Analysis
-
max time kernel
57s -
max time network
124s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
26/06/2023, 06:09
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
b42cc69e78369524fc39c1c8a8c54d62.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
b42cc69e78369524fc39c1c8a8c54d62.exe
-
Size
341KB
-
MD5
b42cc69e78369524fc39c1c8a8c54d62
-
SHA1
ce4b2c4e05761dbc282be4a55644b5680f5d633c
-
SHA256
f238c46012be1759b585926e41ba8e867d358eb9b82e9f856e10a1ee11682bc7
-
SHA512
0d3dfb1f21c91614538b9421b69e5f70fa9c6011bc7eda5ed23c8e33a6cae7174f4464ff0a5b1a48738a55388c951496cbc745723997eda2a6a58d275cf8e2a0
-
SSDEEP
6144:TjEsTQwhQ/GHeWQZJUIUsNXZSK8hOvTG6RByNSUJ3mLLmiye+3D:TjTRQ/G+WQgITecG4yNlYP8D
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 10 IoCs
pid pid_target Process procid_target 4184 3392 WerFault.exe 79 4204 3392 WerFault.exe 79 4928 3392 WerFault.exe 79 1088 3392 WerFault.exe 79 3192 3392 WerFault.exe 79 4760 3392 WerFault.exe 79 3520 3392 WerFault.exe 79 460 3392 WerFault.exe 79 1640 3392 WerFault.exe 79 4396 3392 WerFault.exe 79
Processes
-
C:\Users\Admin\AppData\Local\Temp\b42cc69e78369524fc39c1c8a8c54d62.exe"C:\Users\Admin\AppData\Local\Temp\b42cc69e78369524fc39c1c8a8c54d62.exe"1⤵PID:3392
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 7402⤵
- Program crash
PID:4184
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 7402⤵
- Program crash
PID:4204
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 7722⤵
- Program crash
PID:4928
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 8202⤵
- Program crash
PID:1088
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 9042⤵
- Program crash
PID:3192
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 9802⤵
- Program crash
PID:4760
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 11362⤵
- Program crash
PID:3520
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 15082⤵
- Program crash
PID:460
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 15642⤵
- Program crash
PID:1640
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3392 -s 16642⤵
- Program crash
PID:4396
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3392 -ip 33921⤵PID:1880
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 3392 -ip 33921⤵PID:3412
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3392 -ip 33921⤵PID:4104
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 3392 -ip 33921⤵PID:628
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 3392 -ip 33921⤵PID:4244
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3392 -ip 33921⤵PID:4800
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 3392 -ip 33921⤵PID:1680
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3392 -ip 33921⤵PID:4420
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3392 -ip 33921⤵PID:1320
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3392 -ip 33921⤵PID:4784