xmrig | 54a7d96c98269c4e9e38600d0397528fd973680c129c57abac0e945b0d902146

Analysis

max time kernel
28s
max time network
77s
platform
windows10-2004_x64
resource
win10v2004-20240226-en
resource tags

arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
submitted
12/03/2024, 20:37

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

54a7d96c98269c4e9e38600d0397528fd973680c129c57abac0e945b0d902146.exe
Size

1.9MB
MD5

b4f8d8910e83098e77ee8b7bc0bf0f16
SHA1

ac018591a59ce81383c0b0b32ebfff7d5317787f
SHA256

54a7d96c98269c4e9e38600d0397528fd973680c129c57abac0e945b0d902146
SHA512

0371439d3a266769f5d51283f999062d0d4d5f32e4b536a77ffacb9f6ef7255a12c7ce93794301393634e162acf35ea4483db78f3005ec545593a4796e1c17ac
SSDEEP

49152:Lz071uv4BPMkibTIA5lCx7kvRWa4pzGmaq:NABZ

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

Detects executables containing URLs to raw contents of a Github gist 8 IoCs

resource	yara_rule
behavioral2/memory/4192-20-0x00007FF694880000-0x00007FF694C72000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/4988-339-0x00007FF7F84C0000-0x00007FF7F88B2000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/3688-191-0x00007FF762360000-0x00007FF762752000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/5052-117-0x00007FF665590000-0x00007FF665982000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/5076-481-0x00007FF6F9DC0000-0x00007FF6FA1B2000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/1480-500-0x00007FF7025E0000-0x00007FF7029D2000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/4588-507-0x00007FF622330000-0x00007FF622722000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL
behavioral2/memory/1176-516-0x00007FF6F9080000-0x00007FF6F9472000-memory.dmp	INDICATOR_SUSPICIOUS_EXE_RawGitHub_URL

UPX dump on OEP (original entry point) 19 IoCs

resource	yara_rule
behavioral2/memory/228-0-0x00007FF6E04B0000-0x00007FF6E08A2000-memory.dmp	UPX
behavioral2/files/0x0007000000023228-46.dat	UPX
behavioral2/files/0x000b0000000231a8-62.dat	UPX
behavioral2/files/0x0007000000023230-143.dat	UPX
behavioral2/files/0x0007000000023234-211.dat	UPX
behavioral2/files/0x0007000000023233-210.dat	UPX
behavioral2/files/0x0007000000023247-201.dat	UPX
behavioral2/files/0x000700000002322d-193.dat	UPX
behavioral2/files/0x0007000000023245-185.dat	UPX
behavioral2/files/0x000700000002323c-139.dat	UPX
behavioral2/files/0x000700000002324b-209.dat	UPX
behavioral2/files/0x0007000000023249-205.dat	UPX
behavioral2/files/0x0007000000023248-203.dat	UPX
behavioral2/files/0x0007000000023246-192.dat	UPX
behavioral2/files/0x000700000002322c-119.dat	UPX
behavioral2/files/0x000700000002323b-182.dat	UPX
behavioral2/files/0x0007000000023239-101.dat	UPX
behavioral2/files/0x000700000002323d-148.dat	UPX
behavioral2/files/0x0007000000023235-88.dat	UPX

XMRig Miner payload 8 IoCs

miner

resource	yara_rule
behavioral2/memory/4192-20-0x00007FF694880000-0x00007FF694C72000-memory.dmp	xmrig
behavioral2/memory/4988-339-0x00007FF7F84C0000-0x00007FF7F88B2000-memory.dmp	xmrig
behavioral2/memory/3688-191-0x00007FF762360000-0x00007FF762752000-memory.dmp	xmrig
behavioral2/memory/5052-117-0x00007FF665590000-0x00007FF665982000-memory.dmp	xmrig
behavioral2/memory/5076-481-0x00007FF6F9DC0000-0x00007FF6FA1B2000-memory.dmp	xmrig
behavioral2/memory/1480-500-0x00007FF7025E0000-0x00007FF7029D2000-memory.dmp	xmrig
behavioral2/memory/4588-507-0x00007FF622330000-0x00007FF622722000-memory.dmp	xmrig
behavioral2/memory/1176-516-0x00007FF6F9080000-0x00007FF6F9472000-memory.dmp	xmrig

UPX packed file 27 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/228-0-0x00007FF6E04B0000-0x00007FF6E08A2000-memory.dmp	upx
behavioral2/memory/4192-20-0x00007FF694880000-0x00007FF694C72000-memory.dmp	upx
behavioral2/files/0x0007000000023228-46.dat	upx
behavioral2/files/0x000b0000000231a8-62.dat	upx
behavioral2/files/0x0007000000023230-143.dat	upx
behavioral2/files/0x0007000000023234-211.dat	upx
behavioral2/memory/4988-339-0x00007FF7F84C0000-0x00007FF7F88B2000-memory.dmp	upx
behavioral2/files/0x0007000000023233-210.dat	upx
behavioral2/files/0x0007000000023247-201.dat	upx
behavioral2/files/0x000700000002322d-193.dat	upx
behavioral2/files/0x0007000000023245-185.dat	upx
behavioral2/files/0x000700000002323c-139.dat	upx
behavioral2/files/0x000700000002324b-209.dat	upx
behavioral2/files/0x0007000000023249-205.dat	upx
behavioral2/files/0x0007000000023248-203.dat	upx
behavioral2/files/0x0007000000023246-192.dat	upx
behavioral2/files/0x000700000002322c-119.dat	upx
behavioral2/memory/3688-191-0x00007FF762360000-0x00007FF762752000-memory.dmp	upx
behavioral2/memory/5052-117-0x00007FF665590000-0x00007FF665982000-memory.dmp	upx
behavioral2/files/0x000700000002323b-182.dat	upx
behavioral2/files/0x0007000000023239-101.dat	upx
behavioral2/files/0x000700000002323d-148.dat	upx
behavioral2/files/0x0007000000023235-88.dat	upx
behavioral2/memory/5076-481-0x00007FF6F9DC0000-0x00007FF6FA1B2000-memory.dmp	upx
behavioral2/memory/1480-500-0x00007FF7025E0000-0x00007FF7029D2000-memory.dmp	upx
behavioral2/memory/4588-507-0x00007FF622330000-0x00007FF622722000-memory.dmp	upx
behavioral2/memory/1176-516-0x00007FF6F9080000-0x00007FF6F9472000-memory.dmp	upx

C:\Users\Admin\AppData\Local\Temp\54a7d96c98269c4e9e38600d0397528fd973680c129c57abac0e945b0d902146.exe
"C:\Users\Admin\AppData\Local\Temp\54a7d96c98269c4e9e38600d0397528fd973680c129c57abac0e945b0d902146.exe"
1⤵
PID:228
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  powershell.exe -command "Invoke-WebRequest "https://raw.githubusercontent.com/" "
  2⤵
  PID:4548
- C:\Windows\System\MccZDyZ.exe
  C:\Windows\System\MccZDyZ.exe
  2⤵
  PID:4192
- C:\Windows\System\btLwWbR.exe
  C:\Windows\System\btLwWbR.exe
  2⤵
  PID:2752
- C:\Windows\System\rRfshVk.exe
  C:\Windows\System\rRfshVk.exe
  2⤵
  PID:1368
- C:\Windows\System\dzPYIjE.exe
  C:\Windows\System\dzPYIjE.exe
  2⤵
  PID:4988
- C:\Windows\System\vdOZoSo.exe
  C:\Windows\System\vdOZoSo.exe
  2⤵
  PID:1176
- C:\Windows\System\TlJkHTw.exe
  C:\Windows\System\TlJkHTw.exe
  2⤵
  PID:2044
- C:\Windows\System\PRjbEjR.exe
  C:\Windows\System\PRjbEjR.exe
  2⤵
  PID:888
- C:\Windows\System\hanhFvs.exe
  C:\Windows\System\hanhFvs.exe
  2⤵
  PID:4308
- C:\Windows\System\eKEwROj.exe
  C:\Windows\System\eKEwROj.exe
  2⤵
  PID:4312
- C:\Windows\System\sFNyiLt.exe
  C:\Windows\System\sFNyiLt.exe
  2⤵
  PID:4404
- C:\Windows\System\mnllcLR.exe
  C:\Windows\System\mnllcLR.exe
  2⤵
  PID:5068
- C:\Windows\System\MUfrLSr.exe
  C:\Windows\System\MUfrLSr.exe
  2⤵
  PID:4076
- C:\Windows\System\kiNsIJH.exe
  C:\Windows\System\kiNsIJH.exe
  2⤵
  PID:1880
- C:\Windows\System\HplkhjM.exe
  C:\Windows\System\HplkhjM.exe
  2⤵
  PID:4564
- C:\Windows\System\IMDmRXF.exe
  C:\Windows\System\IMDmRXF.exe
  2⤵
  PID:2600
- C:\Windows\System\NbtudSE.exe
  C:\Windows\System\NbtudSE.exe
  2⤵
  PID:3272
- C:\Windows\System\rQIpfMM.exe
  C:\Windows\System\rQIpfMM.exe
  2⤵
  PID:3176
- C:\Windows\System\aDTBlzk.exe
  C:\Windows\System\aDTBlzk.exe
  2⤵
  PID:2920
- C:\Windows\System\DbKzamC.exe
  C:\Windows\System\DbKzamC.exe
  2⤵
  PID:3260
- C:\Windows\System\YxSWLEB.exe
  C:\Windows\System\YxSWLEB.exe
  2⤵
  PID:1792
- C:\Windows\System\Oyoqpsv.exe
  C:\Windows\System\Oyoqpsv.exe
  2⤵
  PID:4824
- C:\Windows\System\rLxJWeO.exe
  C:\Windows\System\rLxJWeO.exe
  2⤵
  PID:4068
- C:\Windows\System\NoHIHRC.exe
  C:\Windows\System\NoHIHRC.exe
  2⤵
  PID:3308
- C:\Windows\System\FUGPkrS.exe
  C:\Windows\System\FUGPkrS.exe
  2⤵
  PID:3492
- C:\Windows\System\qetnqHf.exe
  C:\Windows\System\qetnqHf.exe
  2⤵
  PID:2668
- C:\Windows\System\NENAQze.exe
  C:\Windows\System\NENAQze.exe
  2⤵
  PID:5128
- C:\Windows\System\iYsDyLj.exe
  C:\Windows\System\iYsDyLj.exe
  2⤵
  PID:5144
- C:\Windows\System\ZniswHF.exe
  C:\Windows\System\ZniswHF.exe
  2⤵
  PID:5168
- C:\Windows\System\hycrXTY.exe
  C:\Windows\System\hycrXTY.exe
  2⤵
  PID:5188
- C:\Windows\System\wMYlTUz.exe
  C:\Windows\System\wMYlTUz.exe
  2⤵
  PID:5204
- C:\Windows\System\cNTPlww.exe
  C:\Windows\System\cNTPlww.exe
  2⤵
  PID:5220
- C:\Windows\System\cqZEDLy.exe
  C:\Windows\System\cqZEDLy.exe
  2⤵
  PID:5248
- C:\Windows\System\TmpSNfW.exe
  C:\Windows\System\TmpSNfW.exe
  2⤵
  PID:5268
- C:\Windows\System\pNgtMce.exe
  C:\Windows\System\pNgtMce.exe
  2⤵
  PID:5288
- C:\Windows\System\ntZzCXh.exe
  C:\Windows\System\ntZzCXh.exe
  2⤵
  PID:5308
- C:\Windows\System\EQlJGzv.exe
  C:\Windows\System\EQlJGzv.exe
  2⤵
  PID:5328
- C:\Windows\System\yNUnfLj.exe
  C:\Windows\System\yNUnfLj.exe
  2⤵
  PID:5344
- C:\Windows\System\mlfDeZd.exe
  C:\Windows\System\mlfDeZd.exe
  2⤵
  PID:5360
- C:\Windows\System\GFZlbQu.exe
  C:\Windows\System\GFZlbQu.exe
  2⤵
  PID:5376
- C:\Windows\System\yZhiawK.exe
  C:\Windows\System\yZhiawK.exe
  2⤵
  PID:5396
- C:\Windows\System\GvEZGVn.exe
  C:\Windows\System\GvEZGVn.exe
  2⤵
  PID:5424
- C:\Windows\System\AcABrTD.exe
  C:\Windows\System\AcABrTD.exe
  2⤵
  PID:5448
- C:\Windows\System\GjFybSZ.exe
  C:\Windows\System\GjFybSZ.exe
  2⤵
  PID:5468
- C:\Windows\System\IOIrtow.exe
  C:\Windows\System\IOIrtow.exe
  2⤵
  PID:5488
- C:\Windows\System\uroFzOL.exe
  C:\Windows\System\uroFzOL.exe
  2⤵
  PID:5508
- C:\Windows\System\yipFNRH.exe
  C:\Windows\System\yipFNRH.exe
  2⤵
  PID:5528
- C:\Windows\System\QgrlLiA.exe
  C:\Windows\System\QgrlLiA.exe
  2⤵
  PID:5548
- C:\Windows\System\YSwqjbj.exe
  C:\Windows\System\YSwqjbj.exe
  2⤵
  PID:5564
- C:\Windows\System\xlpTswI.exe
  C:\Windows\System\xlpTswI.exe
  2⤵
  PID:5584
- C:\Windows\System\hgAccpA.exe
  C:\Windows\System\hgAccpA.exe
  2⤵
  PID:5608
- C:\Windows\System\ydDnsuH.exe
  C:\Windows\System\ydDnsuH.exe
  2⤵
  PID:5624
- C:\Windows\System\hZNqEFI.exe
  C:\Windows\System\hZNqEFI.exe
  2⤵
  PID:5644
- C:\Windows\System\qavMSfV.exe
  C:\Windows\System\qavMSfV.exe
  2⤵
  PID:5660
- C:\Windows\System\LBVTfNf.exe
  C:\Windows\System\LBVTfNf.exe
  2⤵
  PID:5692
- C:\Windows\System\NJhLSyK.exe
  C:\Windows\System\NJhLSyK.exe
  2⤵
  PID:5712
- C:\Windows\System\cueeXqM.exe
  C:\Windows\System\cueeXqM.exe
  2⤵
  PID:5736
- C:\Windows\System\RsQNNCB.exe
  C:\Windows\System\RsQNNCB.exe
  2⤵
  PID:5760
- C:\Windows\System\VDleZJg.exe
  C:\Windows\System\VDleZJg.exe
  2⤵
  PID:5776
- C:\Windows\System\ugQKKxV.exe
  C:\Windows\System\ugQKKxV.exe
  2⤵
  PID:5796
- C:\Windows\System\KwqKIrU.exe
  C:\Windows\System\KwqKIrU.exe
  2⤵
  PID:5816
- C:\Windows\System\XsWsWbi.exe
  C:\Windows\System\XsWsWbi.exe
  2⤵
  PID:5832
- C:\Windows\System\GWHVzHA.exe
  C:\Windows\System\GWHVzHA.exe
  2⤵
  PID:5848
- C:\Windows\System\tWzhdjN.exe
  C:\Windows\System\tWzhdjN.exe
  2⤵
  PID:5868
- C:\Windows\System\KKlZMMK.exe
  C:\Windows\System\KKlZMMK.exe
  2⤵
  PID:5888
- C:\Windows\System\fyqfUKR.exe
  C:\Windows\System\fyqfUKR.exe
  2⤵
  PID:5904
- C:\Windows\System\IGSoLmh.exe
  C:\Windows\System\IGSoLmh.exe
  2⤵
  PID:5928
- C:\Windows\System\mUZitsk.exe
  C:\Windows\System\mUZitsk.exe
  2⤵
  PID:5948
- C:\Windows\System\gTmbAbO.exe
  C:\Windows\System\gTmbAbO.exe
  2⤵
  PID:5964
- C:\Windows\System\QZVgfCZ.exe
  C:\Windows\System\QZVgfCZ.exe
  2⤵
  PID:5980
- C:\Windows\System\zkvvIAo.exe
  C:\Windows\System\zkvvIAo.exe
  2⤵
  PID:6004
- C:\Windows\System\FJvfSJm.exe
  C:\Windows\System\FJvfSJm.exe
  2⤵
  PID:6024
- C:\Windows\System\pWTBAqV.exe
  C:\Windows\System\pWTBAqV.exe
  2⤵
  PID:6048
- C:\Windows\System\UgQhpZc.exe
  C:\Windows\System\UgQhpZc.exe
  2⤵
  PID:6064
- C:\Windows\System\nRyFUbl.exe
  C:\Windows\System\nRyFUbl.exe
  2⤵
  PID:6084
- C:\Windows\System\tXbJFbQ.exe
  C:\Windows\System\tXbJFbQ.exe
  2⤵
  PID:6104
- C:\Windows\System\wTREsEK.exe
  C:\Windows\System\wTREsEK.exe
  2⤵
  PID:6124
- C:\Windows\System\weSVcvz.exe
  C:\Windows\System\weSVcvz.exe
  2⤵
  PID:1744
- C:\Windows\System\gkKSnnU.exe
  C:\Windows\System\gkKSnnU.exe
  2⤵
  PID:1328
- C:\Windows\System\uEROGMp.exe
  C:\Windows\System\uEROGMp.exe
  2⤵
  PID:1948
- C:\Windows\System\BTPmoZx.exe
  C:\Windows\System\BTPmoZx.exe
  2⤵
  PID:4384
- C:\Windows\System\hqXPUuH.exe
  C:\Windows\System\hqXPUuH.exe
  2⤵
  PID:4896
- C:\Windows\System\nliaaqJ.exe
  C:\Windows\System\nliaaqJ.exe
  2⤵
  PID:5048
- C:\Windows\System\ndgcdCH.exe
  C:\Windows\System\ndgcdCH.exe
  2⤵
  PID:5160
- C:\Windows\System\KZBkLxc.exe
  C:\Windows\System\KZBkLxc.exe
  2⤵
  PID:5184
- C:\Windows\System\DUznuTI.exe
  C:\Windows\System\DUznuTI.exe
  2⤵
  PID:4968
- C:\Windows\System\gZENigE.exe
  C:\Windows\System\gZENigE.exe
  2⤵
  PID:3156
- C:\Windows\System\xQriKFD.exe
  C:\Windows\System\xQriKFD.exe
  2⤵
  PID:4440
- C:\Windows\System\nanTBzp.exe
  C:\Windows\System\nanTBzp.exe
  2⤵
  PID:1576
- C:\Windows\System\OdSKBRD.exe
  C:\Windows\System\OdSKBRD.exe
  2⤵
  PID:5460
- C:\Windows\System\GizqMyI.exe
  C:\Windows\System\GizqMyI.exe
  2⤵
  PID:6148
- C:\Windows\System\LGQgCDY.exe
  C:\Windows\System\LGQgCDY.exe
  2⤵
  PID:6168
- C:\Windows\System\NWojjfF.exe
  C:\Windows\System\NWojjfF.exe
  2⤵
  PID:6184
- C:\Windows\System\btSEFdb.exe
  C:\Windows\System\btSEFdb.exe
  2⤵
  PID:6204
- C:\Windows\System\JJhDfYQ.exe
  C:\Windows\System\JJhDfYQ.exe
  2⤵
  PID:6220
- C:\Windows\System\ycFwoip.exe
  C:\Windows\System\ycFwoip.exe
  2⤵
  PID:6244
- C:\Windows\System\TecFNIa.exe
  C:\Windows\System\TecFNIa.exe
  2⤵
  PID:6264
- C:\Windows\System\ICDkFmM.exe
  C:\Windows\System\ICDkFmM.exe
  2⤵
  PID:6284
- C:\Windows\System\keggKJE.exe
  C:\Windows\System\keggKJE.exe
  2⤵
  PID:6300
- C:\Windows\System\hfDjMPP.exe
  C:\Windows\System\hfDjMPP.exe
  2⤵
  PID:6320
- C:\Windows\System\QgailgQ.exe
  C:\Windows\System\QgailgQ.exe
  2⤵
  PID:6340
- C:\Windows\System\WWyKfsf.exe
  C:\Windows\System\WWyKfsf.exe
  2⤵
  PID:6364
- C:\Windows\System\zOVpeBm.exe
  C:\Windows\System\zOVpeBm.exe
  2⤵
  PID:6384
- C:\Windows\System\CjobLVH.exe
  C:\Windows\System\CjobLVH.exe
  2⤵
  PID:6404
- C:\Windows\System\BbBMkjZ.exe
  C:\Windows\System\BbBMkjZ.exe
  2⤵
  PID:6420
- C:\Windows\System\fgRKesX.exe
  C:\Windows\System\fgRKesX.exe
  2⤵
  PID:6440
- C:\Windows\System\doyMRje.exe
  C:\Windows\System\doyMRje.exe
  2⤵
  PID:6464
- C:\Windows\System\qaYuXNt.exe
  C:\Windows\System\qaYuXNt.exe
  2⤵
  PID:6480
- C:\Windows\System\YnxqjoH.exe
  C:\Windows\System\YnxqjoH.exe
  2⤵
  PID:6500
- C:\Windows\System\XmhUlIx.exe
  C:\Windows\System\XmhUlIx.exe
  2⤵
  PID:6520
- C:\Windows\System\rtMoMPb.exe
  C:\Windows\System\rtMoMPb.exe
  2⤵
  PID:6544
- C:\Windows\System\kTnNgHA.exe
  C:\Windows\System\kTnNgHA.exe
  2⤵
  PID:6560
- C:\Windows\System\UDrDXYI.exe
  C:\Windows\System\UDrDXYI.exe
  2⤵
  PID:6580
- C:\Windows\System\bQnOKMw.exe
  C:\Windows\System\bQnOKMw.exe
  2⤵
  PID:6600
- C:\Windows\System\LnSqqnh.exe
  C:\Windows\System\LnSqqnh.exe
  2⤵
  PID:6620
- C:\Windows\System\bLbhNbo.exe
  C:\Windows\System\bLbhNbo.exe
  2⤵
  PID:6640
- C:\Windows\System\tsCgLbt.exe
  C:\Windows\System\tsCgLbt.exe
  2⤵
  PID:6660
- C:\Windows\System\yBFPHDy.exe
  C:\Windows\System\yBFPHDy.exe
  2⤵
  PID:6676
- C:\Windows\System\utsaRiZ.exe
  C:\Windows\System\utsaRiZ.exe
  2⤵
  PID:6696
- C:\Windows\System\WvZnUJI.exe
  C:\Windows\System\WvZnUJI.exe
  2⤵
  PID:6716
- C:\Windows\System\QWrKvWA.exe
  C:\Windows\System\QWrKvWA.exe
  2⤵
  PID:6736
- C:\Windows\System\MrrMQZP.exe
  C:\Windows\System\MrrMQZP.exe
  2⤵
  PID:6756
- C:\Windows\System\hcREeRB.exe
  C:\Windows\System\hcREeRB.exe
  2⤵
  PID:6772
- C:\Windows\System\JxoWYRL.exe
  C:\Windows\System\JxoWYRL.exe
  2⤵
  PID:6792
- C:\Windows\System\XYrHZCM.exe
  C:\Windows\System\XYrHZCM.exe
  2⤵
  PID:6816
- C:\Windows\System\WBIlXpi.exe
  C:\Windows\System\WBIlXpi.exe
  2⤵
  PID:6832
- C:\Windows\System\YQegjhE.exe
  C:\Windows\System\YQegjhE.exe
  2⤵
  PID:3744
- C:\Windows\System\QGMbRji.exe
  C:\Windows\System\QGMbRji.exe
  2⤵
  PID:7232
- C:\Windows\System\jvHlFCd.exe
  C:\Windows\System\jvHlFCd.exe
  2⤵
  PID:7184
- C:\Windows\System\ZgqbUCT.exe
  C:\Windows\System\ZgqbUCT.exe
  2⤵
  PID:7780
- C:\Windows\System\cmvJktR.exe
  C:\Windows\System\cmvJktR.exe
  2⤵
  PID:9376
- C:\Windows\System\GqAuMaq.exe
  C:\Windows\System\GqAuMaq.exe
  2⤵
  PID:10480
- C:\Windows\System\DyuljZY.exe
  C:\Windows\System\DyuljZY.exe
  2⤵
  PID:10496
- C:\Windows\System\KVIfAUa.exe
  C:\Windows\System\KVIfAUa.exe
  2⤵
  PID:11796
- C:\Windows\System\eWwbGJy.exe
  C:\Windows\System\eWwbGJy.exe
  2⤵
  PID:11816
- C:\Windows\System\pXRcHIm.exe
  C:\Windows\System\pXRcHIm.exe
  2⤵
  PID:11836
- C:\Windows\System\NEQzXmw.exe
  C:\Windows\System\NEQzXmw.exe
  2⤵
  PID:11852
- C:\Windows\System\Vaovohy.exe
  C:\Windows\System\Vaovohy.exe
  2⤵
  PID:11868
- C:\Windows\System\pEnasZr.exe
  C:\Windows\System\pEnasZr.exe
  2⤵
  PID:11888
- C:\Windows\System\gwgVYDo.exe
  C:\Windows\System\gwgVYDo.exe
  2⤵
  PID:11908
- C:\Windows\System\PbZCoVY.exe
  C:\Windows\System\PbZCoVY.exe
  2⤵
  PID:11924
- C:\Windows\System\CzmhVwI.exe
  C:\Windows\System\CzmhVwI.exe
  2⤵
  PID:11948
- C:\Windows\System\TVeLeYZ.exe
  C:\Windows\System\TVeLeYZ.exe
  2⤵
  PID:11968
- C:\Windows\System\JTTQGvO.exe
  C:\Windows\System\JTTQGvO.exe
  2⤵
  PID:11984
- C:\Windows\System\PYFCFWF.exe
  C:\Windows\System\PYFCFWF.exe
  2⤵
  PID:12000
- C:\Windows\System\HRbzKbB.exe
  C:\Windows\System\HRbzKbB.exe
  2⤵
  PID:12020
- C:\Windows\System\lMmMOdz.exe
  C:\Windows\System\lMmMOdz.exe
  2⤵
  PID:12040
- C:\Windows\System\XQVENzf.exe
  C:\Windows\System\XQVENzf.exe
  2⤵
  PID:12060
- C:\Windows\System\mhdnPpa.exe
  C:\Windows\System\mhdnPpa.exe
  2⤵
  PID:12076
- C:\Windows\System\mLFySqT.exe
  C:\Windows\System\mLFySqT.exe
  2⤵
  PID:12096
- C:\Windows\System\wWPkgBr.exe
  C:\Windows\System\wWPkgBr.exe
  2⤵
  PID:12116
- C:\Windows\System\cJnjeUb.exe
  C:\Windows\System\cJnjeUb.exe
  2⤵
  PID:12132
- C:\Windows\System\dkuMYXL.exe
  C:\Windows\System\dkuMYXL.exe
  2⤵
  PID:12152
- C:\Windows\System\EqJnslG.exe
  C:\Windows\System\EqJnslG.exe
  2⤵
  PID:12168
- C:\Windows\System\ERZLOTo.exe
  C:\Windows\System\ERZLOTo.exe
  2⤵
  PID:12188
- C:\Windows\System\hOXdJkh.exe
  C:\Windows\System\hOXdJkh.exe
  2⤵
  PID:12208
- C:\Windows\System\luEhRXI.exe
  C:\Windows\System\luEhRXI.exe
  2⤵
  PID:12232
- C:\Windows\System\aShpiNI.exe
  C:\Windows\System\aShpiNI.exe
  2⤵
  PID:12252
- C:\Windows\System\aRLnSjd.exe
  C:\Windows\System\aRLnSjd.exe
  2⤵
  PID:12272
- C:\Windows\System\tmiAFDk.exe
  C:\Windows\System\tmiAFDk.exe
  2⤵
  PID:8216
- C:\Windows\System\DGyVhWA.exe
  C:\Windows\System\DGyVhWA.exe
  2⤵
  PID:10120
- C:\Windows\System\dhRSTNN.exe
  C:\Windows\System\dhRSTNN.exe
  2⤵
  PID:10196
- C:\Windows\System\RfgBuiB.exe
  C:\Windows\System\RfgBuiB.exe
  2⤵
  PID:10224
- C:\Windows\System\twTyvFY.exe
  C:\Windows\System\twTyvFY.exe
  2⤵
  PID:8544
- C:\Windows\System\xHsJqjW.exe
  C:\Windows\System\xHsJqjW.exe
  2⤵
  PID:8656
- C:\Windows\System\Drhqyay.exe
  C:\Windows\System\Drhqyay.exe
  2⤵
  PID:7316
- C:\Windows\System\igLrFZf.exe
  C:\Windows\System\igLrFZf.exe
  2⤵
  PID:8788
- C:\Windows\System\foPVlQx.exe
  C:\Windows\System\foPVlQx.exe
  2⤵
  PID:5828
- C:\Windows\System\BhNChWd.exe
  C:\Windows\System\BhNChWd.exe
  2⤵
  PID:8344
- C:\Windows\System\ysSsbPz.exe
  C:\Windows\System\ysSsbPz.exe
  2⤵
  PID:8976
- C:\Windows\System\gitEkZz.exe
  C:\Windows\System\gitEkZz.exe
  2⤵
  PID:9000
- C:\Windows\System\EHnwalf.exe
  C:\Windows\System\EHnwalf.exe
  2⤵
  PID:12292
- C:\Windows\System\yUFkNYK.exe
  C:\Windows\System\yUFkNYK.exe
  2⤵
  PID:12308
- C:\Windows\System\OVALZNj.exe
  C:\Windows\System\OVALZNj.exe
  2⤵
  PID:12328
- C:\Windows\System\HTLzBAy.exe
  C:\Windows\System\HTLzBAy.exe
  2⤵
  PID:12348
- C:\Windows\System\ukFoJNc.exe
  C:\Windows\System\ukFoJNc.exe
  2⤵
  PID:12364
- C:\Windows\System\VkByBMG.exe
  C:\Windows\System\VkByBMG.exe
  2⤵
  PID:12384
- C:\Windows\System\iTRuwpc.exe
  C:\Windows\System\iTRuwpc.exe
  2⤵
  PID:12408
- C:\Windows\System\XEfIIdN.exe
  C:\Windows\System\XEfIIdN.exe
  2⤵
  PID:12424
- C:\Windows\System\WlTwHqK.exe
  C:\Windows\System\WlTwHqK.exe
  2⤵
  PID:12440
- C:\Windows\System\PFPgFoB.exe
  C:\Windows\System\PFPgFoB.exe
  2⤵
  PID:12460
- C:\Windows\System\JHTsBNY.exe
  C:\Windows\System\JHTsBNY.exe
  2⤵
  PID:12480
- C:\Windows\System\JgrQBET.exe
  C:\Windows\System\JgrQBET.exe
  2⤵
  PID:12496
- C:\Windows\System\ywJOYaV.exe
  C:\Windows\System\ywJOYaV.exe
  2⤵
  PID:12516
- C:\Windows\System\NroiWkS.exe
  C:\Windows\System\NroiWkS.exe
  2⤵
  PID:12540
- C:\Windows\System\dOqVncH.exe
  C:\Windows\System\dOqVncH.exe
  2⤵
  PID:12556
- C:\Windows\System\pKGfxeF.exe
  C:\Windows\System\pKGfxeF.exe
  2⤵
  PID:12572
- C:\Windows\System\PdXxBJI.exe
  C:\Windows\System\PdXxBJI.exe
  2⤵
  PID:12596
- C:\Windows\System\OJcoJyY.exe
  C:\Windows\System\OJcoJyY.exe
  2⤵
  PID:12616
- C:\Windows\System\uaLTfQB.exe
  C:\Windows\System\uaLTfQB.exe
  2⤵
  PID:12632
- C:\Windows\System\tOXfsOK.exe
  C:\Windows\System\tOXfsOK.exe
  2⤵
  PID:12652
- C:\Windows\System\LVeVmeP.exe
  C:\Windows\System\LVeVmeP.exe
  2⤵
  PID:12672
- C:\Windows\System\KzKqKos.exe
  C:\Windows\System\KzKqKos.exe
  2⤵
  PID:12688
- C:\Windows\System\RfujLTp.exe
  C:\Windows\System\RfujLTp.exe
  2⤵
  PID:12704
- C:\Windows\System\QbwRyCA.exe
  C:\Windows\System\QbwRyCA.exe
  2⤵
  PID:12720
- C:\Windows\System\FHiBmBm.exe
  C:\Windows\System\FHiBmBm.exe
  2⤵
  PID:12736
- C:\Windows\System\ygcHtfS.exe
  C:\Windows\System\ygcHtfS.exe
  2⤵
  PID:12756
- C:\Windows\System\ZehEgMs.exe
  C:\Windows\System\ZehEgMs.exe
  2⤵
  PID:12776
- C:\Windows\System\cAaLTWy.exe
  C:\Windows\System\cAaLTWy.exe
  2⤵
  PID:12792
- C:\Windows\System\NjzXdbd.exe
  C:\Windows\System\NjzXdbd.exe
  2⤵
  PID:13676
- C:\Windows\System\tSvQxDm.exe
  C:\Windows\System\tSvQxDm.exe
  2⤵
  PID:14284
- C:\Windows\System\ngEzqKA.exe
  C:\Windows\System\ngEzqKA.exe
  2⤵
  PID:9396
- C:\Windows\System\mQZBmto.exe
  C:\Windows\System\mQZBmto.exe
  2⤵
  PID:10708
- C:\Windows\System\OYQEKMl.exe
  C:\Windows\System\OYQEKMl.exe
  2⤵
  PID:11364
- C:\Windows\System\JfEOaMl.exe
  C:\Windows\System\JfEOaMl.exe
  2⤵
  PID:12956
- C:\Windows\System\QWcLpEA.exe
  C:\Windows\System\QWcLpEA.exe
  2⤵
  PID:4580
- C:\Windows\System\BOBiEit.exe
  C:\Windows\System\BOBiEit.exe
  2⤵
  PID:14552

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System\BMjcFXa.exe

Filesize
512KB

MD5
f9ceff8e77cf96b9fd68f0d89c05f7c8

SHA1
fca23facdfb3dfa529040b1acfdc3936938e9b00

SHA256
21b3439312f438635d090d2d319b97acddb825072be80324b29b59ccd0799adf

SHA512
e6f114f9012e0765ea87e4cac6366d6db83bd01187643276c81e0bff15397a3e3bd598b714d4712c1be73d587a6199cb9ac5c8a65aeec8c47f5b79bc47f2ff69

Download Submit
C:\Windows\System\CaovktR.exe

Filesize
576KB

MD5
c3d03a9d37f5edf2280ce6b2b3c5fbef

SHA1
f13d7156c1061252682d37ff0da0cac93c34953e

SHA256
87f048a961f73c31785d7e94921a9a359d719bf76105c9601eca055227d1c1db

SHA512
07bab652c526204ee9528b6d8bd65b22dc499a44c1267b60f71a7439366582f72e58adec4d23b764a0ff0478fd6ffd60597a561b86fe20b6db5ee2bd531950b5

Download Submit
C:\Windows\System\NiYvfFX.exe

Filesize
1.2MB

MD5
2ef930877ac73a8cd2ea7f764208a361

SHA1
59ddc5b0cea35452a43549faa8376f239e91658b

SHA256
b0312c3b46431b4a757668306de27a8b8a33674f07ead1fb970503c0dc7e466d

SHA512
a05248f168ccd5906b779f60206389fa47fbc2851b1436a0c0c41239e9539c0fbdca8fcd87cf87cb2fad30c05d193ffdd1ecd89a993c0cb69f6b48bbc88d4d45

Download Submit
C:\Windows\System\RybNwuI.exe

Filesize
1.3MB

MD5
e939bdb3c090c1d97c35dfaa298ff061

SHA1
42e418b5e6462ea4c34623d2f5e9f033d2ddb20a

SHA256
18588727b00e08d028363042ad026064f26f0b1ea49f35a1546a3d3ecf462bb8

SHA512
e68acd2b673895b31d2d619e1e03c4956dd86c5ea6c8d69ede1c05876ce06520f81ce2c2a0688d49ad72adcceac1973c720586579e735d7708054b819204a640

Download Submit
C:\Windows\System\WOpeHyk.exe

Filesize
832KB

MD5
5a44f7cdb1383926341c50c0b001559c

SHA1
072604877b2958c577c586d14139d39f012c00dc

SHA256
b75baa9dc61a064a9b06da3e5924cf08262f544320736d419b68b7e009465f5a

SHA512
30a6a06711e9a2cdc19340bf113bead6e9cba8ddda330cd10bd1e6eff2082327b1e5ffa8ccbfcf381b643fb74eb238f08dbcab8fcd9bf4de72412df3047a6c30

Download Submit
C:\Windows\System\btLwWbR.exe

Filesize
64KB

MD5
2b844d5b6b62dc9a3481183eddaa5d38

SHA1
87d636595dfedf6c2d0e0dff07b8562c1756b097

SHA256
701fd725195e6f41fa8c30a535b7c6fe836dda87218adae65589c77aac994408

SHA512
b48efac78940e6733b31810b8151f5b393d25eb481bcf3aa4f899e0ef27db951cc3620a8ae4658e19daeed7ac299c394da82ad4efd782b4ad07d1d3e507148d9

Download Submit
C:\Windows\System\dhSgXOz.exe

Filesize
448KB

MD5
2264ad6cf2c3feda241e32c18cc63613

SHA1
6cf1d5079287ae747430510102276a5d8553f195

SHA256
aab1acd918f567ff34b418fd2971ffb7ad7f9284ea4d62c517c015f2e4f1d70f

SHA512
51d3f07b3e2d80ac627998a5fc071e41f8cd34e52e9d27ee547393019213fb2b53ce77d281d07d4df20e449416034194d3a784391c6fc788a552c1cba010098f

Download Submit
C:\Windows\System\dzPYIjE.exe

Filesize
128KB

MD5
4faadaeab68805f04a3264b24b4484e7

SHA1
1506c8fa28d842c0dbf87aa4fae07f0c1d21c224

SHA256
023ac7fc351f6d2e4691b22c68fbc17c1895254a67982bf0958242ced6e67f29

SHA512
933034705851d18a168ec6a4a2f7a5330c92a605b28011dc44e331b0baa53be92639772e268a3dcd0b9551cd627b9185e234399894d0a898c1ae6ffdbb38edec

Download Submit
C:\Windows\System\epMhkTk.exe

Filesize
768KB

MD5
35676f35504153272713e5785c03bda7

SHA1
fce9dfd32fe3e8adc2c73b614f318d843344ac9c

SHA256
ddd0af20edb6e76d8dd58607a47bd3b7043e916f7e5f06e48ea7c431daf3a64f

SHA512
d38b1cf8a9e38523fe20f30e0d830a559fcdb7e264dcf8bb4c9dc7a8c61eb62d4ab7a92db55eca6a893ad23eb8cfdce9d101a78e9e6ac71e7a412596760fc730

Download Submit
C:\Windows\System\iHhxQpx.exe

Filesize
384KB

MD5
e15f822347e059eba3a1f4755756c857

SHA1
39e4b640fb7e21c4dccd8fc344d3d068a98981d0

SHA256
d62e1e277bdf6084324e05cb4c9746086a08cb3dbc51ceac0b8767e74090d4b4

SHA512
4b82c41cbb869668f84b8505efe9f98e2782a5084ddcb8b35870676588da1cd73f7f219d598b21fed90a0389b60382bf0436e2e90ee0c9e5d156dc9790e3e0b3

Download Submit
C:\Windows\System\lvTJDnC.exe

Filesize
1.1MB

MD5
f36ec215f82a5782ccb9780f94b752e1

SHA1
84e88485b6d38ceb84b71ea3a8d522e35df6936c

SHA256
03fda1835733bb0ac6e0cad0059f41e8e03a186960850d77c277bd82ea67b2bb

SHA512
837902d3a8cc8cdadb087904e19dbdbcd2ca7df108c5a5f618e56b2e37354f8b4f58466f427ff4d84efb58508f8929304ad3e5ed0828fc3afde0bcede8033bb8

Download Submit
C:\Windows\System\mJbAooX.exe

Filesize
1024KB

MD5
56e04114975f51a81eb2f8b9d8ea33ea

SHA1
ac5dba53fd512f53d1e0abc1a8c729217e442d4e

SHA256
435c3ca94ffe7a9adae968f5d7ee01108070cd801f8a2459300faa210a0ffa1f

SHA512
735d340f2ea4e7c759c516609f1c40201cf56fed9b0210fd7fc41286335fac00f4398b5f3de8ba5d7f2d4b357096ff14242f0aa0d52c3b174ac1e9d4c9df7e76

Download Submit
C:\Windows\System\obBWlUl.exe

Filesize
1.1MB

MD5
a093996abe7835e88584180c57950227

SHA1
f5920a542348decd0056be3a87a1ebc9c3386a7e

SHA256
93daf8ef56540f6302ad2d84984497e4b8556382a87ce404daadbc7c57d91d3e

SHA512
1242dd7797f9ae6b8802e7416446c32b2e7b0547d149b48b7c9a2d2c3f7931daf0de7c76d0b42629f664b31654b498df0ac76a74be79956db543888d1af56c75

Download Submit
C:\Windows\System\rklViyg.exe

Filesize
1.8MB

MD5
c8240a22a3a856ec50cb569394d91d50

SHA1
2c552bccf19fa2f6f1382acdb9b88a62fa048481

SHA256
8982c3a06ac593bfef392a5e986ee6ed291e2d76e0f19240643ec47dfbfa9fff

SHA512
7bf8b855cd5d47b31b614d68a06aafa3a3ea2fdd4f328d1021da2017350d37aef807971b5a32216e22eae61432daa564b7f726e19fe4aa751ea47f8c2b63b5d7

Download Submit
C:\Windows\System\vRExStY.exe

Filesize
1.4MB

MD5
8c65bf048d79c20d76a6ab977bdbe46d

SHA1
9ea4e92aec6dec88dfe6bd542a346aeb787732da

SHA256
ad569c0225fa96f78c0937c41bd21a1e91c64d90cb4ce697f14f9a5f1e2f4506

SHA512
39d348eae857f2097704385e0803075573c149ddbdadedd19f01cf7e9beff3cf6094febd226f27958db3d9c422c833413a00b6d7b2a3ebccbb9969ef676cc097

Download Submit
C:\Windows\System\vdOZoSo.exe

Filesize
2.0MB

MD5
c2c30ff64c998022f77f1a8767483d3b

SHA1
9943aac939356eb8c3e5ffd1988352d1f3a01b39

SHA256
b0ba9e14af32da7de8c1b72344489a4f2e30beeedbc2d9fca8593348bb7add3a

SHA512
4833458874e7b2c905ecf55062d21c375d56c0b767f45bd713203c1f11d65e06ab82d66033d37e8ab4a3fb367652f1e0d44364300f272595ba053d53c85a363b

Download Submit
C:\Windows\System\wfijKfD.exe

Filesize
640KB

MD5
9df1328ced4eb40d340ed13155258fa9

SHA1
2b6ffdcec2bdd775e7bf5d9199452e8a7e4f3c4a

SHA256
4d7c8375474488737194b333799bfb39a44b4dc0a401cdc6505b7a61acb6d801

SHA512
4256ba7c4be9ba1cd568c7861b8dcebb7dcf5fd34e225709f2409f4c4f29a882cf762ccd1b08965f76a129ea981838ef696ddd2a98f3c18c56bd65774f589808

Download Submit
memory/228-0-0x00007FF6E04B0000-0x00007FF6E08A2000-memory.dmp

Filesize
3.9MB

Download
memory/228-1-0x0000017C828B0000-0x0000017C828C0000-memory.dmp

Filesize
64KB

Download
memory/1176-516-0x00007FF6F9080000-0x00007FF6F9472000-memory.dmp

Filesize
3.9MB

Download
memory/1480-500-0x00007FF7025E0000-0x00007FF7029D2000-memory.dmp

Filesize
3.9MB

Download
memory/3688-191-0x00007FF762360000-0x00007FF762752000-memory.dmp

Filesize
3.9MB

Download
memory/4192-20-0x00007FF694880000-0x00007FF694C72000-memory.dmp

Filesize
3.9MB

Download
memory/4588-507-0x00007FF622330000-0x00007FF622722000-memory.dmp

Filesize
3.9MB

Download
memory/4988-339-0x00007FF7F84C0000-0x00007FF7F88B2000-memory.dmp

Filesize
3.9MB

Download
memory/5052-117-0x00007FF665590000-0x00007FF665982000-memory.dmp

Filesize
3.9MB

Download
memory/5076-481-0x00007FF6F9DC0000-0x00007FF6FA1B2000-memory.dmp

Filesize
3.9MB

Download