Analysis
-
max time kernel
171s -
max time network
173s -
platform
windows10-2004_x64 -
resource
win10v2004-20220812-en -
resource tags
arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system -
submitted
05-12-2022 23:41
Static task
static1
Behavioral task
behavioral1
Sample
b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe
Resource
win7-20220812-en
windows7-x64
8 signatures
150 seconds
Behavioral task
behavioral2
Sample
b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe
Resource
win10v2004-20220812-en
windows10-2004-x64
8 signatures
150 seconds
General
-
Target
b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe
-
Size
148KB
-
MD5
8f4cc06ea607576eab1d1d1208f90b7e
-
SHA1
7f2c1d3755960c85b54c5d154288c094c41cd7ad
-
SHA256
b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3
-
SHA512
97ba94b767662161f35703fe72c8fcf63f70e43b44bc6854dbdaddcffc4fe97fd82effee6e0d81f6666efcd61dd739973a41bc4acf435f1b89677e08507bf90d
-
SSDEEP
3072:iSe1qFzxgwMylAUR6UQUcJPPB5RPXsS+t9jiL4oQZiEoLdT:iCFzxgZVU49xEtlcWQ
Score
10/10
Malware Config
Signatures
-
Modifies visiblity of hidden/system files in Explorer 2 TTPs 2 IoCs
description ioc Process Set value (int) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe Set value (int) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0" wdtug.exe -
Executes dropped EXE 1 IoCs
pid Process 5056 wdtug.exe -
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
description ioc Process Key value queried \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\Control Panel\International\Geo\Nation b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe -
Adds Run key to start application 2 TTPs 52 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /Q" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /s" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /G" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /m" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /a" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /v" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /T" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /j" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /Z" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /y" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /H" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /D" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /N" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /w" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /l" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /R" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /u" wdtug.exe Key created \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\Software\Microsoft\Windows\CurrentVersion\Run\ wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /n" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /B" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /P" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /d" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /L" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /b" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /A" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /Y" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /c" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /C" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /o" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /x" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /S" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /t" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /i" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /V" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /W" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /X" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /h" wdtug.exe Key created \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\Software\Microsoft\Windows\CurrentVersion\Run\ b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /k" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /K" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /f" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /J" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /p" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /z" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /U" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /r" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /I" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /F" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /O" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /q" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /M" wdtug.exe Set value (str) \REGISTRY\USER\S-1-5-21-2629973501-4017243118-3254762364-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdtug = "C:\\Users\\Admin\\wdtug.exe /e" b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe 5056 wdtug.exe -
Suspicious use of SetWindowsHookEx 2 IoCs
pid Process 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 5056 wdtug.exe -
Suspicious use of WriteProcessMemory 3 IoCs
description pid Process procid_target PID 3516 wrote to memory of 5056 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 79 PID 3516 wrote to memory of 5056 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 79 PID 3516 wrote to memory of 5056 3516 b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe 79
Processes
-
C:\Users\Admin\AppData\Local\Temp\b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe"C:\Users\Admin\AppData\Local\Temp\b1d6b49ad01ca4fdd86f6da0a58e2ee38e448e41cfeabe774d298481e05e03d3.exe"1⤵
- Modifies visiblity of hidden/system files in Explorer
- Checks computer location settings
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3516 -
C:\Users\Admin\wdtug.exe"C:\Users\Admin\wdtug.exe"2⤵
- Modifies visiblity of hidden/system files in Explorer
- Executes dropped EXE
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
PID:5056
-
Network
MITRE ATT&CK Enterprise v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
148KB
MD51dc909df9774d499e2e6f88d455e171c
SHA1d8351b6410633ed45334ad77dd6868af27b80cf4
SHA256e24e03d20f1dd9ba7ce06dcff78a9ef6fbe1f7b1ec253e193907c2ba20ab4702
SHA512df56d5754412adb84708f170dfff57a07745e262f178598e893436dd36d18bf89228ffed4f928d5e1d65bbac8486a31595e8754d96e0dafe00f714a5fdafc1ef
-
Filesize
148KB
MD51dc909df9774d499e2e6f88d455e171c
SHA1d8351b6410633ed45334ad77dd6868af27b80cf4
SHA256e24e03d20f1dd9ba7ce06dcff78a9ef6fbe1f7b1ec253e193907c2ba20ab4702
SHA512df56d5754412adb84708f170dfff57a07745e262f178598e893436dd36d18bf89228ffed4f928d5e1d65bbac8486a31595e8754d96e0dafe00f714a5fdafc1ef