1591e877ac02d64672373618ba7a41f96fe7bea8d65b59cf540bb2237de05139

Analysis

max time kernel
17s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
05-01-2024 12:55

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

43bc9b718840ed9b433adaf7e7d97f99.exe
Size

19KB
MD5

43bc9b718840ed9b433adaf7e7d97f99
SHA1

22c21998b4518168751d2cc388c8d70ebcfe9522
SHA256

1591e877ac02d64672373618ba7a41f96fe7bea8d65b59cf540bb2237de05139
SHA512

d9d0818b99a9e6cf715fee1f6585caa4cc9e47a3e5a9a66f1b07b3c0f6008f8f0cdf9118c33a4bc4639a6ea2f7bb70e4eadfddcd97b648e796ec07acf36b9f9a
SSDEEP

384:hMfFsn/L24wcxtH50dRXl6bZGAzeGkfaud9:h0Fqz24ZN+dhl69G4Jki

Score

7^/10

persistence

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
4976	gatsss.exe
984	gatsss.exe
1712	gatsss.exe
4244	gatsss.exe
4860	gatsss.exe
2644	gatsss.exe
3340	gatsss.exe
5080	gatsss.exe
3408	gatsss.exe
2924	gatsss.exe
4264	gatsss.exe
3308	gatsss.exe
1116	gatsss.exe
3376	gatsss.exe
3960	gatsss.exe
2392	gatsss.exe
3644	gatsss.exe
5112	gatsss.exe
1508	gatsss.exe
4408	gatsss.exe
744	gatsss.exe
2036	gatsss.exe
2904	gatsss.exe
3992	gatsss.exe
4112	gatsss.exe
2928	gatsss.exe
2240	gatsss.exe
3000	gatsss.exe
1312	gatsss.exe
1200	gatsss.exe
3716	gatsss.exe
1304	gatsss.exe
1756	gatsss.exe
2624	gatsss.exe
740	gatsss.exe
2584	gatsss.exe
3024	gatsss.exe
1944	gatsss.exe
4852	gatsss.exe
3184	gatsss.exe
4988	gatsss.exe
4560	gatsss.exe
3692	gatsss.exe
1804	gatsss.exe
2620	gatsss.exe
3556	gatsss.exe
1932	gatsss.exe
4772	gatsss.exe
4504	gatsss.exe
4884	gatsss.exe
3792	gatsss.exe
3888	gatsss.exe
3224	gatsss.exe
4832	gatsss.exe
1184	gatsss.exe
440	gatsss.exe
3312	gatsss.exe
4124	gatsss.exe
4448	gatsss.exe
2224	gatsss.exe
4436	gatsss.exe
1324	gatsss.exe
4012	gatsss.exe
3252	gatsss.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\MSWi = "C:\\Windows\\system32\\gatsss.exe"	gatsss.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	Process not Found
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe
File created	C:\Windows\SysWOW64\gatsss.exe	gatsss.exe

Program crash 64 IoCs

pid	pid_target	Process	procid_target
16872	15856	Process not Found	249
14380	15756	Process not Found	247
17180	14968	Process not Found	213
15544	14900	Process not Found	212
15636	14932	Process not Found	493
15440	14628	Process not Found	519
24552	16108	Process not Found	376
24536	16320	Process not Found	280
24500	14308	Process not Found	532
24484	16304	Process not Found	266
21092	16044	Process not Found	258
24448	15940	Process not Found	253
24436	15872	Process not Found	470
24416	16288	Process not Found	267
15252	16636	Process not Found	354
24984	16816	Process not Found	295
13784	16848	Process not Found	299
16088	16732	Process not Found	294
18704	16552	Process not Found	284
19664	16236	Process not Found	282
17888	16140	Process not Found	373
24932	16456	Process not Found	271
26832	16172	Process not Found	262
26784	17448	Process not Found	345
28932	18776	Process not Found	410
27012	19888	Process not Found	510
28384	16972	Process not Found	302
19552	19392	Process not Found	453
23320	20488	Process not Found	1095
23256	19988	Process not Found	1092
24124	21268	Process not Found	1141
16256	19696	Process not Found	1087
17440	21252	Process not Found	1140
23856	21152	Process not Found	1134
24008	19760	Process not Found	1088
22340	17148	Process not Found	314
30152	6156	Process not Found	873
29348	17032	Process not Found	327
29276	19156	Process not Found	431
916	18508	Process not Found	399
3500	19064	Process not Found	419
4160	18524	Process not Found	449
29660	17780	Process not Found	355
3244	18272	Process not Found	452
30964	18240	Process not Found	386
15908	17212	Process not Found	323
29424	18864	Process not Found	411
28404	19524	Process not Found	472
208	19224	Process not Found	433
29396	18492	Process not Found	450
26756	16916	Process not Found	300
17800	16652	Process not Found	297
33460	27684	Process not Found	1542
21884	27304	Process not Found	1519
22848	27896	Process not Found	1555
19856	27800	Process not Found	1549
19192	28652	Process not Found	1600
22284	27516	Process not Found	1532
22576	27480	Process not Found	1530
24984	29556	Process not Found	1644
24416	29576	Process not Found	1645
28336	27768	Process not Found	1547
23948	27896	Process not Found	1555
29088	6636	Process not Found	858

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4220 wrote to memory of 4976	4220	43bc9b718840ed9b433adaf7e7d97f99.exe	990
PID 4220 wrote to memory of 4976	4220	43bc9b718840ed9b433adaf7e7d97f99.exe	990
PID 4220 wrote to memory of 4976	4220	43bc9b718840ed9b433adaf7e7d97f99.exe	990
PID 4976 wrote to memory of 984	4976	gatsss.exe	989
PID 4976 wrote to memory of 984	4976	gatsss.exe	989
PID 4976 wrote to memory of 984	4976	gatsss.exe	989
PID 984 wrote to memory of 1712	984	gatsss.exe	988
PID 984 wrote to memory of 1712	984	gatsss.exe	988
PID 984 wrote to memory of 1712	984	gatsss.exe	988
PID 1712 wrote to memory of 4244	1712	gatsss.exe	987
PID 1712 wrote to memory of 4244	1712	gatsss.exe	987
PID 1712 wrote to memory of 4244	1712	gatsss.exe	987
PID 4244 wrote to memory of 4860	4244	gatsss.exe	986
PID 4244 wrote to memory of 4860	4244	gatsss.exe	986
PID 4244 wrote to memory of 4860	4244	gatsss.exe	986
PID 4860 wrote to memory of 2644	4860	gatsss.exe	985
PID 4860 wrote to memory of 2644	4860	gatsss.exe	985
PID 4860 wrote to memory of 2644	4860	gatsss.exe	985
PID 2644 wrote to memory of 3340	2644	gatsss.exe	984
PID 2644 wrote to memory of 3340	2644	gatsss.exe	984
PID 2644 wrote to memory of 3340	2644	gatsss.exe	984
PID 3340 wrote to memory of 5080	3340	gatsss.exe	18
PID 3340 wrote to memory of 5080	3340	gatsss.exe	18
PID 3340 wrote to memory of 5080	3340	gatsss.exe	18
PID 5080 wrote to memory of 3408	5080	gatsss.exe	983
PID 5080 wrote to memory of 3408	5080	gatsss.exe	983
PID 5080 wrote to memory of 3408	5080	gatsss.exe	983
PID 3408 wrote to memory of 2924	3408	gatsss.exe	982
PID 3408 wrote to memory of 2924	3408	gatsss.exe	982
PID 3408 wrote to memory of 2924	3408	gatsss.exe	982
PID 2924 wrote to memory of 4264	2924	gatsss.exe	981
PID 2924 wrote to memory of 4264	2924	gatsss.exe	981
PID 2924 wrote to memory of 4264	2924	gatsss.exe	981
PID 4264 wrote to memory of 3308	4264	gatsss.exe	980
PID 4264 wrote to memory of 3308	4264	gatsss.exe	980
PID 4264 wrote to memory of 3308	4264	gatsss.exe	980
PID 3308 wrote to memory of 1116	3308	gatsss.exe	979
PID 3308 wrote to memory of 1116	3308	gatsss.exe	979
PID 3308 wrote to memory of 1116	3308	gatsss.exe	979
PID 1116 wrote to memory of 3376	1116	gatsss.exe	978
PID 1116 wrote to memory of 3376	1116	gatsss.exe	978
PID 1116 wrote to memory of 3376	1116	gatsss.exe	978
PID 3376 wrote to memory of 3960	3376	gatsss.exe	977
PID 3376 wrote to memory of 3960	3376	gatsss.exe	977
PID 3376 wrote to memory of 3960	3376	gatsss.exe	977
PID 3960 wrote to memory of 2392	3960	gatsss.exe	976
PID 3960 wrote to memory of 2392	3960	gatsss.exe	976
PID 3960 wrote to memory of 2392	3960	gatsss.exe	976
PID 2392 wrote to memory of 3644	2392	gatsss.exe	975
PID 2392 wrote to memory of 3644	2392	gatsss.exe	975
PID 2392 wrote to memory of 3644	2392	gatsss.exe	975
PID 3644 wrote to memory of 5112	3644	gatsss.exe	974
PID 3644 wrote to memory of 5112	3644	gatsss.exe	974
PID 3644 wrote to memory of 5112	3644	gatsss.exe	974
PID 5112 wrote to memory of 1508	5112	gatsss.exe	973
PID 5112 wrote to memory of 1508	5112	gatsss.exe	973
PID 5112 wrote to memory of 1508	5112	gatsss.exe	973
PID 1508 wrote to memory of 4408	1508	gatsss.exe	972
PID 1508 wrote to memory of 4408	1508	gatsss.exe	972
PID 1508 wrote to memory of 4408	1508	gatsss.exe	972
PID 4408 wrote to memory of 744	4408	gatsss.exe	971
PID 4408 wrote to memory of 744	4408	gatsss.exe	971
PID 4408 wrote to memory of 744	4408	gatsss.exe	971
PID 744 wrote to memory of 2036	744	gatsss.exe	19

C:\Users\Admin\AppData\Local\Temp\43bc9b718840ed9b433adaf7e7d97f99.exe
"C:\Users\Admin\AppData\Local\Temp\43bc9b718840ed9b433adaf7e7d97f99.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:4220
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:4976

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:5080
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of WriteProcessMemory
  PID:3408

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:2036
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:2904

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Adds Run key to start application
PID:2240
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:3000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:1312
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:1200

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:740
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:2584

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4560
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:3692

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3556
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:1932

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4832
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:1184

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4436
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Executes dropped EXE
  PID:1324

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:4072
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:4476

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:2692
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:4696

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:3940
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:4088

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5044
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:4092

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:1504
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5136

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5208
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5232

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5300
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5320

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5384
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5400

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5468
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5492

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5548
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5572

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:5636
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5652

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5716
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5732

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5796
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5816

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:5876
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5900

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5956
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:5976

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6044
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6112
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6140

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5408
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:5520

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5848
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:5832
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:396

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6196
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6220

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6260
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6280

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6352
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6376

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6416
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6436

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6456
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6476

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6528
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6556

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6620
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6636

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6704
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6732

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:6784
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6816

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6852
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6872

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6916
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6936

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6976
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7080
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7112

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7156
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:6192

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6392
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6516

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6728
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6832

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7120
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:6372

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7188
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7212

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:7276
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7300

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7356
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7380

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7440
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7460

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7512
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7528

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7572
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7588

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7632
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7652

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7712
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7740

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7756
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7776

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7824
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:7848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7908
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7928

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7968
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7988

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8004
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8028

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8048
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8064
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:8088

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8100
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8132
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:8156

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8172
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:7260

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7408
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7560

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7788
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:7864

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8076
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8116

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8208
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8280
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8296

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8332
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8348

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8400
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8416

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8528
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8544

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8576
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8656
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8672

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8704
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8720

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:8768
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:8784

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8828
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8912
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8928

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8896

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8880

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8976
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:8992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9056
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9120
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9136

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9188
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9204

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9280
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9296

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9376
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9396

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9544
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9560

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9628
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9644

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9712
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:9728

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:9796
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:9812

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9880
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9896

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9948
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:9964

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10028
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:10044

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10108
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10124
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:10140

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10092

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10156
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10172

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10236
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10256
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:10272

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10340
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10356

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10372
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10324

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10428
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10544
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:10556

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10608
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10624
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:10640

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10688
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10704

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10776
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10792

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:10840
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10856

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10924
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:10940

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11024
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:11040

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11104
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11120

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11152
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11168

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11236
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11252

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11340
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11356

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:11420
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11436

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11488
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11504

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11568
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11584

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11632
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11648

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11716
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11732

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11796
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11812

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11884
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11904

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:11936
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:11952

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12016
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12036

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12088
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12108

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12160
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12176

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12240
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12256

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12304
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:12324

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12372
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12352

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12420
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:12436

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:12468
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12484

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12516
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12532

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12564
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12584

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:12648
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12732
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12816
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12832
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:12848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12880
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12896

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12864

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12928
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:12944

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12992
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13008

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13040
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13060

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13076
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13092

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13140
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13156

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13204
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13220

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13252
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13268

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13236

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13284
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13300

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13336
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13352

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13400
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13416

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13432
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13512
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13528

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13576
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13592
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Drops file in System32 directory
    PID:13608
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:13624

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13560

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13672
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13688
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:13704

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13752
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13768

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13824
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13840

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13896
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:13912
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:13928

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13976
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:13992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13960

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13944

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14028
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14044

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14092
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14112

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14160
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14176

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14208
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14292
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14308

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14344
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14364

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14400
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14416

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14532
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14548

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14596
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:14612

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14580

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14648
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14716
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14732
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:14748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14700

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14764
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14784

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14832
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14852

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14900
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:14916

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:14968
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:14984
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:15000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15052
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15068

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15084
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15100

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15116
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15132

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15164
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:15180

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15196
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15212
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:15228

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15244
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15260

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15276
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15296
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:15312

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15328
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15344
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:12728

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15372
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15404
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15420
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:15440

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15460
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15476

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:15528
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15544

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15580
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15596

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15636
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15652

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:15616

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:15724
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:15740

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15808
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15824

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15792

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15772

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15756

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15856
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:15872

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15840

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15708

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15940
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15956

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15972
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:15988

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16060
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:16076
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:16092
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:16108

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16044

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16024

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:16008

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16172
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16188
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:16204
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:16220

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16252
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16268

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16304
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16320

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16288

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16356
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16372

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16420
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16436

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16472
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16488

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16456

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16404

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16504
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16520
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:16536

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16340

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16236

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16552
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16568

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16620
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16636

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16668
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16684

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16716
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16732

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16700

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16764
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16784

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16800
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16816
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:16832

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16652

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16864
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16884

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:16848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16916
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16932

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:16900

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16972
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:16992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16956

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17008
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17032

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17068
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:17084

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17100
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17116
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17132
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:17148
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:17164
      - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        6⤵
        
        PID:17180
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        7⤵
        
        PID:17196

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17048

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17244
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17260

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:17292
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  - Drops file in System32 directory
  PID:17308
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:17324
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:17340
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:17356

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:17276

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17228

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:17212

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17372
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:17404
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17416

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17432
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17464
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17500
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17516
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17536
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:17552
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:17568

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17588
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17604
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17624

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17640
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17656
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17672
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:17692

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17712
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17732
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:17748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17764
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:17780
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17804

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16604

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16588

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17820
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17836
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17852
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:17868
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        Drops file in System32 directory
        
        PID:17888
      - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        6⤵
        
        PID:17904

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16156

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17936
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:17952
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:17968
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      Adds Run key to start application
      PID:17984
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        Drops file in System32 directory
        
        PID:18000
      - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        6⤵
        
        PID:18016
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        7⤵
        
        PID:18032

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17920

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16140

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:16124

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:18064
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18080
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:18096
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:18112

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18048

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18176
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18192
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18208

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18160

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18144

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18240
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Drops file in System32 directory
  PID:18256
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18272

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18336
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18352
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18368
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:18384
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:18400
      - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        6⤵
        
        PID:18416

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18320

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18304

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18288

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18436
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18452
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18472

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18508
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18524

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18560
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18576
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18540

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18608
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18628
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:18648

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18680
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18696
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18712

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18728
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18744

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18776
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18792

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18864
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18880

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18896
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18916
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18936

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18952
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:18968
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:18984

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19032
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19048

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:19064
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  - Adds Run key to start application
  PID:19084

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19016

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19116
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19136

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19100

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18832

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19192
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19208

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19172

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19156

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19240
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19256
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19272

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19288
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19304
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19324

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19340
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19356
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19376

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18812

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18760

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18492

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19392
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19408
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19424

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:18128

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:17796
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19476

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:19440

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15920

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15904

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15888

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19508
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19524
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19544
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:19560

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19492

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15692

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15676

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15564

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15512

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19576
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:15496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19608
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19628
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    - Adds Run key to start application
    PID:19644

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15148

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15036

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:15020

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14948

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14932

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19684
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19712

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14884

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14868

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19748
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19776
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:19808

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19728

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14816

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:19824
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14800

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19888
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19908

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19868

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19948
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:19976
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:20008
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:20024
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:20056

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:19928

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14684

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14628

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14564

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14516

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14500

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:14448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14432

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14384

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14328

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14276

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14256

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14240

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14192

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14144

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14128

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:14076

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:14060

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:14012

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:13876

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13856

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13804

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13788

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13736

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:13720

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13656

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13640

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13544

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13384

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:13368

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13320

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:13188

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13172

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13124

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13108

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:13024

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12976

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12960

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12912

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12800

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12784

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12764

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12712

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:12696

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12680

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12632

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12616

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12600

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12548

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12500

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12452

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12404

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12340

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:1212

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12272

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12208

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12192

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12144

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12128

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12056

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:12000

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11984

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11968

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11920

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11864

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:11848

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11828

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11780

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11764

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11700

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:11684

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11616

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11600

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11552

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11536

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:11520

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11472

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11452

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11404

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11388

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11372

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11324

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11308

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11292

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11272

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11216

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11200

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11184

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11136

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11088

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11056

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:11008

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10976

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10956

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10908

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10888

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:10872

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10824

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10808

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10760

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10744

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10724

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10672

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10656

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10576

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10528

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10512

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10408

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10304

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10288

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10220

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10204

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10188

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:10076

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10060

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:10012

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9996

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9980

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:9932

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9912

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9864

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9844

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9828

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9780

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9764

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9696

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9680

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9660

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9608

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:9576

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9528

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9512

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:9444

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:9428

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9412

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9360

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9344

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9328

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9312

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9260

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:9244

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9168

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9152

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9104

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9088

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9040

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:9024

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:9008

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8960

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8944

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8864

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8812

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8800

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:8752

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:8736

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8688

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8640

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8624

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8608

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8560

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8512

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:8496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8432

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8384

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8364

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:8316

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8260

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8240

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7468

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8180

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:8012

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7952

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7708

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:7640

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7312

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7944

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7888

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:7868

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7800

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7692

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7668

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7612

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7544

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7496

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7480

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:7420

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:7396

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7328

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7252

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7236

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7172

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6952

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6932

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:6644

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6304

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7132

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7052

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7036

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:7016

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6960

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6900

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6836

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6768

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6688

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6664

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6588

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6576

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6500

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6396

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:6316

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6296

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6236

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6176

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6156

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5424

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6120

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:5748

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5604

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5288

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5216

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6096

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:6024

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:5940

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5920

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5860

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:5840

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5780

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5756

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5696

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5668

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5612

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5592

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5532

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5508

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5428

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5360

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5340

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5268

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:5252

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5180

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:5164

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:4548

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Adds Run key to start application
PID:3440

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:2880

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:468

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Drops file in System32 directory
PID:4656

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:1640

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:4372

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:4916

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:1948

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:2060

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3252

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4012

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:2224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4448

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4124

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3312

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:440

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3224

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3888

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3792

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4884

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4504

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4772

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:2620

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:1804

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4988

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3184

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4852

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:1944

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3024

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:2624

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:1756

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:1304

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Adds Run key to start application
PID:3716

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:2928

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:4112

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
PID:3992

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:744

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4408

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1508

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:5112

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3644

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2392

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3960

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3376

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1116

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3308

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4264

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2924

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Adds Run key to start application
- Suspicious use of WriteProcessMemory
PID:3340

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2644

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4860

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4244

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1712

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:984

C:\Windows\system32\MusNotification.exe
C:\Windows\system32\MusNotification.exe
1⤵
PID:5044

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:20092
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:20112
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:20128
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:20144
    - - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        5⤵
        
        PID:20160
      - C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        6⤵
        Drops file in System32 directory
        
        PID:20176
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        7⤵
        
        PID:20192
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        8⤵
        
        PID:20208
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        9⤵
        
        PID:20224
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        10⤵
        
        PID:20244
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        11⤵
        
        PID:20260
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        12⤵
        
        PID:20276
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        13⤵
        
        PID:20292
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        14⤵
        
        PID:20308
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        15⤵
        
        PID:20324
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        16⤵
        
        PID:20344
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        17⤵
        
        PID:20360
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        18⤵
        
        PID:20376
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        19⤵
        
        PID:20396
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        20⤵
        
        PID:20412
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        21⤵
        
        PID:20428
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        22⤵
        
        PID:20444
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        23⤵
        
        PID:20460
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        24⤵
        
        PID:20476
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        25⤵
        
        PID:19696
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        26⤵
        
        PID:19760
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        27⤵
        
        PID:19796
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        28⤵
        
        PID:19856
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        29⤵
        
        PID:19920
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        30⤵
        
        PID:19988
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        31⤵
        
        PID:20032
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        32⤵
        
        PID:20084
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        33⤵
        
        PID:20488
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        34⤵
        Adds Run key to start application
        
        PID:20508
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        35⤵
        
        PID:20524
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        36⤵
        
        PID:20540
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        37⤵
        
        PID:20560
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        38⤵
        
        PID:20580
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        39⤵
        
        PID:20600
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        40⤵
        
        PID:20616
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        41⤵
        
        PID:20632
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        42⤵
        
        PID:20648
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        43⤵
        
        PID:20664
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        44⤵
        
        PID:20680
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        45⤵
        
        PID:20696
        
        C:\Windows\SysWOW64\gatsss.exe
        
        C:\Windows\system32\gatsss.exe
        46⤵
        
        PID:20712

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:20072

C:\Windows\SysWOW64\gatsss.exe
C:\Windows\system32\gatsss.exe
1⤵
PID:20728
- C:\Windows\SysWOW64\gatsss.exe
  C:\Windows\system32\gatsss.exe
  2⤵
  PID:20744
- - C:\Windows\SysWOW64\gatsss.exe
    C:\Windows\system32\gatsss.exe
    3⤵
    PID:20760
  - - C:\Windows\SysWOW64\gatsss.exe
      C:\Windows\system32\gatsss.exe
      4⤵
      PID:20776

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad\settings.dat

Filesize
152B

MD5
ba867085de8c7cd19b321ab0a8349507

SHA1
e5a0ddcab782c559c39d58f41bf5ad3db3f01118

SHA256
2adaff5e81f0a4a7420d345b06a304aafa84d1afd6bda7aeb6adb95ee07f4e8c

SHA512
b1c02b6e57341143d22336988a15787b7f7590423913fcbc3085c8ae8eb2f673390b0b8e1163878367c8d8d2ee0e7ca8ed1d5a6573f887986f591fcababc2cfe

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Crashpad\settings.dat

Filesize
152B

MD5
bcaf436ee5fed204f08c14d7517436eb

SHA1
637817252f1e2ab00275cd5b5a285a22980295ff

SHA256
de776d807ae7f2e809af69746f85ea99e0771bbdaaed78a764a6035dabe7f120

SHA512
7e6cf2fdffdcf444f6ef4a50a6f9ef1dfb853301467e3f4784c9ee905c3bf159dc3ee9145d77dbf72637d5b99242525eb951b91c020e5f4e5cfcfd965443258c

Download Submit
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Local State

Filesize
2KB

MD5
4e2e966cc855fd525858ff746c62d8ab

SHA1
bb6bca06b0e986e67549c3fa74b5ee696e3b49e0

SHA256
cce443918ec0a2b1eea85f7d84952ebc090ae1f67d3f4fd1aa34b17d67c6ee9a

SHA512
66dddc02c51d946d74caeaceb44d85033c6dcfdbb6af2bc731d6eaeeddd948f1ff5b13e2654b6f3ad177b83b2d896428703749b5dceb70c578951911f7aee815

Download Submit
C:\Users\Admin\AppData\Local\Temp\edge_shutdown_crash.txt

Filesize
2B

MD5
06d49632c9dc9bcb62aeaef99612ba6b

SHA1
e91fe173f59b063d620a934ce1a010f2b114c1f3

SHA256
e79e418e48623569d75e2a7b09ae88ed9b77b126a445b9ff9dc6989a08efa079

SHA512
849b2f3f63322343fddc5a3c8da8f07e4034ee4d5eb210a5ad9db9e33b6aec18dea81836a87f9226a4636c6c77893b0bd3408f6d1fe225bb0907c556a8111355

Download Submit
C:\Windows\SysWOW64\gatsss.exe

Filesize
13KB

MD5
429db76e4014d85feebe0ad20f742ccb

SHA1
834b1bbf15b6db9e3cf41ae787bbc238656d2bb8

SHA256
242dd69218d04704614ad620ab09f497d7418452ef44d64c1997b02018d40d1f

SHA512
aeb15a36c62c1ba47a874942b49c57e54bf71494547ab0597225f2a0ed00d5d1268f061a4e9d58e093a9ca020414cf604c9c2b1ed539661cb8fb369309fd4ca4

Download Submit
C:\Windows\SysWOW64\gatsss.exe

Filesize
19KB

MD5
43bc9b718840ed9b433adaf7e7d97f99

SHA1
22c21998b4518168751d2cc388c8d70ebcfe9522

SHA256
1591e877ac02d64672373618ba7a41f96fe7bea8d65b59cf540bb2237de05139

SHA512
d9d0818b99a9e6cf715fee1f6585caa4cc9e47a3e5a9a66f1b07b3c0f6008f8f0cdf9118c33a4bc4639a6ea2f7bb70e4eadfddcd97b648e796ec07acf36b9f9a

Download Submit
memory/744-61-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/984-38-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/984-10-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/1116-40-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1116-41-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/1200-81-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1304-84-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1312-78-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/1312-76-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1508-54-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1508-55-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/1712-42-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1712-12-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/1756-110-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/1944-97-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2036-83-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2036-64-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2036-80-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2036-63-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2240-95-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2392-47-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2584-91-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2624-88-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2644-20-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2904-66-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2924-58-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/2924-32-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2928-72-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2928-94-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/2928-92-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3000-99-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3308-37-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/3308-35-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3340-21-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/3340-22-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3376-43-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3408-28-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3644-49-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3692-108-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/3716-104-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3960-71-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/3992-68-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4112-90-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4220-29-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4220-31-0x00000000001C0000-0x00000000001C1000-memory.dmp

Filesize
4KB

Download
memory/4220-0-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4220-1-0x00000000001C0000-0x00000000001C1000-memory.dmp

Filesize
4KB

Download
memory/4244-14-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/4244-45-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4244-13-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4264-34-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/4264-59-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4408-57-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4408-60-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/4560-107-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4852-100-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4860-18-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/4860-17-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4976-6-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/4976-8-0x00000000001C0000-0x00000000001C1000-memory.dmp

Filesize
4KB

Download
memory/4988-106-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/5080-24-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download
memory/5080-25-0x0000000000020000-0x0000000000021000-memory.dmp

Filesize
4KB

Download
memory/5112-51-0x0000000000400000-0x0000000000410000-memory.dmp

Filesize
64KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads