Analysis
-
max time kernel
111s -
max time network
126s -
platform
windows10-2004_x64 -
resource
win10v2004-20220812-en -
resource tags
arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system -
submitted
05-11-2022 06:25
Behavioral task
behavioral1
Sample
5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
Resource
win10v2004-20220812-en
windows10-2004-x64
5 signatures
1800 seconds
Behavioral task
behavioral2
Sample
f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6
Resource
win10v2004-20220901-en
windows10-2004-x64
0 signatures
1800 seconds
General
-
Target
5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
-
Size
1.8MB
-
MD5
843001980e5073c7f0ea8b56873246b8
-
SHA1
36dff07387cf3f2393339d30d0672fcbccc7a73c
-
SHA256
5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a42
-
SHA512
4b0ddafb90a68db39fdd6294b55c468f66d60e11c784f3ea2e6635b252e704aacc356d500dee78a324b001b05968b7539d140478fe4432cebaf95d1a4e15df3e
-
SSDEEP
49152:PqMp864yQytAAd//l/GZLGv5REytsEJrtYWdl:PqMalgAAtlBRRF2y
Score
1/10
Malware Config
Signatures
-
Checks SCSI registry key(s) 3 TTPs 3 IoCs
SCSI information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000 taskmgr.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\Properties\{b725f130-47ef-101a-a5f1-02608c9eebac}\000A taskmgr.exe Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName taskmgr.exe -
Suspicious behavior: EnumeratesProcesses 34 IoCs
pid Process 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe -
Suspicious use of AdjustPrivilegeToken 5 IoCs
description pid Process Token: SeDebugPrivilege 3472 taskmgr.exe Token: SeSystemProfilePrivilege 3472 taskmgr.exe Token: SeCreateGlobalPrivilege 3472 taskmgr.exe Token: 33 3472 taskmgr.exe Token: SeIncBasePriorityPrivilege 3472 taskmgr.exe -
Suspicious use of FindShellTrayWindow 59 IoCs
pid Process 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe -
Suspicious use of SendNotifyMessage 59 IoCs
pid Process 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe 3472 taskmgr.exe
Processes
-
C:\Windows\system32\cmd.execmd /c C:\Users\Admin\AppData\Local\Temp\5121f08cf8614a65d7a86c2f462c0694c132e2877a7f54ab7fcefd7ee5235a421⤵PID:4772
-
C:\Windows\System32\rundll32.exeC:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding1⤵PID:4084
-
C:\Windows\system32\taskmgr.exe"C:\Windows\system32\taskmgr.exe" /71⤵
- Checks SCSI registry key(s)
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:3472