441c40dab907570edb0bbd3e3877d337a7656799d8c185831deaad1cd7d5ee26

Analysis

max time kernel
1439s
max time network
1223s
platform
windows10-2004_x64
resource
win10v2004-20230220-en
resource tags

arch:x64arch:x86image:win10v2004-20230220-enlocale:en-usos:windows10-2004-x64system
submitted
18-04-2023 15:25

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

COVAULT-19 (server)/COVAULT-19.exe
Size

517KB
MD5

6f47cbc498ca869d95a2b98c1958110e
SHA1

1b98c2946eb7a130ce03fa3168fac65b1db4ddbf
SHA256

569d2dda14d54d9cf6a064138b9ae0f08b44023219eb71c9729ee4397311113d
SHA512

771b95f0b16fa15843cd5121e26fb2a1f7b06f4864e2a4a601fae9f7193b32801ab419ff67d00f544814c5d63ab8592b59567f46245d87134bc777118df59b51
SSDEEP

12288:MLDnyp4enDbOQX3P1Xm1Op7/OdogdwiKB6NrfTkvnR/2x:MPyp4eDjX3PAm7mdogo6rfTEW

Score

3^/10

Malware Config

Signatures

Program crash 4 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid pid_target process target process

13920 13664 WerFault.exe
13964 13704 WerFault.exe
12688 12360 WerFault.exe
13576 4056 WerFault.exe

pid	pid_target	process
13920	13664	WerFault.exe
13964	13704	WerFault.exe
12688	12360	WerFault.exe
13576	4056	WerFault.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

cmd.exe

description	pid	process	target process
PID 3692 wrote to memory of 4520	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4520	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4176	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4176	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3432	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3432	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3116	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3116	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3476	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3476	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4316	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4316	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4964	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4964	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3192	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3192	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 392	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 392	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3744	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3744	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4120	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4120	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3448	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3448	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2316	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2316	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4028	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4028	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3188	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3188	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4400	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4400	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3724	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3724	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3376	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3376	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1596	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1596	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1972	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1972	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2188	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2188	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4692	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4692	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2140	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2140	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2332	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2332	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1600	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1600	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 548	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 548	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3320	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3320	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 264	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 264	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1648	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 1648	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3696	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 3696	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2560	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 2560	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4440	3692	cmd.exe	cmd.exe
PID 3692 wrote to memory of 4440	3692	cmd.exe	cmd.exe

C:\Users\Admin\AppData\Local\Temp\COVAULT-19 (server)\COVAULT-19.exe
"C:\Users\Admin\AppData\Local\Temp\COVAULT-19 (server)\COVAULT-19.exe"
1⤵
PID:4628

C:\Windows\system32\NOTEPAD.EXE
"C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\4 big guyw.txt
1⤵
PID:2964

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\Desktop\4 big guyw.bat" "
1⤵
- Suspicious use of WriteProcessMemory
PID:3692

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4520

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4176

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3432

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3116

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3188

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1972

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1596

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3376

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3724

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4400

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4028

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2316

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3448

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4120

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3744

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:392

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3192

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4964

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4316

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3476

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2188

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4692

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4324

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3472

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3384

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1664

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4396

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3716

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2476

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3180

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1312

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2916

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4208

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4440

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2560

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3696

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1648

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:264

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3320

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:548

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1600

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2332

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2140

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2292

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:956

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5168

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5160

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5140

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5124

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4996

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1000

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:1008

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4740

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2604

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5800

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5824

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5832

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5996

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:340

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6172

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6164

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6156

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6148

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5244

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4524

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6136

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6128

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6112

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6084

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6068

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6044

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6028

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:6012

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5984

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5972

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5964

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5956

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5944

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5932

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5924

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5916

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5908

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5900

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5892

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5884

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5876

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:5816

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7716

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7684

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7668

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7660

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7648

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7640

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7632

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7624

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7616

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7608

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7600

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7592

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7584

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7576

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7568

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7560

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7552

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7544

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7528

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7512

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7496

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7472

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7448

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7440

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7432

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7424

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7408

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7384

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7376

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7368

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7360

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7352

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7344

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7336

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7328

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7320

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7312

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7300

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7292

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7284

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7276

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7268

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7260

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7252

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7244

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7236

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7228

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7220

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7212

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:7196

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9036

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9460

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9488

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9632

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9948

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9932

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9904

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9888

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9872

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9856

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9848

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9840

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9816

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9800

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9784

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9760

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9744

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9728

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9720

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9704

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9688

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9672

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9664

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9656

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9640

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9624

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9616

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9608

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9592

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9584

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9576

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9568

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9560

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9552

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9544

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9516

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9500

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9476

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:10764

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11228

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9972

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11336

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11328

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11320

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11312

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11304

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11296

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11288

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11280

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11272

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11244

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11252

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2216

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:10284

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4744

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9756

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9916

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:10276

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9944

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:9700

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:10076

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12144

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12152

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11708

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12592

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12316

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2672

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3380

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13296

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13284

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13260

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13252

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13232

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13208

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13192

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13180

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13168

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13152

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13136

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13120

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13112

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13104

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13096

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13088

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13080

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13072

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13064

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13056

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13048

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13040

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13032

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13024

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13016

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13008

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:13000

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12992

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12984

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12976

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12964

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12940

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12916

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12896

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12888

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12876

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12856

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12844

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12824

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12812

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12792

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12768

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12752

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12740

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12720

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12692

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12680

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12672

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12656

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12648

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12636

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12608

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12576

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12552

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12536

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12528

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12516

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12496

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12480

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12456

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12440

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12424

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12408

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12384

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12368

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12352

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12336

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12328

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12304

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:3864

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:2784

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:4248

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11500

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11436

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11356

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11468

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11444

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11412

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:11388

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12280

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12272

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12264

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12256

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12248

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12240

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12232

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12224

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12216

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12208

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12200

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12192

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12184

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12176

C:\Windows\system32\cmd.exe
cmd.exe
2⤵
PID:12168

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 492 -p 13704 -ip 13704
1⤵
PID:12436

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 708 -p 13664 -ip 13664
1⤵
PID:12668

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 572 -p 12504 -ip 12504
1⤵
PID:13980

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 13664 -s 396
1⤵
- Program crash
PID:13920

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 13704 -s 280
1⤵
- Program crash
PID:13964

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 716 -p 13832 -ip 13832
1⤵
PID:14300

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 824 -p 13712 -ip 13712
1⤵
PID:14160

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 884 -p 13768 -ip 13768
1⤵
PID:14248

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 12360 -s 248
1⤵
- Program crash
PID:12688

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -u -p 4056 -s 268
1⤵
- Program crash
PID:13576

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 892 -p 13888 -ip 13888
1⤵
PID:13468

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 828 -p 4832 -ip 4832
1⤵
PID:13204

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 948 -p 13276 -ip 13276
1⤵
PID:13988

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 848 -p 12904 -ip 12904
1⤵
PID:13892

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 984 -p 12492 -ip 12492
1⤵
PID:13860

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 964 -p 13876 -ip 13876
1⤵
PID:13836

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 920 -p 13956 -ip 13956
1⤵
PID:14144

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 568 -p 13484 -ip 13484
1⤵
PID:13672

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 828 -p 14180 -ip 14180
1⤵
PID:12560

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 488 -p 13776 -ip 13776
1⤵
PID:13224

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 884 -p 14168 -ip 14168
1⤵
PID:13880

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 956 -p 12376 -ip 12376
1⤵
PID:13532

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 880 -p 13796 -ip 13796
1⤵
PID:13708

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 868 -p 13852 -ip 13852
1⤵
PID:13428

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 440 -p 13644 -ip 13644
1⤵
PID:13636

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 812 -p 13216 -ip 13216
1⤵
PID:4776

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 464 -p 13624 -ip 13624
1⤵
PID:13940

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 948 -p 13444 -ip 13444
1⤵
PID:2576

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 980 -p 13244 -ip 13244
1⤵
PID:13400

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1012 -p 13128 -ip 13128
1⤵
PID:13164

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1040 -p 13268 -ip 13268
1⤵
PID:12716

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1072 -p 13696 -ip 13696
1⤵
PID:4388

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1108 -p 12416 -ip 12416
1⤵
PID:14316

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 456 -p 12312 -ip 12312
1⤵
PID:14012

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 832 -p 12400 -ip 12400
1⤵
PID:14312

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 852 -p 12392 -ip 12392
1⤵
PID:14160

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 932 -p 12784 -ip 12784
1⤵
PID:13832

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1032 -p 12344 -ip 12344
1⤵
PID:14328

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 992 -p 12760 -ip 12760
1⤵
PID:14040

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 988 -p 4132 -ip 4132
1⤵
PID:14276

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1000 -p 1072 -ip 1072
1⤵
PID:13812

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 512 -p 12776 -ip 12776
1⤵
PID:14256

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1096 -p 13656 -ip 13656
1⤵
PID:13852

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 956 -p 13412 -ip 13412
1⤵
PID:14244

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1076 -p 12584 -ip 12584
1⤵
PID:12348

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 1004 -p 12472 -ip 12472
1⤵
PID:13824

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 644 -p 14152 -ip 14152
1⤵
PID:14268

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 632 -p 13728 -ip 13728
1⤵
PID:12300

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 496 -p 12544 -ip 12544
1⤵
PID:12420

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 936 -p 13376 -ip 13376
1⤵
PID:13984

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 996 -p 13144 -ip 13144
1⤵
PID:13332

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 664 -p 13744 -ip 13744
1⤵
PID:13548

C:\Windows\system32\WerFault.exe
C:\Windows\system32\WerFault.exe -pss -s 584 -p 13920 -ip 13920
1⤵
PID:12512

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\Desktop\4 big guyw.bat

Filesize
17B

MD5
fba132217bfdc989f49f58441e4d99dc

SHA1
6e8622c0dd4681c27d9c7ccb0c61e0b70e356f79

SHA256
5c3cd2285917b7297d10dffb3f19441d75b29fc300be2132682e75fe2e6dbe3c

SHA512
b6e665cf1cab7e862ba2945c550a8f5b2f7ede6c7550b85055f1b2854c558930fda1a151f2644ce8991e9f510b916c4149727df9c2c530e83137660c75b01c41

Download Submit