Analysis
-
max time kernel
91s -
max time network
128s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
25/06/2023, 10:15
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
1d325ccbb06abc5f865890bb4.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
1d325ccbb06abc5f865890bb4.exe
-
Size
288KB
-
MD5
1d325ccbb06abc5f865890bb44f96529
-
SHA1
7ccbc4f1686eb8912c288b665dd6aa1d50ef5479
-
SHA256
e2e4d89f3bc9d20c9f71f84ee27223ceaeda22e3eb4e24c8089ba51495517f66
-
SHA512
0322856a1f0c108789067a32042a60ace904283c53168753d2c889a4856bffa54c26144607f22bea2f90cc60079d9c702964497c0b5edb1af7b06c7bc9991ac9
-
SSDEEP
6144:ZBeChoxkM87yDqAESyodTKeoz8rw1UMxqzn0CX:Z1hoxk1y8CRjw1Uo9
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 852 4032 WerFault.exe 77 3820 4032 WerFault.exe 77 4972 4032 WerFault.exe 77 5060 4032 WerFault.exe 77 2140 4032 WerFault.exe 77 1784 4032 WerFault.exe 77 2608 4032 WerFault.exe 77 1884 4032 WerFault.exe 77 4632 4032 WerFault.exe 77 4820 4032 WerFault.exe 77
Processes
-
C:\Users\Admin\AppData\Local\Temp\1d325ccbb06abc5f865890bb4.exe"C:\Users\Admin\AppData\Local\Temp\1d325ccbb06abc5f865890bb4.exe"1⤵PID:4032
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 7482⤵
- Program crash
PID:852
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 7562⤵
- Program crash
PID:3820
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 7562⤵
- Program crash
PID:4972
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 8202⤵
- Program crash
PID:5060
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 9042⤵
- Program crash
PID:2140
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 9082⤵
- Program crash
PID:1784
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 13202⤵
- Program crash
PID:2608
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 14842⤵
- Program crash
PID:1884
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 14802⤵
- Program crash
PID:4632
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 16482⤵
- Program crash
PID:4820
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 4032 -ip 40321⤵PID:1068
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 4032 -ip 40321⤵PID:3920
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 4032 -ip 40321⤵PID:5088
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 4032 -ip 40321⤵PID:5028
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4032 -ip 40321⤵PID:3076
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4032 -ip 40321⤵PID:2700
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 4032 -ip 40321⤵PID:4400
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 4032 -ip 40321⤵PID:2420
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 4032 -ip 40321⤵PID:4416
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 4032 -ip 40321⤵PID:2172