Overview

overview

10

Static

static

1

cc68d40519...cf.exe

windows7-x64

10

cc68d40519...cf.exe

windows10-2004-x64

10

Analysis

  • max time kernel
    64s
  • max time network
    129s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20230220-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
  • submitted
    13-04-2023 02:10

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    cc68d405191b4c0ab00b08fd6d113e8868d62a00dc0a885210009d23785969cf.exe

  • Size

    268KB

  • MD5

    f21efcb5c2715aafd457478084db045f

  • SHA1

    b0fb21af51ebff998642d30c1f6e02fce570d61a

  • SHA256

    cc68d405191b4c0ab00b08fd6d113e8868d62a00dc0a885210009d23785969cf

  • SHA512

    bea2a02f0206d01cf3e29a69611b16a0797116e0e82f470741d3670d534fddcd584b2d94903d41dba496fa9181b30f892b8b59299b36e62432b4f96176147b60

  • SSDEEP

    6144:gpThQkai/QNQSiDPf3YqB6RQu9OjYgn1Skhg7yESVESB:gpThQkai/QNQSirf3vByQuexnNtV7B

Score
10/10
gcleanerloader

Malware Config

Extracted

Family

gcleaner

C2

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

  • GCleaner

    GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.

    loadergcleaner
  • Downloads MZ/PE file
  • Program crash 14 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\cc68d405191b4c0ab00b08fd6d113e8868d62a00dc0a885210009d23785969cf.exe
    "C:\Users\Admin\AppData\Local\Temp\cc68d405191b4c0ab00b08fd6d113e8868d62a00dc0a885210009d23785969cf.exe"
    1⤵
      PID:4244
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 740
        2⤵
        • Program crash
        PID:4520
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 748
        2⤵
        • Program crash
        PID:1800
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 748
        2⤵
        • Program crash
        PID:4524
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 836
        2⤵
        • Program crash
        PID:5024
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 904
        2⤵
        • Program crash
        PID:396
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 952
        2⤵
        • Program crash
        PID:2932
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 988
        2⤵
        • Program crash
        PID:4908
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1500
        2⤵
        • Program crash
        PID:3976
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1596
        2⤵
        • Program crash
        PID:1376
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1772
        2⤵
        • Program crash
        PID:2688
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1776
        2⤵
        • Program crash
        PID:2768
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1812
        2⤵
        • Program crash
        PID:4372
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1776
        2⤵
        • Program crash
        PID:4464
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 1848
        2⤵
        • Program crash
        PID:5032
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 4244 -ip 4244
      1⤵
        PID:1524
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4244 -ip 4244
        1⤵
          PID:4392
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 4244 -ip 4244
          1⤵
            PID:4492
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4244 -ip 4244
            1⤵
              PID:2044
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4244 -ip 4244
              1⤵
                PID:3808
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4244 -ip 4244
                1⤵
                  PID:552
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4244 -ip 4244
                  1⤵
                    PID:3864
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 396 -p 4244 -ip 4244
                    1⤵
                      PID:768
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4244 -ip 4244
                      1⤵
                        PID:1908
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 4244 -ip 4244
                        1⤵
                          PID:2928
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4244 -ip 4244
                          1⤵
                            PID:3712
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 396 -p 4244 -ip 4244
                            1⤵
                              PID:4212
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 4244 -ip 4244
                              1⤵
                                PID:3756
                              • C:\Windows\SysWOW64\WerFault.exe
                                C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4244 -ip 4244
                                1⤵
                                  PID:2208

                                Network

                                MITRE ATT&CK Matrix

                                Replay Monitor

                                Loading Replay Monitor...

                                Downloads

                                • memory/4244-134-0x0000000000650000-0x0000000000690000-memory.dmp

                                  Filesize

                                  256KB

                                  Download

                                • memory/4244-135-0x0000000000400000-0x00000000004B1000-memory.dmp

                                  Filesize

                                  708KB

                                  Download

                                • memory/4244-142-0x0000000000400000-0x00000000004B1000-memory.dmp

                                  Filesize

                                  708KB

                                  Download