gcleaner | d05faa3accafd17c997f954412a861208477f3deb4a60e8154b8a75aaac05989

Analysis

max time kernel
135s
max time network
144s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
26-03-2023 16:33

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

c403333de741e184676165718fcf7111.exe
Size

353KB
MD5

c403333de741e184676165718fcf7111
SHA1

fe1b3ebe150c6eeba997cb6d00cba91afe50c075
SHA256

d05faa3accafd17c997f954412a861208477f3deb4a60e8154b8a75aaac05989
SHA512

cef497cf8128fafc1ca28164a0ec8a68de7f3d825178ad627f20a183c4e0bea0eb2b30f8a76c9e6f30ad559860e92f920d5b2b94afc10fdc96dabe45d3cc21e8
SSDEEP

6144:mk297oIiDDagb4XCpEHMnc6C65z6Gr5W/iNN4T:X297viDGgb4X7HcVX5z6Gr5dN

Score

10^/10

gcleaner loader

Malware Config

Extracted

Family

gcleaner

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

GCleaner
GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.
loader gcleaner
Downloads MZ/PE file

Program crash 12 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4724	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
932	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
5044	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
2004	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
216	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
4452	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
5052	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
4696	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
1092	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
2816	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
4372	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe
4840	3620	WerFault.exe	c403333de741e184676165718fcf7111.exe

C:\Users\Admin\AppData\Local\Temp\c403333de741e184676165718fcf7111.exe
"C:\Users\Admin\AppData\Local\Temp\c403333de741e184676165718fcf7111.exe"
1⤵
PID:3620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 740
2⤵
- Program crash
PID:4724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 760
2⤵
- Program crash
PID:932

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 760
2⤵
- Program crash
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 740
2⤵
- Program crash
PID:2004

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 904
2⤵
- Program crash
PID:216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 980
2⤵
- Program crash
PID:4452

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1292
2⤵
- Program crash
PID:5052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1480
2⤵
- Program crash
PID:4696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1584
2⤵
- Program crash
PID:1092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1624
2⤵
- Program crash
PID:2816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1492
2⤵
- Program crash
PID:4372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3620 -s 1608
2⤵
- Program crash
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 3620 -ip 3620
1⤵
PID:3772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3620 -ip 3620
1⤵
PID:2132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 3620 -ip 3620
1⤵
PID:2188

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3620 -ip 3620
1⤵
PID:3892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3620 -ip 3620
1⤵
PID:312

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3620 -ip 3620
1⤵
PID:1352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3620 -ip 3620
1⤵
PID:1692

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3620 -ip 3620
1⤵
PID:2012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3620 -ip 3620
1⤵
PID:2168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3620 -ip 3620
1⤵
PID:1988

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3620 -ip 3620
1⤵
PID:2032

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3620 -ip 3620
1⤵
PID:5100

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3620-134-0x0000000002E40000-0x0000000002E80000-memory.dmp

Filesize
256KB

Download
memory/3620-140-0x0000000000400000-0x0000000002B86000-memory.dmp

Filesize
39.5MB

Download