Analysis
-
max time kernel
63s -
max time network
123s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
26/06/2023, 06:09
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
dfa1ca926f587d1a4f27984c2a4c24b7.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
dfa1ca926f587d1a4f27984c2a4c24b7.exe
-
Size
341KB
-
MD5
dfa1ca926f587d1a4f27984c2a4c24b7
-
SHA1
735b2c9b0b656a88ff14e6b5027da025970e574b
-
SHA256
d12aff8dcad82864c38ac0e6e974c210138eafbd91d38118d9540122c962ee45
-
SHA512
f8cac93758036581344feaa962cb72c2179353710b90be29475ec7327ab8c99dcf14630aea8e4b2ac71afb3a8cacb9d9cc2d5a709f55555efc8df5f66d317f4d
-
SSDEEP
6144:6DDsTSwyrycESyr133RJHEyoUx6HYLCNogGyMcOi9Xv:6ETsrycLs1n/xoUxDLCYYR
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 4580 4496 WerFault.exe 83 4248 4496 WerFault.exe 83 2064 4496 WerFault.exe 83 500 4496 WerFault.exe 83 116 4496 WerFault.exe 83 372 4496 WerFault.exe 83 4172 4496 WerFault.exe 83 5112 4496 WerFault.exe 83 2096 4496 WerFault.exe 83 2264 4496 WerFault.exe 83
Processes
-
C:\Users\Admin\AppData\Local\Temp\dfa1ca926f587d1a4f27984c2a4c24b7.exe"C:\Users\Admin\AppData\Local\Temp\dfa1ca926f587d1a4f27984c2a4c24b7.exe"1⤵PID:4496
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 7322⤵
- Program crash
PID:4580
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 7802⤵
- Program crash
PID:4248
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 7722⤵
- Program crash
PID:2064
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 8362⤵
- Program crash
PID:500
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 9042⤵
- Program crash
PID:116
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 9802⤵
- Program crash
PID:372
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 10082⤵
- Program crash
PID:4172
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 15122⤵
- Program crash
PID:5112
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 15562⤵
- Program crash
PID:2096
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 15682⤵
- Program crash
PID:2264
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 4496 -ip 44961⤵PID:4464
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4496 -ip 44961⤵PID:5008
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4496 -ip 44961⤵PID:3252
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4496 -ip 44961⤵PID:3872
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4496 -ip 44961⤵PID:1856
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 4496 -ip 44961⤵PID:2684
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4496 -ip 44961⤵PID:3576
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 476 -p 4496 -ip 44961⤵PID:4444
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4496 -ip 44961⤵PID:2172
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4496 -ip 44961⤵PID:4700