C:\Program Files (x86)\Common Files\Adobe\Help\en_US\Adobe Reader\9.0\readme-warning.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\7-Zip\Lang\va.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\jre\lib\zi\Europe\Amsterdam 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Common Files\microsoft shared\Stationery\Peacock.htm 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\Groove\ToolBMPs\WebToolImagesMask16x16.bmp 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\jre\lib\zi\Asia\Baghdad 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Windows Sidebar\Gadgets\Clock.Gadget\it-IT\css\settings.css 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\BS00438_.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\TN00241_.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\WB01238_.GIF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\1033\PUBSPAPR\ZPDIR1F.GIF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\Groove\ToolData\groove.net\GrooveForms5\rtf_hyperlink.gif 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\Weather.Gadget\images\40.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\lib\missioncontrol\plugins\org.eclipse.help.base.nl_zh_4.4.0.v20140623020002.jar 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\J0107544.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\MEDIA\CAGCAT10\J0149407.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File created C:\Program Files (x86)\Microsoft Office\Office14\Library\readme-warning.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\QUERIES\MSN MoneyCentral Investor Currency Rates.iqy 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Photo Viewer\en-US\PhotoAcq.dll.mui 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\Currency.Gadget\es-ES\currency.html 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Windows Sidebar\Gadgets\PicturePuzzle.Gadget\Images\settings_left_disabled.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\7-Zip\Lang\si.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File created C:\Program Files (x86)\Adobe\Reader 9.0\Resource\Linguistics\LanguageNames2\readme-warning.txt 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\MEDIA\OFFICE14\BULLETS\BD21435_.GIF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\FORMS\1033\EXITEM.CFG 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\Office14\PUBWIZ\DGPUNCT.XML 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\DVD Maker\Shared\DvdStyles\shadowonlyframe_buttongraphic.png 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\Java\jdk1.7.0_80\lib\visualvm\platform\modules\locale\org-netbeans-swing-outline_ja.jar 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files\VideoLAN\VLC\locale\vi\LC_MESSAGES\vlc.mo 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Common Files\microsoft shared\ink\es-ES\TipRes.dll.mui 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\CLIPART\PUB60COR\J0195788.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe File opened for modification C:\Program Files (x86)\Microsoft Office\MEDIA\OFFICE14\AUTOSHAP\BD18236_.WMF 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Program crash 2 IoCs
pid pid_target Process procid_target 1080 852 WerFault.exe 27 1896 2036 WerFault.exe 30 -
Interacts with shadow copies 2 TTPs 1 IoCs
Shadow copies are often targeted by ransomware to inhibit system recovery.
pid Process 916 vssadmin.exe -
Suspicious behavior: EnumeratesProcesses 1 IoCs
pid Process 1324 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe -
Suspicious behavior: MapViewOfSection 1 IoCs
pid Process 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe -
Suspicious use of AdjustPrivilegeToken 46 IoCs
description pid Process Token: SeBackupPrivilege 1940 vssvc.exe Token: SeRestorePrivilege 1940 vssvc.exe Token: SeAuditPrivilege 1940 vssvc.exe Token: SeBackupPrivilege 276 wbengine.exe Token: SeRestorePrivilege 276 wbengine.exe Token: SeSecurityPrivilege 276 wbengine.exe Token: SeIncreaseQuotaPrivilege 1728 WMIC.exe Token: SeSecurityPrivilege 1728 WMIC.exe Token: SeTakeOwnershipPrivilege 1728 WMIC.exe Token: SeLoadDriverPrivilege 1728 WMIC.exe Token: SeSystemProfilePrivilege 1728 WMIC.exe Token: SeSystemtimePrivilege 1728 WMIC.exe Token: SeProfSingleProcessPrivilege 1728 WMIC.exe Token: SeIncBasePriorityPrivilege 1728 WMIC.exe Token: SeCreatePagefilePrivilege 1728 WMIC.exe Token: SeBackupPrivilege 1728 WMIC.exe Token: SeRestorePrivilege 1728 WMIC.exe Token: SeShutdownPrivilege 1728 WMIC.exe Token: SeDebugPrivilege 1728 WMIC.exe Token: SeSystemEnvironmentPrivilege 1728 WMIC.exe Token: SeRemoteShutdownPrivilege 1728 WMIC.exe Token: SeUndockPrivilege 1728 WMIC.exe Token: SeManageVolumePrivilege 1728 WMIC.exe Token: 33 1728 WMIC.exe Token: 34 1728 WMIC.exe Token: 35 1728 WMIC.exe Token: SeIncreaseQuotaPrivilege 1728 WMIC.exe Token: SeSecurityPrivilege 1728 WMIC.exe Token: SeTakeOwnershipPrivilege 1728 WMIC.exe Token: SeLoadDriverPrivilege 1728 WMIC.exe Token: SeSystemProfilePrivilege 1728 WMIC.exe Token: SeSystemtimePrivilege 1728 WMIC.exe Token: SeProfSingleProcessPrivilege 1728 WMIC.exe Token: SeIncBasePriorityPrivilege 1728 WMIC.exe Token: SeCreatePagefilePrivilege 1728 WMIC.exe Token: SeBackupPrivilege 1728 WMIC.exe Token: SeRestorePrivilege 1728 WMIC.exe Token: SeShutdownPrivilege 1728 WMIC.exe Token: SeDebugPrivilege 1728 WMIC.exe Token: SeSystemEnvironmentPrivilege 1728 WMIC.exe Token: SeRemoteShutdownPrivilege 1728 WMIC.exe Token: SeUndockPrivilege 1728 WMIC.exe Token: SeManageVolumePrivilege 1728 WMIC.exe Token: 33 1728 WMIC.exe Token: 34 1728 WMIC.exe Token: 35 1728 WMIC.exe -
Suspicious use of WriteProcessMemory 32 IoCs
description pid Process procid_target PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1324 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 28 PID 852 wrote to memory of 1080 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 29 PID 852 wrote to memory of 1080 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 29 PID 852 wrote to memory of 1080 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 29 PID 852 wrote to memory of 1080 852 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 29 PID 1324 wrote to memory of 1108 1324 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 31 PID 1324 wrote to memory of 1108 1324 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 31 PID 1324 wrote to memory of 1108 1324 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 31 PID 1324 wrote to memory of 1108 1324 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 31 PID 1108 wrote to memory of 916 1108 cmd.exe 33 PID 1108 wrote to memory of 916 1108 cmd.exe 33 PID 1108 wrote to memory of 916 1108 cmd.exe 33 PID 1108 wrote to memory of 1708 1108 cmd.exe 36 PID 1108 wrote to memory of 1708 1108 cmd.exe 36 PID 1108 wrote to memory of 1708 1108 cmd.exe 36 PID 1108 wrote to memory of 1728 1108 cmd.exe 40 PID 1108 wrote to memory of 1728 1108 cmd.exe 40 PID 1108 wrote to memory of 1728 1108 cmd.exe 40 PID 2036 wrote to memory of 1896 2036 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 42 PID 2036 wrote to memory of 1896 2036 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 42 PID 2036 wrote to memory of 1896 2036 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 42 PID 2036 wrote to memory of 1896 2036 이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe 42
Processes
-
C:\Users\Admin\AppData\Local\Temp\이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe"C:\Users\Admin\AppData\Local\Temp\이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe"1⤵
- Loads dropped DLL
- Suspicious use of SetThreadContext
- Suspicious behavior: MapViewOfSection
- Suspicious use of WriteProcessMemory
PID:852 -
C:\Users\Admin\AppData\Local\Temp\이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exeﮅ2⤵
- Drops file in Program Files directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:1324 -
C:\Users\Admin\AppData\Local\Temp\이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe"C:\Users\Admin\AppData\Local\Temp\이력서(부족했던 부분들도 보강해서 보내드립니다 잘부탁드립니다).exe" n13243⤵
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
PID:2036 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2036 -s 4044⤵
- Program crash
PID:1896
-
-
-
C:\Windows\system32\cmd.exe"C:\Windows\system32\cmd.exe"3⤵
- Suspicious use of WriteProcessMemory
PID:1108 -
C:\Windows\system32\vssadmin.exevssadmin delete shadows /all /quiet4⤵
- Interacts with shadow copies
PID:916
-
-
C:\Windows\system32\wbadmin.exewbadmin delete catalog -quiet4⤵
- Deletes backup catalog
PID:1708
-
-
C:\Windows\System32\Wbem\WMIC.exewmic shadowcopy delete4⤵
- Suspicious use of AdjustPrivilegeToken
PID:1728
-
-
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 852 -s 4802⤵
- Program crash
PID:1080
-
-
C:\Windows\system32\vssvc.exeC:\Windows\system32\vssvc.exe1⤵
- Suspicious use of AdjustPrivilegeToken
PID:1940
-
C:\Windows\system32\wbengine.exe"C:\Windows\system32\wbengine.exe"1⤵
- Suspicious use of AdjustPrivilegeToken
PID:276
-
C:\Windows\System32\vdsldr.exeC:\Windows\System32\vdsldr.exe -Embedding1⤵PID:584
-
C:\Windows\System32\vds.exeC:\Windows\System32\vds.exe1⤵PID:1964
Network
MITRE ATT&CK Enterprise v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
474.4MB
MD58f844347f6fb8b44c5cb45090269adfc
SHA10935dc97c31172d9bdf032c9295240a59d61a1d3
SHA2562c9ae1f8696ac2ec818757c43bb8d2f10d09fa9f4ce3e8b32f1713532510026c
SHA512568a59597f1f0e4faf342f5c551ebcae5e40409ca4533be0b6a33dc960b2f3db13cdc2459ed4ad6d2972b4631bfe691411b0cb8ed3ef44dbb64b2a8763393ced
-
Filesize
12KB
MD5cff85c549d536f651d4fb8387f1976f2
SHA1d41ce3a5ff609df9cf5c7e207d3b59bf8a48530e
SHA2568dc562cda7217a3a52db898243de3e2ed68b80e62ddcb8619545ed0b4e7f65a8
SHA512531d6328daf3b86d85556016d299798fa06fefc81604185108a342d000e203094c8c12226a12bd6e1f89b0db501fb66f827b610d460b933bd4ab936ac2fd8a88
-
Filesize
12KB
MD5cff85c549d536f651d4fb8387f1976f2
SHA1d41ce3a5ff609df9cf5c7e207d3b59bf8a48530e
SHA2568dc562cda7217a3a52db898243de3e2ed68b80e62ddcb8619545ed0b4e7f65a8
SHA512531d6328daf3b86d85556016d299798fa06fefc81604185108a342d000e203094c8c12226a12bd6e1f89b0db501fb66f827b610d460b933bd4ab936ac2fd8a88