Analysis Overview
SHA256
7c5c006db31b7ce5d3af6159b506f74561cac991509193260758d8a8b4cf3698
Threat Level: Known bad
The file 751876e58b7759ba784cea81b9864392 was found to be: Known bad.
Malicious Activity Summary
Modifies WinLogon for persistence
Kinsing
Executes dropped EXE
Loads dropped DLL
Drops file in System32 directory
Drops file in Windows directory
Unsigned PE
Suspicious behavior: EnumeratesProcesses
Suspicious use of SetWindowsHookEx
Suspicious behavior: GetForegroundWindowSpam
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-01-25 17:29
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-01-25 17:29
Reported
2024-01-25 17:31
Platform
win7-20231129-en
Max time kernel
149s
Max time network
118s
Command Line
Signatures
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\\Windows\\userinit.exe" | C:\Windows\userinit.exe | N/A |
Executes dropped EXE
Loads dropped DLL
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\SysWOW64\system.exe | C:\Windows\userinit.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\system.exe | C:\Windows\userinit.exe | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\userinit.exe | C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe | N/A |
| File opened for modification | C:\Windows\userinit.exe | C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe | N/A |
| File created | C:\Windows\kdcoms.dll | C:\Windows\userinit.exe | N/A |
Suspicious behavior: EnumeratesProcesses
Suspicious behavior: GetForegroundWindowSpam
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Windows\userinit.exe | N/A |
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe
"C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe"
C:\Windows\userinit.exe
C:\Windows\userinit.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
Network
Files
memory/2468-1-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2468-0-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2468-13-0x0000000000440000-0x0000000000473000-memory.dmp
memory/2468-15-0x0000000000440000-0x0000000000473000-memory.dmp
C:\Windows\userinit.exe
| MD5 | 751876e58b7759ba784cea81b9864392 |
| SHA1 | 498709011d7012bc15a08137fe74b0808993ef24 |
| SHA256 | 7c5c006db31b7ce5d3af6159b506f74561cac991509193260758d8a8b4cf3698 |
| SHA512 | 42c7f03184b51557d45110b12c25fbd061c2a3d01fd7f8888a968a0674b158348e7534e93dbaea3a3d794a1151ad2321542f6ad2575291f4a34e3c916e2f0b6b |
memory/1844-17-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2468-20-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-26-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/2632-33-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2632-34-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2632-38-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2644-46-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2644-50-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2776-58-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2776-62-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2628-70-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2628-74-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2536-83-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2536-86-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | fdf49cab89e20f2dd93282d08955fdd2 |
| SHA1 | 2396e58acaa6528b1efc9dc59ee542b7b473e314 |
| SHA256 | 72ea3485bc7d4fa1cc278951a885bd5830133211357ef55757a43901f23c54de |
| SHA512 | fc0719d639d878e73dd9cef5e9cf9ddd6857fee783153bd026369469010adf40ed8f0f39985123cfaa971951e25111b84cd67ff391f3d5b3873c382968ab35f2 |
C:\Windows\SysWOW64\system.exe
| MD5 | 5ac124ab9207d1614c8c6d715fc63027 |
| SHA1 | f91c377527e9059a4c9232f9d29d8d51e051309a |
| SHA256 | 417db79c5b6996b4c9c4320c887941f7c195a09bc4d071d446d81b4aff39ad74 |
| SHA512 | aba801ff488cc4a7d11a503e29ff54234959f314f7ec2001c13ba3cbdda5ad9a9901a7962346722e2f63a1dc44939b5e1df93f3df797d85e4c4e9a5ba3f5575e |
memory/2676-105-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | 70018d72a80478d9bb12dc2937585a22 |
| SHA1 | 74a48954e984cc1bfa4197f554c48a76c1b8aba1 |
| SHA256 | 071c33fe2ec7ba652e79330d25719b2af3738056ac87541d8d65385467125de7 |
| SHA512 | bc2197011d4a61061195e40a781c71c7f2c6542119f521d8d312c85fad840b0002db38f6a791a64e53c5b6f94482086305372ffc774ffdf1c10dd1b8d9a54c0c |
memory/2676-106-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2676-110-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2828-129-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2828-133-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-142-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1480-144-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1480-146-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 4708ced84ef1440b090294043fb0535e |
| SHA1 | 8f9fb36b0f8758fe41f16cb5ccf3612c04cce0b9 |
| SHA256 | 35cf926fa7358517ddeeb810388ed54d024189f03a3051d2dea66925f4def42e |
| SHA512 | 69eb7ccf3d5255ecd54e776ba6e5e5491c0116be3576aada75b337e3eaea4ad3d153c5918eed3cde7502288602ead8b214d0f36a7f03030091eff7937f3d9001 |
memory/864-167-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | aff28a7dc46975369b50179d86e16eeb |
| SHA1 | 4f08de5341a955f447a23f867aeab83f9af26428 |
| SHA256 | c3595ae3059b482b4cd1000754d0f7779cd2f26016b6b02acd45d6824f74176d |
| SHA512 | c65ce32af4e4612b077e6aadc61ffb4d0cfcd81a872f42b337e8245f2c769a9e573cfc389540c0d446478023724dfceeea8d496250d97ae39603b7fc1e37018e |
memory/864-169-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | 92cbb359616df7da8e1a8129fba34654 |
| SHA1 | bb9016388935a46dae61df1620f379d206490b06 |
| SHA256 | edc2eeced9decb67bd3f909199f441a58b5fd161ec2caae6be4c3c92a48b1d32 |
| SHA512 | 5993ffae1069aadd222785bcfac034ff6ce1efae730b62a1bda33b329e3fca372742364fa7a2563c36ad0cf3a41b8f3cd12c82db5b91661b2e8e035e6a5897d8 |
memory/1132-177-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1132-181-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 066015d195b2e1d71fee991d26a6c649 |
| SHA1 | 06748c13c61ac0a4bc7d2f82af7b7dcc8ef862e8 |
| SHA256 | 62336750222fdf85f15f54d5c631d3448c592c207178f5be911c65db13aeb95b |
| SHA512 | 474dbe8f7fab9f8e004174b3903a07941cd77cca849adbede17594d91969395306a5ce013f2443a3f13ec6eaa48961c783c84ef2422e0ac3c5cb14dce4e9c43f |
\Windows\SysWOW64\system.exe
| MD5 | 94726e5954ed63fae8dc8e4a400d7dd6 |
| SHA1 | 1efd84437431ceda81c28f2e6404169368044a97 |
| SHA256 | 14276d7cbb2b7534e9eb7488ce1c43336c5a96a3ffec3755f7a21bc147fbc2b7 |
| SHA512 | 781191f5dcdd2a82677370f9bdcff46598010c73225a0640eadd5438f0eb5ef4f6f7e9a5545ec9752d32f0138aff9f3faafed40fa41296c95a49ad345dbe122b |
\Windows\SysWOW64\system.exe
| MD5 | 84ce23b09acbebbe7ef00d5865e39512 |
| SHA1 | 9b03230de1cf6bf080c7fff8c63118e7584c6029 |
| SHA256 | 5447fe48048eb97a8df7428492ef8382258cdd67c4cd7c32a09bd082c1047da9 |
| SHA512 | df7262e27d717294a9df3a12cadee72f09e874f5e6981b816cf045abce468a95b4ba689e2eb5bb5a9a6dce37df241e2f50879018c00c556c9a1221fa33c0d275 |
memory/2980-203-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | 8911a24cb8947f6bb030c678b71b8ec3 |
| SHA1 | fbd11ade868ebc4c7b3cb80aa1f44e3875851858 |
| SHA256 | cbf9b9f9c4a39dd3c95c78b0ca9d51f082f2bae54fb814cf05923b173538f53d |
| SHA512 | 1b38c9ddf0524612c7be532450295dc481e870fd2b63ce2c596ce2b12a0c0a9707373d53110b7abd51e94c1a82c8bd62fc43f969cc0bcfe4452d25f93f61c143 |
\Windows\SysWOW64\system.exe
| MD5 | f6ae85331e791d0cfcdf29cd018332e6 |
| SHA1 | 24293447b9892633be466eb46bd46553bff9aa0c |
| SHA256 | 3cd2319605037c5e92e5a5f066645848f71b39965ad5371e5fbaca48e46daffe |
| SHA512 | 0d440071b3e2392ee455979bb363bdf0f68698daeeedbe9aa9bd4feda3217faeeaa1914717228f5796de797d478096680e7360ab5662148b69e151dd2857321e |
C:\Windows\SysWOW64\system.exe
| MD5 | aaa58da8cc7c4dcc5ea0f2b09df15041 |
| SHA1 | 53abda65af53118ee800117744000ab89c98800d |
| SHA256 | d1e310025db177e74c22e795e009be90d773e20d54829c128d287d43b923b2f7 |
| SHA512 | e37744b5b910c08700a8d82aa813f47d6748638d5623f25900647be69559fad398c5d95ae4e83da0a7ff2fedb03105d8caf7bdd1736c709461411df9d1ce7da3 |
memory/1060-212-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1060-215-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | fd00c917d402272273b66efd35b118c4 |
| SHA1 | e7d0368350bed876df0f0c9e2b724da0e8df3d1e |
| SHA256 | 3c9a4972c1c09f2c621762851f795304a61c7155177f63b9c6f90a567882c818 |
| SHA512 | 878b21ec05a57fd8624d6e7fd5d57ac67e76064e766ace4469352746932ed376e9956322096bf485ae5e5a4000b652f297d5c8b95d35e1c6a60b44ddba654f26 |
C:\Windows\SysWOW64\system.exe
| MD5 | fcecc63c9fbc1bf15a77d057def44a1a |
| SHA1 | 0a1cedf238e3c256a06560985d8a91cf05a2eee8 |
| SHA256 | e7ca3f2045656200f057cb184839d981014f6458110bfb81cecb0d1e2bb07dc9 |
| SHA512 | 941f43f36ce20fcb238de34f32365ec1bf219e8d7361d6ada9eaf8d7f2ac81892a3e11ce5ae4aee258c07f9283e1fa33d1490a70dd211d3e3a9f8aea4bb3521a |
memory/1992-225-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1992-228-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1992-226-0x0000000000020000-0x0000000000023000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | bb2985a034e67361102b85e863369a90 |
| SHA1 | 37747d9b14a88c8e0a82482d8356a1c053ab1cbd |
| SHA256 | cc44fbbe3fea62694b82176eac69e0f6ed5182fcae1606d1ac23e6b239833870 |
| SHA512 | 1483deb2807414d0c7ea4259d1ffbdcba4ed8027c28e437d07f9604365fc9d434868732787fac108755b2966632ca3edda10fd5f49d17dd50f0d162b9a278964 |
C:\Windows\SysWOW64\system.exe
| MD5 | a87c5bd9721eb3ad62a12809f8a39887 |
| SHA1 | 82d532ecc7daaf90e405623d3b35dce2534ad450 |
| SHA256 | 82f74a3cf254ac4d7e46fb6a462401561d1975b8ea90533882900680f2521480 |
| SHA512 | 31dd1495e4959329b5e7c6ebc1e56be211caded1d8e6f272f111cda06a131e660e92e8d4def17fca80a81ccf4cab25a93817a96f2b338291e9eba648cec70f40 |
memory/472-240-0x0000000000400000-0x0000000000433000-memory.dmp
memory/472-237-0x0000000000020000-0x0000000000023000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | aa0608aa87545a47408312364d73e30f |
| SHA1 | 2132692f52f50e94e09ec03c347a1c1161772a44 |
| SHA256 | c9c657e00ed1e8c82a62d4b4ba721b5114f031824e895e7e2b198f5c76a3e1ac |
| SHA512 | 532b942601665acc1e28764ffbde4a8a10cf4dd6470679ae974c69bcec3031c57a99bdc73bff3c7ce6089313ddd48389db12ee69bebd1a36c1bf440b7695d751 |
\Windows\SysWOW64\system.exe
| MD5 | 67c82da5e477a30aa331092b06db49d5 |
| SHA1 | 7a3ecb3cc7289968a11437f1d7acb61828508567 |
| SHA256 | cf9d4cfed3f35447a13beb704d94e80d61ab254d140b1890c2851d44e5e3778d |
| SHA512 | adbc996d8e5270baaa37cec113cbbe557a0e6e79d6c608bbde67e03c0839261198530017d36de9bf5ee3d16faf80c8e8a1fcb1c42d16e36596f9a5334ca5e0bd |
C:\Windows\SysWOW64\system.exe
| MD5 | cfbf2c97b363ac16f501c8092ecd28c6 |
| SHA1 | 0b85adbb5eb28119efa1b434c45adef6dd92b601 |
| SHA256 | 910dfb77896c3226e607af986cad7d5f894d57d8a2c4af5abd7eef2a4269b71e |
| SHA512 | 7bf312b1ec4d3a8cdaecc9181ba3a68178e8f446ef0d3ab87e2a7c6912bf58d42f5fc8c58b4b272242b8abb3173f144b0a9ca76be6e134da4c09e65396083999 |
memory/1844-242-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | b0ab67c7455b583391e1cb2e5c509ac2 |
| SHA1 | c3bd56f2a0ad68c702e88fd961f0251d01c2e439 |
| SHA256 | d1a611e2d1de1b6da529978ffc3af2bb3881e0bfbbbebf5a203620b13bc4c56b |
| SHA512 | 68280992f91460be8bcb277026f0001a3ffee70f70924764a5531324f4dada81d187424fded89b606177e1ac665d3d691533e9db43455dd4d2d91fcd54aafc3f |
\Windows\SysWOW64\system.exe
| MD5 | 094b2c923aa013aa5be53ff6355fcbf2 |
| SHA1 | 9ef81f65d1b12cd2498483e58d48efe8d306900e |
| SHA256 | a7747e27fd83785b6ce6a4df3ac56a9ab898fc88520156ecc92c5cb4b4de137c |
| SHA512 | 0c908d1d4ce997ded0fbe3330f9b12081476aedead0058e0432db510350886efa0dffe8ef1a105b30dd0a751da493e208903f47ab73f9688db1f571d1028c102 |
memory/644-263-0x0000000000400000-0x0000000000433000-memory.dmp
\Windows\SysWOW64\system.exe
| MD5 | 9ae085ab718bff3431cd0387287bd951 |
| SHA1 | 77045bc572d89524f382273f81079f2f765b7a39 |
| SHA256 | fd54e79bbfea194bdbdab16be06886b7ac186d5a3438a0219e43b357ac06a6c2 |
| SHA512 | 0897115c64b07ed0030b9708000e696fc81cba09fdd64b6a51c046989551efb2408cf239f8c2cefc8f8f15da5e8ab9bfe1b5ac15ffbe53503c5f81493337f50a |
\Windows\SysWOW64\system.exe
| MD5 | d0b12e80a50cf9e57da6f62f79ba0f15 |
| SHA1 | a3bf6f436fc44bebcbea4e185e9273fabecbff56 |
| SHA256 | de66c06e8365ff72f04205e81b2ee8759101d41325bd5afc28b73dbc2a14b6fb |
| SHA512 | 614d64daa84c6d0d0f7bc0b781dd6499cebd485ac62335c82e9e8eec8c9eef061eaeb884b23303301be465a4ddb746fbc013c820b35567bb97c7e2b3ca2c3a3e |
\Windows\SysWOW64\system.exe
| MD5 | 74be8626426e9fdfb01b75b7463c0f69 |
| SHA1 | 9b9eb09774b353bf17f1dcb57f0c366ee75fed22 |
| SHA256 | 00be02fcc4f6b4b2583f11458d423c35a7f945e5cc4390b7ddf17ba1345bbaef |
| SHA512 | 7f7a38354db6b1e3cb2fe2113822b490f3a923e64c203699408d5503258da33e79f3fc8826c4b6760f6ff7c7d5c3344a778931281a842a6d84bf1546238c9095 |
memory/3024-284-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3024-283-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2032-291-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2032-293-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1640-300-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3004-310-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1596-318-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-339-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2708-342-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2708-344-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2712-351-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2644-361-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2644-362-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2780-370-0x0000000000400000-0x0000000000433000-memory.dmp
memory/952-386-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2552-397-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2552-398-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-396-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-405-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/320-409-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-407-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-417-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/2688-418-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-416-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-429-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/2724-430-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-428-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-439-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-440-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1352-441-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-451-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-452-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-460-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-461-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1860-463-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-470-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1424-473-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-471-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-481-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-480-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/3020-485-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-491-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-492-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/3048-494-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3048-496-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-505-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/2884-506-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-503-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-514-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/1844-516-0x0000000000870000-0x00000000008A3000-memory.dmp
memory/392-518-0x0000000000400000-0x0000000000433000-memory.dmp
memory/392-517-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-525-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2092-573-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1844-624-0x0000000000400000-0x0000000000433000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-01-25 17:29
Reported
2024-01-25 17:31
Platform
win10v2004-20231215-en
Max time kernel
150s
Max time network
149s
Command Line
Signatures
Kinsing
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\\Windows\\userinit.exe" | C:\Windows\userinit.exe | N/A |
Executes dropped EXE
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\system.exe | C:\Windows\userinit.exe | N/A |
| File created | C:\Windows\SysWOW64\system.exe | C:\Windows\userinit.exe | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\userinit.exe | C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe | N/A |
| File opened for modification | C:\Windows\userinit.exe | C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe | N/A |
| File created | C:\Windows\kdcoms.dll | C:\Windows\userinit.exe | N/A |
Suspicious behavior: EnumeratesProcesses
Suspicious behavior: GetForegroundWindowSpam
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Windows\userinit.exe | N/A |
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe
"C:\Users\Admin\AppData\Local\Temp\751876e58b7759ba784cea81b9864392.exe"
C:\Windows\userinit.exe
C:\Windows\userinit.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
C:\Windows\SysWOW64\system.exe
C:\Windows\system32\system.exe
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | 209.205.72.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.221.229.192.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 212.166.122.92.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 20.160.190.20.in-addr.arpa | udp |
| NL | 52.142.223.178:80 | tcp | |
| US | 8.8.8.8:53 | 26.165.165.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 171.39.242.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 217.135.221.88.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 194.178.17.96.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 31.243.111.52.in-addr.arpa | udp |
Files
memory/4512-0-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4512-1-0x00000000001C0000-0x00000000001C3000-memory.dmp
C:\Windows\userinit.exe
| MD5 | 751876e58b7759ba784cea81b9864392 |
| SHA1 | 498709011d7012bc15a08137fe74b0808993ef24 |
| SHA256 | 7c5c006db31b7ce5d3af6159b506f74561cac991509193260758d8a8b4cf3698 |
| SHA512 | 42c7f03184b51557d45110b12c25fbd061c2a3d01fd7f8888a968a0674b158348e7534e93dbaea3a3d794a1151ad2321542f6ad2575291f4a34e3c916e2f0b6b |
memory/644-11-0x00000000001C0000-0x00000000001C3000-memory.dmp
memory/4512-17-0x00000000001C0000-0x00000000001C3000-memory.dmp
memory/4512-16-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 7d6468851622dca2fb8a29f080036ce9 |
| SHA1 | af20c1c56ecc64c4ff5289594ca6c9bfb12c8236 |
| SHA256 | 7ef7ad89efb5ff37c106c16eb1c90e52812d3cd6a6798a4bffd3bcd75ebbdf9f |
| SHA512 | d482a7bfeac346a0157dc3811aedb6157664fe7a36eb661bcae18798cfcd9b8edcb41c8f625a30641521390a31f52e0ffab9b586b9b618b5bcf4dd7641a174f6 |
C:\Windows\SysWOW64\system.exe
| MD5 | d210f7f52cc549f968f4378fe48bb47c |
| SHA1 | 375d4ad989bb85324a9ae0e78c966518815be167 |
| SHA256 | 42d02a7428750a62efc7fae4d98ee2176442c714a2909890ed2dfc5e0f0df555 |
| SHA512 | 50c98e30b7f79a9a16bc3e4b627cd033a70c2e5efe68292dc8f2c8657dd24ef004f78e2bef4ef1ae2eef73f9496b7a67846a4a584ce4af74927ec792311a05ae |
memory/3172-24-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3172-26-0x00000000001C0000-0x00000000001C3000-memory.dmp
memory/3172-29-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2508-31-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2508-35-0x0000000000400000-0x0000000000433000-memory.dmp
memory/5056-37-0x0000000000400000-0x0000000000433000-memory.dmp
memory/5056-38-0x0000000000020000-0x0000000000023000-memory.dmp
memory/5056-42-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3960-44-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3960-48-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4572-52-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4572-54-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1208-56-0x0000000000020000-0x0000000000023000-memory.dmp
memory/1208-60-0x0000000000400000-0x0000000000433000-memory.dmp
memory/836-62-0x0000000000020000-0x0000000000023000-memory.dmp
memory/836-66-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3992-71-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3272-73-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3272-77-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-79-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3988-80-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3988-81-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3988-85-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2820-90-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1032-92-0x0000000000020000-0x0000000000023000-memory.dmp
memory/1032-96-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3636-101-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3636-102-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3632-104-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3632-108-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1016-113-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1016-114-0x0000000000020000-0x0000000000023000-memory.dmp
memory/5000-119-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1688-124-0x0000000000400000-0x0000000000433000-memory.dmp
memory/320-129-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-131-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1348-132-0x0000000000020000-0x0000000000023000-memory.dmp
memory/1348-136-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4132-138-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4132-142-0x0000000000400000-0x0000000000433000-memory.dmp
memory/536-147-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1228-152-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3448-157-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4788-162-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | ee2cabfd3ebc14e76a9266f173573e8e |
| SHA1 | b4d9da93033e6361379a42a402afe105f12531a6 |
| SHA256 | 8b9764736816f95530e65e1f11cb1bd23794c42b765bc08fdedce38033ec2cc9 |
| SHA512 | 43201342095c10f23c0476eef11da50afd6cb8441fce401ae6bb4f777583219855a520a1dee7e43aee1d7d9102f04f2f5f90523fb7d53ecfcc9e09b84f0d3306 |
memory/1236-167-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2388-172-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1084-177-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-179-0x0000000000400000-0x0000000000433000-memory.dmp
memory/224-180-0x0000000000020000-0x0000000000023000-memory.dmp
memory/224-184-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4720-189-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4392-194-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4392-195-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4612-197-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4612-201-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2800-203-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2800-207-0x0000000000400000-0x0000000000433000-memory.dmp
memory/864-212-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1924-217-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2696-222-0x0000000000400000-0x0000000000433000-memory.dmp
memory/772-227-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1128-232-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-234-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3196-235-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3196-239-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4336-244-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3488-249-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2504-254-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 1903308c47e9c46cf6d864cf9cb005c2 |
| SHA1 | 92c1b2c34b81c57ee0fecf7e0f6e5d03a93bef2c |
| SHA256 | 2a008f56209519372daa898caa63bd1e29cebc085279da4d687c1cde0e4cd2af |
| SHA512 | f244399fcdc890c782acf459c11585094ad7a8320898f61f2c282a8aeb90cf6ba19922580f8d9b1b1eecbbf87cbcad5bf385d6f202359b13b24d750b0167f700 |
memory/2128-259-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4680-261-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4680-265-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 2f5fa5fa38e82e0ae22eb697b9e4a388 |
| SHA1 | df0cc95013988a1090085b8578bfc63e3df42fdf |
| SHA256 | 66d35b17e958a9db7186b0cc188d0b9bd276527f4acfb7d6f7f8a0d489af2f34 |
| SHA512 | c0a5e62c28b00406ec1528d1be04af2b165e3381c3230a977ed25f6943890c38b0074da2c36290fdb05c7c9ee59409def52ab5b332dac099987f4c839b40a544 |
memory/1196-270-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4400-275-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3520-277-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1688-281-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-282-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1688-286-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4628-288-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4628-292-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1512-297-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4964-302-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1020-307-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1940-312-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3408-317-0x0000000000400000-0x0000000000433000-memory.dmp
memory/228-322-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3208-327-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4712-332-0x0000000000400000-0x0000000000433000-memory.dmp
memory/644-334-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4616-338-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4256-344-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | f2dcd218d29a4a4a1b0b92a84a2cb2ba |
| SHA1 | 028799b5e3629f0805515e4896b200365adb3c59 |
| SHA256 | 7c9dfa354e7405987d35f26047a6959f60d1001c4ed4d68e4352bf8174dcb321 |
| SHA512 | e18563986dfa8ab86c91ab7ef38c6f85614d4d67a628d48c19117766bf596c594d375c22b29aa58ff4f3ad52ac44ae34af57b73a63e6912e4332a6fe732ee3ce |
memory/4704-350-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4320-356-0x0000000000400000-0x0000000000433000-memory.dmp
C:\Windows\SysWOW64\system.exe
| MD5 | 40ce826294353f3067f279ec3dc575d2 |
| SHA1 | 108affaab80c95e6433292b314edcfd90ee368d2 |
| SHA256 | 6ec9be0d5614b3bbba8d0b24f0b61a8cf7bc667498541993664198c45d09a98a |
| SHA512 | 3eff6346ef457dc8c1c0b14a3e29e5ae817d47190b2f1ad719a55aaf0dbf9989069c31715a351569fc1780815a2d2fb3076253e8f23d2b3c4f223abaab20cc81 |
memory/3492-362-0x0000000000020000-0x0000000000023000-memory.dmp
memory/3492-367-0x0000000000400000-0x0000000000433000-memory.dmp
memory/396-368-0x0000000000020000-0x0000000000023000-memory.dmp
memory/396-373-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1208-378-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4308-383-0x0000000000400000-0x0000000000433000-memory.dmp
memory/692-389-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4088-394-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4332-395-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4332-400-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4332-401-0x0000000000020000-0x0000000000023000-memory.dmp
memory/772-410-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3512-415-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1276-420-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1032-425-0x0000000000400000-0x0000000000433000-memory.dmp
memory/212-430-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1372-440-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2308-445-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1600-450-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2860-451-0x0000000000020000-0x0000000000023000-memory.dmp
memory/2860-456-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1492-461-0x0000000000400000-0x0000000000433000-memory.dmp
memory/4944-462-0x0000000000020000-0x0000000000023000-memory.dmp
memory/4944-467-0x0000000000400000-0x0000000000433000-memory.dmp
memory/3592-476-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1064-477-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1064-482-0x0000000000400000-0x0000000000433000-memory.dmp
memory/1052-488-0x0000000000400000-0x0000000000433000-memory.dmp
memory/2868-493-0x0000000000400000-0x0000000000433000-memory.dmp
memory/968-498-0x0000000000400000-0x0000000000433000-memory.dmp