1b92d67c38adca068fbde6f69216004a65f9838fc3fb3a63f566bb102e5bbcdd | Triage

Analysis

max time kernel
150s
max time network
44s
platform
windows7_x64
resource
win7-20220812-en
resource tags

arch:x64arch:x86image:win7-20220812-enlocale:en-usos:windows7-x64system
submitted
07/02/2023, 11:28

Sharing

Report Analysis Logs

General

Target

XWorm_V3.0.exe
Size

71KB
MD5

00bbb3a8344fecf00268fd113410395b
SHA1

92c021fb94a215f65f0d8931115ccd67d7190ed7
SHA256

1b92d67c38adca068fbde6f69216004a65f9838fc3fb3a63f566bb102e5bbcdd
SHA512

6fa45542fa5d58dc2e28e8620bffa20dc2151ebb9fe136088c630abda69b95a647d5fe22afa35176edbf0e6b15a2d5bb3507c0dc748402a4deae5947b2ca27c8
SSDEEP

1536:eDVw4YTqs7SCvf+Fz4xPc4fI8av9bvmlkXm8d6DXtONGdaMN9O:MVw4YT9vviSy8a1bvmlZXtO0j3O

Score

6^/10

Malware Config

Signatures

Looks up external IP address via web service 1 IoCs

Uses a legitimate IP lookup service to find the infected system's external IP.

flow	ioc
3	ip-api.com

Suspicious behavior: EnumeratesProcesses 52 IoCs

pid	Process
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
768	taskmgr.exe

Suspicious use of AdjustPrivilegeToken 2 IoCs

description	pid	Process
Token: SeDebugPrivilege	1116	XWorm_V3.0.exe
Token: SeDebugPrivilege	768	taskmgr.exe

Suspicious use of FindShellTrayWindow 64 IoCs

pid	Process
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe

Suspicious use of SendNotifyMessage 64 IoCs

pid	Process
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe
768	taskmgr.exe

C:\Users\Admin\AppData\Local\Temp\XWorm_V3.0.exe
"C:\Users\Admin\AppData\Local\Temp\XWorm_V3.0.exe"
1⤵
- Suspicious use of AdjustPrivilegeToken
PID:1116

C:\Windows\system32\taskmgr.exe
"C:\Windows\system32\taskmgr.exe" /4
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:768

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/768-55-0x000007FEFC431000-0x000007FEFC433000-memory.dmp

Filesize
8KB

Download
memory/768-56-0x0000000140000000-0x00000001405E8000-memory.dmp

Filesize
5.9MB

Download
memory/1116-54-0x0000000000EA0000-0x0000000000EB8000-memory.dmp

Filesize
96KB

Download