Analysis
-
max time kernel
173s -
max time network
183s -
platform
windows10-2004_x64 -
resource
win10v2004-20231215-en -
resource tags
arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system -
submitted
29-12-2023 22:42
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
05f324f268d89d538d005ed163c25375.exe
Resource
win7-20231129-en
5 signatures
150 seconds
General
-
Target
05f324f268d89d538d005ed163c25375.exe
-
Size
513KB
-
MD5
05f324f268d89d538d005ed163c25375
-
SHA1
fa7292f7ba4129b4bd67d0068115d427cfd5e137
-
SHA256
7cfa425be47b2561475067a302230a42d4a90207b2080fe7bc35852d24f91f96
-
SHA512
e4c424fd31a6bce2366909f084d93aa03fa0c7e8ccc55bdacae00b5e9129f5a66367752afe8bf8d02b285e7dbbbe4b1e21e9ce4b21f7e7daf21667b94d368f50
-
SSDEEP
12288:F8j5Z8SzMDZDGZQ8Uc169x09BDCQQ7lwPQeit1NxZZL:F6NOGZQ8Ue69x0c7KPQeitxf
Malware Config
Extracted
Family
vidar
Version
40.1
Botnet
706
C2
https://eduarroma.tumblr.com/
Attributes
-
profile_id
706
Signatures
-
Vidar Stealer 4 IoCs
Processes:
resource yara_rule behavioral2/memory/2436-2-0x0000000004AF0000-0x0000000004B8D000-memory.dmp family_vidar behavioral2/memory/2436-3-0x0000000000400000-0x0000000002D0E000-memory.dmp family_vidar behavioral2/memory/2436-4-0x0000000000400000-0x0000000002D0E000-memory.dmp family_vidar behavioral2/memory/2436-7-0x0000000004AF0000-0x0000000004B8D000-memory.dmp family_vidar -
Program crash 17 IoCs
Processes:
WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exepid pid_target process target process 3608 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 1540 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 1064 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4932 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 1592 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4424 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 2400 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4296 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 2564 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 1448 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 3012 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 3772 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 3928 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4196 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4312 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 4976 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe 1300 2436 WerFault.exe 05f324f268d89d538d005ed163c25375.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\05f324f268d89d538d005ed163c25375.exe"C:\Users\Admin\AppData\Local\Temp\05f324f268d89d538d005ed163c25375.exe"1⤵PID:2436
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 8162⤵
- Program crash
PID:3608 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 8602⤵
- Program crash
PID:1540 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 8162⤵
- Program crash
PID:1064 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 8362⤵
- Program crash
PID:4932 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 9882⤵
- Program crash
PID:1592 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 10442⤵
- Program crash
PID:4424 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 14042⤵
- Program crash
PID:2400 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 14362⤵
- Program crash
PID:4296 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 15602⤵
- Program crash
PID:2564 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 16002⤵
- Program crash
PID:1448 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 18002⤵
- Program crash
PID:3012 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 18202⤵
- Program crash
PID:3772 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 13082⤵
- Program crash
PID:3928 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 15962⤵
- Program crash
PID:4196 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 19762⤵
- Program crash
PID:4312 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 18922⤵
- Program crash
PID:4976 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2436 -s 18922⤵
- Program crash
PID:1300
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 2436 -ip 24361⤵PID:2552
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 2436 -ip 24361⤵PID:2196
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 24361⤵PID:4296
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2436 -ip 24361⤵PID:620
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 24361⤵PID:3876
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2436 -ip 24361⤵PID:1052
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2436 -ip 24361⤵PID:1696
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 24361⤵PID:4836
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 24361⤵PID:3028
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2436 -ip 24361⤵PID:1092
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2436 -ip 24361⤵PID:2892
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2436 -ip 24361⤵PID:1780
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2436 -ip 24361⤵PID:2016
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2436 -ip 24361⤵PID:3496
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 2436 -ip 24361⤵PID:3388
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2436 -ip 24361⤵PID:3272
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2436 -ip 24361⤵PID:1464