General
-
Target
http://prosis.vce.volvo.com/Apps/PROSIS/ProsisViewer.application
-
Sample
230329-jsn1tsha4w
Score
10/10
Malware Config
Extracted
Path
C:\Users\Admin\AppData\Local\Temp\Deployment\TJ4LAVRJ.GE0\9O9GHXL4.4B1\System.Configuration.ConfigurationManager.dll
Ransom Note
MZ��������������������@��������������������������������������� ��� �!�L�!This program cannot be run in DOS mode.
$�������PE��L�ʪ�����������"
0�� ��
������?�� ���@����� �������������������������s��`�����������������������������>�O����@�������������,�h$���`�
����=�T�������������������������������������������� ������������� ��H�����������.text��� �� ��� ���������������� ��`.rsrc�������@�����"�������������@��@.reloc��
����`�����*�������������@��B�����������������>�����H����� ,��$��� �������D����}��
=�������������������������������������~��*�0�
�����(��,*
(
��o��
�&��*������
����0������(��
(��
-,**�(��,r��p���%�%�(��
*(��
*�(��,
r��p���%�%�%�(��
*(��
*�(��,!r��p���%�%�%�%�(��
*(��
*�,&(��,r��pr��p(��
(��
*(��
**�(��,r��p���%�%�(��
*(
��
*�(��,
r��p���%�%�%�(��
*(
��
*�(��,"r��p���%�%�%�%�(��
*(
��
*�,'(��,r��pr��p(��
(��
*( ��
**~~��%-&���( ��
s!��
%���*.r��p(��*.r+��p(��*.rW��p(��*.r���p(��*.r���p(��*.r���p(��*.r���p(��*.r5�p(��*.r��p(��*.r��p(��*.r��p(��*.rY�p(��*.r��p(��*.r
�p(��*.r��p(��*.r��p(��*.r[�p(��*.r��p(��*.r�p(��*.ra�p(��*.r��p(��*.r��p(��*.rI�p(��*.r��p(��*.r��p(��*.r[�p(��*.r��p(��*.r�p(��*.rm�p(��*.r��p(��*.r �p(��*.r� �p(��*.r� �p(��*.r
�p(��*.rQ
�p(��*.r�
�p(��*.r�
�p(��*.r3
�p(��*.r�
�p(��*.r�
�p(��*.r
�p(��*.ri
�p(��*.r�
�p(��*.r
�p(��*.rW
�p(��*.r�
�p(��*.r�
�p(��*.r+�p(��*.rm�p(��*.r��p(��*.rO�p(��*.r��p(��*.r1�p(��*.r��p(��*.r
�p(��*.r��p(��*.r�p(��*.r��p(��*.r��p(��*.r%�p(��*.re�p(��*.r��p(��*.r�p(��*.rY�p(��*.r��p(��*.r��p(��*.r'�p(��*.ro�p(��*.r��p(��*.r�p(��*.r]�p(��*.r��p(��*.r��p(��*.rE�p(��*.r��p(��*.r��p(��*.r�p(��*.rK�p(��*.r��p(��*.r��p(��*.rK�p(��*.r��p(��*.r��p(��*.r/�p(��*.ra�p(��*.r��p(��*.r��p(��*.r�p(��*.rQ�p(��*.r��p(��*.r
�p(��*.ro
�p(��*.r�
�p(��*.r?
�p(��*.r�
�p(��*.r�
�p(��*.r�
�p(��*.r;
�p(��*.rw
�p(��*.r�
�p(��*.r�
�p(��*.r
�p(��*.rU �p(��*.r� �p(��*.r� �p(��*.r� �p(��*.r[ �p(��*.r� �p(��*.r� �p(��*.r=!�p(��*.ry!�p(��*.r�!�p(��*.r�!�p(��*.rC"�p(��*.rk"�p(��*.r�"�p(��*.r�"�p(��*.r#�p(��*.ri#�p(��*.r�#�p(��*.r�#�p(��*.r�#�p(��*.r $�p(��*.rO$�p(��*.rs$�p(��*.r�$�p(��*.r�$�p(��*.r %�p(��*.r#%�p(��*.ri%�p(��*.r�%�p(��*.r�%�p(��*.r�%�p(��*.rG&�p(��*.rs&�p(��*.r�&�p(��*.r�&�p(��*.r
'�p(��*.rg'�p(��*.r�'�p(��*.r�'�p(��*.r�'�p(��*.r-(�p(��*.r�(�p(��*.r�(�p(��*.rC)�p(��*.r�)�p(��*.r�)�p(��*.rE*�p(��*.r�*�p(��*.r�*�p(��*.r�*�p(��*.r;+�p(��*.r�+�p(��*.r�+�p(��*.r�+�p(��*.r5,�p(��*.ro,�p(��*.r�,�p(��*.r-�p(��*.rS-�p(��*.r�-�p(��*.r�-�p(��*.r%.�p(��*.ry.�p(��*.r�.�p(��*.r�.�p(��*.r-/�p(��*.rs/�p(��*.r�/�p(��*.r�/�p(��*.r
0�p(��*.r�0�p(��*.r1�p(��*.rb1�p(��*.r�1�p(��*.r�1�p(��*.r2�p(��*.r`2�p(��*.r�2�p(��*.r�2�p(��*.r63�p(��*.rh3�p(��*.r�3�p(��*.r�3�p(��*.r�3�p(��*.r4�p(��*.r44�p(��*.rf4�p(��*.r�4�p(��*.r�4�p(��*.r5�p(��*.r25�p(��*.r`5�p(��*.r�5�p(��*.r�5�p(��*.r6�p(��*.r\6�p(��*.r�6�p(��*.r�6�p(��*.r�6�p(��*���0������r
7�p�("��
-+���*:(#��
}��*
{��*"(���*"(���*"(���*"(���*"(���*BSJB������
���v4.0.30319�����l���#��#~��t#��83��#Strings�����V��l7��#US�������#GUID���(������#Blob���������W������3������ ��� ����������#���#���
��������������������������������p������Z(��Z(��((��(����+�b��;(��;(���
��z(�
�
���
�G�
���
��
�%�
�.�
���
�D-��"z(�n z(�x�k"���&Z(�Y+�����%
��
��0����4���������=��"M�����=�M�������+a�������+�������+�������+������A+������c+����1��,N��"Q!��UP ������{,X�X ������E\�� ������Ea�� �������,B��� �������,H��!�������,O� �A!�������,;�
�m!�������,^���!�������,f���!�������,o���!�������,y��)"������"g
�I"�����l
�U"�����X2l
�a"�����r2l
�m"�����%l
�y"������&l
��"������ l
��"������
l
��"�����.$l
��"������
l
��"�����ql
��"�������l
��"������+l
��"�����5l
��"������l
��"�����,l
��"������l
� #�����Hl
�#������
l
�!#�����x$l
�-#������l
�9#������l
�E#������!l
�Q#����� l
�]#�����]*l
�i#������*l
�u#������*l
��#������l
��#�����K,l
��#�����"l
��#������l
��#�����j+l
��#������l
��#������.l
��#�����Tl
��#�����n�l
��#�����G1l
��#�����~l
�$�������l
�$������.l
�
$������1l
�)$������l
�5$����� 0l
�A$�����_l
�M$�����a/l
�Y$�����El
�e$�����x.l
�q$�����e
l
�}$�����
l
��$�����ll
��$������ l
��$�����~l
��$�����Fl
��$�����Sl
��$������-l
��$������l
��$������l
��$������l
��$������(l
�%�����s l
�
%������&l
�%������+l
�%%������l
�1%������l
�=%�����Ql
�I%������l
�U%������0l
�a%������/l
�m%������/l
�y%������#l
��%������l
��%�����7l
��%�����; l
��%�����T)l
��%������
l
��%�����ll
��%�����J
l
��%������l
��%������$l
��%�����%l
��%������$l
� &�����l
�&�����7l
�!&������/l
�-&�����:l
�9&������
l
�E&�����x l
�Q&������l
�]&������
l
�i&�����4 l
�u&�����$
l
��&�����Zl
��&�����l
��&������l
��&������l
��&������l
��&�����El
��&������l
��&�����K-l
��&�����&-l
��&������,l
��&�����+l
�'������
l
�'�����'l
�
'�����m-l
�)'������l
�5'�����>l
�A'������l
�M'�����l
�Y'������
l
�e'������l
�q'�����B
l
�}'�����*
l
��'����� l
��'�����Jl
��'�����l
��'�����g
l
��'�����bl
��'������l
��'������
l
��'�����@�l
��'������l
��'�����vl
�(������,l
�
(�����xl
�(�����
l
�%(������l
�1(������-l
�=(�����I&l
�I(������
l
�U(������l
�a(�����Sl
�m(�����jl
�y(������l
��(������&l
��(������2l
��(������&l
��(������l
��(�����6l
��(������&l
��(������l
��(�����\�l
��(������l
��(�����-/l
��(������l
� )�����N
l
�)�����
l
�!)������'l
�-)������
l
�9)������
l
�E)������l
�Q)�����Wl
�])������0l
�i)������l
�u)�����6+l
��)�����
l
��)������l
��)������l
��)������)l
��)�����hl
��)�����{"l
��)������l
��)�����/'l
��)������,l
��)������ l
��)�����'l
�*������0l
�*������l
�
*������2l
�)*�����k1l
�5*�����Z&l
�A*�����Wl
�M*������l
�Y*������ l
�e*������l
�q*�����[l
�}*������l
��*�����l
��*������l
��*�����l
��*�����
l
��*������l
��*������l
��*�����l
��*�����E
l
��*�����)l
��*�����&)l
�+�����>)l
�
+�����:l
�+������1l
�%+������
l
�1+�����*l
�=+������l
�I+�����,1l
�U+������
l
�a+�����ol
�m+������l
�y+������2l
��+������1l
��+������(l
��+�����/l
��+�����
l
��+�����
(p
��+�����(�
��+�����$
t ��+�����(� ��+�����(� �,�����(�!�,�����(�"�,�����(�#���� 1��� 1���a����,��������,�������.�����,�������.����1�����,���X*����"����,��������"����,�������.�����"����,�������.����1�����"����,���X*���5
���5
���5
���5
���5
���5
�(��(��(
�)�(�1�(�A�(�I�(�Q�(�Y�( �a�(�i�(�q�(�y�(���(���(���(���(���(���(&���W0���625���C;����,B����,H����,O����,W����,;����,^����,f����,o����,y����
����(���������(�.�
��.���.���.�#��.�+�.�3�
.�;�.�C�B.�K�M.�K�i.�K�.�S��.�[��.�c��.�k��.�s��.�{�4.���.�K�Ja���������������������#������������,�����������"x��}��\2}��v2}��)}���&}��� }���
}��2$}���
}��u}����}���+}��9}��}��,}���}��L}���
}��|$}���}��}���!}��#}��a*}���*}���*}���}��O,}��&}���}��n+}���}���.}��X}��r�}��K1}���}����}���.}���1}���}��#0}��c}��e/}��I}��|.}��i
}��}��p}��� }���}��J}��W}���-}���}���}���}���)}��w }���&}���+}���}���}��U}���}���0}���/}���/}��$}���}��;}��? }��X)}���
}��p}��N
}���}���$}��%}���$}��}��;}���/}��>}���
}��| }���}���
}��8 }��(
}��^}�� }���}���}���}��I}���}��O-}��*-}���,}��+}���
}��'}��q-}���}��B}���}��
}���
}���}��F
}��.
}��
}��N}��}��k
}��f}���}���
}��D�}���}��z}���,}��|}��
}���}���-}��M&}���
}���}��W}��n}���}���&}���2}���&}���}��:}���&}���}��`�}���}��1/}���}��R
}��
}���'}���
}���
}���}��[}���0}���}��:+}��}���}���}���)}��l}��"}���}��3'}��-}��� }��+}���0}���}���2}��o1}��^&}��[}���}��� }���}��_}���}��}���}��}��!}���}���}��}��I
}��-}��*)}��B)}��>}���1}���
}��.}���}��01}���
}��s}���}���2}���1}���(}��/}��
}��(
��
���
������� ���
���
������������������������
��� ���!��
�#��
�%��
�'�� �)�� �+��!�-��"�/��#�1��$�3��%�5��&�7��'�9��(�;��)�=��*�?��+�A��,�C��-�E��.�G��/�I��0�K��1�M��2�O��3�Q��4�S��5�U��6�W��7�Y��8�[��9�]��:�_��;�a��<�c��=�e��>�g��?�i��@�k��A�m��B�o��C�q��D�s��E�u��F�w��G�y��H�{��I�}��J���K����L����M����N����O����P����Q����R����S����T����U����V����W����X����Y����Z����[����\����]����^����_����`����a����b����c����d����e����f����g����h����i����j����k����l����m����n����o����p����q����r����s����t����u����v����w����x����y����z����{����|����}����~����������������������������������������������������������������������������� ���
���
������������������������
��� ���!���#���%���'���)���+���-���/���1���3���5���7���9���;���=���?���A���C���E���G���I���K���M���O���Q���S���U���W���Y���[���]���_���a���c���e���g���i���k���m���o���q���s���u���w���y���{���}�������������������������������������������������������������������"���������������S������������������������������������������������������������ �����F� ��� ������
� ��� �����_!� ��� ������!� ��� �����~
�
��� ������'�
��� �����6�
��� ������
� ��� ������
�
��� ������%�
��� �������
��� �����/ �
��� ����� �
��� �����K�
��� �����Y
�
��� �����c.�
��� ������
�
��� �����
�
��� �����3�
��� ������ �
��� ������ � ��� �����0!�
��� �����y�
��� �����#
�
��� �����
�
��� ������"�
��� ������2�
��� �������
��� ������
�
��� ������*�
��� ������ �
��� �����0
�
��� ������
�
��� �����E!�
��� ������
�
��� ������)� ��� ������
��� �����t�
��� �����t
�
��� ������.� ��� ������)�
��� �����)
�
��� �����e
�
��� �����4�
��� ������
�
��� �����)� ��� ������'�
��� �����y#� ��� �����"�
��� �����!�
��� �����-!�
��� ������0�
��� ������%�
��� �����N"� ��� �����\#� ��� ������� ��� �����2.� ��� �������
��� �����#� ��� �����4&�
��� ������%�
��� ������'�
��� �������
��� �����O0�
��� �����
!�
��� �������
��� �����\$�
��� �������
��� �����x0�
��� ������1�
��� �����d0�
��� �����
�
��� ������/�
��� �����2�
��� �������
��� �����'*�
��� ������#�
��� �����-�
��� ������)� ��� �����
.� ��� �����" � ��� ������
�
��� �����[.�
��� �����4"� ��� �����'�
��� ����� �
��� �����a
�
��� �����=.�
��� ������"� ��� �����,#� ��� ������� ��� ������ �
��� ������'�
��� �����Q�
��� �����G�
��� �����C
�
��� �����/�
��� �������
��� �����"�
��� ������
�
��� �����'
�
��� ������)�
��� �����L
�!
��� �����
�!
��� ������ �!
��� ������)�
��� �����L
�
��� �����j'�
��� ������
��� ������!�
��� �����
.� ��� �����g
� ��� ������
��� ������� ��� �����?*� ��� ������#� ��� �����#.� ��� �����m
� ��� ������1� ��� ������
� ��� ������0� ��� ������� ��� �����l� ��� ������ ��� �����*� ��� ������#� ��� �����B2� ��� ������� ��� �����
3� ��� ������
� ��� ������ � ��� �����L � ��� ������� ��� ������
� ��� ������ � ��� �����Z"� ��� ������� ��� �����
� ��� ������#� ��� �����(� ��� ������� ��� ������-� ��� �����D#� ��� ������� ��� ������� ��� �����o'�
��� ������
��� �����T'�
��� �������
��� �����&�
��� �����j%�
��� �����&�
��� �����G%�
��� ������'�
��� �����Y�
��� �����5%�
��� �����
� ��� �����h� ��� �����x!� ��� �����B�
��� ������%�
��� �����
���� ������
���������(���{�����������p1�get_Could_not_create_from_default_value_2�p2�p3�<Module>�SR�get_DPAPI_bad_data�mscorlib�get_TypeNotPublic�get_Config_base_invalid_attribute_to_lock_by_add�get_Config_base_invalid_element_to_lock_by_add�get_Config_add_configurationsection_already_added�get_Config_add_configurationsectiongroup_already_added�get_Config_file_has_changed�get_Config_cannot_edit_configurationsection_when_not_attached�get_Config_cannot_edit_configurationsectiongroup_when_not_attached�get_Config_base_required_attribute_locked�get_Config_base_attribute_locked�get_Config_base_collection_item_locked�get_Config_cannot_edit_configurationsection_when_locked�get_Config_cannot_edit_configurationsection_when_location_locked�get_Config_section_locked�get_Config_base_element_locked�get_ProviderTypeLoadFailed�get_SettingsSaveFailed�get_ProviderInstantiationFailed�get_Config_write_failed�get_Decryption_failed�get_Encryption_failed�get_Config_tag_name_already_defined�get_Config_source_cannot_be_shared�get_Config_cannot_edit_configurationsection_when_it_is_undeclared�get_ObjectDisposed_StreamClosed�get_Config_more_data_than_expected�get_Config_root_section_group_cannot_be_edited�get_UserSettingsNotSu
Targets
-
-
Target
http://prosis.vce.volvo.com/Apps/PROSIS/ProsisViewer.application
Score10/10-
Detected phishing page
-
Downloads MZ/PE file
-
Executes dropped EXE
-
Loads dropped DLL
-
Checks installed software on the system
Looks up Uninstall key entries in the registry to enumerate software on the system.
-