441c40dab907570edb0bbd3e3877d337a7656799d8c185831deaad1cd7d5ee26

Analysis

max time kernel
1439s
max time network
1223s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
18/04/2023, 15:25

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

COVAULT-19 (server)/COVAULT-19.exe
Size

517KB
MD5

6f47cbc498ca869d95a2b98c1958110e
SHA1

1b98c2946eb7a130ce03fa3168fac65b1db4ddbf
SHA256

569d2dda14d54d9cf6a064138b9ae0f08b44023219eb71c9729ee4397311113d
SHA512

771b95f0b16fa15843cd5121e26fb2a1f7b06f4864e2a4a601fae9f7193b32801ab419ff67d00f544814c5d63ab8592b59567f46245d87134bc777118df59b51
SSDEEP

12288:MLDnyp4enDbOQX3P1Xm1Op7/OdogdwiKB6NrfTkvnR/2x:MPyp4eDjX3PAm7mdogo6rfTEW

Score

3^/10

Malware Config

Signatures

Program crash 4 IoCs

pid	pid_target	Process	procid_target
13920	13664	WerFault.exe	559
13964	13704	WerFault.exe	555
12688	12360	WerFault.exe	661
13576	4056	WerFault.exe	672

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3692 wrote to memory of 4520	3692	cmd.exe	101
PID 3692 wrote to memory of 4520	3692	cmd.exe	101
PID 3692 wrote to memory of 4176	3692	cmd.exe	102
PID 3692 wrote to memory of 4176	3692	cmd.exe	102
PID 3692 wrote to memory of 3432	3692	cmd.exe	103
PID 3692 wrote to memory of 3432	3692	cmd.exe	103
PID 3692 wrote to memory of 3116	3692	cmd.exe	107
PID 3692 wrote to memory of 3116	3692	cmd.exe	107
PID 3692 wrote to memory of 3476	3692	cmd.exe	140
PID 3692 wrote to memory of 3476	3692	cmd.exe	140
PID 3692 wrote to memory of 4316	3692	cmd.exe	139
PID 3692 wrote to memory of 4316	3692	cmd.exe	139
PID 3692 wrote to memory of 4964	3692	cmd.exe	138
PID 3692 wrote to memory of 4964	3692	cmd.exe	138
PID 3692 wrote to memory of 3192	3692	cmd.exe	137
PID 3692 wrote to memory of 3192	3692	cmd.exe	137
PID 3692 wrote to memory of 392	3692	cmd.exe	136
PID 3692 wrote to memory of 392	3692	cmd.exe	136
PID 3692 wrote to memory of 3744	3692	cmd.exe	135
PID 3692 wrote to memory of 3744	3692	cmd.exe	135
PID 3692 wrote to memory of 4120	3692	cmd.exe	134
PID 3692 wrote to memory of 4120	3692	cmd.exe	134
PID 3692 wrote to memory of 3448	3692	cmd.exe	133
PID 3692 wrote to memory of 3448	3692	cmd.exe	133
PID 3692 wrote to memory of 2316	3692	cmd.exe	132
PID 3692 wrote to memory of 2316	3692	cmd.exe	132
PID 3692 wrote to memory of 4028	3692	cmd.exe	131
PID 3692 wrote to memory of 4028	3692	cmd.exe	131
PID 3692 wrote to memory of 3188	3692	cmd.exe	108
PID 3692 wrote to memory of 3188	3692	cmd.exe	108
PID 3692 wrote to memory of 4400	3692	cmd.exe	130
PID 3692 wrote to memory of 4400	3692	cmd.exe	130
PID 3692 wrote to memory of 3724	3692	cmd.exe	128
PID 3692 wrote to memory of 3724	3692	cmd.exe	128
PID 3692 wrote to memory of 3376	3692	cmd.exe	126
PID 3692 wrote to memory of 3376	3692	cmd.exe	126
PID 3692 wrote to memory of 1596	3692	cmd.exe	124
PID 3692 wrote to memory of 1596	3692	cmd.exe	124
PID 3692 wrote to memory of 1972	3692	cmd.exe	122
PID 3692 wrote to memory of 1972	3692	cmd.exe	122
PID 3692 wrote to memory of 2188	3692	cmd.exe	141
PID 3692 wrote to memory of 2188	3692	cmd.exe	141
PID 3692 wrote to memory of 4692	3692	cmd.exe	142
PID 3692 wrote to memory of 4692	3692	cmd.exe	142
PID 3692 wrote to memory of 2140	3692	cmd.exe	185
PID 3692 wrote to memory of 2140	3692	cmd.exe	185
PID 3692 wrote to memory of 2332	3692	cmd.exe	184
PID 3692 wrote to memory of 2332	3692	cmd.exe	184
PID 3692 wrote to memory of 1600	3692	cmd.exe	183
PID 3692 wrote to memory of 1600	3692	cmd.exe	183
PID 3692 wrote to memory of 548	3692	cmd.exe	182
PID 3692 wrote to memory of 548	3692	cmd.exe	182
PID 3692 wrote to memory of 3320	3692	cmd.exe	181
PID 3692 wrote to memory of 3320	3692	cmd.exe	181
PID 3692 wrote to memory of 264	3692	cmd.exe	180
PID 3692 wrote to memory of 264	3692	cmd.exe	180
PID 3692 wrote to memory of 1648	3692	cmd.exe	179
PID 3692 wrote to memory of 1648	3692	cmd.exe	179
PID 3692 wrote to memory of 3696	3692	cmd.exe	178
PID 3692 wrote to memory of 3696	3692	cmd.exe	178
PID 3692 wrote to memory of 2560	3692	cmd.exe	177
PID 3692 wrote to memory of 2560	3692	cmd.exe	177
PID 3692 wrote to memory of 4440	3692	cmd.exe	176
PID 3692 wrote to memory of 4440	3692	cmd.exe	176

C:\Users\Admin\AppData\Local\Temp\COVAULT-19 (server)\COVAULT-19.exe
"C:\Users\Admin\AppData\Local\Temp\COVAULT-19 (server)\COVAULT-19.exe"
1⤵
PID:4628

C:\Windows\system32\NOTEPAD.EXE
"C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\4 big guyw.txt
1⤵
PID:2964

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\Desktop\4 big guyw.bat" "
1⤵
- Suspicious use of WriteProcessMemory
PID:3692
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4520
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4176
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3432
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3116
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3188
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1972
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1596
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3376
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3724
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4400
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4028
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2316
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3448
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4120
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3744
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:392
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3192
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4964
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4316
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3476
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2188
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4692
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4324
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3472
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3384
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1664
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4396
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3716
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2476
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3180
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1312
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2916
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4208
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4440
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2560
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3696
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1648
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:264
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3320
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:548
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1600
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2332
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2140
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2292
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:956
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5168
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5160
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5140
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5124
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4996
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1000
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:1008
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4740
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2604
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5800
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5824
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5832
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5996
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:340
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6172
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6164
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6156
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6148
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5244
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4524
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6136
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6128
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6112
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6084
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6068
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6044
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6028
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:6012
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5984
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5972
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5964
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5956
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5944
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5932
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5924
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5916
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5908
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5900
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5892
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5884
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5876
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:5816
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7716
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7684
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7668
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7660
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7648
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7640
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7632
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7624
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7616
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7608
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7600
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7592
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7584
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7576
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7568
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7560
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7552
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7544
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7528
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7512
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7496
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7472
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7448
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7440
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7432
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7424
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7408
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7384
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7376
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7368
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7360
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7352
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7344
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7336
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7328
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7320
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7312
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7300
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7292
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7284
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7276
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7268
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7260
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7252
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7244
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7236
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7228
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7220
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7212
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:7196
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9036
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9460
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9488
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9632
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9948
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9932
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9904
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9888
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9872
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9856
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9848
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9840
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9816
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9800
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9784
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9760
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9744
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9728
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9720
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9704
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9688
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9672
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9664
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9656
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9640
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9624
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9616
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9608
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9592
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9584
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9576
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9568
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9560
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9552
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9544
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9516
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9500
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9476
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:10764
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11228
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9972
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11336
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11328
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11320
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11312
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11304
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11296
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11288
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11280
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11272
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11244
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11252
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2216
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:10284
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4744
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9756
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9916
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:10276
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9944
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:9700
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:10076
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12144
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12152
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11708
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12592
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12316
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2672
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3380
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13296
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13284
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13260
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13252
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13232
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13208
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13192
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13180
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13168
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13152
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13136
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13120
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13112
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13104
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13096
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13088
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13080
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13072
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13064
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13056
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13048
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13040
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13032
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13024
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13016
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13008
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:13000
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12992
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12984
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12976
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12964
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12940
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12916
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12896
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12888
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12876
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12856
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12844
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12824
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12812
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12792
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12768
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12752
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12740
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12720
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12692
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12680
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12672
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12656
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12648
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12636
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12608
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12576
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12552
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12536
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12528
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12516
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12496
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12480
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12456
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12440
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12424
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12408
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12384
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12368
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12352
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12336
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12328
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12304
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:3864
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:2784
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:4248
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11500
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11436
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11356
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11468
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11444
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11412
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:11388
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12280
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12272
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12264
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12256
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12248
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12240
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12232
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12224
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12216
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12208
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12200
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12192
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12184
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12176
- C:\Windows\system32\cmd.exe
  cmd.exe
  2⤵
  PID:12168

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 492 -p 13704 -ip 13704
1⤵
PID:12436

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 708 -p 13664 -ip 13664
1⤵
PID:12668

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 572 -p 12504 -ip 12504
1⤵
PID:13980

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 13664 -s 396
1⤵
- Program crash
PID:13920

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 13704 -s 280
1⤵
- Program crash
PID:13964

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 716 -p 13832 -ip 13832
1⤵
PID:14300

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 824 -p 13712 -ip 13712
1⤵
PID:14160

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 884 -p 13768 -ip 13768
1⤵
PID:14248

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 12360 -s 248
1⤵
- Program crash
PID:12688

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 4056 -s 268
1⤵
- Program crash
PID:13576

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 892 -p 13888 -ip 13888
1⤵
PID:13468

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 828 -p 4832 -ip 4832
1⤵
PID:13204

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 948 -p 13276 -ip 13276
1⤵
PID:13988

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 848 -p 12904 -ip 12904
1⤵
PID:13892

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 984 -p 12492 -ip 12492
1⤵
PID:13860

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 964 -p 13876 -ip 13876
1⤵
PID:13836

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 920 -p 13956 -ip 13956
1⤵
PID:14144

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 568 -p 13484 -ip 13484
1⤵
PID:13672

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 828 -p 14180 -ip 14180
1⤵
PID:12560

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 488 -p 13776 -ip 13776
1⤵
PID:13224

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 884 -p 14168 -ip 14168
1⤵
PID:13880

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 956 -p 12376 -ip 12376
1⤵
PID:13532

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 880 -p 13796 -ip 13796
1⤵
PID:13708

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 868 -p 13852 -ip 13852
1⤵
PID:13428

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 440 -p 13644 -ip 13644
1⤵
PID:13636

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 812 -p 13216 -ip 13216
1⤵
PID:4776

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 464 -p 13624 -ip 13624
1⤵
PID:13940

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 948 -p 13444 -ip 13444
1⤵
PID:2576

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 980 -p 13244 -ip 13244
1⤵
PID:13400

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1012 -p 13128 -ip 13128
1⤵
PID:13164

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1040 -p 13268 -ip 13268
1⤵
PID:12716

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1072 -p 13696 -ip 13696
1⤵
PID:4388

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1108 -p 12416 -ip 12416
1⤵
PID:14316

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 456 -p 12312 -ip 12312
1⤵
PID:14012

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 832 -p 12400 -ip 12400
1⤵
PID:14312

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 852 -p 12392 -ip 12392
1⤵
PID:14160

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 932 -p 12784 -ip 12784
1⤵
PID:13832

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1032 -p 12344 -ip 12344
1⤵
PID:14328

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 992 -p 12760 -ip 12760
1⤵
PID:14040

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 988 -p 4132 -ip 4132
1⤵
PID:14276

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1000 -p 1072 -ip 1072
1⤵
PID:13812

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 512 -p 12776 -ip 12776
1⤵
PID:14256

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1096 -p 13656 -ip 13656
1⤵
PID:13852

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 956 -p 13412 -ip 13412
1⤵
PID:14244

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1076 -p 12584 -ip 12584
1⤵
PID:12348

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1004 -p 12472 -ip 12472
1⤵
PID:13824

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 644 -p 14152 -ip 14152
1⤵
PID:14268

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 632 -p 13728 -ip 13728
1⤵
PID:12300

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 496 -p 12544 -ip 12544
1⤵
PID:12420

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 936 -p 13376 -ip 13376
1⤵
PID:13984

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 996 -p 13144 -ip 13144
1⤵
PID:13332

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 664 -p 13744 -ip 13744
1⤵
PID:13548

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 584 -p 13920 -ip 13920
1⤵
PID:12512

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\Desktop\4 big guyw.bat

Filesize
17B

MD5
fba132217bfdc989f49f58441e4d99dc

SHA1
6e8622c0dd4681c27d9c7ccb0c61e0b70e356f79

SHA256
5c3cd2285917b7297d10dffb3f19441d75b29fc300be2132682e75fe2e6dbe3c

SHA512
b6e665cf1cab7e862ba2945c550a8f5b2f7ede6c7550b85055f1b2854c558930fda1a151f2644ce8991e9f510b916c4149727df9c2c530e83137660c75b01c41

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads