Analysis

  • max time kernel
    140s
  • max time network
    112s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20230621-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system
  • submitted
    01/07/2023, 23:42

General

  • Target

    8424e9549edd3855143894ccd102fc39.exe

  • Size

    303KB

  • MD5

    8424e9549edd3855143894ccd102fc39

  • SHA1

    cd98af71d2515b811c95788f9a5cb55bb83a66d8

  • SHA256

    6defee545d0b018b42de80992dbb11ea477d3448bb356eff6d2a5189f27c0e0a

  • SHA512

    8f940b0c3be413b38cb1b5bd4275f156bb97ccb1f3b8e2ab26face323630499c0c82903cc19fa09a934063839ea57cb42758f12969ca3ac9cfdaa8543d8c2354

  • SSDEEP

    3072:i8p4m01kGN/Fs2zIkBzEXs6cMnh9PWhgneSiAfvY75MQR0RLtyi5udfLGzahPTH6:hp6tsCto7EgfN45Ms0xtAdfEgPTH

Score
10/10

Malware Config

Extracted

Family

gcleaner

C2

45.12.253.56

45.12.253.72

45.12.253.98

45.12.253.75

Signatures

  • GCleaner

    GCleaner is a Pay-Per-Install malware loader first discovered in early 2019.

  • Downloads MZ/PE file
  • Program crash 13 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe
    "C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe"
    1⤵
      PID:2128
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 744
        2⤵
        • Program crash
        PID:3392
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 764
        2⤵
        • Program crash
        PID:180
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 808
        2⤵
        • Program crash
        PID:544
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 816
        2⤵
        • Program crash
        PID:3256
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 780
        2⤵
        • Program crash
        PID:1400
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1000
        2⤵
        • Program crash
        PID:4488
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1004
        2⤵
        • Program crash
        PID:4616
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1496
        2⤵
        • Program crash
        PID:1204
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1556
        2⤵
        • Program crash
        PID:4916
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1756
        2⤵
        • Program crash
        PID:4924
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1596
        2⤵
        • Program crash
        PID:1092
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1564
        2⤵
        • Program crash
        PID:3472
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 1596
        2⤵
        • Program crash
        PID:748
    • C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2128 -ip 2128
      1⤵
        PID:3320
      • C:\Windows\SysWOW64\WerFault.exe
        C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 2128 -ip 2128
        1⤵
          PID:980
        • C:\Windows\SysWOW64\WerFault.exe
          C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2128 -ip 2128
          1⤵
            PID:3520
          • C:\Windows\SysWOW64\WerFault.exe
            C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 2128
            1⤵
              PID:4020
            • C:\Windows\SysWOW64\WerFault.exe
              C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 2128
              1⤵
                PID:1188
              • C:\Windows\SysWOW64\WerFault.exe
                C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2128 -ip 2128
                1⤵
                  PID:4480
                • C:\Windows\SysWOW64\WerFault.exe
                  C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2128 -ip 2128
                  1⤵
                    PID:1412
                  • C:\Windows\SysWOW64\WerFault.exe
                    C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 2128
                    1⤵
                      PID:4988
                    • C:\Windows\SysWOW64\WerFault.exe
                      C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2128 -ip 2128
                      1⤵
                        PID:4856
                      • C:\Windows\SysWOW64\WerFault.exe
                        C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2128 -ip 2128
                        1⤵
                          PID:5060
                        • C:\Windows\SysWOW64\WerFault.exe
                          C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2128 -ip 2128
                          1⤵
                            PID:628
                          • C:\Windows\SysWOW64\WerFault.exe
                            C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2128 -ip 2128
                            1⤵
                              PID:3832
                            • C:\Windows\SysWOW64\WerFault.exe
                              C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2128 -ip 2128
                              1⤵
                                PID:5040

                              Network

                                    MITRE ATT&CK Matrix

                                    Replay Monitor

                                    Loading Replay Monitor...

                                    Downloads

                                    • memory/2128-134-0x0000000000550000-0x0000000000592000-memory.dmp

                                      Filesize

                                      264KB

                                    • memory/2128-140-0x0000000000400000-0x000000000048D000-memory.dmp

                                      Filesize

                                      564KB