Analysis
-
max time kernel
149s -
max time network
148s -
platform
windows10-2004_x64 -
resource
win10v2004-20231215-en -
resource tags
arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system -
submitted
30-12-2023 02:01
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
0afad9ff556dea967ba3972823dc5053.exe
Resource
win7-20231215-en
5 signatures
150 seconds
General
-
Target
0afad9ff556dea967ba3972823dc5053.exe
-
Size
543KB
-
MD5
0afad9ff556dea967ba3972823dc5053
-
SHA1
ad5aa87d13102a4ce76d30f52f6414593107d420
-
SHA256
ff630dc798021ce5f290190815154404b1751bb6daf738adc2f5a7584c007850
-
SHA512
e5cd97c14024c53ff0d6f3a97b7764ee7a47caa8f872520957979bbfbeb795f759fef29f02d2ead5b9217275bd0336013a9b39b2303b89253ff2db6ea12d9f41
-
SSDEEP
12288:Qm2+cfZFqIe0Saj7sYYd9piPyuH1z1DCGibh4EJ5YFM8beOSi:xkQICaj7/Y3piDVRD6KHbUi
Malware Config
Extracted
Family
vidar
Version
40
Botnet
706
C2
https://lenak513.tumblr.com/
Attributes
-
profile_id
706
Signatures
-
Vidar Stealer 4 IoCs
Processes:
resource yara_rule behavioral2/memory/1948-2-0x0000000004A00000-0x0000000004A9D000-memory.dmp family_vidar behavioral2/memory/1948-3-0x0000000000400000-0x0000000002CBE000-memory.dmp family_vidar behavioral2/memory/1948-14-0x0000000004A00000-0x0000000004A9D000-memory.dmp family_vidar behavioral2/memory/1948-13-0x0000000000400000-0x0000000002CBE000-memory.dmp family_vidar -
Program crash 17 IoCs
Processes:
WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exepid pid_target process target process 2524 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2584 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2876 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2748 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 3544 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2824 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 4200 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 3556 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 1056 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 3004 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 4512 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 4732 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2004 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 1544 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 3988 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2584 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe 2748 1948 WerFault.exe 0afad9ff556dea967ba3972823dc5053.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\0afad9ff556dea967ba3972823dc5053.exe"C:\Users\Admin\AppData\Local\Temp\0afad9ff556dea967ba3972823dc5053.exe"1⤵PID:1948
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 8082⤵
- Program crash
PID:2524 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 8362⤵
- Program crash
PID:2584 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 8682⤵
- Program crash
PID:2876 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 9082⤵
- Program crash
PID:2748 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 9842⤵
- Program crash
PID:3544 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 10682⤵
- Program crash
PID:2824 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 14962⤵
- Program crash
PID:4200 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 15602⤵
- Program crash
PID:3556 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 17722⤵
- Program crash
PID:1056 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 15962⤵
- Program crash
PID:3004 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 17322⤵
- Program crash
PID:4512 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 17962⤵
- Program crash
PID:4732 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 18002⤵
- Program crash
PID:2004 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 17322⤵
- Program crash
PID:1544 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 18122⤵
- Program crash
PID:3988 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 17362⤵
- Program crash
PID:2584 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 10402⤵
- Program crash
PID:2748
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 1948 -ip 19481⤵PID:1664
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 1948 -ip 19481⤵PID:4772
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1948 -ip 19481⤵PID:4800
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1948 -ip 19481⤵PID:2944
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1948 -ip 19481⤵PID:1972
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1948 -ip 19481⤵PID:3000
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1948 -ip 19481⤵PID:412
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1948 -ip 19481⤵PID:1796
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1948 -ip 19481⤵PID:2704
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1948 -ip 19481⤵PID:3732
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 464 -p 1948 -ip 19481⤵PID:3508
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1948 -ip 19481⤵PID:776
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1948 -ip 19481⤵PID:4892
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1948 -ip 19481⤵PID:4896
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1948 -ip 19481⤵PID:840
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1948 -ip 19481⤵PID:2060
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 1948 -ip 19481⤵PID:2328