Analysis
-
max time kernel
129s -
max time network
132s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
25/06/2023, 07:35
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
fadf37db4b9d437b491a48be4d0add16.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
fadf37db4b9d437b491a48be4d0add16.exe
-
Size
302KB
-
MD5
fadf37db4b9d437b491a48be4d0add16
-
SHA1
c23af051a59a7081ecaa4770b5d07024413c8e31
-
SHA256
237b17517e84da21c0826dbfcdf45df45f1176b9863958b40024275a12eab467
-
SHA512
dd489e7eb7dabdde977a4fc69bbb97c691593a226bb0d67b3b32bb292f40e5f5c9ffd4f4f90a99ae7f669eba4968f84106dc461d492e131e41af70a3ec2894a3
-
SSDEEP
6144:ZCP5CYVVMDPZZSe0hK9PURaxvYwxJeTpDUo8X:ZLYVVM7kKJGwmp
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 1300 4920 WerFault.exe 84 1280 4920 WerFault.exe 84 4356 4920 WerFault.exe 84 3660 4920 WerFault.exe 84 1832 4920 WerFault.exe 84 4336 4920 WerFault.exe 84 4240 4920 WerFault.exe 84 1256 4920 WerFault.exe 84 212 4920 WerFault.exe 84 3964 4920 WerFault.exe 84
Processes
-
C:\Users\Admin\AppData\Local\Temp\fadf37db4b9d437b491a48be4d0add16.exe"C:\Users\Admin\AppData\Local\Temp\fadf37db4b9d437b491a48be4d0add16.exe"1⤵PID:4920
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 7402⤵
- Program crash
PID:1300
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 7602⤵
- Program crash
PID:1280
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 7602⤵
- Program crash
PID:4356
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 7402⤵
- Program crash
PID:3660
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 9042⤵
- Program crash
PID:1832
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 9082⤵
- Program crash
PID:4336
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 11202⤵
- Program crash
PID:4240
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 15202⤵
- Program crash
PID:1256
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 13282⤵
- Program crash
PID:212
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 16562⤵
- Program crash
PID:3964
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 4920 -ip 49201⤵PID:2552
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4920 -ip 49201⤵PID:1676
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4920 -ip 49201⤵PID:4468
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4920 -ip 49201⤵PID:2000
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 4920 -ip 49201⤵PID:4060
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 4920 -ip 49201⤵PID:3228
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 4920 -ip 49201⤵PID:2592
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4920 -ip 49201⤵PID:380
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4920 -ip 49201⤵PID:2204
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4920 -ip 49201⤵PID:800