xmrig | fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422

Analysis

max time kernel
144s
max time network
146s
platform
windows7_x64
resource
win7-20240221-en
resource tags

arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
submitted
06-03-2024 02:59

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422.exe
Size

1.8MB
MD5

4b9b19fe68e1d8c4b74e28a4a86fb981
SHA1

89c008c06844bee4eb0ba9f84510f3f81c0419fc
SHA256

fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422
SHA512

a0fc90a0203de75d3bc2e1e5c0e93ea81efd7f3efac74839905ae1507c4cd0307e882cfe55058070aeb7cf58423512a24e9d776ea622841b6246ee69f2a66267
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlGC78XCejIODosTigQytWpq0IIacMfwcgOWE7+eECN:knw9oUUEEDlGUrMNcbQc22A0L3ep

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

UPX dump on OEP (original entry point) 36 IoCs

resource	yara_rule
behavioral1/memory/1980-0-0x000000013F6B0000-0x000000013FAA1000-memory.dmp	UPX
behavioral1/files/0x00040000000130fc-3.dat	UPX
behavioral1/memory/1980-6-0x0000000002040000-0x0000000002431000-memory.dmp	UPX
behavioral1/files/0x000a000000015601-10.dat	UPX
behavioral1/files/0x00040000000130fc-11.dat	UPX
behavioral1/files/0x0007000000015c45-17.dat	UPX
behavioral1/files/0x0008000000015c3d-9.dat	UPX
behavioral1/files/0x000a000000015601-7.dat	UPX
behavioral1/files/0x0007000000015c45-20.dat	UPX
behavioral1/files/0x0007000000015c5e-26.dat	UPX
behavioral1/memory/2148-14-0x000000013FE40000-0x0000000140231000-memory.dmp	UPX
behavioral1/files/0x0007000000015c4d-21.dat	UPX
behavioral1/files/0x000a000000015bf3-33.dat	UPX
behavioral1/files/0x0008000000015c3d-40.dat	UPX
behavioral1/memory/1868-44-0x000000013F920000-0x000000013FD11000-memory.dmp	UPX
behavioral1/files/0x000a000000015bf3-42.dat	UPX
behavioral1/files/0x0007000000015c4d-45.dat	UPX
behavioral1/files/0x0009000000015c8e-49.dat	UPX
behavioral1/files/0x0006000000016432-52.dat	UPX
behavioral1/files/0x0006000000016432-54.dat	UPX
behavioral1/files/0x0006000000016c5c-103.dat	UPX
behavioral1/files/0x0006000000016d22-127.dat	UPX
behavioral1/files/0x00060000000167f6-144.dat	UPX
behavioral1/files/0x0006000000016cef-145.dat	UPX
behavioral1/files/0x0006000000016d32-154.dat	UPX
behavioral1/files/0x0006000000016c85-156.dat	UPX
behavioral1/files/0x0006000000016d58-157.dat	UPX
behavioral1/memory/2612-161-0x000000013F570000-0x000000013F961000-memory.dmp	UPX
behavioral1/memory/3044-206-0x000000013F920000-0x000000013FD11000-memory.dmp	UPX
behavioral1/files/0x0006000000016c10-151.dat	UPX
behavioral1/files/0x0006000000016d12-150.dat	UPX
behavioral1/files/0x0006000000016d62-141.dat	UPX
behavioral1/memory/1980-207-0x000000013F6B0000-0x000000013FAA1000-memory.dmp	UPX
behavioral1/memory/1868-216-0x000000013F920000-0x000000013FD11000-memory.dmp	UPX
behavioral1/memory/2148-224-0x000000013FE40000-0x0000000140231000-memory.dmp	UPX
behavioral1/memory/3056-258-0x000000013F870000-0x000000013FC61000-memory.dmp	UPX

XMRig Miner payload 8 IoCs

miner

resource	yara_rule
behavioral1/memory/2148-14-0x000000013FE40000-0x0000000140231000-memory.dmp	xmrig
behavioral1/memory/1868-44-0x000000013F920000-0x000000013FD11000-memory.dmp	xmrig
behavioral1/memory/2612-161-0x000000013F570000-0x000000013F961000-memory.dmp	xmrig
behavioral1/memory/3044-206-0x000000013F920000-0x000000013FD11000-memory.dmp	xmrig
behavioral1/memory/1980-207-0x000000013F6B0000-0x000000013FAA1000-memory.dmp	xmrig
behavioral1/memory/1868-216-0x000000013F920000-0x000000013FD11000-memory.dmp	xmrig
behavioral1/memory/2148-224-0x000000013FE40000-0x0000000140231000-memory.dmp	xmrig
behavioral1/memory/3056-258-0x000000013F870000-0x000000013FC61000-memory.dmp	xmrig

Loads dropped DLL 1 IoCs

pid	Process
1980	fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422.exe

UPX packed file 36 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/memory/1980-0-0x000000013F6B0000-0x000000013FAA1000-memory.dmp	upx
behavioral1/files/0x00040000000130fc-3.dat	upx
behavioral1/memory/1980-6-0x0000000002040000-0x0000000002431000-memory.dmp	upx
behavioral1/files/0x000a000000015601-10.dat	upx
behavioral1/files/0x00040000000130fc-11.dat	upx
behavioral1/files/0x0007000000015c45-17.dat	upx
behavioral1/files/0x0008000000015c3d-9.dat	upx
behavioral1/files/0x000a000000015601-7.dat	upx
behavioral1/files/0x0007000000015c45-20.dat	upx
behavioral1/files/0x0007000000015c5e-26.dat	upx
behavioral1/memory/2148-14-0x000000013FE40000-0x0000000140231000-memory.dmp	upx
behavioral1/files/0x0007000000015c4d-21.dat	upx
behavioral1/files/0x000a000000015bf3-33.dat	upx
behavioral1/files/0x0008000000015c3d-40.dat	upx
behavioral1/memory/1868-44-0x000000013F920000-0x000000013FD11000-memory.dmp	upx
behavioral1/files/0x000a000000015bf3-42.dat	upx
behavioral1/files/0x0007000000015c4d-45.dat	upx
behavioral1/files/0x0009000000015c8e-49.dat	upx
behavioral1/files/0x0006000000016432-52.dat	upx
behavioral1/files/0x0006000000016432-54.dat	upx
behavioral1/files/0x0006000000016c5c-103.dat	upx
behavioral1/files/0x0006000000016d22-127.dat	upx
behavioral1/files/0x00060000000167f6-144.dat	upx
behavioral1/files/0x0006000000016cef-145.dat	upx
behavioral1/files/0x0006000000016d32-154.dat	upx
behavioral1/files/0x0006000000016c85-156.dat	upx
behavioral1/files/0x0006000000016d58-157.dat	upx
behavioral1/memory/2612-161-0x000000013F570000-0x000000013F961000-memory.dmp	upx
behavioral1/memory/3044-206-0x000000013F920000-0x000000013FD11000-memory.dmp	upx
behavioral1/files/0x0006000000016c10-151.dat	upx
behavioral1/files/0x0006000000016d12-150.dat	upx
behavioral1/files/0x0006000000016d62-141.dat	upx
behavioral1/memory/1980-207-0x000000013F6B0000-0x000000013FAA1000-memory.dmp	upx
behavioral1/memory/1868-216-0x000000013F920000-0x000000013FD11000-memory.dmp	upx
behavioral1/memory/2148-224-0x000000013FE40000-0x0000000140231000-memory.dmp	upx
behavioral1/memory/3056-258-0x000000013F870000-0x000000013FC61000-memory.dmp	upx

Drops file in System32 directory 1 IoCs

description	ioc	Process
File created	C:\Windows\System32\KfiXEHF.exe	fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422.exe

C:\Users\Admin\AppData\Local\Temp\fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422.exe
"C:\Users\Admin\AppData\Local\Temp\fc41864ba2bba64f84b23a2811a9c4a9723dc6557a008226f9e723b27903d422.exe"
1⤵
- Loads dropped DLL
- Drops file in System32 directory
PID:1980
- C:\Windows\System32\KfiXEHF.exe
  C:\Windows\System32\KfiXEHF.exe
  2⤵
  PID:1868
- C:\Windows\System32\qCivfTq.exe
  C:\Windows\System32\qCivfTq.exe
  2⤵
  PID:2148
- C:\Windows\System32\GdAIIsO.exe
  C:\Windows\System32\GdAIIsO.exe
  2⤵
  PID:3044
- C:\Windows\System32\TrloSuE.exe
  C:\Windows\System32\TrloSuE.exe
  2⤵
  PID:2960
- C:\Windows\System32\lSfvQqV.exe
  C:\Windows\System32\lSfvQqV.exe
  2⤵
  PID:3056
- C:\Windows\System32\LfVatLA.exe
  C:\Windows\System32\LfVatLA.exe
  2⤵
  PID:2612
- C:\Windows\System32\fxleOUx.exe
  C:\Windows\System32\fxleOUx.exe
  2⤵
  PID:2636
- C:\Windows\System32\aLPTyyx.exe
  C:\Windows\System32\aLPTyyx.exe
  2⤵
  PID:2572
- C:\Windows\System32\RNxowIw.exe
  C:\Windows\System32\RNxowIw.exe
  2⤵
  PID:2812
- C:\Windows\System32\HjEpgJo.exe
  C:\Windows\System32\HjEpgJo.exe
  2⤵
  PID:2528
- C:\Windows\System32\cPbxQAR.exe
  C:\Windows\System32\cPbxQAR.exe
  2⤵
  PID:2448
- C:\Windows\System32\bqUmBkh.exe
  C:\Windows\System32\bqUmBkh.exe
  2⤵
  PID:1700
- C:\Windows\System32\CfWlKgE.exe
  C:\Windows\System32\CfWlKgE.exe
  2⤵
  PID:2372
- C:\Windows\System32\KkLLVTH.exe
  C:\Windows\System32\KkLLVTH.exe
  2⤵
  PID:832
- C:\Windows\System32\JdSMQOJ.exe
  C:\Windows\System32\JdSMQOJ.exe
  2⤵
  PID:2780
- C:\Windows\System32\NSKfpGQ.exe
  C:\Windows\System32\NSKfpGQ.exe
  2⤵
  PID:1284
- C:\Windows\System32\MjtZebn.exe
  C:\Windows\System32\MjtZebn.exe
  2⤵
  PID:1788
- C:\Windows\System32\OJnNiLC.exe
  C:\Windows\System32\OJnNiLC.exe
  2⤵
  PID:1068
- C:\Windows\System32\KDKKNcW.exe
  C:\Windows\System32\KDKKNcW.exe
  2⤵
  PID:1792
- C:\Windows\System32\suCAQRX.exe
  C:\Windows\System32\suCAQRX.exe
  2⤵
  PID:396
- C:\Windows\System32\IsCopEv.exe
  C:\Windows\System32\IsCopEv.exe
  2⤵
  PID:2836
- C:\Windows\System32\nDonxpK.exe
  C:\Windows\System32\nDonxpK.exe
  2⤵
  PID:2768
- C:\Windows\System32\sIDkbJH.exe
  C:\Windows\System32\sIDkbJH.exe
  2⤵
  PID:2312
- C:\Windows\System32\keZjCFX.exe
  C:\Windows\System32\keZjCFX.exe
  2⤵
  PID:972
- C:\Windows\System32\SfXdmTD.exe
  C:\Windows\System32\SfXdmTD.exe
  2⤵
  PID:1640
- C:\Windows\System32\qfXKpaU.exe
  C:\Windows\System32\qfXKpaU.exe
  2⤵
  PID:1516
- C:\Windows\System32\EUfVoSS.exe
  C:\Windows\System32\EUfVoSS.exe
  2⤵
  PID:1268
- C:\Windows\System32\sFPbBbY.exe
  C:\Windows\System32\sFPbBbY.exe
  2⤵
  PID:1080
- C:\Windows\System32\hMEjrZa.exe
  C:\Windows\System32\hMEjrZa.exe
  2⤵
  PID:2908
- C:\Windows\System32\mdeNpVq.exe
  C:\Windows\System32\mdeNpVq.exe
  2⤵
  PID:2972
- C:\Windows\System32\rMkTnrR.exe
  C:\Windows\System32\rMkTnrR.exe
  2⤵
  PID:3000
- C:\Windows\System32\qmkcdTk.exe
  C:\Windows\System32\qmkcdTk.exe
  2⤵
  PID:1928
- C:\Windows\System32\hjUbDkt.exe
  C:\Windows\System32\hjUbDkt.exe
  2⤵
  PID:1568
- C:\Windows\System32\qPQjGhz.exe
  C:\Windows\System32\qPQjGhz.exe
  2⤵
  PID:1704
- C:\Windows\System32\wyZlbBq.exe
  C:\Windows\System32\wyZlbBq.exe
  2⤵
  PID:3036
- C:\Windows\System32\rdUobeW.exe
  C:\Windows\System32\rdUobeW.exe
  2⤵
  PID:1864
- C:\Windows\System32\LFHcxhL.exe
  C:\Windows\System32\LFHcxhL.exe
  2⤵
  PID:2520
- C:\Windows\System32\ibeoljL.exe
  C:\Windows\System32\ibeoljL.exe
  2⤵
  PID:2896
- C:\Windows\System32\AEqQVnx.exe
  C:\Windows\System32\AEqQVnx.exe
  2⤵
  PID:2296
- C:\Windows\System32\QggafKt.exe
  C:\Windows\System32\QggafKt.exe
  2⤵
  PID:864
- C:\Windows\System32\cpBfAJZ.exe
  C:\Windows\System32\cpBfAJZ.exe
  2⤵
  PID:2140
- C:\Windows\System32\sLQEyod.exe
  C:\Windows\System32\sLQEyod.exe
  2⤵
  PID:1072
- C:\Windows\System32\DcbgkAr.exe
  C:\Windows\System32\DcbgkAr.exe
  2⤵
  PID:2440
- C:\Windows\System32\JeSjliO.exe
  C:\Windows\System32\JeSjliO.exe
  2⤵
  PID:520
- C:\Windows\System32\htexRdT.exe
  C:\Windows\System32\htexRdT.exe
  2⤵
  PID:1520
- C:\Windows\System32\CQHsavK.exe
  C:\Windows\System32\CQHsavK.exe
  2⤵
  PID:1540
- C:\Windows\System32\OUKIZJe.exe
  C:\Windows\System32\OUKIZJe.exe
  2⤵
  PID:2184
- C:\Windows\System32\QiiTUYF.exe
  C:\Windows\System32\QiiTUYF.exe
  2⤵
  PID:2084
- C:\Windows\System32\njwkkrh.exe
  C:\Windows\System32\njwkkrh.exe
  2⤵
  PID:692
- C:\Windows\System32\CzhMrEe.exe
  C:\Windows\System32\CzhMrEe.exe
  2⤵
  PID:2788
- C:\Windows\System32\yspSCJe.exe
  C:\Windows\System32\yspSCJe.exe
  2⤵
  PID:1480
- C:\Windows\System32\zXQrGMY.exe
  C:\Windows\System32\zXQrGMY.exe
  2⤵
  PID:2256
- C:\Windows\System32\EHuyWQZ.exe
  C:\Windows\System32\EHuyWQZ.exe
  2⤵
  PID:860
- C:\Windows\System32\JvqBguM.exe
  C:\Windows\System32\JvqBguM.exe
  2⤵
  PID:1684
- C:\Windows\System32\bngDSrj.exe
  C:\Windows\System32\bngDSrj.exe
  2⤵
  PID:2000
- C:\Windows\System32\lelDCUe.exe
  C:\Windows\System32\lelDCUe.exe
  2⤵
  PID:748
- C:\Windows\System32\BWTzLYE.exe
  C:\Windows\System32\BWTzLYE.exe
  2⤵
  PID:3132
- C:\Windows\System32\mgJAasj.exe
  C:\Windows\System32\mgJAasj.exe
  2⤵
  PID:3148
- C:\Windows\System32\umdAnKD.exe
  C:\Windows\System32\umdAnKD.exe
  2⤵
  PID:3412
- C:\Windows\System32\JNhQqRo.exe
  C:\Windows\System32\JNhQqRo.exe
  2⤵
  PID:3508
- C:\Windows\System32\tIQfQrH.exe
  C:\Windows\System32\tIQfQrH.exe
  2⤵
  PID:4024
- C:\Windows\System32\wQwGEAq.exe
  C:\Windows\System32\wQwGEAq.exe
  2⤵
  PID:1848
- C:\Windows\System32\yhScrtI.exe
  C:\Windows\System32\yhScrtI.exe
  2⤵
  PID:1448
- C:\Windows\System32\xwYLUuZ.exe
  C:\Windows\System32\xwYLUuZ.exe
  2⤵
  PID:2196
- C:\Windows\System32\cXPyvOT.exe
  C:\Windows\System32\cXPyvOT.exe
  2⤵
  PID:1720
- C:\Windows\System32\jRUjryV.exe
  C:\Windows\System32\jRUjryV.exe
  2⤵
  PID:2384
- C:\Windows\System32\qgVLQRl.exe
  C:\Windows\System32\qgVLQRl.exe
  2⤵
  PID:3096
- C:\Windows\System32\IYXUwyT.exe
  C:\Windows\System32\IYXUwyT.exe
  2⤵
  PID:3168
- C:\Windows\System32\jxSkuls.exe
  C:\Windows\System32\jxSkuls.exe
  2⤵
  PID:3324
- C:\Windows\System32\zwqKWbK.exe
  C:\Windows\System32\zwqKWbK.exe
  2⤵
  PID:3392
- C:\Windows\System32\BmntMte.exe
  C:\Windows\System32\BmntMte.exe
  2⤵
  PID:3488
- C:\Windows\System32\SNRQUcM.exe
  C:\Windows\System32\SNRQUcM.exe
  2⤵
  PID:3532
- C:\Windows\System32\aOtHqID.exe
  C:\Windows\System32\aOtHqID.exe
  2⤵
  PID:3452
- C:\Windows\System32\rNZplaz.exe
  C:\Windows\System32\rNZplaz.exe
  2⤵
  PID:3608
- C:\Windows\System32\fhMkfPj.exe
  C:\Windows\System32\fhMkfPj.exe
  2⤵
  PID:3672
- C:\Windows\System32\YfrXbVz.exe
  C:\Windows\System32\YfrXbVz.exe
  2⤵
  PID:3188
- C:\Windows\System32\lqVmFAf.exe
  C:\Windows\System32\lqVmFAf.exe
  2⤵
  PID:3208
- C:\Windows\System32\WIPNRos.exe
  C:\Windows\System32\WIPNRos.exe
  2⤵
  PID:3224
- C:\Windows\System32\acJLmqQ.exe
  C:\Windows\System32\acJLmqQ.exe
  2⤵
  PID:3240
- C:\Windows\System32\jeFTAfq.exe
  C:\Windows\System32\jeFTAfq.exe
  2⤵
  PID:3524
- C:\Windows\System32\CJkZDoh.exe
  C:\Windows\System32\CJkZDoh.exe
  2⤵
  PID:3292
- C:\Windows\System32\IIBMZDQ.exe
  C:\Windows\System32\IIBMZDQ.exe
  2⤵
  PID:3640
- C:\Windows\System32\njGEzJe.exe
  C:\Windows\System32\njGEzJe.exe
  2⤵
  PID:3856
- C:\Windows\System32\avpAsLL.exe
  C:\Windows\System32\avpAsLL.exe
  2⤵
  PID:4692
- C:\Windows\System32\phvyIvs.exe
  C:\Windows\System32\phvyIvs.exe
  2⤵
  PID:5400
- C:\Windows\System32\WlNtBRu.exe
  C:\Windows\System32\WlNtBRu.exe
  2⤵
  PID:6088
- C:\Windows\System32\zgqsKke.exe
  C:\Windows\System32\zgqsKke.exe
  2⤵
  PID:4252
- C:\Windows\System32\ElQLWin.exe
  C:\Windows\System32\ElQLWin.exe
  2⤵
  PID:6192
- C:\Windows\System32\THgbBiL.exe
  C:\Windows\System32\THgbBiL.exe
  2⤵
  PID:6208
- C:\Windows\System32\YJEasfj.exe
  C:\Windows\System32\YJEasfj.exe
  2⤵
  PID:6224
- C:\Windows\System32\keceXAc.exe
  C:\Windows\System32\keceXAc.exe
  2⤵
  PID:6240
- C:\Windows\System32\ixyaXbv.exe
  C:\Windows\System32\ixyaXbv.exe
  2⤵
  PID:6256
- C:\Windows\System32\YJuGQXd.exe
  C:\Windows\System32\YJuGQXd.exe
  2⤵
  PID:6272
- C:\Windows\System32\RdFIKsq.exe
  C:\Windows\System32\RdFIKsq.exe
  2⤵
  PID:6288
- C:\Windows\System32\hWDgori.exe
  C:\Windows\System32\hWDgori.exe
  2⤵
  PID:6304
- C:\Windows\System32\HhHDfpX.exe
  C:\Windows\System32\HhHDfpX.exe
  2⤵
  PID:6320
- C:\Windows\System32\Oebhqmn.exe
  C:\Windows\System32\Oebhqmn.exe
  2⤵
  PID:6336
- C:\Windows\System32\zZLKLjt.exe
  C:\Windows\System32\zZLKLjt.exe
  2⤵
  PID:6352
- C:\Windows\System32\COCVjYp.exe
  C:\Windows\System32\COCVjYp.exe
  2⤵
  PID:6368
- C:\Windows\System32\ZnBtFHy.exe
  C:\Windows\System32\ZnBtFHy.exe
  2⤵
  PID:6384
- C:\Windows\System32\dcHnINJ.exe
  C:\Windows\System32\dcHnINJ.exe
  2⤵
  PID:6400
- C:\Windows\System32\JWwFaKL.exe
  C:\Windows\System32\JWwFaKL.exe
  2⤵
  PID:6416
- C:\Windows\System32\VCdatjO.exe
  C:\Windows\System32\VCdatjO.exe
  2⤵
  PID:6432
- C:\Windows\System32\PICKeai.exe
  C:\Windows\System32\PICKeai.exe
  2⤵
  PID:6448
- C:\Windows\System32\JocsNUL.exe
  C:\Windows\System32\JocsNUL.exe
  2⤵
  PID:6464
- C:\Windows\System32\aHyISDZ.exe
  C:\Windows\System32\aHyISDZ.exe
  2⤵
  PID:6480
- C:\Windows\System32\SKtKsyW.exe
  C:\Windows\System32\SKtKsyW.exe
  2⤵
  PID:6496
- C:\Windows\System32\jKBGXkR.exe
  C:\Windows\System32\jKBGXkR.exe
  2⤵
  PID:6512
- C:\Windows\System32\ckupOMM.exe
  C:\Windows\System32\ckupOMM.exe
  2⤵
  PID:6528
- C:\Windows\System32\QprGpmy.exe
  C:\Windows\System32\QprGpmy.exe
  2⤵
  PID:6544
- C:\Windows\System32\pnnJpAE.exe
  C:\Windows\System32\pnnJpAE.exe
  2⤵
  PID:6560
- C:\Windows\System32\wopUqIb.exe
  C:\Windows\System32\wopUqIb.exe
  2⤵
  PID:6576
- C:\Windows\System32\jcomhIM.exe
  C:\Windows\System32\jcomhIM.exe
  2⤵
  PID:6592
- C:\Windows\System32\hpmxAQf.exe
  C:\Windows\System32\hpmxAQf.exe
  2⤵
  PID:6608
- C:\Windows\System32\IGbrEYh.exe
  C:\Windows\System32\IGbrEYh.exe
  2⤵
  PID:6624
- C:\Windows\System32\QhBTkUX.exe
  C:\Windows\System32\QhBTkUX.exe
  2⤵
  PID:6640
- C:\Windows\System32\ibkYMGo.exe
  C:\Windows\System32\ibkYMGo.exe
  2⤵
  PID:6656
- C:\Windows\System32\IWnZDIo.exe
  C:\Windows\System32\IWnZDIo.exe
  2⤵
  PID:6672
- C:\Windows\System32\TplCosk.exe
  C:\Windows\System32\TplCosk.exe
  2⤵
  PID:6688
- C:\Windows\System32\MrwxoTv.exe
  C:\Windows\System32\MrwxoTv.exe
  2⤵
  PID:6704
- C:\Windows\System32\hNClzPc.exe
  C:\Windows\System32\hNClzPc.exe
  2⤵
  PID:6720
- C:\Windows\System32\TONWMQw.exe
  C:\Windows\System32\TONWMQw.exe
  2⤵
  PID:6736
- C:\Windows\System32\qVZOUVi.exe
  C:\Windows\System32\qVZOUVi.exe
  2⤵
  PID:6752
- C:\Windows\System32\aVYUkcf.exe
  C:\Windows\System32\aVYUkcf.exe
  2⤵
  PID:6768
- C:\Windows\System32\LADtLPE.exe
  C:\Windows\System32\LADtLPE.exe
  2⤵
  PID:6784
- C:\Windows\System32\hxURozW.exe
  C:\Windows\System32\hxURozW.exe
  2⤵
  PID:6800
- C:\Windows\System32\oYBMrpI.exe
  C:\Windows\System32\oYBMrpI.exe
  2⤵
  PID:6816
- C:\Windows\System32\XFnlUTg.exe
  C:\Windows\System32\XFnlUTg.exe
  2⤵
  PID:6832
- C:\Windows\System32\ssNAhLq.exe
  C:\Windows\System32\ssNAhLq.exe
  2⤵
  PID:6848
- C:\Windows\System32\WrRGDsh.exe
  C:\Windows\System32\WrRGDsh.exe
  2⤵
  PID:6864
- C:\Windows\System32\RbpBfLI.exe
  C:\Windows\System32\RbpBfLI.exe
  2⤵
  PID:6880
- C:\Windows\System32\YTwYCeg.exe
  C:\Windows\System32\YTwYCeg.exe
  2⤵
  PID:6896
- C:\Windows\System32\LceFQyp.exe
  C:\Windows\System32\LceFQyp.exe
  2⤵
  PID:6912
- C:\Windows\System32\bQQDpnc.exe
  C:\Windows\System32\bQQDpnc.exe
  2⤵
  PID:6928
- C:\Windows\System32\OFvRSYK.exe
  C:\Windows\System32\OFvRSYK.exe
  2⤵
  PID:6944
- C:\Windows\System32\CLLLkAy.exe
  C:\Windows\System32\CLLLkAy.exe
  2⤵
  PID:7024
- C:\Windows\System32\IAvIzsH.exe
  C:\Windows\System32\IAvIzsH.exe
  2⤵
  PID:4848
- C:\Windows\System32\yzrwAsq.exe
  C:\Windows\System32\yzrwAsq.exe
  2⤵
  PID:4464
- C:\Windows\System32\jJIzQWo.exe
  C:\Windows\System32\jJIzQWo.exe
  2⤵
  PID:7156
- C:\Windows\System32\wUbPgEs.exe
  C:\Windows\System32\wUbPgEs.exe
  2⤵
  PID:7300
- C:\Windows\System32\QZxGBRR.exe
  C:\Windows\System32\QZxGBRR.exe
  2⤵
  PID:6632
- C:\Windows\System32\MJQkhoD.exe
  C:\Windows\System32\MJQkhoD.exe
  2⤵
  PID:8668
- C:\Windows\System32\juupYAE.exe
  C:\Windows\System32\juupYAE.exe
  2⤵
  PID:8680
- C:\Windows\System32\VRmzRAD.exe
  C:\Windows\System32\VRmzRAD.exe
  2⤵
  PID:9628
- C:\Windows\System32\pCdbdnw.exe
  C:\Windows\System32\pCdbdnw.exe
  2⤵
  PID:9916
- C:\Windows\System32\rSAgbFy.exe
  C:\Windows\System32\rSAgbFy.exe
  2⤵
  PID:9940
- C:\Windows\System32\CyEpiNg.exe
  C:\Windows\System32\CyEpiNg.exe
  2⤵
  PID:9956
- C:\Windows\System32\NozvTAA.exe
  C:\Windows\System32\NozvTAA.exe
  2⤵
  PID:9972
- C:\Windows\System32\UjPXbyF.exe
  C:\Windows\System32\UjPXbyF.exe
  2⤵
  PID:9988
- C:\Windows\System32\eHDEVgH.exe
  C:\Windows\System32\eHDEVgH.exe
  2⤵
  PID:10004
- C:\Windows\System32\NCknyWf.exe
  C:\Windows\System32\NCknyWf.exe
  2⤵
  PID:10020
- C:\Windows\System32\WfPLqLx.exe
  C:\Windows\System32\WfPLqLx.exe
  2⤵
  PID:10036
- C:\Windows\System32\ztTITnm.exe
  C:\Windows\System32\ztTITnm.exe
  2⤵
  PID:10052
- C:\Windows\System32\mzxhODv.exe
  C:\Windows\System32\mzxhODv.exe
  2⤵
  PID:10068
- C:\Windows\System32\hXgwSeu.exe
  C:\Windows\System32\hXgwSeu.exe
  2⤵
  PID:10084
- C:\Windows\System32\gdjDHQR.exe
  C:\Windows\System32\gdjDHQR.exe
  2⤵
  PID:10100
- C:\Windows\System32\Xmnqjjt.exe
  C:\Windows\System32\Xmnqjjt.exe
  2⤵
  PID:10116
- C:\Windows\System32\aBDEJqH.exe
  C:\Windows\System32\aBDEJqH.exe
  2⤵
  PID:9540
- C:\Windows\System32\rWLxxXi.exe
  C:\Windows\System32\rWLxxXi.exe
  2⤵
  PID:8792
- C:\Windows\System32\uucHuWN.exe
  C:\Windows\System32\uucHuWN.exe
  2⤵
  PID:10824
- C:\Windows\System32\qUYphPC.exe
  C:\Windows\System32\qUYphPC.exe
  2⤵
  PID:11168
- C:\Windows\System32\taFOakp.exe
  C:\Windows\System32\taFOakp.exe
  2⤵
  PID:8100
- C:\Windows\System32\AtmhFsr.exe
  C:\Windows\System32\AtmhFsr.exe
  2⤵
  PID:11232
- C:\Windows\System32\buIUffD.exe
  C:\Windows\System32\buIUffD.exe
  2⤵
  PID:10304
- C:\Windows\System32\NHGlEiA.exe
  C:\Windows\System32\NHGlEiA.exe
  2⤵
  PID:10428
- C:\Windows\System32\ifMqcvN.exe
  C:\Windows\System32\ifMqcvN.exe
  2⤵
  PID:10816
- C:\Windows\System32\peHYsIU.exe
  C:\Windows\System32\peHYsIU.exe
  2⤵
  PID:11072
- C:\Windows\System32\ikXtrVM.exe
  C:\Windows\System32\ikXtrVM.exe
  2⤵
  PID:8136
- C:\Windows\System32\UwfSsra.exe
  C:\Windows\System32\UwfSsra.exe
  2⤵
  PID:9844
- C:\Windows\System32\FsYyDfg.exe
  C:\Windows\System32\FsYyDfg.exe
  2⤵
  PID:11680
- C:\Windows\System32\yfvGUXs.exe
  C:\Windows\System32\yfvGUXs.exe
  2⤵
  PID:12296
- C:\Windows\System32\aSdktyh.exe
  C:\Windows\System32\aSdktyh.exe
  2⤵
  PID:12908
- C:\Windows\System32\RRbfexg.exe
  C:\Windows\System32\RRbfexg.exe
  2⤵
  PID:10476
- C:\Windows\System32\KzRpbxL.exe
  C:\Windows\System32\KzRpbxL.exe
  2⤵
  PID:13556

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CfWlKgE.exe

Filesize
1.8MB

MD5
5276318c2070cc46164e53c10fbfd7b7

SHA1
70d473362355fbb5acc44ef4cb430e08b1f58cad

SHA256
cf23169cd32e241afae8930548e881e15ae74fcaf58a7c2cda1f20836dfd314b

SHA512
ca63f0aefdc6fd277a2cc6d9d387c34c96bb9736a212a823bbbd98687ededfe95780f43de8678fd710a06cc19c1bff58791c31bd980861f27ee97e174703132f

Download Submit
C:\Windows\System32\GdAIIsO.exe

Filesize
1.3MB

MD5
75041daebe1ee9cbed0f1d24aa950854

SHA1
847241a337a64b6510e8c07ea938d8daa0274f0e

SHA256
842069a88d27847e8054d533e3a1a28127786e9dd79192033bb0848c40785356

SHA512
7f51e51595e95b974986170bc34d93725112ba8112dc1bc04d2a5386456ac465c50ea757dc1f2c560e829ceb070900c70e92425ff1fcb91ffa19d89cb8055151

Download Submit
C:\Windows\System32\GdAIIsO.exe

Filesize
1.8MB

MD5
1636c3b75f58a4476920e27041ee3c57

SHA1
6eefe21a43ef85bad53b569a1f680a9e920756c3

SHA256
3f6072cacd2fd67f7bfb368d46c450b03e0a08288de6810f59da1ca2fc2616ac

SHA512
e611becc55e2b310ba1ef87a50f15e430ea3340a9df087fc3c622c55b519ad5bf5042ec9ac15edc1c12203da82ebc9f5bdd5e9c79267674e39fc228e25cbc24a

Download Submit
C:\Windows\System32\HjEpgJo.exe

Filesize
192KB

MD5
3c1559cfb02707f81049bda2678be952

SHA1
10baf3dc95cb8ee1a83cff398f95f6af7cbc39b1

SHA256
9a41196929cfde6c0fe754df0c7b0d8a4174f82724ed2244e8400dc2a75367b6

SHA512
94ca57d0e06fc4f5244ca0bdcc5bdada6be2c24dd1281765fa5167ce19c827d63c242c9d9fe92e0fe66682dd4901c89c4b083630086aafa03eecf70150f08cc8

Download Submit
C:\Windows\System32\KfiXEHF.exe

Filesize
1.2MB

MD5
f63a7f088be2ba0af591904b11611ede

SHA1
90c8391acd137baa9b2258a85bc493cece1f8aa0

SHA256
cb25eb3bf3bed2d62502f514490b7487cddefd6662133fe58cea3919deccf96d

SHA512
3edaf300825afb3fdb62c7c438322062000f57db48597b494eb21f2c4a6ed573639234ba0a7ffed267ff24e2c399ec2abb161dcd93873bdfaa790a626b48a0f1

Download Submit
C:\Windows\System32\RNxowIw.exe

Filesize
1.1MB

MD5
1cfa710494b3bb664ec8867625767e4d

SHA1
aa2a38fffaf16325380016d43d7326bf7aa1775f

SHA256
5185b6574c9ec2f70aee80875e6ee3e13b0d6ed408f747ad028f5e5972e80246

SHA512
664e0ed1b29b1f984b420fadee485f0a9cba8fc1a53e473a633b532723a3ca75f0e3e91d471e0130a8ecbd540304db3fd1b15850c8c2148cf58756cc9d295dbe

Download Submit
C:\Windows\System32\Sstnhvt.exe

Filesize
128KB

MD5
18bd523bb2a1a1369bb861c2beda1bc3

SHA1
159ae1849d055c1d8bb25e42b0e54ed974d7314d

SHA256
12ad6f35b7fdd28af2b7c5797d1f91e4834bef196506c91686fa763f49df8e50

SHA512
e46efb48b6f9a49b07b22487034e5c017ad4a36bd99d35dd05d2c587eb6b3734064c55ef0a3736ebf2791f6c83e5c5733adf99ea9ff7946e625fb17da3bf781d

Download Submit
C:\Windows\System32\TrloSuE.exe

Filesize
768KB

MD5
685de15e1d084bc004fbf7bb283f7445

SHA1
48cd3e828429e29d9308fc900047ee605a579a61

SHA256
f20c26c29ed06718ef68e8c40f96642fa809769ce10ab02c49d1c80bbd7a5ff4

SHA512
f514d3213482081441c5b2b417c4f00a1a34d528b1d56c62cd15a346048db63f3c2bc718a8ed4d2fb926096d27aa5079326ed30e07915d71c65c7063828b6877

Download Submit
C:\Windows\System32\aLPTyyx.exe

Filesize
704KB

MD5
be364f8f5201574da3cea18e67aba50d

SHA1
5b08e5b606f891e3c02cf5ad2f09431842b0a4d8

SHA256
61c4466b060257ccd2cd7a831063a61b4728085f77ea0cbd0f635e598ad225e2

SHA512
5870c5ef35a64ff0c29f63cc03fcb801e35ee4bbf2204e191e683db982cb3a59f286500683c554e2e4ed1a8e364ff9046fed8dcf7014ab95aa9e3d70e74bc6f5

Download Submit
C:\Windows\System32\ctETblu.exe

Filesize
832KB

MD5
682b315409d8925e4c3f6438f36ebc96

SHA1
2bd258e60ba6c3451f3b6d05edc2102032e45165

SHA256
590f44e22ab1a4855e94b2e1de3d6be7ee1b991b564e8142835a0cbdc8b894dd

SHA512
163c63715627c1644eab102f4eb6e4dcacbf4d6ba26f35f75e9755f2320340399b1ee229993f8a1dba2f039188fe36652e5ad034dc8ec8522411101154d46fca

Download Submit
C:\Windows\System32\eaKIXIU.exe

Filesize
896KB

MD5
d45aa1b53598d87c51a29f6c668c6dc4

SHA1
d8d0d362da0ca8bf3b68fd3be566a3251489907d

SHA256
9a490d53787626a2bf7d5fe0fb6547bfd13a365387fed41adbf9fafbc6c62e62

SHA512
33f63487bf5379784674379ef46abd1e9d072bd6d05df11c8ad49e83e399b0ecbcb3cac7ebd3ef5d0f71d54f71341c68860c1e2158c76e914d9cfd4da4ab1875

Download Submit
C:\Windows\System32\fhxliSD.exe

Filesize
1.7MB

MD5
8b77afc4de1c6f1e8f20c925a77d32e1

SHA1
df02074b465c81118e5fdf03415b18ba3f54e559

SHA256
8216249160fba6deac01a660b47eadbb65df4eb3cf399e2e430562dae8996c78

SHA512
4027106b323fae7eb5c43fbcfaf6efb35a8126a5f41113ac7625df20f4048ca41934678aabc99a1d4e98dc58959483262d3c14491510537bdb7d9e0a826e5e7a

Download Submit
C:\Windows\System32\gUDCsZz.exe

Filesize
960KB

MD5
74e6d71a73c7f52897836ede130233ce

SHA1
52c9ff9334ff2d3d9d6f8199bb75ce6fedc4cd82

SHA256
96a71d300c1658724ecd120bf297339995bdd17620c2b282d4e02267adff9d98

SHA512
e553e7c662d5e8e0025a86152889fdbb594b9a515e38fa981aeab7e48dcad56b0778ffa47b8a884015acb62ae515a5c3da0616a85bb187f09f1ff0378f6018fe

Download Submit
C:\Windows\System32\lSfvQqV.exe

Filesize
1.8MB

MD5
f169c8c25ce4c56f83780d234e2ba056

SHA1
8b3687e1d7edf3ab4fba8136fad1a84d446c905c

SHA256
018a980497c0f9e7a6e0cab7ca53d0130bf32a6c8b4cb30bc1f6b1c782f1e905

SHA512
1a49ba5b5d6ecf45a2f98c2f7e746f2a2cfedc6e84d3e0b77e2cbdb04aa7ae0a7fad8f8a1faa075f042c35e976e8716e93e7297ce4c5f7492de85102733e5d77

Download Submit
C:\Windows\System32\qCivfTq.exe

Filesize
1.1MB

MD5
2cbe26187ebeb94924e4d955516994e6

SHA1
b520a3c857e2823448b22d9d21dae0290cb24b4f

SHA256
fb6c50bf71f5261ea0fe62850194297ae3248f9a62ec3f25baa051833e6ed0ad

SHA512
e29e42a5ff176dd19131868ec0c8cfef9f94eed381ca5dd34cdb46db5477f72bd8f1316347f92afebd18cc46273fa8c2cc915f74f7816c5dd0940cbb3df30f91

Download Submit
C:\Windows\System32\vSMhZgF.exe

Filesize
452KB

MD5
96f057d794a658ba2fdc809660bad108

SHA1
7d8e0ba3b48e4fe464de95ba59579d59114c4db6

SHA256
11e9c81bb9da0125dfdaa22175e437be89b9a1947205a058eb32afbcf743f643

SHA512
1cf63a892cf1e5c2d0dd8237fae28a46d975d48da1345b8436a65d6b69c3f8663a06715fb43d5e13f823a9dfec14f8403c722f5c6d6efea3a23b823d9f902af8

Download Submit
C:\Windows\System32\zclzAUS.exe

Filesize
1.8MB

MD5
d98fe70d16d645d805ca7ec33414cb53

SHA1
b119d15d9b032f2ec56b2b5540d51778aab6ac61

SHA256
ea10100ace588987ff98a64e2789a21742693d809278c947084c9e5a4098ee95

SHA512
e919d921ef11343c3dde0cc0aa937e2e795222590279a888d0d6aa3750bf9f13d56671325c302b0947613cba3cee36063e3babf84254a964004358e881555867

Download Submit
\Windows\System32\HjEpgJo.exe

Filesize
256KB

MD5
4f2ee1a9c9d8c08dcc1ad31fac265106

SHA1
9f8a2f25af0cdc3749dd080f619c118cc42a6d99

SHA256
cc0a3041f6ed2cb4bd252070556817bd578d3fa97e8ea73e192db50fd3664563

SHA512
e7230c71218850fbd4e1e860fb3e02ae90ee31e768b62efc1efaa7d8767735e36631a666d955a238ed1f054c7dff5ac2ad3846d8dee5fa988e0a0208305d4401

Download Submit
\Windows\System32\KfiXEHF.exe

Filesize
1.8MB

MD5
b47d9dc7999a31e77957bf85a3d5bf29

SHA1
46ecdbd942898ebf2e5227b9686830340fdee004

SHA256
f844cb8a0e6d2dd57fef322005836e3e439f52b982ae10a20774fb7d49a66a9e

SHA512
6193ab5c5177ffa11258be2d6f31c51a1ee274f0f1bd74ff919579d33b20d6635615d1c545f5cf3db852415ddf5e1155367ef942c5fa860b4f22f7ed48d6b542

Download Submit
\Windows\System32\KkLLVTH.exe

Filesize
1.8MB

MD5
38296e9a55de5d8816c753d9e1871e0b

SHA1
80fe18548b014acb1a0feb8aca72811d36e30327

SHA256
712684a089798277730ccc3e5dfedbe5c9522b585b53577202799d8b72a0bfbb

SHA512
28b97695d4f59b1d623dd915aec7c7559349c7bcd0182d621d355c9806522eb415b65a26390ec62bea61e1f422868558f38ca14fd798ec6bb9b3b5bf511d2db0

Download Submit
\Windows\System32\LfVatLA.exe

Filesize
576KB

MD5
970e49d66f2ac1f0c5aa37c23932cc22

SHA1
f13d83b9f982b0504ed0586a2162d43a6a96f301

SHA256
adc90a427ed2d1115ef5602d62a34fb5f324d329e283e3f49f5e61339d15058b

SHA512
5aba02743a3a356ad760275c2b85404a190c9618311be0423bd51a41dc3465d9f54d7842e63c0eb6fd095a0eb378d5786aebff3f52a42f97fca957573b0bf5f3

Download Submit
\Windows\System32\TrloSuE.exe

Filesize
1024KB

MD5
0de80aa7707842c0b48ce5f890d19bb0

SHA1
431ba801e0c6be6beb2a907c296375f696cbba8d

SHA256
74d6cf84f47c10a53710e7fdc4db5dde7067277ba817e13820d1a96886061772

SHA512
1fbb29d23cb2b086d4425ede89566d655ce7051db50c26a8fd2b24333f9ed98ac9b70533e9bae9d4f816d8bfb018582d144e27278ee12148002c09e51b487695

Download Submit
\Windows\System32\aLPTyyx.exe

Filesize
512KB

MD5
a4e995ee600ddecab470bb378ee48b43

SHA1
7b6eaee5d75fae894a0f898357ad640c3110580c

SHA256
e1b35fc069e0ab462c778b1d8349f1cd0d9ad5788ca4258a4f50d99b66e89dc9

SHA512
1aad98c8db4d98de6674935de7214ec8d93e4293b27f12310eb78a929c97781c256e27e36b99f3181067f113a8041d1964b8609865067e1937c4adcf2ad4b7e2

Download Submit
\Windows\System32\lSfvQqV.exe

Filesize
1.6MB

MD5
13cee2b87cc0937925db42049134e78a

SHA1
25cdeaee0f57960677b7f8a0e08e99e51c9992a0

SHA256
680e0e5f4517e4df8c35fdf4888a318702f5b5e59ac2964fe5f2f3df8d49ad6f

SHA512
3aeda85fca2084ccca4772caf8b7f6a8908737f195e0933d7b39b462c7300e684ead3394a9e143e47ebc1259c1161ce89e47849e91501902817541349131b538

Download Submit
\Windows\System32\pbGqOOk.exe

Filesize
1.8MB

MD5
284ab152055d598c880fb5728a2f6e5c

SHA1
e79e886de6f119961e666b517388be6e2776e443

SHA256
5ec25508c36063df07ae24c8a27db55cc39f571c152d750ac9f0879d7f738313

SHA512
7273335fb940f4e86bbbbb172c58a2aaae7ffb1daab25235f8bf852004955f1e6d1f590e48de377fe9da795fc58bca36ce233de4917ba94031b6381e1b9800da

Download Submit
\Windows\System32\qCivfTq.exe

Filesize
1.2MB

MD5
01c2932993b55bad9e49d590d9d58acb

SHA1
d5d5a67ac45b8278f6134a8fb05015ca37ef14cd

SHA256
d53816499187a327bafd0db7497b3374fdfce5973c372f393a753f94a432e7ee

SHA512
83202b37e0f1de76745c338cfa982e571ae5add386aba57467b5dced4a24a9ebe709ba02268fa141af9f59502372f3941d56927665272aa4b8d420778c6a2ae6

Download Submit
memory/1868-44-0x000000013F920000-0x000000013FD11000-memory.dmp

Filesize
3.9MB

Download
memory/1868-216-0x000000013F920000-0x000000013FD11000-memory.dmp

Filesize
3.9MB

Download
memory/1980-6-0x0000000002040000-0x0000000002431000-memory.dmp

Filesize
3.9MB

Download
memory/1980-1-0x00000000001F0000-0x0000000000200000-memory.dmp

Filesize
64KB

Download
memory/1980-0-0x000000013F6B0000-0x000000013FAA1000-memory.dmp

Filesize
3.9MB

Download
memory/1980-207-0x000000013F6B0000-0x000000013FAA1000-memory.dmp

Filesize
3.9MB

Download
memory/2148-14-0x000000013FE40000-0x0000000140231000-memory.dmp

Filesize
3.9MB

Download
memory/2148-224-0x000000013FE40000-0x0000000140231000-memory.dmp

Filesize
3.9MB

Download
memory/2612-161-0x000000013F570000-0x000000013F961000-memory.dmp

Filesize
3.9MB

Download
memory/3044-206-0x000000013F920000-0x000000013FD11000-memory.dmp

Filesize
3.9MB

Download
memory/3056-258-0x000000013F870000-0x000000013FC61000-memory.dmp

Filesize
3.9MB

Download