d3aa358c4d535f2393b706a1844059aceec8aa52ef3fabc638871cfa32fe97e7

General

Target

43da587ffb5cdb181f1aac57e09ef85e.exe
Size

44KB
MD5

43da587ffb5cdb181f1aac57e09ef85e
SHA1

4aa9953479390c43f67bc680292e3483d70d051a
SHA256

d3aa358c4d535f2393b706a1844059aceec8aa52ef3fabc638871cfa32fe97e7
SHA512

c22fcf9ede11c8fee6c4d2c85557782fc17d6b7953029b2752ead139c5ca938599ccfe6038adfffabd498c6d90e6e13e1da7a6ceecb467ae8325c152b54327fc
SSDEEP

768:4bZf4IlYHLIaHR2dXvq50wh5E9g7uUh7986dOGpRo7t845kFEntNOJ:4lf4pXHiX+0whSgThZeGpX+ntkJ

Score

7^/10

Malware Config

Signatures

Drops startup file 6 IoCs

description	ioc	Process
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	dwdsregt.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	dwdsregt.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	dwdsregt.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	dwdsregt.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	43da587ffb5cdb181f1aac57e09ef85e.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TA_Start.lnk	dwdsregt.exe

Executes dropped EXE 6 IoCs

pid	Process
2784	dwdsregt.exe
2680	dwdsregt.exe
2600	dwdsregt.exe
2492	dwdsregt.exe
2532	dwdsregt.exe
2840	dwdsregt.exe

Loads dropped DLL 12 IoCs

pid	Process
2988	43da587ffb5cdb181f1aac57e09ef85e.exe
2988	43da587ffb5cdb181f1aac57e09ef85e.exe
2784	dwdsregt.exe
2784	dwdsregt.exe
2680	dwdsregt.exe
2680	dwdsregt.exe
2600	dwdsregt.exe
2600	dwdsregt.exe
2492	dwdsregt.exe
2492	dwdsregt.exe
2532	dwdsregt.exe
2532	dwdsregt.exe

Drops file in System32 directory 16 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File created	C:\Windows\SysWOW64\msnav32.ax	43da587ffb5cdb181f1aac57e09ef85e.exe
File opened for modification	\??\c:\windows\SysWOW64\dwdsregt.exe	43da587ffb5cdb181f1aac57e09ef85e.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	43da587ffb5cdb181f1aac57e09ef85e.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\msnav32.ax	dwdsregt.exe
File opened for modification	C:\Windows\SysWOW64\dbglogfolder\n_inst_27_12_23.log	dwdsregt.exe
File created	\??\c:\windows\SysWOW64\dwdsregt.exe	43da587ffb5cdb181f1aac57e09ef85e.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious use of SetWindowsHookEx 7 IoCs

pid	Process
2988	43da587ffb5cdb181f1aac57e09ef85e.exe
2784	dwdsregt.exe
2680	dwdsregt.exe
2600	dwdsregt.exe
2492	dwdsregt.exe
2532	dwdsregt.exe
2840	dwdsregt.exe

Suspicious use of WriteProcessMemory 24 IoCs

description	pid	Process	procid_target
PID 2988 wrote to memory of 2784	2988	43da587ffb5cdb181f1aac57e09ef85e.exe	28
PID 2988 wrote to memory of 2784	2988	43da587ffb5cdb181f1aac57e09ef85e.exe	28
PID 2988 wrote to memory of 2784	2988	43da587ffb5cdb181f1aac57e09ef85e.exe	28
PID 2988 wrote to memory of 2784	2988	43da587ffb5cdb181f1aac57e09ef85e.exe	28
PID 2784 wrote to memory of 2680	2784	dwdsregt.exe	29
PID 2784 wrote to memory of 2680	2784	dwdsregt.exe	29
PID 2784 wrote to memory of 2680	2784	dwdsregt.exe	29
PID 2784 wrote to memory of 2680	2784	dwdsregt.exe	29
PID 2680 wrote to memory of 2600	2680	dwdsregt.exe	30
PID 2680 wrote to memory of 2600	2680	dwdsregt.exe	30
PID 2680 wrote to memory of 2600	2680	dwdsregt.exe	30
PID 2680 wrote to memory of 2600	2680	dwdsregt.exe	30
PID 2600 wrote to memory of 2492	2600	dwdsregt.exe	31
PID 2600 wrote to memory of 2492	2600	dwdsregt.exe	31
PID 2600 wrote to memory of 2492	2600	dwdsregt.exe	31
PID 2600 wrote to memory of 2492	2600	dwdsregt.exe	31
PID 2492 wrote to memory of 2532	2492	dwdsregt.exe	32
PID 2492 wrote to memory of 2532	2492	dwdsregt.exe	32
PID 2492 wrote to memory of 2532	2492	dwdsregt.exe	32
PID 2492 wrote to memory of 2532	2492	dwdsregt.exe	32
PID 2532 wrote to memory of 2840	2532	dwdsregt.exe	33
PID 2532 wrote to memory of 2840	2532	dwdsregt.exe	33
PID 2532 wrote to memory of 2840	2532	dwdsregt.exe	33
PID 2532 wrote to memory of 2840	2532	dwdsregt.exe	33

C:\Users\Admin\AppData\Local\Temp\43da587ffb5cdb181f1aac57e09ef85e.exe
"C:\Users\Admin\AppData\Local\Temp\43da587ffb5cdb181f1aac57e09ef85e.exe"
1⤵
- Drops startup file
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2988
- \??\c:\windows\SysWOW64\dwdsregt.exe
  c:\windows\system32\dwdsregt.exe OLI001
  2⤵
  - Drops startup file
  - Executes dropped EXE
  - Loads dropped DLL
  - Drops file in System32 directory
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:2784
- - \??\c:\windows\SysWOW64\dwdsregt.exe
    c:\windows\system32\dwdsregt.exe OLI001
    3⤵
    - Drops startup file
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2680
  - - \??\c:\windows\SysWOW64\dwdsregt.exe
      c:\windows\system32\dwdsregt.exe OLI001
      4⤵
      Drops startup file
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2600
    - - \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        5⤵
        Drops startup file
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of SetWindowsHookEx
        Suspicious use of WriteProcessMemory
        
        PID:2492
      - \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        6⤵
        Drops startup file
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of SetWindowsHookEx
        Suspicious use of WriteProcessMemory
        
        PID:2532
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        7⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetWindowsHookEx
        
        PID:2840
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        8⤵
        
        PID:592
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        9⤵
        
        PID:1636
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        10⤵
        
        PID:860
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        11⤵
        
        PID:1728
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        12⤵
        
        PID:2248
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        13⤵
        
        PID:2368
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        14⤵
        
        PID:676
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        15⤵
        
        PID:1252
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        16⤵
        
        PID:1548
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        17⤵
        
        PID:1812
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        18⤵
        
        PID:1688
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        19⤵
        
        PID:1816
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        20⤵
        
        PID:1284
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        21⤵
        
        PID:2068
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        22⤵
        
        PID:2740
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        23⤵
        
        PID:2164
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        24⤵
        
        PID:2316
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        25⤵
        
        PID:1316
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        26⤵
        
        PID:1788
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        27⤵
        
        PID:2660
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        28⤵
        
        PID:1328
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        29⤵
        
        PID:2060
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        30⤵
        
        PID:2116
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        31⤵
        
        PID:1588
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        32⤵
        
        PID:3012
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        33⤵
        
        PID:2656
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        34⤵
        
        PID:2672
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        35⤵
        
        PID:2684
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        36⤵
        
        PID:2676
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        37⤵
        
        PID:2896
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        38⤵
        
        PID:2628
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        39⤵
        
        PID:2040
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        40⤵
        
        PID:2640
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        41⤵
        
        PID:2076
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        42⤵
        
        PID:1712
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        43⤵
        
        PID:2960
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        44⤵
        
        PID:1332
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        45⤵
        
        PID:1956
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        46⤵
        
        PID:1740
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        47⤵
        
        PID:2252
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        48⤵
        
        PID:2232
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        49⤵
        
        PID:2228
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        50⤵
        
        PID:2364
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        51⤵
        
        PID:2396
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        52⤵
        
        PID:1756
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        53⤵
        
        PID:1412
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        54⤵
        
        PID:852
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        55⤵
        
        PID:1652
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        56⤵
        
        PID:1644
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        57⤵
        
        PID:1556
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        58⤵
        
        PID:2444
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        59⤵
        
        PID:1892
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        60⤵
        
        PID:1352
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        61⤵
        
        PID:1072
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        62⤵
        
        PID:1612
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        63⤵
        
        PID:2192
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        64⤵
        
        PID:2912
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        65⤵
        
        PID:2292
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        66⤵
        
        PID:2308
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        67⤵
        
        PID:1760
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        68⤵
        
        PID:1940
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        69⤵
        
        PID:1616
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        70⤵
        
        PID:2924
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        71⤵
        
        PID:2560
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        72⤵
        
        PID:848
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        73⤵
        
        PID:2592
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        74⤵
        
        PID:2584
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        75⤵
        
        PID:2600
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        76⤵
        
        PID:2320
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        77⤵
        
        PID:2636
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        78⤵
        
        PID:300
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        79⤵
        
        PID:2588
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        80⤵
        
        PID:2516
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        81⤵
        
        PID:536
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        82⤵
        
        PID:1064
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        83⤵
        
        PID:888
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        84⤵
        
        PID:1956
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        85⤵
        
        PID:1340
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        86⤵
        
        PID:2016
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        87⤵
        
        PID:1716
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        88⤵
        
        PID:2228
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        89⤵
        
        PID:1696
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        90⤵
        
        PID:2396
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        91⤵
        
        PID:1776
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        92⤵
        
        PID:1732
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        93⤵
        
        PID:1532
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        94⤵
        
        PID:1580
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        95⤵
        
        PID:1640
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        96⤵
        
        PID:628
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        97⤵
        
        PID:688
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        98⤵
        
        PID:2724
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        99⤵
        
        PID:1080
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        100⤵
        
        PID:1072
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        101⤵
        
        PID:1612
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        102⤵
        
        PID:1464
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        103⤵
        
        PID:2304
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        104⤵
        
        PID:2452
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        105⤵
        
        PID:280
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        106⤵
        
        PID:1748
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        107⤵
        
        PID:2880
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        108⤵
        
        PID:2116
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        109⤵
        
        PID:1596
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        110⤵
        
        PID:1704
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        111⤵
        
        PID:2664
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        112⤵
        
        PID:2668
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        113⤵
        
        PID:2504
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        114⤵
        
        PID:2572
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        115⤵
        
        PID:2476
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        116⤵
        
        PID:2196
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        117⤵
        
        PID:1096
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        118⤵
        
        PID:1808
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        119⤵
        
        PID:2836
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        120⤵
        
        PID:2076
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        121⤵
        
        PID:1884
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        122⤵
        
        PID:576
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        123⤵
        
        PID:1752
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        124⤵
        
        PID:1876
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        125⤵
        
        PID:2376
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        126⤵
        
        PID:2236
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        127⤵
        
        PID:2424
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        128⤵
        
        PID:1680
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        129⤵
        
        PID:816
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        130⤵
        
        PID:972
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        131⤵
        
        PID:1756
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        132⤵
        
        PID:1968
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        133⤵
        
        PID:1832
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        134⤵
        
        PID:2356
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        135⤵
        
        PID:1444
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        136⤵
        
        PID:2728
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        137⤵
        
        PID:2748
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        138⤵
        
        PID:2436
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        139⤵
        
        PID:1528
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        140⤵
        
        PID:2164
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        141⤵
        
        PID:3056
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        142⤵
        
        PID:1576
        
        \??\c:\windows\SysWOW64\dwdsregt.exe
        
        c:\windows\system32\dwdsregt.exe OLI001
        143⤵
        
        PID:1944

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

1

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\dwdsregt.exe

Filesize
44KB

MD5
b01371fc05c8bbb261fd6313264e6ae8

SHA1
1489ff0a6b673f3fc7926f709dc2e7813e5d874d

SHA256
39a4c7b39501cd467ab675247697092f41cb8d64a4348992e21c6af1d9dc828f

SHA512
91eb3d1f4a365e7afb39ed3ca9ba58ee64b2367c35308359f9bbf0490b747f7224e3b2975bbc90567342adf0ffbc96ff52ff7eb92336ef73b973d82f69ca4452

Download Submit
C:\Windows\SysWOW64\msnav32.ax

Filesize
28B

MD5
9233a571164f54cadc0fae89fcfb2349

SHA1
8ee1aa7b1e38707f3ef0628f6632ca373c60e045

SHA256
b0892decdc2868d962f9c89fdc84e5ce4a9aa4bc6e855e568836ddeca8d956db

SHA512
e643537539b447df5bbd185053cc869ae8bfc79ece4bb7d9ce29dc55eae1031bff56d513687a7ad66ea6a181529f4879cbb3234080d7424420e4917b74429c80

Download Submit

Analysis

Sharing