gcleaner | 221bcbb6f1e707ecaa125418195255611c4cdc8617c1df7b3733b4173d7ec2ed

Analysis

max time kernel
72s
max time network
153s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
10-04-2023 11:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

606acab2c3f915e853caa66e73128c5e.exe
Size

262KB
MD5

606acab2c3f915e853caa66e73128c5e
SHA1

379c6c81fdd96f31f688c4aa33f61d0d7235d42a
SHA256

221bcbb6f1e707ecaa125418195255611c4cdc8617c1df7b3733b4173d7ec2ed
SHA512

42b065852f9f7225209604e02df0637caf5c5ba5799d4fe3bd728f795e660a5dbc371518cf4644d2cfe949aa9febce63c00ec652312efd848fa55174f55790c3
SSDEEP

6144:0g4wHoniMob+GbB3lV/0lxvJ8ZzxF115eiQc:0gRH3Rbb6xvJ8XFhei9

Score

10^/10

gcleaner loader

Malware Config

Extracted

Family

gcleaner

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

GCleaner
GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.
loader gcleaner
Downloads MZ/PE file

Program crash 12 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4416	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
2952	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
64	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
228	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
2668	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
3668	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
1796	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
1800	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
4820	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
3996	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
4024	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe
1276	3820	WerFault.exe	606acab2c3f915e853caa66e73128c5e.exe

C:\Users\Admin\AppData\Local\Temp\606acab2c3f915e853caa66e73128c5e.exe
"C:\Users\Admin\AppData\Local\Temp\606acab2c3f915e853caa66e73128c5e.exe"
1⤵
PID:3820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 740
2⤵
- Program crash
PID:4416

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 776
2⤵
- Program crash
PID:2952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 776
2⤵
- Program crash
PID:64

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 812
2⤵
- Program crash
PID:228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 904
2⤵
- Program crash
PID:2668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 980
2⤵
- Program crash
PID:3668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1012
2⤵
- Program crash
PID:1796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1496
2⤵
- Program crash
PID:1800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1540
2⤵
- Program crash
PID:4820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1572
2⤵
- Program crash
PID:3996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1544
2⤵
- Program crash
PID:4024

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3820 -s 1808
2⤵
- Program crash
PID:1276

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3820 -ip 3820
1⤵
PID:4348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 3820 -ip 3820
1⤵
PID:404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 3820 -ip 3820
1⤵
PID:4272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 3820 -ip 3820
1⤵
PID:324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 3820 -ip 3820
1⤵
PID:4392

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3820 -ip 3820
1⤵
PID:2604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3820 -ip 3820
1⤵
PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3820 -ip 3820
1⤵
PID:3596

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3820 -ip 3820
1⤵
PID:3824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3820 -ip 3820
1⤵
PID:2968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3820 -ip 3820
1⤵
PID:5020

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 3820 -ip 3820
1⤵
PID:4140

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/3820-134-0x0000000002210000-0x0000000002250000-memory.dmp

Filesize
256KB

Download
memory/3820-140-0x0000000000400000-0x00000000004AF000-memory.dmp

Filesize
700KB

Download