gcleaner | c429233f7d76a3f01644230daccfae982333b995d2eda22b55e2201da5707f18

Analysis

max time kernel
135s
max time network
156s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
06-04-2023 10:26

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5752cf15c70b5d14bfdad4f1a9a413bd.exe
Size

259KB
MD5

5752cf15c70b5d14bfdad4f1a9a413bd
SHA1

2e635bd964e74514a8bd17a01dac66cbe074ccbf
SHA256

c429233f7d76a3f01644230daccfae982333b995d2eda22b55e2201da5707f18
SHA512

2a217c5e69d67ac46a4d3d81efadbca7ba84c01d829613670bd6501502cb9890f2640a864a78b7277c2f03151c3ae993c8b2673b6bf43c037b5fc6d256a842db
SSDEEP

6144:PF4afpaEbTdm5nM8aHN71P0qzrJKeryMDjoT:PrfAGTWnRKJ4eb4

Score

10^/10

gcleaner loader

Malware Config

Extracted

Family

gcleaner

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

GCleaner
GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.
loader gcleaner
Downloads MZ/PE file

Program crash 12 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
996	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
1240	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
1256	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
1760	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
4256	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
2536	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
2124	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
3968	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
4604	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
1476	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
4264	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe
4728	3888	WerFault.exe	5752cf15c70b5d14bfdad4f1a9a413bd.exe

C:\Users\Admin\AppData\Local\Temp\5752cf15c70b5d14bfdad4f1a9a413bd.exe
"C:\Users\Admin\AppData\Local\Temp\5752cf15c70b5d14bfdad4f1a9a413bd.exe"
1⤵
PID:3888

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 748
2⤵
- Program crash
PID:996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 776
2⤵
- Program crash
PID:1240

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 776
2⤵
- Program crash
PID:1256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 812
2⤵
- Program crash
PID:1760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 904
2⤵
- Program crash
PID:4256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 904
2⤵
- Program crash
PID:2536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1320
2⤵
- Program crash
PID:2124

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1300
2⤵
- Program crash
PID:3968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1564
2⤵
- Program crash
PID:4604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1512
2⤵
- Program crash
PID:1476

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1768
2⤵
- Program crash
PID:4264

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1560
2⤵
- Program crash
PID:4728

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3888 -ip 3888
1⤵
PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3888 -ip 3888
1⤵
PID:4896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3888 -ip 3888
1⤵
PID:2376

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3888 -ip 3888
1⤵
PID:2232

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3888 -ip 3888
1⤵
PID:1828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 3888 -ip 3888
1⤵
PID:2528

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3888 -ip 3888
1⤵
PID:3548

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3888 -ip 3888
1⤵
PID:368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3888 -ip 3888
1⤵
PID:4616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3888 -ip 3888
1⤵
PID:3644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3888 -ip 3888
1⤵
PID:4272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 3888 -ip 3888
1⤵
PID:3192

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3888-134-0x0000000002200000-0x0000000002240000-memory.dmp

Filesize
256KB

Download
memory/3888-135-0x0000000000400000-0x00000000004AF000-memory.dmp

Filesize
700KB

Download
memory/3888-136-0x0000000002200000-0x0000000002240000-memory.dmp

Filesize
256KB

Download
memory/3888-142-0x0000000000400000-0x00000000004AF000-memory.dmp

Filesize
700KB

Download