Analysis
-
max time kernel
140s -
max time network
112s -
platform
windows10-2004_x64 -
resource
win10v2004-20230621-en -
resource tags
arch:x64arch:x86image:win10v2004-20230621-enlocale:en-usos:windows10-2004-x64system -
submitted
01/07/2023, 23:42
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
8424e9549edd3855143894ccd102fc39.exe
Resource
win7-20230621-en
1 signatures
150 seconds
General
-
Target
8424e9549edd3855143894ccd102fc39.exe
-
Size
303KB
-
MD5
8424e9549edd3855143894ccd102fc39
-
SHA1
cd98af71d2515b811c95788f9a5cb55bb83a66d8
-
SHA256
6defee545d0b018b42de80992dbb11ea477d3448bb356eff6d2a5189f27c0e0a
-
SHA512
8f940b0c3be413b38cb1b5bd4275f156bb97ccb1f3b8e2ab26face323630499c0c82903cc19fa09a934063839ea57cb42758f12969ca3ac9cfdaa8543d8c2354
-
SSDEEP
3072:i8p4m01kGN/Fs2zIkBzEXs6cMnh9PWhgneSiAfvY75MQR0RLtyi5udfLGzahPTH6:hp6tsCto7EgfN45Ms0xtAdfEgPTH
Malware Config
Extracted
Family
gcleaner
C2
45.12.253.56
45.12.253.72
45.12.253.98
45.12.253.75
Signatures
-
Downloads MZ/PE file
-
Program crash 13 IoCs
pid pid_target Process procid_target 3392 2128 WerFault.exe 85 180 2128 WerFault.exe 85 544 2128 WerFault.exe 85 3256 2128 WerFault.exe 85 1400 2128 WerFault.exe 85 4488 2128 WerFault.exe 85 4616 2128 WerFault.exe 85 1204 2128 WerFault.exe 85 4916 2128 WerFault.exe 85 4924 2128 WerFault.exe 85 1092 2128 WerFault.exe 85 3472 2128 WerFault.exe 85 748 2128 WerFault.exe 85
Processes
-
C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe"C:\Users\Admin\AppData\Local\Temp\8424e9549edd3855143894ccd102fc39.exe"1⤵PID:2128
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 7442⤵
- Program crash
PID:3392
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 7642⤵
- Program crash
PID:180
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 8082⤵
- Program crash
PID:544
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 8162⤵
- Program crash
PID:3256
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 7802⤵
- Program crash
PID:1400
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 10002⤵
- Program crash
PID:4488
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 10042⤵
- Program crash
PID:4616
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 14962⤵
- Program crash
PID:1204
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 15562⤵
- Program crash
PID:4916
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 17562⤵
- Program crash
PID:4924
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 15962⤵
- Program crash
PID:1092
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 15642⤵
- Program crash
PID:3472
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2128 -s 15962⤵
- Program crash
PID:748
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2128 -ip 21281⤵PID:3320
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 2128 -ip 21281⤵PID:980
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2128 -ip 21281⤵PID:3520
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 21281⤵PID:4020
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 21281⤵PID:1188
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2128 -ip 21281⤵PID:4480
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2128 -ip 21281⤵PID:1412
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2128 -ip 21281⤵PID:4988
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2128 -ip 21281⤵PID:4856
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2128 -ip 21281⤵PID:5060
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2128 -ip 21281⤵PID:628
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2128 -ip 21281⤵PID:3832
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2128 -ip 21281⤵PID:5040