Analysis
-
max time kernel
46s -
max time network
131s -
platform
windows7_x64 -
resource
win7-20231215-en -
resource tags
-
submitted
28/12/2023, 23:30
General
-
Target
Generador de Creditos v.2.exe
-
Size
857KB
-
MD5
71dd6e0c340bad2b3017a05dd41bde80
-
SHA1
3f53a5249915d6de24573dab79510066de36fc0f
-
SHA256
5c5c81d1d2a4032f3757d3c33543cc095ecc78ae4b36239f9072e836efea0410
-
SHA512
0f86a0d7d569e93e0238a8898bb206b8d60703fb508e0e719f254d21923d566f6572ae6d55a0ac406df1a449cacfd9b98094e5a35236808dbb0d82831d6e276f
-
SSDEEP
24576:BBekoLMmWj5H8mHIrZX3t8CbyBb26Erdne7e:BBgLMmW18XVX9uAne7
Score
7/10
Malware Config
Signatures
-
Executes dropped EXE 64 IoCs
-
Loads dropped DLL 64 IoCs
-
Adds Run key to start application 2 TTPs 64 IoCs
-
Drops file in System32 directory 64 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Suspicious use of AdjustPrivilegeToken 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\Generador de Creditos v.2.exe"C:\Users\Admin\AppData\Local\Temp\Generador de Creditos v.2.exe"1⤵
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"5⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"6⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
-
-
-
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"5⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"6⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"7⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"8⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"9⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"10⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"11⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"12⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"13⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"14⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"5⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"6⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"7⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"8⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"9⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"10⤵
- Executes dropped EXE
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"11⤵
- Executes dropped EXE
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"12⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"13⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"14⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"15⤵
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"16⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"17⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"18⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"19⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"20⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"21⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"22⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"23⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"24⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"25⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"26⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"27⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"28⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"29⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"30⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"31⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"32⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"33⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"34⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"35⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"36⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"37⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"38⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"39⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"40⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"41⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"42⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"43⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"44⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"45⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"46⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"47⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"48⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"49⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"50⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"7⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"8⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"9⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"10⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"11⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"12⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"13⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"14⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"15⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"16⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"17⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"18⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"19⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"20⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"21⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"22⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"23⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"24⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"25⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"26⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"27⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"5⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"6⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"7⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"8⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"9⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"10⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"11⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"12⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"13⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"14⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"15⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"16⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"17⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"18⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"19⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"20⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"21⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"22⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"23⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"24⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"25⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"26⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"27⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"28⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"29⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"30⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"31⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"32⤵
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"33⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"34⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"35⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"36⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"37⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"38⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"39⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"40⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"41⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"42⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"43⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"44⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"45⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"46⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"47⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"48⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"49⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"50⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"51⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"52⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"53⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"54⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"55⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"56⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"57⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"58⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"59⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"60⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"61⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"62⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"63⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"64⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"65⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"66⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"67⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"68⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"69⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"70⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"71⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"72⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"73⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"74⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"75⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"76⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"77⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"78⤵
- Executes dropped EXE
- Drops file in System32 directory
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\system32\wbem\WMIADAP.EXEwmiadap.exe /F /T /R1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"1⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"2⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"3⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"4⤵
- Executes dropped EXE
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"5⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"6⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"7⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"8⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"9⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"10⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"11⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"12⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"13⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"14⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"15⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"16⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"17⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"18⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"19⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"20⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"21⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"22⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"23⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"24⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"25⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"26⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"27⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"28⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"29⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"30⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"31⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"32⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"33⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"34⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"35⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"36⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"37⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"38⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"39⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"40⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"41⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"42⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"43⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"44⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"45⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"46⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"47⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"48⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"49⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"50⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"51⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"52⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"53⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"54⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"55⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"56⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"57⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"58⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"59⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"60⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"61⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"62⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"63⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"64⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"65⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"66⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"67⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"68⤵
- Executes dropped EXE
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"69⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"70⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"71⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"72⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"73⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"74⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"75⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"76⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"77⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"78⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"79⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"80⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"81⤵
- Executes dropped EXE
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"82⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"83⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"84⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"85⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"86⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"87⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"88⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"89⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"90⤵
- Adds Run key to start application
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"91⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"92⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"93⤵
- Executes dropped EXE
- Loads dropped DLL
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"94⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"95⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"96⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"97⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"98⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"99⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"100⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"101⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"102⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"103⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"104⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"105⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"106⤵
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"107⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"108⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"109⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"110⤵
- Executes dropped EXE
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"111⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"112⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"113⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"114⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"115⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"116⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"117⤵
- Drops file in System32 directory
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"118⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"119⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"120⤵
-
C:\Windows\SysWOW64\test\svchost.exe"C:\Windows\system32\test\svchost.exe"121⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-