17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51

Analysis

max time kernel
37s
max time network
41s
platform
windows10-2004_x64
resource
win10v2004-20220901-en
resource tags

arch:x64arch:x86image:win10v2004-20220901-enlocale:en-usos:windows10-2004-x64system
submitted
25-11-2022 08:19

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe
Size

238KB
MD5

7166f744dfdbd8de9ed0485e330a8abc
SHA1

0008fa745478b377772747b08d6106f39634b7ac
SHA256

17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51
SHA512

3a7ef43b26a6c7c908f6132c14f0a9315e48c74d7d286e0e3fc5c00dc0d5ce660d2fa8343e54cdfaf167ebac3686ed1d60004c40c6eb8610d56f7d271c4a831d
SSDEEP

3072:sahKyd2n31H5GWp1icKAArDZz4N9GhbkrNEkB4nQRnS0rxcNPxKDKpJweUBn9qVv:sahOnp0yN90QEMlS0GNPsDfeUBI1

Score

8^/10

persistence

Malware Config

Signatures

Executes dropped EXE 1 IoCs

Processes:

BOLABO~1.EXE

pid process

2796 BOLABO~1.EXE

pid	process
2796	BOLABO~1.EXE

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

BOLABO~1.EXE

description	ioc	process
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	BOLABO~1.EXE

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

Processes:

17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce	17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0 = "rundll32.exe C:\\Windows\\system32\\advpack.dll,DelNodeRunDLL32 \"C:\\Users\\Admin\\AppData\\Local\\Temp\\IXP000.TMP\\\""	17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Suspicious use of WriteProcessMemory 7 IoCs

Processes:

17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exeBOLABO~1.EXEcmd.exe

description	pid	process	target process
PID 4864 wrote to memory of 2796	4864	17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe	BOLABO~1.EXE
PID 4864 wrote to memory of 2796	4864	17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe	BOLABO~1.EXE
PID 4864 wrote to memory of 2796	4864	17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe	BOLABO~1.EXE
PID 2796 wrote to memory of 2440	2796	BOLABO~1.EXE	cmd.exe
PID 2796 wrote to memory of 2440	2796	BOLABO~1.EXE	cmd.exe
PID 2440 wrote to memory of 2208	2440	cmd.exe	cmd.exe
PID 2440 wrote to memory of 2208	2440	cmd.exe	cmd.exe

C:\Users\Admin\AppData\Local\Temp\17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe
"C:\Users\Admin\AppData\Local\Temp\17b242a5fbf58f2f8568109d02b92c0bbe8068ad30ad57fbf076fadc1d878c51.exe"
1⤵
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
PID:4864

C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\BOLABO~1.EXE
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\BOLABO~1.EXE
2⤵
- Executes dropped EXE
- Checks computer location settings
- Suspicious use of WriteProcessMemory
PID:2796

C:\Windows\system32\cmd.exe
"C:\Windows\sysnative\cmd.exe" /c "C:\Users\Admin\AppData\Local\Temp\FD9E.tmp\FD9F.tmp\FDA0.bat C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\BOLABO~1.EXE"
3⤵
- Suspicious use of WriteProcessMemory
PID:2440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Matrix.bat
4⤵
PID:2208

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Prueba2.vbs"
4⤵
PID:4212

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Sonido.vbs"
4⤵
PID:3132

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
4⤵
PID:4608

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:1952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:3196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:1816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:6652

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
9⤵
PID:14216

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:7620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:5720

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
9⤵
PID:13628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:9292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:10068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:4924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:6352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:7196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:2204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5264

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:14176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:2448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:1664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:4672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:6296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
9⤵
PID:13376

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5140

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:6168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
9⤵
PID:13456

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5988

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13336

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:10100

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:3332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:1600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:5748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:7120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:9112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:9632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:14168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:3032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5684

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:3508

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5424

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:12012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:12200

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:12268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:13272

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:8648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:2152

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:392

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:4344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:8544

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:4180

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6436

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13392

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:12656

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:8076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:14108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7424

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:3484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:4628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:8212

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:13384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:3252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:540

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:2352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:6620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:5736

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13328

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7756

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:14184

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5640

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:4736

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:13344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5504

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:13744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:472

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:2700

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6700

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:7704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:13960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:1080

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:7092

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:6384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:7340

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:13692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Matrix.bat
4⤵
PID:3432

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Prueba2.vbs"
4⤵
PID:2968

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Sonido.vbs"
4⤵
PID:1172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
4⤵
PID:1660

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:1008

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5024

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7084

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
8⤵
PID:13176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:7228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:13368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:2528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:4680

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:7040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:3880

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6304

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:12720

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:5728

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
7⤵
PID:9000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:1860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:7212

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:6412

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:5188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:4776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:7068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:5148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
6⤵
PID:13416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
5⤵
PID:8292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Matrix.bat
4⤵
PID:2060

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Prueba2.vbs"
4⤵
PID:3532

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Sonido.vbs"
4⤵
PID:2764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Matrix.bat
4⤵
PID:5224

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Sonido.vbs"
4⤵
PID:7104

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Prueba2.vbs"
4⤵
PID:5200

C:\Windows\system32\AUDIODG.EXE
C:\Windows\system32\AUDIODG.EXE 0x380 0x4f4
1⤵
PID:60

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:7020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:7048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:6544

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
2⤵
PID:13620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:7968

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:9872

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:9352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:13320

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:12700

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /K Archivo.bat
1⤵
PID:12684

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 568 -p 13768 -ip 13768
1⤵
PID:13880

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Registry Run Keys / Startup Folder

T1060

Privilege Escalation

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\Media Player\CurrentDatabase_400.wmdb
Filesize
1024KB

MD5
dbcc36f89cc91c79b0c31c3b88897046

SHA1
e57a4d2e79566791fa506c4923ecd53b1a26fc8f

SHA256
e2f34d9529842fc4be801e683cdc69734342c3e2bcb202e2eedbc201eee71ccc

SHA512
f14c97b89807836b06de790eecca98aa4b8675805e36b0b6c678fe3a6145c47ecdbeda312f3ba56ee671e0bb58d6fbe006bfadd03d9673d35d7c4fa6c371fffc

Download Submit
C:\Users\Admin\AppData\Local\Temp\FD9E.tmp\FD9F.tmp\FDA0.bat
Filesize
179B

MD5
58d78f077ebcb9f824ed5cd21d46b8c0

SHA1
a517655df09120850c218dec03aa955f876e96e1

SHA256
5094634b810fd0f7e9b4c1947018de1b5314aa66c73a8145f5210db36e61ad60

SHA512
6fb500f7f0c5ec8bd05adfa0f20598dd56d6ac7ebecb374d23935f00cba56116a5fe0a7c0c17ddb48735a710e26c43f4655704179bab4d58a896cd1582d14541

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Archivo.bat
Filesize
48B

MD5
de458c466c3c1b2e2e70c4f351d4a1db

SHA1
a0baf0899065f87eb7808c2e9dd078cb0db005e4

SHA256
c7b86072a9c6842e04dab578204ae65d628672a7cb633b24e53b17cf8dc18041

SHA512
41ed038554d40df1812e08be4545b67cb5d42b28d6410094ea8d992d08027fb4bd1c81329904399ddb0e160a2b02ff3b038c833b4fdd152df61eba18dcaf9d7f

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\BOLABO~1.EXE
Filesize
87KB

MD5
1a19886aa93d85acb03e35d1dd9d90f8

SHA1
c973c3e87d1c936dbcebf220e7e45fbc46540b0e

SHA256
215501842aee7fd4945b239a6cab2149f0bbe34a0c940d7bedd816884381e47b

SHA512
bab959602f927020a5e2656b711d012a897d66cd6a4385f0565455c9c15a20dabc6d1b0d3cd74800fcc6d2faf22884751eade53c54745aa6039362eefef877ef

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\BOLABO~1.EXE
Filesize
87KB

MD5
1a19886aa93d85acb03e35d1dd9d90f8

SHA1
c973c3e87d1c936dbcebf220e7e45fbc46540b0e

SHA256
215501842aee7fd4945b239a6cab2149f0bbe34a0c940d7bedd816884381e47b

SHA512
bab959602f927020a5e2656b711d012a897d66cd6a4385f0565455c9c15a20dabc6d1b0d3cd74800fcc6d2faf22884751eade53c54745aa6039362eefef877ef

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Error.mp3
Filesize
60KB

MD5
51e92f69fec4ff178f3e825832d73c13

SHA1
1dd93b22f26571476ce2aa30622b95254972e872

SHA256
c09ef7078d63640982a9d18bddea05cd3df911cc2d445d332ce5657cd2977c6d

SHA512
f4125a6cf19d2bc35032af14b9a2a87203f5c9cf6175dbc49846eda08729ab3693de1670faa3a68e9e61b9be6be5fa1be2777b035065cae34533e3a581a24098

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Matrix.bat
Filesize
552B

MD5
251c80f4226ce2c93d44cf53db0763d9

SHA1
9e042320bc373f5345d12fad5870a02cc17fe819

SHA256
010b268bef204f521761d94d36e6c82fa818243084f4946af548d919f6291df8

SHA512
2ea986f7751249453f537ce55fa10b003ae7d0b1e5c751ee20db0c180db802d9f27ceae545b5585ea187982182948ea47247ee87ebc0f4643324bdd04c034789

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Prueba2.vbs
Filesize
56B

MD5
12d059b042d01f0bcb15264052d12f39

SHA1
c4167fad93523e6da54cd962e1437bb0dd1d8015

SHA256
bac214f0fb011f10d628b1ffc984e795dccbac0b619dfddf3c8cbf1d35eac981

SHA512
2f2e1bafd68c36eb1b16ab5644a2f75e8859306313caa40b079f4226d2ed401b53acc74fe90511c1de746571266f85cd18963948d377577526d7ef8fe0d57241

Download Submit
C:\Users\Admin\AppData\Local\Temp\IXP000.TMP\Sonido.vbs
Filesize
216B

MD5
61afb6e152a5c4b239a0d96b44e47e1c

SHA1
5ec1cb497a1eff492547eede38ad43ef4abf269c

SHA256
f4e8e082c0aa689a79a9c152d83a330321ec55f42e61744a2d43fa23c352529b

SHA512
2255b4f97c07ea2ca3c566ae6bf2d13eca00bdfdc3aae3436595f81f572693efd3ca6044d5c663c5a2683253521704ab5f4c79efa70ad566490d43c14cf53a3e

Download Submit
memory/360-163-0x0000000000000000-mapping.dmp

Download
memory/392-162-0x0000000000000000-mapping.dmp

Download
memory/472-168-0x0000000000000000-mapping.dmp

Download
memory/540-155-0x0000000000000000-mapping.dmp

Download
memory/1008-157-0x0000000000000000-mapping.dmp

Download
memory/1080-179-0x0000000000000000-mapping.dmp

Download
memory/1172-148-0x0000000000000000-mapping.dmp

Download
memory/1660-151-0x0000000000000000-mapping.dmp

Download
memory/1816-164-0x0000000000000000-mapping.dmp

Download
memory/1952-147-0x0000000000000000-mapping.dmp

Download
memory/2060-156-0x0000000000000000-mapping.dmp

Download
memory/2152-149-0x0000000000000000-mapping.dmp

Download
memory/2208-137-0x0000000000000000-mapping.dmp

Download
memory/2352-166-0x0000000000000000-mapping.dmp

Download
memory/2440-135-0x0000000000000000-mapping.dmp

Download
memory/2448-152-0x0000000000000000-mapping.dmp

Download
memory/2528-158-0x0000000000000000-mapping.dmp

Download
memory/2764-167-0x0000000000000000-mapping.dmp

Download
memory/2796-132-0x0000000000000000-mapping.dmp

Download
memory/2968-145-0x0000000000000000-mapping.dmp

Download
memory/3032-165-0x0000000000000000-mapping.dmp

Download
memory/3132-142-0x0000000000000000-mapping.dmp

Download
memory/3196-150-0x0000000000000000-mapping.dmp

Download
memory/3332-159-0x0000000000000000-mapping.dmp

Download
memory/3432-144-0x0000000000000000-mapping.dmp

Download
memory/3484-154-0x0000000000000000-mapping.dmp

Download
memory/3532-160-0x0000000000000000-mapping.dmp

Download
memory/4212-140-0x0000000000000000-mapping.dmp

Download
memory/4608-143-0x0000000000000000-mapping.dmp

Download
memory/4628-176-0x0000000000000000-mapping.dmp

Download
memory/4680-178-0x0000000000000000-mapping.dmp

Download
memory/4736-161-0x0000000000000000-mapping.dmp

Download
memory/5024-177-0x0000000000000000-mapping.dmp

Download
memory/5148-202-0x0000000000000000-mapping.dmp

Download
memory/5188-184-0x0000000000000000-mapping.dmp

Download
memory/5200-203-0x0000000000000000-mapping.dmp

Download
memory/5264-186-0x0000000000000000-mapping.dmp

Download
memory/5424-189-0x0000000000000000-mapping.dmp

Download
memory/5536-191-0x0000000000000000-mapping.dmp

Download
memory/5584-192-0x0000000000000000-mapping.dmp

Download
memory/5648-193-0x0000000000000000-mapping.dmp

Download
memory/5684-197-0x0000000000000000-mapping.dmp

Download
memory/5720-195-0x0000000000000000-mapping.dmp

Download
memory/5728-194-0x0000000000000000-mapping.dmp

Download
memory/5736-196-0x0000000000000000-mapping.dmp

Download
memory/5792-198-0x0000000000000000-mapping.dmp

Download
memory/5852-199-0x0000000000000000-mapping.dmp

Download
memory/5988-200-0x0000000000000000-mapping.dmp

Download
memory/6056-201-0x0000000000000000-mapping.dmp

Download