Overview

overview

10

Static

static

1

c403333de7...11.exe

windows7-x64

10

c403333de7...11.exe

windows10-2004-x64

10

Analysis

  • max time kernel
    135s
  • max time network
    144s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20230220-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
  • submitted
    26-03-2023 16:33

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    c403333de741e184676165718fcf7111.exe

  • Size

    353KB

  • MD5

    c403333de741e184676165718fcf7111

  • SHA1

    fe1b3ebe150c6eeba997cb6d00cba91afe50c075

  • SHA256

    d05faa3accafd17c997f954412a861208477f3deb4a60e8154b8a75aaac05989

  • SHA512

    cef497cf8128fafc1ca28164a0ec8a68de7f3d825178ad627f20a183c4e0bea0eb2b30f8a76c9e6f30ad559860e92f920d5b2b94afc10fdc96dabe45d3cc21e8

  • SSDEEP

    6144:mk297oIiDDagb4XCpEHMnc6C65z6Gr5W/iNN4T:X297viDGgb4X7HcVX5z6Gr5dN

Score
10/10
gcleanerloader

Malware Config

Extracted

Family

gcleaner

C2

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

  • GCleaner

    GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.

    loadergcleaner
  • Downloads MZ/PE file
  • Program crash 12 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\c403333de741e184676165718fcf7111.exe
    "C:\Users\Admin\AppData\Local\Temp\c403333de741e184676165718fcf7111.exe"
    1⤵
      PID:3620
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 740
        2⤵
        • Program crash
        PID:4724
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 760
        2⤵
        • Program crash
        PID:932
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 760
        2⤵
        • Program crash
        PID:5044
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 740
        2⤵
        • Program crash
        PID:2004
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 904
        2⤵
        • Program crash
        PID:216
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 980
        2⤵
        • Program crash
        PID:4452
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1292
        2⤵
        • Program crash
        PID:5052
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1480
        2⤵
        • Program crash
        PID:4696
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1584
        2⤵
        • Program crash
        PID:1092
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1624
        2⤵
        • Program crash
        PID:2816
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1492
        2⤵
        • Program crash
        PID:4372
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1608
        2⤵
        • Program crash
        PID:4840
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 3620 -ip 3620
      1⤵
        PID:3772
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3620 -ip 3620
        1⤵
          PID:2132
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3620 -ip 3620
          1⤵
            PID:2188
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3620 -ip 3620
            1⤵
              PID:3892
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3620 -ip 3620
              1⤵
                PID:312
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3620 -ip 3620
                1⤵
                  PID:1352
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3620 -ip 3620
                  1⤵
                    PID:1692
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3620 -ip 3620
                    1⤵
                      PID:2012
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3620 -ip 3620
                      1⤵
                        PID:2168
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3620 -ip 3620
                        1⤵
                          PID:1988
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3620 -ip 3620
                          1⤵
                            PID:2032
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3620 -ip 3620
                            1⤵
                              PID:5100

                            Network

                            MITRE ATT&CK Matrix

                            Replay Monitor

                            Loading Replay Monitor...

                            Downloads

                            • memory/3620-134-0x0000000002E40000-0x0000000002E80000-memory.dmp

                              Filesize

                              256KB

                              Download

                            • memory/3620-140-0x0000000000400000-0x0000000002B86000-memory.dmp

                              Filesize

                              39.5MB

                              Download