modiloader | 47de4305f658513d1b955f117bc3172658e1e05bd4b089b43d88c0cb48dec981

General

Target

0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
Size

766KB
MD5

a3718cfbe6a18dcd5793fdca81c7289f
SHA1

3f93c3da64feb54bb7b70842da4ddd4c6a1f881a
SHA256

0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153
SHA512

a3dc27ef3448085b69cae3fc727b63ea540659179a25149ed385941765708c20958dcef707acba9ac222faa4349956d40aeb8e9f74b84880d52068758c20243a
SSDEEP

12288:RNwFOVLJOth8orXYkGFGstVaTq/ZqPLX3UHA25TakgFye5TdFG:DTTOthtzGFhsT0ZqPLX3UHA2IdF

Score

10^/10

modiloader trojan

Malware Config

Signatures

ModiLoader, DBatLoader
ModiLoader is a Delphi loader that misuses cloud services to download other malicious families.
trojan modiloader

ModiLoader Second Stage 1 IoCs

Processes:

resource	yara_rule
behavioral2/memory/400-133-0x0000000002770000-0x000000000279C000-memory.dmp	modiloader_stage2

Program crash 1 IoCs

Processes:

WerFault.exe

pid pid_target process target process

2844 400 WerFault.exe 0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe

pid	pid_target	process	target process
2844	400	WerFault.exe	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe

pid	process
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
400	0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe

C:\Users\Admin\AppData\Local\Temp\0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe
"C:\Users\Admin\AppData\Local\Temp\0d7e2ea0f8269d0474c2d8de97da80b4c1333185f2ee6a602f4eff6e71759153.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
PID:400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 400 -s 1120
2⤵
- Program crash
PID:2844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 400 -ip 400
1⤵
PID:4372

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/400-133-0x0000000002770000-0x000000000279C000-memory.dmp

Filesize
176KB

Download
memory/400-135-0x00000000023D0000-0x00000000023D1000-memory.dmp

Filesize
4KB

Download
memory/400-136-0x0000000000400000-0x00000000004C9000-memory.dmp

Filesize
804KB

Download

Analysis

Sharing