nanocore | 79216525955a188f2a55f94514cfe9b9c0c1ce1e116d930cd9c5600dfb46ddfd

Analysis

max time kernel
150s
max time network
153s
platform
windows10-2004_x64
resource
win10v2004-20240226-en
resource tags

arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
submitted
27-03-2024 01:05

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

RECHNUNGEN MIT IBAN.exe
Size

683KB
MD5

62737dc772d7ab223bbc1785a0b9e540
SHA1

b53bab1a6c131032d28e4259d05be33634af62ad
SHA256

79216525955a188f2a55f94514cfe9b9c0c1ce1e116d930cd9c5600dfb46ddfd
SHA512

8ddb107301aa5c05aa298a5def90c5fac642c26b441d83f832dd4b7cb4a8e81d59df8fa174160326532d43521425fae25f87ad302ac5f3212b434dec2c8ab600
SSDEEP

12288:3AoO3myQx0xjsWjRr0xRXrTXF2O7+7Yte+iRR3TuK7ktBH/2Yba04x:3Smx0TRr4XHF2tU8337kt0v04

Score

10^/10

nanocore evasion keylogger persistence spyware stealer trojan

Malware Config

Extracted

Family

nanocore

Version

1.2.2.0

194.147.140.158:2323

Mutex

a988db37-80f7-4d81-b262-bd14326766b3

Attributes

activate_away_mode
true
backup_connection_host
194.147.140.158
backup_dns_server
8.8.4.4
buffer_size
65535
build_time
2023-12-23T03:20:22.055277036Z
bypass_user_account_control
false
bypass_user_account_control_data
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
clear_access_control
true
clear_zone_identifier
false
connect_delay
4000
connection_port
2323
default_group
image
enable_debug_mode
true
gc_threshold
1.048576e+07
keep_alive_timeout
30000
keyboard_logging
false
lan_timeout
2500
max_packet_size
1.048576e+07
mutex
a988db37-80f7-4d81-b262-bd14326766b3
mutex_timeout
5000
prevent_system_sleep
false
primary_connection_host
194.147.140.158
primary_dns_server
8.8.8.8
request_elevation
true
restart_delay
5000
run_delay
0
run_on_startup
false
set_critical_process
true
timeout_interval
5000
use_custom_dns_server
false
version
1.2.2.0
wan_timeout
8000

Signatures

NanoCore
NanoCore is a remote access tool (RAT) with a variety of capabilities.
keylogger trojan stealer spyware nanocore

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
Key value queried	\REGISTRY\USER\S-1-5-21-566096764-1992588923-1249862864-1000\Control Panel\International\Geo\Nation	RECHNUNGEN MIT IBAN.exe

Uses the VBS compiler for execution 1 TTPs

Scripting
T1064

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\IMAP Service = "C:\\Program Files (x86)\\IMAP Service\\imapsv.exe"	RECHNUNGEN MIT IBAN.exe

Checks whether UAC is enabled 1 TTPs 1 IoCs
evasion trojan

System Information Discovery
T1082

Processes:

RECHNUNGEN MIT IBAN.exe

description ioc process

Key value queried \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA RECHNUNGEN MIT IBAN.exe
Suspicious use of SetThreadContext 1 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

description pid process target process

PID 5040 set thread context of 4368 5040 RECHNUNGEN MIT IBAN.exe RECHNUNGEN MIT IBAN.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA	RECHNUNGEN MIT IBAN.exe

description	pid	process	target process
PID 5040 set thread context of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe

Drops file in Program Files directory 2 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

description	ioc	process
File created	C:\Program Files (x86)\IMAP Service\imapsv.exe	RECHNUNGEN MIT IBAN.exe
File opened for modification	C:\Program Files (x86)\IMAP Service\imapsv.exe	RECHNUNGEN MIT IBAN.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082
Creates scheduled task(s) 1 TTPs 3 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
persistence

Scheduled Task/Job
T1053

Processes:

schtasks.exeschtasks.exeschtasks.exe

pid process

2664 schtasks.exe
3756 schtasks.exe
1536 schtasks.exe

pid	process
2664	schtasks.exe
3756	schtasks.exe
1536	schtasks.exe

Suspicious behavior: EnumeratesProcesses 41 IoCs

Processes:

RECHNUNGEN MIT IBAN.exepowershell.exepowershell.exeRECHNUNGEN MIT IBAN.exe

pid	process
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
5040	RECHNUNGEN MIT IBAN.exe
2196	powershell.exe
2196	powershell.exe
3052	powershell.exe
3052	powershell.exe
5040	RECHNUNGEN MIT IBAN.exe
2196	powershell.exe
3052	powershell.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe
4368	RECHNUNGEN MIT IBAN.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

RECHNUNGEN MIT IBAN.exe

pid process

4368 RECHNUNGEN MIT IBAN.exe

pid	process
4368	RECHNUNGEN MIT IBAN.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

RECHNUNGEN MIT IBAN.exepowershell.exepowershell.exeRECHNUNGEN MIT IBAN.exe

description	pid	process
Token: SeDebugPrivilege	5040	RECHNUNGEN MIT IBAN.exe
Token: SeDebugPrivilege	3052	powershell.exe
Token: SeDebugPrivilege	2196	powershell.exe
Token: SeDebugPrivilege	4368	RECHNUNGEN MIT IBAN.exe

Suspicious use of WriteProcessMemory 53 IoCs

Processes:

RECHNUNGEN MIT IBAN.exeRECHNUNGEN MIT IBAN.exe

description	pid	process	target process
PID 5040 wrote to memory of 3052	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 3052	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 3052	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 2196	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 2196	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 2196	5040	RECHNUNGEN MIT IBAN.exe	powershell.exe
PID 5040 wrote to memory of 2664	5040	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 5040 wrote to memory of 2664	5040	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 5040 wrote to memory of 2664	5040	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 5040 wrote to memory of 4368	5040	RECHNUNGEN MIT IBAN.exe	RECHNUNGEN MIT IBAN.exe
PID 4368 wrote to memory of 3756	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 3756	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 3756	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 1536	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 1536	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 1536	4368	RECHNUNGEN MIT IBAN.exe	schtasks.exe
PID 4368 wrote to memory of 692	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 692	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 692	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4532	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4532	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4532	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2332	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2332	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2332	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2364	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2364	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2364	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4592	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4592	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4592	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4556	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4556	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4556	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2032	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2032	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 2032	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 3468	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 3468	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 3468	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4832	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4832	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4832	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4436	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4436	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe
PID 4368 wrote to memory of 4436	4368	RECHNUNGEN MIT IBAN.exe	vbc.exe

C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe
"C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
1⤵
- Checks computer location settings
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:5040

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath "C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:3052

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath "C:\Users\Admin\AppData\Roaming\QSiydtxApqxOny.exe"
2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
PID:2196

C:\Windows\SysWOW64\schtasks.exe
"C:\Windows\System32\schtasks.exe" /Create /TN "Updates\QSiydtxApqxOny" /XML "C:\Users\Admin\AppData\Local\Temp\tmp922E.tmp"
2⤵
- Creates scheduled task(s)
PID:2664

C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe
"C:\Users\Admin\AppData\Local\Temp\RECHNUNGEN MIT IBAN.exe"
2⤵
- Adds Run key to start application
- Checks whether UAC is enabled
- Drops file in Program Files directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4368

C:\Windows\SysWOW64\schtasks.exe
"schtasks.exe" /create /f /tn "IMAP Service" /xml "C:\Users\Admin\AppData\Local\Temp\tmp9579.tmp"
3⤵
- Creates scheduled task(s)
PID:3756

C:\Windows\SysWOW64\schtasks.exe
"schtasks.exe" /create /f /tn "IMAP Service Task" /xml "C:\Users\Admin\AppData\Local\Temp\tmp96E2.tmp"
3⤵
- Creates scheduled task(s)
PID:1536

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\sdc4rqqz.4ec"
3⤵
PID:692

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\sdc4rqqz.4ec"
3⤵
PID:4532

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\sdc4rqqz.4ec"
3⤵
PID:2332

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\sdc4rqqz.4ec"
3⤵
PID:2364

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\sdc4rqqz.4ec"
3⤵
PID:4592

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bhbuq4aj.1tq"
3⤵
PID:4556

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bhbuq4aj.1tq"
3⤵
PID:2032

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bhbuq4aj.1tq"
3⤵
PID:3468

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bhbuq4aj.1tq"
3⤵
PID:4832

\??\c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe
"c:\windows\microsoft.net\framework\v4.0.30319\vbc.exe" /shtml "C:\Users\Admin\AppData\Local\Temp\bhbuq4aj.1tq"
3⤵
PID:4436

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Scripting

T1064

Scheduled Task/Job

T1053

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Scheduled Task/Job

T1053

Defense Evasion

Scripting

T1064

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\tmp922E.tmp
Filesize
1KB

MD5
4b4bfddf9a329f8b7595f6a681f315e8

SHA1
d4f182fa2325b96c4bcd875a1bc08f1a00a3634d

SHA256
9fccfd634d7b8c9f742123ee6887e5be94ed42501d7ea55c76a767749e8c246c

SHA512
da138250307e676ca35608714ed47b79ff60c90ce39481afaaf39f8377e1c6496f4362988194b10770ea0b1d27db4c2fc840e7ef9a0c2a6e56ffd751e92959d0

Download Submit
C:\Users\Admin\AppData\Local\Temp\tmp9579.tmp
Filesize
1KB

MD5
f26a8ddabc8f08262b745c27a7d7d677

SHA1
7026e58863c9393454116a32a1e68a787a0343b2

SHA256
39e8909622f6f0da87f42525aa4b0a648f965df5a15fa16a6ba9475b05fa245f

SHA512
2ff198dc05404c1bd0de0ff561d4eb25e3f0034367f0e5098dc760c864fb7c5c86dbae6270cc1f518074bbd39a2f9ce34949c25e0904a1921d36cec185e267cf

Download Submit
C:\Users\Admin\AppData\Local\Temp\tmp96E2.tmp
Filesize
1KB

MD5
266ebd097e1267e63a5abfc1dededae8

SHA1
b619bdaa65cbb17c86da3744e566e6a66c7057b4

SHA256
b3689f65cd1048f673cda43b0f93ffddb45bc67da94a62335b7c75ba0f0b2852

SHA512
4db2526f588777bfaf8b7d7799d19e5e384f0ed1fff1905196277383378a98e73b7952d4bccf22cd92c53b5d7f9c9057f896a773a58b1908fe4a41aadae047bd

Download Submit
memory/2196-77-0x0000000006C70000-0x0000000006C8E000-memory.dmp

Filesize
120KB

Download
memory/2196-55-0x00000000066F0000-0x000000000673C000-memory.dmp

Filesize
304KB

Download
memory/2196-104-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/2196-97-0x0000000007D20000-0x0000000007D3A000-memory.dmp

Filesize
104KB

Download
memory/2196-96-0x0000000007C20000-0x0000000007C34000-memory.dmp

Filesize
80KB

Download
memory/2196-64-0x000000007F9C0000-0x000000007F9D0000-memory.dmp

Filesize
64KB

Download
memory/2196-65-0x00000000754B0000-0x00000000754FC000-memory.dmp

Filesize
304KB

Download
memory/2196-94-0x0000000007BE0000-0x0000000007BF1000-memory.dmp

Filesize
68KB

Download
memory/2196-92-0x0000000007A50000-0x0000000007A5A000-memory.dmp

Filesize
40KB

Download
memory/2196-17-0x0000000002D20000-0x0000000002D56000-memory.dmp

Filesize
216KB

Download
memory/2196-91-0x00000000079E0000-0x00000000079FA000-memory.dmp

Filesize
104KB

Download
memory/2196-78-0x0000000005350000-0x0000000005360000-memory.dmp

Filesize
64KB

Download
memory/2196-20-0x0000000005990000-0x0000000005FB8000-memory.dmp

Filesize
6.2MB

Download
memory/2196-54-0x00000000066C0000-0x00000000066DE000-memory.dmp

Filesize
120KB

Download
memory/2196-21-0x0000000005350000-0x0000000005360000-memory.dmp

Filesize
64KB

Download
memory/2196-26-0x0000000006030000-0x0000000006096000-memory.dmp

Filesize
408KB

Download
memory/2196-23-0x0000000005350000-0x0000000005360000-memory.dmp

Filesize
64KB

Download
memory/2196-88-0x0000000007700000-0x00000000077A3000-memory.dmp

Filesize
652KB

Download
memory/2196-25-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/3052-19-0x0000000004C30000-0x0000000004C40000-memory.dmp

Filesize
64KB

Download
memory/3052-89-0x0000000004C30000-0x0000000004C40000-memory.dmp

Filesize
64KB

Download
memory/3052-105-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/3052-95-0x00000000072C0000-0x00000000072CE000-memory.dmp

Filesize
56KB

Download
memory/3052-28-0x0000000005030000-0x0000000005096000-memory.dmp

Filesize
408KB

Download
memory/3052-98-0x00000000073B0000-0x00000000073B8000-memory.dmp

Filesize
32KB

Download
memory/3052-24-0x0000000004DB0000-0x0000000004DD2000-memory.dmp

Filesize
136KB

Download
memory/3052-63-0x0000000006CF0000-0x0000000006D22000-memory.dmp

Filesize
200KB

Download
memory/3052-71-0x00000000754B0000-0x00000000754FC000-memory.dmp

Filesize
304KB

Download
memory/3052-93-0x0000000007310000-0x00000000073A6000-memory.dmp

Filesize
600KB

Download
memory/3052-76-0x000000007F220000-0x000000007F230000-memory.dmp

Filesize
64KB

Download
memory/3052-90-0x00000000076E0000-0x0000000007D5A000-memory.dmp

Filesize
6.5MB

Download
memory/3052-18-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/4368-108-0x0000000004FA0000-0x0000000004FB0000-memory.dmp

Filesize
64KB

Download
memory/4368-113-0x0000000006670000-0x0000000006682000-memory.dmp

Filesize
72KB

Download
memory/4368-120-0x0000000006700000-0x000000000672E000-memory.dmp

Filesize
184KB

Download
memory/4368-119-0x00000000066F0000-0x00000000066FE000-memory.dmp

Filesize
56KB

Download
memory/4368-118-0x00000000066D0000-0x00000000066E4000-memory.dmp

Filesize
80KB

Download
memory/4368-61-0x0000000005EC0000-0x0000000005EDE000-memory.dmp

Filesize
120KB

Download
memory/4368-117-0x00000000066B0000-0x00000000066C0000-memory.dmp

Filesize
64KB

Download
memory/4368-62-0x0000000005EE0000-0x0000000005EEA000-memory.dmp

Filesize
40KB

Download
memory/4368-60-0x0000000005120000-0x000000000512A000-memory.dmp

Filesize
40KB

Download
memory/4368-116-0x00000000066A0000-0x00000000066B4000-memory.dmp

Filesize
80KB

Download
memory/4368-115-0x0000000006690000-0x000000000669E000-memory.dmp

Filesize
56KB

Download
memory/4368-114-0x0000000006680000-0x000000000668C000-memory.dmp

Filesize
48KB

Download
memory/4368-112-0x0000000006660000-0x000000000666E000-memory.dmp

Filesize
56KB

Download
memory/4368-111-0x0000000006640000-0x000000000665A000-memory.dmp

Filesize
104KB

Download
memory/4368-110-0x00000000063A0000-0x00000000063B2000-memory.dmp

Filesize
72KB

Download
memory/4368-107-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/4368-27-0x0000000000400000-0x0000000000438000-memory.dmp

Filesize
224KB

Download
memory/4368-50-0x0000000004FA0000-0x0000000004FB0000-memory.dmp

Filesize
64KB

Download
memory/4368-48-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/5040-4-0x0000000006500000-0x0000000006854000-memory.dmp

Filesize
3.3MB

Download
memory/5040-5-0x0000000005CD0000-0x0000000005CE0000-memory.dmp

Filesize
64KB

Download
memory/5040-49-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/5040-7-0x00000000089B0000-0x0000000008A4C000-memory.dmp

Filesize
624KB

Download
memory/5040-0-0x0000000000F90000-0x0000000001040000-memory.dmp

Filesize
704KB

Download
memory/5040-9-0x0000000007060000-0x000000000706C000-memory.dmp

Filesize
48KB

Download
memory/5040-6-0x0000000005A20000-0x0000000005A2A000-memory.dmp

Filesize
40KB

Download
memory/5040-3-0x0000000005A40000-0x0000000005AD2000-memory.dmp

Filesize
584KB

Download
memory/5040-11-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/5040-10-0x0000000007360000-0x00000000073DA000-memory.dmp

Filesize
488KB

Download
memory/5040-2-0x0000000005F50000-0x00000000064F4000-memory.dmp

Filesize
5.6MB

Download
memory/5040-16-0x0000000005CD0000-0x0000000005CE0000-memory.dmp

Filesize
64KB

Download
memory/5040-1-0x0000000074C30000-0x00000000753E0000-memory.dmp

Filesize
7.7MB

Download
memory/5040-8-0x0000000005EA0000-0x0000000005EB2000-memory.dmp

Filesize
72KB

Download