Overview

overview

3

Static

static

3

啊哈C/SciLexer.dll

windows7-x64

3

啊哈C/SciLexer.dll

windows10-2004-x64

1

啊哈C/aha-c.exe

windows7-x64

1

啊哈C/aha-c.exe

windows10-2004-x64

1

啊哈C/co...=m.exe

windows7-x64

1

啊哈C/co...=m.exe

windows10-2004-x64

1

啊哈C/co...ne.exe

windows7-x64

1

啊哈C/co...ne.exe

windows10-2004-x64

1

啊哈C/co...ar.exe

windows7-x64

1

啊哈C/co...ar.exe

windows10-2004-x64

1

啊哈C/co...as.exe

windows7-x64

1

啊哈C/co...as.exe

windows10-2004-x64

1

啊哈C/co...++.exe

windows7-x64

1

啊哈C/co...++.exe

windows10-2004-x64

1

啊哈C/co...lt.exe

windows7-x64

1

啊哈C/co...lt.exe

windows10-2004-x64

1

啊哈C/co...pp.exe

windows7-x64

1

啊哈C/co...pp.exe

windows10-2004-x64

1

啊哈C/co...ol.exe

windows7-x64

1

啊哈C/co...ol.exe

windows10-2004-x64

1

啊哈C/co...ap.exe

windows7-x64

1

啊哈C/co...ap.exe

windows10-2004-x64

1

啊哈C/co...++.exe

windows7-x64

1

啊哈C/co...++.exe

windows10-2004-x64

1

啊哈C/co...cc.exe

windows7-x64

1

啊哈C/co...cc.exe

windows10-2004-x64

1

啊哈C/co...gccbug

ubuntu-18.04-amd64

3

啊哈C/co...gccbug

debian-9-armhf

1

啊哈C/co...gccbug

debian-9-mips

1

啊哈C/co...gccbug

debian-9-mipsel

1

啊哈C/co...ov.exe

windows7-x64

1

啊哈C/co...ov.exe

windows10-2004-x64

1

Analysis

  • max time kernel
    14s
  • max time network
    140s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20231215-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
  • submitted
    30/12/2023, 04:58

Sharing

Copy URL
Twitter E-mail
Report Analysis Logs

General

  • Target

    啊哈C/core/bin/--library=m.exe

  • Size

    16KB

  • MD5

    f93784f1055cd1d04b312e45ab9072a6

  • SHA1

    6a2249157f6592704fd2095af4c3c9146b8e5401

  • SHA256

    bf772c64a2a4ab415f52ae696bea0aacb1a94d125a59b4361287cd28c10dc805

  • SHA512

    5c3ed6da41fab9ddff9cf5032de911541fd4681f8fc06db37c60f2e8a1d0b6ae6819e5010077e43f67cabd859af7a4ae55286a5eb1a0739d8f53c987bbe2dd47

  • SSDEEP

    192:R/aHhiBQsGF3+qmuYO3ck4/kjyFSrncCD5:RkFuqmj+ck4MeMrnr9

Score
1/10

Malware Config

Signatures

  • Suspicious use of WriteProcessMemory 42 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\啊哈C\core\bin\--library=m.exe
    "C:\Users\Admin\AppData\Local\Temp\啊哈C\core\bin\--library=m.exe"
    1⤵
    • Suspicious use of WriteProcessMemory
    PID:1472
    • C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c color 13
      2⤵
        PID:4056
      • C:\Windows\SysWOW64\cmd.exe
        C:\Windows\system32\cmd.exe /c cls
        2⤵
          PID:4044
        • C:\Windows\SysWOW64\cmd.exe
          C:\Windows\system32\cmd.exe /c cls
          2⤵
            PID:5064
          • C:\Windows\SysWOW64\cmd.exe
            C:\Windows\system32\cmd.exe /c cls
            2⤵
              PID:4980
            • C:\Windows\SysWOW64\cmd.exe
              C:\Windows\system32\cmd.exe /c cls
              2⤵
                PID:3488
              • C:\Windows\SysWOW64\cmd.exe
                C:\Windows\system32\cmd.exe /c cls
                2⤵
                  PID:2832
                • C:\Windows\SysWOW64\cmd.exe
                  C:\Windows\system32\cmd.exe /c cls
                  2⤵
                    PID:5076
                  • C:\Windows\SysWOW64\cmd.exe
                    C:\Windows\system32\cmd.exe /c cls
                    2⤵
                      PID:2360
                    • C:\Windows\SysWOW64\cmd.exe
                      C:\Windows\system32\cmd.exe /c cls
                      2⤵
                        PID:2624
                      • C:\Windows\SysWOW64\cmd.exe
                        C:\Windows\system32\cmd.exe /c cls
                        2⤵
                          PID:4420
                        • C:\Windows\SysWOW64\cmd.exe
                          C:\Windows\system32\cmd.exe /c cls
                          2⤵
                            PID:3600
                          • C:\Windows\SysWOW64\cmd.exe
                            C:\Windows\system32\cmd.exe /c cls
                            2⤵
                              PID:4152
                            • C:\Windows\SysWOW64\cmd.exe
                              C:\Windows\system32\cmd.exe /c cls
                              2⤵
                                PID:116
                              • C:\Windows\SysWOW64\cmd.exe
                                C:\Windows\system32\cmd.exe /c cls
                                2⤵
                                  PID:1088
                                • C:\Windows\SysWOW64\cmd.exe
                                  C:\Windows\system32\cmd.exe /c cls
                                  2⤵
                                    PID:448
                                  • C:\Windows\SysWOW64\cmd.exe
                                    C:\Windows\system32\cmd.exe /c cls
                                    2⤵
                                      PID:4872
                                    • C:\Windows\SysWOW64\cmd.exe
                                      C:\Windows\system32\cmd.exe /c cls
                                      2⤵
                                        PID:1780
                                      • C:\Windows\SysWOW64\cmd.exe
                                        C:\Windows\system32\cmd.exe /c cls
                                        2⤵
                                          PID:2240
                                        • C:\Windows\SysWOW64\cmd.exe
                                          C:\Windows\system32\cmd.exe /c cls
                                          2⤵
                                            PID:4336
                                          • C:\Windows\SysWOW64\cmd.exe
                                            C:\Windows\system32\cmd.exe /c cls
                                            2⤵
                                              PID:1140
                                            • C:\Windows\SysWOW64\cmd.exe
                                              C:\Windows\system32\cmd.exe /c cls
                                              2⤵
                                                PID:1368
                                              • C:\Windows\SysWOW64\cmd.exe
                                                C:\Windows\system32\cmd.exe /c cls
                                                2⤵
                                                  PID:4312
                                                • C:\Windows\SysWOW64\cmd.exe
                                                  C:\Windows\system32\cmd.exe /c cls
                                                  2⤵
                                                    PID:4352
                                                  • C:\Windows\SysWOW64\cmd.exe
                                                    C:\Windows\system32\cmd.exe /c cls
                                                    2⤵
                                                      PID:4056
                                                    • C:\Windows\SysWOW64\cmd.exe
                                                      C:\Windows\system32\cmd.exe /c cls
                                                      2⤵
                                                        PID:2680
                                                      • C:\Windows\SysWOW64\cmd.exe
                                                        C:\Windows\system32\cmd.exe /c cls
                                                        2⤵
                                                          PID:2284
                                                        • C:\Windows\SysWOW64\cmd.exe
                                                          C:\Windows\system32\cmd.exe /c cls
                                                          2⤵
                                                            PID:3348
                                                          • C:\Windows\SysWOW64\cmd.exe
                                                            C:\Windows\system32\cmd.exe /c cls
                                                            2⤵
                                                              PID:1364
                                                            • C:\Windows\SysWOW64\cmd.exe
                                                              C:\Windows\system32\cmd.exe /c cls
                                                              2⤵
                                                                PID:3096
                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                C:\Windows\system32\cmd.exe /c cls
                                                                2⤵
                                                                  PID:3612
                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                  2⤵
                                                                    PID:3116
                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                    2⤵
                                                                      PID:2668
                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                      2⤵
                                                                        PID:5068
                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                        2⤵
                                                                          PID:3332
                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                          2⤵
                                                                            PID:3356
                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                            2⤵
                                                                              PID:4612
                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                              2⤵
                                                                                PID:2608
                                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                2⤵
                                                                                  PID:1488
                                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                  2⤵
                                                                                    PID:4312
                                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                    2⤵
                                                                                      PID:2680
                                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                      2⤵
                                                                                        PID:5032
                                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                        2⤵
                                                                                          PID:1016
                                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                          2⤵
                                                                                            PID:1584
                                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                            2⤵
                                                                                              PID:744
                                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                              2⤵
                                                                                                PID:4136
                                                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                2⤵
                                                                                                  PID:1972
                                                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                  2⤵
                                                                                                    PID:2264
                                                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                    2⤵
                                                                                                      PID:3104
                                                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                      2⤵
                                                                                                        PID:3804
                                                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                        2⤵
                                                                                                          PID:552
                                                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                          2⤵
                                                                                                            PID:1080
                                                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                                            2⤵
                                                                                                              PID:2180
                                                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                              2⤵
                                                                                                                PID:3332
                                                                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                                2⤵
                                                                                                                  PID:1300
                                                                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                  2⤵
                                                                                                                    PID:3264
                                                                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                                    2⤵
                                                                                                                      PID:3052
                                                                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                      2⤵
                                                                                                                        PID:4324
                                                                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                                        2⤵
                                                                                                                          PID:116
                                                                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                          2⤵
                                                                                                                            PID:4628
                                                                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                                                            2⤵
                                                                                                                              PID:2240
                                                                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                              2⤵
                                                                                                                                PID:1316
                                                                                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                                                2⤵
                                                                                                                                  PID:4468
                                                                                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                  2⤵
                                                                                                                                    PID:4312
                                                                                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                                                    2⤵
                                                                                                                                      PID:4352
                                                                                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                      2⤵
                                                                                                                                        PID:2680
                                                                                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                                                        2⤵
                                                                                                                                          PID:4800
                                                                                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                          2⤵
                                                                                                                                            PID:3488
                                                                                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                            C:\Windows\system32\cmd.exe /c cls
                                                                                                                                            2⤵
                                                                                                                                              PID:2668
                                                                                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                              2⤵
                                                                                                                                                PID:724
                                                                                                                                              • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                2⤵
                                                                                                                                                  PID:3824
                                                                                                                                                • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                  C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                  2⤵
                                                                                                                                                    PID:4396
                                                                                                                                                  • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                    C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                    2⤵
                                                                                                                                                      PID:4152
                                                                                                                                                    • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                      C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                      2⤵
                                                                                                                                                        PID:5112
                                                                                                                                                      • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                        C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                        2⤵
                                                                                                                                                          PID:2096
                                                                                                                                                        • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                          C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                          2⤵
                                                                                                                                                            PID:1560
                                                                                                                                                          • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                            C:\Windows\system32\cmd.exe /c pause
                                                                                                                                                            2⤵
                                                                                                                                                              PID:4324
                                                                                                                                                            • C:\Windows\SysWOW64\cmd.exe
                                                                                                                                                              C:\Windows\system32\cmd.exe /c cls
                                                                                                                                                              2⤵
                                                                                                                                                                PID:1880
                                                                                                                                                            • C:\Windows\System32\sihclient.exe
                                                                                                                                                              C:\Windows\System32\sihclient.exe /cv G181AmjnNku2iGFx1zzX8Q.0.2
                                                                                                                                                              1⤵
                                                                                                                                                                PID:5064

                                                                                                                                                              Network

                                                                                                                                                              MITRE ATT&CK Matrix

                                                                                                                                                              Replay Monitor

                                                                                                                                                              Loading Replay Monitor...

                                                                                                                                                              Downloads

                                                                                                                                                              • memory/1472-0-0x0000000000400000-0x0000000000406000-memory.dmp

                                                                                                                                                                Filesize

                                                                                                                                                                24KB

                                                                                                                                                                Download