Analysis
-
max time kernel
110s -
max time network
126s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
26/06/2023, 06:10
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
dfa1ca926f587d1a4f27984c2a4c24b7.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
dfa1ca926f587d1a4f27984c2a4c24b7.exe
-
Size
341KB
-
MD5
dfa1ca926f587d1a4f27984c2a4c24b7
-
SHA1
735b2c9b0b656a88ff14e6b5027da025970e574b
-
SHA256
d12aff8dcad82864c38ac0e6e974c210138eafbd91d38118d9540122c962ee45
-
SHA512
f8cac93758036581344feaa962cb72c2179353710b90be29475ec7327ab8c99dcf14630aea8e4b2ac71afb3a8cacb9d9cc2d5a709f55555efc8df5f66d317f4d
-
SSDEEP
6144:6DDsTSwyrycESyr133RJHEyoUx6HYLCNogGyMcOi9Xv:6ETsrycLs1n/xoUxDLCYYR
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 4484 2616 WerFault.exe 82 1692 2616 WerFault.exe 82 2516 2616 WerFault.exe 82 2696 2616 WerFault.exe 82 4080 2616 WerFault.exe 82 372 2616 WerFault.exe 82 4304 2616 WerFault.exe 82 4832 2616 WerFault.exe 82 3912 2616 WerFault.exe 82 3904 2616 WerFault.exe 82
Processes
-
C:\Users\Admin\AppData\Local\Temp\dfa1ca926f587d1a4f27984c2a4c24b7.exe"C:\Users\Admin\AppData\Local\Temp\dfa1ca926f587d1a4f27984c2a4c24b7.exe"1⤵PID:2616
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 7402⤵
- Program crash
PID:4484
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 7402⤵
- Program crash
PID:1692
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 7402⤵
- Program crash
PID:2516
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 8322⤵
- Program crash
PID:2696
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 9042⤵
- Program crash
PID:4080
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 9042⤵
- Program crash
PID:372
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 13202⤵
- Program crash
PID:4304
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 14802⤵
- Program crash
PID:4832
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 15402⤵
- Program crash
PID:3912
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 16322⤵
- Program crash
PID:3904
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 2616 -ip 26161⤵PID:4884
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2616 -ip 26161⤵PID:2644
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 2616 -ip 26161⤵PID:1956
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2616 -ip 26161⤵PID:3380
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2616 -ip 26161⤵PID:2884
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2616 -ip 26161⤵PID:4732
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2616 -ip 26161⤵PID:228
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 2616 -ip 26161⤵PID:5008
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2616 -ip 26161⤵PID:3376
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2616 -ip 26161⤵PID:3052