Analysis
-
max time kernel
75s -
max time network
124s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
25/06/2023, 07:33
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
ae82e852e69375d3644ef1ba5158ce50.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
ae82e852e69375d3644ef1ba5158ce50.exe
-
Size
301KB
-
MD5
ae82e852e69375d3644ef1ba5158ce50
-
SHA1
a743f709a6ecb8c3320e171f69bab9520f5cd608
-
SHA256
e4831adf2f6b16068e6a769569e405232822476f1e01c643cfc9bbb5411a071e
-
SHA512
7626a7398d2e7a7b353b7876d8f57242585295e54a2003f0826c5fe8abab16d92d03471447f41125f7cb5f7e49c185af43382c2d2bfa6a27fb777f8744ae930a
-
SSDEEP
3072:hL8wbDUhpNgCz4FDDOYAx/eSX+JcSYANh9Om7uATowscofWcWd3ydRUfGupLteIy:awbWsCz4FPSih4w+uCd+OupFA7dMQR
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 2868 5008 WerFault.exe 81 2848 5008 WerFault.exe 81 4724 5008 WerFault.exe 81 1304 5008 WerFault.exe 81 1972 5008 WerFault.exe 81 3964 5008 WerFault.exe 81 1976 5008 WerFault.exe 81 1620 5008 WerFault.exe 81 1420 5008 WerFault.exe 81 2320 5008 WerFault.exe 81
Processes
-
C:\Users\Admin\AppData\Local\Temp\ae82e852e69375d3644ef1ba5158ce50.exe"C:\Users\Admin\AppData\Local\Temp\ae82e852e69375d3644ef1ba5158ce50.exe"1⤵PID:5008
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 7402⤵
- Program crash
PID:2868
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 7602⤵
- Program crash
PID:2848
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 7602⤵
- Program crash
PID:4724
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 8202⤵
- Program crash
PID:1304
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 9042⤵
- Program crash
PID:1972
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 9802⤵
- Program crash
PID:3964
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 13242⤵
- Program crash
PID:1976
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 15162⤵
- Program crash
PID:1620
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 15362⤵
- Program crash
PID:1420
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 15282⤵
- Program crash
PID:2320
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 5008 -ip 50081⤵PID:5020
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 5008 -ip 50081⤵PID:2036
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 5008 -ip 50081⤵PID:3540
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 5008 -ip 50081⤵PID:2852
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 5008 -ip 50081⤵PID:4876
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 5008 -ip 50081⤵PID:2016
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 5008 -ip 50081⤵PID:1804
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 5008 -ip 50081⤵PID:3784
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5008 -ip 50081⤵PID:2520
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 5008 -ip 50081⤵PID:4612