Analysis
-
max time kernel
82s -
max time network
145s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
25/06/2023, 10:19
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
77df8b9472f2196d0ff769400.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
77df8b9472f2196d0ff769400.exe
-
Size
302KB
-
MD5
77df8b9472f2196d0ff7694009769325
-
SHA1
73feee373a3b623c9d27d4d94c777f416fac5fcd
-
SHA256
2ac34c2817e2e90ec1c3cf2c09aba73cc7aaba0243c9f01d22bd131539de2d10
-
SHA512
e7bfd3f1e494bf5f5d7db5bfc15d46720df269d6a2fc84c815c80f1e2149c02e57d61eecab3c21dfb5916bd0ccd875bf10460106eb511f8a41ac3e5db15d9518
-
SSDEEP
6144:JrbroCQZbI8kJBr3+NU3rr62cs53ZDZQt5m82cZVH/UH:JbNQZbI8QBa2ZDZYPH/U
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 2564 2292 WerFault.exe 83 2176 2292 WerFault.exe 83 452 2292 WerFault.exe 83 232 2292 WerFault.exe 83 2192 2292 WerFault.exe 83 3964 2292 WerFault.exe 83 4228 2292 WerFault.exe 83 3716 2292 WerFault.exe 83 332 2292 WerFault.exe 83 2376 2292 WerFault.exe 83
Processes
-
C:\Users\Admin\AppData\Local\Temp\77df8b9472f2196d0ff769400.exe"C:\Users\Admin\AppData\Local\Temp\77df8b9472f2196d0ff769400.exe"1⤵PID:2292
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 7402⤵
- Program crash
PID:2564
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 7602⤵
- Program crash
PID:2176
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 7802⤵
- Program crash
PID:452
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 8362⤵
- Program crash
PID:232
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 9042⤵
- Program crash
PID:2192
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 9762⤵
- Program crash
PID:3964
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 10642⤵
- Program crash
PID:4228
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 14962⤵
- Program crash
PID:3716
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 15682⤵
- Program crash
PID:332
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 16482⤵
- Program crash
PID:2376
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2292 -ip 22921⤵PID:3732
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2292 -ip 22921⤵PID:4712
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 2292 -ip 22921⤵PID:4968
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 2292 -ip 22921⤵PID:3208
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 2292 -ip 22921⤵PID:4624
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 2292 -ip 22921⤵PID:4508
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2292 -ip 22921⤵PID:4684
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2292 -ip 22921⤵PID:4876
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2292 -ip 22921⤵PID:4560
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 2292 -ip 22921⤵PID:1496