Analysis
-
max time kernel
103s -
max time network
126s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
01/07/2023, 23:40
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
8424e9549edd3855143894ccd102fc39.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
8424e9549edd3855143894ccd102fc39.exe
-
Size
303KB
-
MD5
8424e9549edd3855143894ccd102fc39
-
SHA1
cd98af71d2515b811c95788f9a5cb55bb83a66d8
-
SHA256
6defee545d0b018b42de80992dbb11ea477d3448bb356eff6d2a5189f27c0e0a
-
SHA512
8f940b0c3be413b38cb1b5bd4275f156bb97ccb1f3b8e2ab26face323630499c0c82903cc19fa09a934063839ea57cb42758f12969ca3ac9cfdaa8543d8c2354
-
SSDEEP
3072:i8p4m01kGN/Fs2zIkBzEXs6cMnh9PWhgneSiAfvY75MQR0RLtyi5udfLGzahPTH6:hp6tsCto7EgfN45Ms0xtAdfEgPTH
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 13 IoCs
pid pid_target Process procid_target 1612 3540 WerFault.exe 85 212 3540 WerFault.exe 85 1596 3540 WerFault.exe 85 4408 3540 WerFault.exe 85 4928 3540 WerFault.exe 85 768 3540 WerFault.exe 85 1116 3540 WerFault.exe 85 64 3540 WerFault.exe 85 4280 3540 WerFault.exe 85 5076 3540 WerFault.exe 85 4984 3540 WerFault.exe 85 3592 3540 WerFault.exe 85 2572 3540 WerFault.exe 85
Processes
-
C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe"C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe"1⤵PID:3540
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 7442⤵
- Program crash
PID:1612
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 7642⤵
- Program crash
PID:212
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 7442⤵
- Program crash
PID:1596
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 7642⤵
- Program crash
PID:4408
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 9042⤵
- Program crash
PID:4928
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 9802⤵
- Program crash
PID:768
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 11162⤵
- Program crash
PID:1116
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 14882⤵
- Program crash
PID:64
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 15602⤵
- Program crash
PID:4280
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 17762⤵
- Program crash
PID:5076
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 15762⤵
- Program crash
PID:4984
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 16002⤵
- Program crash
PID:3592
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3540 -s 18042⤵
- Program crash
PID:2572
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3540 -ip 35401⤵PID:1820
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 3540 -ip 35401⤵PID:368
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 3540 -ip 35401⤵PID:4332
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 3540 -ip 35401⤵PID:4848
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3540 -ip 35401⤵PID:3084
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3540 -ip 35401⤵PID:1872
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3540 -ip 35401⤵PID:3068
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3540 -ip 35401⤵PID:1724
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3540 -ip 35401⤵PID:3828
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 204 -p 3540 -ip 35401⤵PID:3180
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 204 -p 3540 -ip 35401⤵PID:5084
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3540 -ip 35401⤵PID:3872
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3540 -ip 35401⤵PID:3328