0860877b1e3b93c6099e176490d87b3a04cad91004656747222c3da596abd1b9

General

Target

0d08da8785cc1eb2b6db9a94d38a0188.exe
Size

386KB
MD5

0d08da8785cc1eb2b6db9a94d38a0188
SHA1

a41e12ddb375f6263bc60e53c72f5bc52b69d064
SHA256

0860877b1e3b93c6099e176490d87b3a04cad91004656747222c3da596abd1b9
SHA512

600e7c44e1ec1a21aea031173b6708b44aa4767d6498f439a680da53e66ec7784add63c58c9cba6fe3b502ec3d91fb55f32107504134283559937aa6b4afe92b
SSDEEP

6144:WfnqZiQxB4MbxBlcPfhe6cZweMMhf15zwsSpR5kf0AT/tE:iqZD7ZxBlcnAF+J+w958/tE

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 1 IoCs

Processes:

eH27502ImAnB27502.exe

pid process

4936 eH27502ImAnB27502.exe

pid	process
4936	eH27502ImAnB27502.exe

UPX packed file 2 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/1280-13-0x0000000000400000-0x00000000004C1000-memory.dmp	upx
behavioral2/memory/1280-6-0x0000000000400000-0x00000000004C1000-memory.dmp	upx

Program crash 64 IoCs

Processes:

WerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exeWerFault.exe

pid	pid_target	process	target process
4824	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1068	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4364	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1552	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1348	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4416	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4200	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2824	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2260	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
5028	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
5112	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2252	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1444	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2732	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4724	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
748	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4600	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4356	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3996	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1880	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4780	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1268	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3592	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4824	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2276	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
372	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4760	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2472	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3796	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1828	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
968	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3420	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4604	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2548	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3416	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2804	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3780	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
540	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
964	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4036	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3188	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3236	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4356	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
5088	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2136	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
520	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4028	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4224	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2588	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3980	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2252	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
516	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3292	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3700	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1360	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4868	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3676	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1252	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2844	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
4172	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
2640	4936	WerFault.exe	eH27502ImAnB27502.exe
4656	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
1964	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe
3144	1280	WerFault.exe	0d08da8785cc1eb2b6db9a94d38a0188.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

Processes:

0d08da8785cc1eb2b6db9a94d38a0188.exe

pid process

1280 0d08da8785cc1eb2b6db9a94d38a0188.exe
1280 0d08da8785cc1eb2b6db9a94d38a0188.exe
Suspicious use of AdjustPrivilegeToken 1 IoCs

Processes:

0d08da8785cc1eb2b6db9a94d38a0188.exe

description pid process

Token: SeDebugPrivilege 1280 0d08da8785cc1eb2b6db9a94d38a0188.exe

pid	process
1280	0d08da8785cc1eb2b6db9a94d38a0188.exe
1280	0d08da8785cc1eb2b6db9a94d38a0188.exe

description	pid	process
Token: SeDebugPrivilege	1280	0d08da8785cc1eb2b6db9a94d38a0188.exe

Suspicious use of WriteProcessMemory 3 IoCs

Processes:

0d08da8785cc1eb2b6db9a94d38a0188.exe

description	pid	process	target process
PID 1280 wrote to memory of 4936	1280	0d08da8785cc1eb2b6db9a94d38a0188.exe	eH27502ImAnB27502.exe
PID 1280 wrote to memory of 4936	1280	0d08da8785cc1eb2b6db9a94d38a0188.exe	eH27502ImAnB27502.exe
PID 1280 wrote to memory of 4936	1280	0d08da8785cc1eb2b6db9a94d38a0188.exe	eH27502ImAnB27502.exe

C:\Users\Admin\AppData\Local\Temp\0d08da8785cc1eb2b6db9a94d38a0188.exe
"C:\Users\Admin\AppData\Local\Temp\0d08da8785cc1eb2b6db9a94d38a0188.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1280

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1256
2⤵
- Program crash
PID:4824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1276
2⤵
- Program crash
PID:1068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1316
2⤵
- Program crash
PID:4364

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1296
2⤵
- Program crash
PID:1552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1324
2⤵
- Program crash
PID:1348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1336
2⤵
- Program crash
PID:4416

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1428
2⤵
- Program crash
PID:4200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1408
2⤵
- Program crash
PID:2824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1448
2⤵
- Program crash
PID:2260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1468
2⤵
- Program crash
PID:5028

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1484
2⤵
- Program crash
PID:5112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1476
2⤵
- Program crash
PID:2252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1492
2⤵
- Program crash
PID:1444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1504
2⤵
- Program crash
PID:2732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1544
2⤵
- Program crash
PID:4724

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1564
2⤵
- Program crash
PID:748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1628
2⤵
- Program crash
PID:4600

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1616
2⤵
- Program crash
PID:4356

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1608
2⤵
- Program crash
PID:3996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1640
2⤵
- Program crash
PID:1880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1648
2⤵
- Program crash
PID:4780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1624
2⤵
- Program crash
PID:1268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1632
2⤵
- Program crash
PID:3592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1648
2⤵
- Program crash
PID:4824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1632
2⤵
- Program crash
PID:2276

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1640
2⤵
- Program crash
PID:372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1648
2⤵
- Program crash
PID:4760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1624
2⤵
- Program crash
PID:2472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1604
2⤵
- Program crash
PID:3796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1628
2⤵
- Program crash
PID:1828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1636
2⤵
- Program crash
PID:968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1108
2⤵
- Program crash
PID:3420

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1632
2⤵
- Program crash
PID:4604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1636
2⤵
- Program crash
PID:2548

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1164
2⤵
- Program crash
PID:3416

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1660
2⤵
- Program crash
PID:2804

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1668
2⤵
- Program crash
PID:3780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1636
2⤵
- Program crash
PID:540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1676
2⤵
- Program crash
PID:964

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1688
2⤵
- Program crash
PID:4036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1708
2⤵
- Program crash
PID:3188

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1208
2⤵
- Program crash
PID:3236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1212
2⤵
- Program crash
PID:4356

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1680
2⤵
- Program crash
PID:5088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1216
2⤵
- Program crash
PID:2136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1204
2⤵
- Program crash
PID:520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 140
2⤵
- Program crash
PID:4028

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1212
2⤵
- Program crash
PID:4224

C:\ProgramData\eH27502ImAnB27502\eH27502ImAnB27502.exe
"C:\ProgramData\eH27502ImAnB27502\eH27502ImAnB27502.exe" "C:\Users\Admin\AppData\Local\Temp\0d08da8785cc1eb2b6db9a94d38a0188.exe"
2⤵
- Executes dropped EXE
PID:4936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4936 -s 1072
3⤵
- Program crash
PID:2640

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1680
2⤵
- Program crash
PID:2588

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1656
2⤵
- Program crash
PID:3980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1108
2⤵
- Program crash
PID:2252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1112
2⤵
- Program crash
PID:516

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1120
2⤵
- Program crash
PID:3292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1144
2⤵
- Program crash
PID:3700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1652
2⤵
- Program crash
PID:1360

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1612
2⤵
- Program crash
PID:4868

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1596
2⤵
- Program crash
PID:3676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1620
2⤵
- Program crash
PID:1252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1600
2⤵
- Program crash
PID:2844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1584
2⤵
- Program crash
PID:4172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1524
2⤵
- Program crash
PID:4656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1436
2⤵
- Program crash
PID:1964

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1416
2⤵
- Program crash
PID:3144

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1392
2⤵
PID:3664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1376
2⤵
PID:4264

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1356
2⤵
PID:836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1280 -s 1236
2⤵
PID:4888

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 432 -p 1280 -ip 1280
1⤵
PID:2692

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1280 -ip 1280
1⤵
PID:3920

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 1280 -ip 1280
1⤵
PID:3576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 1280 -ip 1280
1⤵
PID:472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1280 -ip 1280
1⤵
PID:4808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 1280 -ip 1280
1⤵
PID:556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 1280 -ip 1280
1⤵
PID:3200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 1280 -ip 1280
1⤵
PID:2664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 1280 -ip 1280
1⤵
PID:2396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 1280 -ip 1280
1⤵
PID:2728

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 1280 -ip 1280
1⤵
PID:3660

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 1280 -ip 1280
1⤵
PID:4676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 1280 -ip 1280
1⤵
PID:3480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 1280 -ip 1280
1⤵
PID:1108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 1280 -ip 1280
1⤵
PID:1648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 1280 -ip 1280
1⤵
PID:3388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 1280 -ip 1280
1⤵
PID:2152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 1280 -ip 1280
1⤵
PID:2956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 1280 -ip 1280
1⤵
PID:4596

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 1280 -ip 1280
1⤵
PID:3476

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 716 -p 1280 -ip 1280
1⤵
PID:872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 1280 -ip 1280
1⤵
PID:3472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 1280 -ip 1280
1⤵
PID:3952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 1280 -ip 1280
1⤵
PID:4284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 1280 -ip 1280
1⤵
PID:1068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1280 -ip 1280
1⤵
PID:4972

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1280 -ip 1280
1⤵
PID:4848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1280 -ip 1280
1⤵
PID:4212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1280 -ip 1280
1⤵
PID:4784

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1280 -ip 1280
1⤵
PID:3668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1280 -ip 1280
1⤵
PID:4200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1280 -ip 1280
1⤵
PID:3144

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 1280 -ip 1280
1⤵
PID:1560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1280 -ip 1280
1⤵
PID:4960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1280 -ip 1280
1⤵
PID:1444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1280 -ip 1280
1⤵
PID:1652

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 1280 -ip 1280
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1280 -ip 1280
1⤵
PID:748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1280 -ip 1280
1⤵
PID:4444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1280 -ip 1280
1⤵
PID:4600

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1280 -ip 1280
1⤵
PID:4352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1280 -ip 1280
1⤵
PID:4088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1280 -ip 1280
1⤵
PID:4564

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1280 -ip 1280
1⤵
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1280 -ip 1280
1⤵
PID:404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1280 -ip 1280
1⤵
PID:2496

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1280 -ip 1280
1⤵
PID:3628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1280 -ip 1280
1⤵
PID:2872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1280 -ip 1280
1⤵
PID:2732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1280 -ip 1280
1⤵
PID:2340

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 1280 -ip 1280
1⤵
PID:4980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1280 -ip 1280
1⤵
PID:1952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1280 -ip 1280
1⤵
PID:1348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 1280 -ip 1280
1⤵
PID:4364

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 1280 -ip 1280
1⤵
PID:808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 1280 -ip 1280
1⤵
PID:1728

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 1280 -ip 1280
1⤵
PID:3236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 1280 -ip 1280
1⤵
PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4936 -ip 4936
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 1280 -ip 1280
1⤵
PID:3544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1280 -ip 1280
1⤵
PID:560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 1280 -ip 1280
1⤵
PID:2864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 1280 -ip 1280
1⤵
PID:3128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1280 -ip 1280
1⤵
PID:1976

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1280 -ip 1280
1⤵
PID:3816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1280 -ip 1280
1⤵
PID:372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 1280 -ip 1280
1⤵
PID:668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1280 -ip 1280
1⤵
PID:2208

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\ProgramData\eH27502ImAnB27502\eH27502ImAnB27502.exe
Filesize
386KB

MD5
30070de6df1b1874140a5e1ea0a8c40f

SHA1
9142be29be68e5834b59c2be2bea2811f0eadff7

SHA256
4aef3194cdfcdba41686f32a657f391e55530e8e12dc0a59ba2d556de5fe8aaf

SHA512
c2a55fb75359b38eb4afa9efdc8b91dbfb1b118d6ba05703447d633345213079297c0655606d0a1b1a68a2d00c8d67566bcbda3e538cb093843372d9ff1a9f03

Download Submit
memory/1280-0-0x0000000002C50000-0x0000000002C52000-memory.dmp

Filesize
8KB

Download
memory/1280-13-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1280-6-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads