gcleaner | e0e758888422f06ff6bcf6fd19dfbd529ed2ae71c5b852d0a2b5be587d457145

Analysis

max time kernel
87s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
10-04-2023 11:11

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

eed22a57d3dc9000e30f4e3c561125af.exe
Size

270KB
MD5

eed22a57d3dc9000e30f4e3c561125af
SHA1

ca594bf4b5825d01e2b660fb41efea25b3bfb00e
SHA256

e0e758888422f06ff6bcf6fd19dfbd529ed2ae71c5b852d0a2b5be587d457145
SHA512

246aed3a2402c3e6f29a07a3fcd51b46bbb5a90d9c53a9e5c0cd3ed50cffef94337da495e0191876e249a3dfd712440ef458942524df9cfc0daa777f04dc941d
SSDEEP

6144:OkLf8PxnxS81pRf5NMRLJrDutQyGZ/mI:OkDCr1peRLdc8

Score

10^/10

gcleaner loader

Malware Config

Extracted

Family

gcleaner

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

GCleaner
GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.
loader gcleaner
Downloads MZ/PE file

Program crash 13 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
3228	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
3628	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
1160	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
1372	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
4272	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
1480	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
4068	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
3732	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
1284	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
3244	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
3000	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
3884	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe
1432	1036	WerFault.exe	eed22a57d3dc9000e30f4e3c561125af.exe

C:\Users\Admin\AppData\Local\Temp\eed22a57d3dc9000e30f4e3c561125af.exe
"C:\Users\Admin\AppData\Local\Temp\eed22a57d3dc9000e30f4e3c561125af.exe"
1⤵
PID:1036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 740
2⤵
- Program crash
PID:3228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 760
2⤵
- Program crash
PID:3628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 760
2⤵
- Program crash
PID:1160

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 832
2⤵
- Program crash
PID:1372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 904
2⤵
- Program crash
PID:4272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 908
2⤵
- Program crash
PID:1480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1064
2⤵
- Program crash
PID:4068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1488
2⤵
- Program crash
PID:3732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1552
2⤵
- Program crash
PID:1284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1776
2⤵
- Program crash
PID:3244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1564
2⤵
- Program crash
PID:3000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1568
2⤵
- Program crash
PID:3884

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1036 -s 1732
2⤵
- Program crash
PID:1432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 1036 -ip 1036
1⤵
PID:2788

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 1036 -ip 1036
1⤵
PID:3180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1036 -ip 1036
1⤵
PID:3712

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 1036 -ip 1036
1⤵
PID:1520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 1036 -ip 1036
1⤵
PID:2108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 1036 -ip 1036
1⤵
PID:3360

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1036 -ip 1036
1⤵
PID:3520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 1036 -ip 1036
1⤵
PID:4648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1036 -ip 1036
1⤵
PID:180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1036 -ip 1036
1⤵
PID:3080

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 1036 -ip 1036
1⤵
PID:2324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1036 -ip 1036
1⤵
PID:4404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 1036 -ip 1036
1⤵
PID:5080

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/1036-134-0x0000000000610000-0x0000000000650000-memory.dmp

Filesize
256KB

Download
memory/1036-140-0x0000000000400000-0x00000000004B1000-memory.dmp

Filesize
708KB

Download