e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc

General

Target

e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
Size

1.5MB
MD5

b309e8fd719bfb016d2e26402a0c7d50
SHA1

9fa495595af8df196e5dcc5bb28d7f7f6374d433
SHA256

e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc
SHA512

a24fa7e169397ebbb96b6ff38947a992d7cf663a7a14a2786e235b2d5cb837db8d79e0bfa3e207833d074678e81a48b22ce1eeef216cb555f4b7175b58bad3a5
SSDEEP

24576:5X5Hutf1Avo75v4/Knjtu8480JFM7S8NjoRveTgf28G1QFpSER:5XFuio719nh48KEyeTySY

Score

7^/10

evasion

Malware Config

Signatures

Identifies Wine through registry keys 2 TTPs 1 IoCs

Wine is a compatibility layer capable of running Windows applications, which can be used as sandboxing environment.

evasion

Query Registry

T1012

Virtualization/Sandbox Evasion

T1497

Processes:

e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe

description	ioc	process
Key opened	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Software\Wine	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe

Program crash 25 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4980	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
856	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4288	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
2824	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4836	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
2648	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3876	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4856	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3832	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3508	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4824	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4348	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4596	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3624	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
2752	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
2072	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
1828	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
2128	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4656	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3688	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3628	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
4776	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3136	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3724	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
3680	2292	WerFault.exe	e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe

C:\Users\Admin\AppData\Local\Temp\e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe
"C:\Users\Admin\AppData\Local\Temp\e760d263cfe1c998cc4844fb98a9370b73ac398ff05bd72a79b6315548a503fc.exe"
1⤵
- Identifies Wine through registry keys
PID:2292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 280
2⤵
- Program crash
PID:4980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 304
2⤵
- Program crash
PID:856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 312
2⤵
- Program crash
PID:4288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 484
2⤵
- Program crash
PID:2824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 300
2⤵
- Program crash
PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 304
2⤵
- Program crash
PID:2648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 316
2⤵
- Program crash
PID:3876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 496
2⤵
- Program crash
PID:4856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 488
2⤵
- Program crash
PID:3832

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 504
2⤵
- Program crash
PID:3508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 512
2⤵
- Program crash
PID:4824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 524
2⤵
- Program crash
PID:4348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 540
2⤵
- Program crash
PID:4596

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 528
2⤵
- Program crash
PID:3624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 560
2⤵
- Program crash
PID:2752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 524
2⤵
- Program crash
PID:2072

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 508
2⤵
- Program crash
PID:1828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 308
2⤵
- Program crash
PID:2128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 300
2⤵
- Program crash
PID:4656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 536
2⤵
- Program crash
PID:3688

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 508
2⤵
- Program crash
PID:3628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 572
2⤵
- Program crash
PID:4776

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 500
2⤵
- Program crash
PID:3136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 528
2⤵
- Program crash
PID:3724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 308
2⤵
- Program crash
PID:3680

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2292 -ip 2292
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 436 -p 2292 -ip 2292
1⤵
PID:636

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2292 -ip 2292
1⤵
PID:1472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2292 -ip 2292
1⤵
PID:1440

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2292 -ip 2292
1⤵
PID:2996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2292 -ip 2292
1⤵
PID:3756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2292 -ip 2292
1⤵
PID:344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2292 -ip 2292
1⤵
PID:4628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 2292 -ip 2292
1⤵
PID:1864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 2292 -ip 2292
1⤵
PID:4892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 2292 -ip 2292
1⤵
PID:2664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2292 -ip 2292
1⤵
PID:3284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2292 -ip 2292
1⤵
PID:3100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2292 -ip 2292
1⤵
PID:3492

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 2292 -ip 2292
1⤵
PID:2644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 2292 -ip 2292
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2292 -ip 2292
1⤵
PID:2388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 728 -p 2292 -ip 2292
1⤵
PID:1880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 2292 -ip 2292
1⤵
PID:3180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 740 -p 2292 -ip 2292
1⤵
PID:4272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 2292 -ip 2292
1⤵
PID:3972

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 748 -p 2292 -ip 2292
1⤵
PID:4844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2292 -ip 2292
1⤵
PID:2460

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 2292 -ip 2292
1⤵
PID:1012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 760 -p 2292 -ip 2292
1⤵
PID:4976

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Virtualization/Sandbox Evasion

1

T1497

Credential Access

Discovery

Query Registry

1

T1012

Virtualization/Sandbox Evasion

1

T1497

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

memory/2292-132-0x0000000000400000-0x000000000059A000-memory.dmp

Filesize
1.6MB

Download
memory/2292-133-0x0000000000400000-0x000000000059A000-memory.dmp

Filesize
1.6MB

Download
memory/2292-134-0x0000000000400000-0x000000000059A000-memory.dmp

Filesize
1.6MB

Download
memory/2292-135-0x0000000000400000-0x000000000059A000-memory.dmp

Filesize
1.6MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads