Analysis
-
max time kernel
149s -
max time network
153s -
platform
windows10-2004_x64 -
resource
win10v2004-20240226-en -
resource tags
arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system -
submitted
06/03/2024, 05:12
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
b697badd102531bd07522e06a0d3f481.exe
Resource
win7-20240221-en
windows7-x64
3 signatures
150 seconds
Behavioral task
behavioral2
Sample
b697badd102531bd07522e06a0d3f481.exe
Resource
win10v2004-20240226-en
windows10-2004-x64
4 signatures
150 seconds
General
-
Target
b697badd102531bd07522e06a0d3f481.exe
-
Size
372KB
-
MD5
b697badd102531bd07522e06a0d3f481
-
SHA1
dacbb2b749e75c1f14f6eadf2d09bc5e200c5d95
-
SHA256
4542cc9c571e8afb8e0055cef6224aefa397f9026d58c72bec8e845a135c954a
-
SHA512
0df9380766b77eb15c77eb09959db50e98908ac65402b73058653fa0e335f70ff262964b581d529f69910056cfe03a7329fecdb9035025d5a9ad1150cf68b8d0
-
SSDEEP
6144:brRoyoMGGGGGGGGGGbGGGGGGGGGG6GG/DGXxeXJE85PmWyVcjUkdHbIIAgwkaSWx:TKHjljI/L
Score
5/10
Malware Config
Signatures
-
Suspicious use of SetThreadContext 1 IoCs
description pid Process procid_target PID 3296 set thread context of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 -
Program crash 1 IoCs
pid pid_target Process procid_target 964 1412 WerFault.exe 92 -
Suspicious behavior: EnumeratesProcesses 64 IoCs
pid Process 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe 1412 b697badd102531bd07522e06a0d3f481.exe -
Suspicious use of WriteProcessMemory 7 IoCs
description pid Process procid_target PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92 PID 3296 wrote to memory of 1412 3296 b697badd102531bd07522e06a0d3f481.exe 92
Processes
-
C:\Users\Admin\AppData\Local\Temp\b697badd102531bd07522e06a0d3f481.exe"C:\Users\Admin\AppData\Local\Temp\b697badd102531bd07522e06a0d3f481.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:3296 -
C:\Users\Admin\AppData\Local\Temp\b697badd102531bd07522e06a0d3f481.exeC:\Users\Admin\AppData\Local\Temp\b697badd102531bd07522e06a0d3f481.exe2⤵
- Suspicious behavior: EnumeratesProcesses
PID:1412 -
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1412 -s 11323⤵
- Program crash
PID:964
-
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 1412 -ip 14121⤵PID:4420