cobaltstrike | db6e83e1e8184515516053b00dc909f1d2c9f5e3014d240625899392c5889951

Analysis

max time kernel
146s
max time network
123s
platform
windows7_x64
resource
win7-20240221-en
resource tags

arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
submitted
01-04-2024 06:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
Size

6.0MB
MD5

7652e6ee2e559f73eb1a0d77f948f53c
SHA1

309b8e60e6ca1d1032afbefb7d02a32726a04c3d
SHA256

db6e83e1e8184515516053b00dc909f1d2c9f5e3014d240625899392c5889951
SHA512

057c71fb75bbe37edd078c436aa6fc4979951c8219b46eb698fc2bb264161a17e36dc9d3320653fad5ee1493cf3b365d707b2aef5ced81dec88db87e46b93736
SSDEEP

98304:EniLf9FdfE0pZB156utgpPFotBER/mQ32lU1:eOl56utgpPF8u/71

Score

10^/10

cobaltstrike xmrig 0 backdoor miner trojan upx

Malware Config

Extracted

Family

cobaltstrike

Botnet

http://ns7.softline.top:443/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

http://ns8.softline.top:443/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

http://ns9.softline.top:443/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

Attributes

access_type
512
beacon_type
256
create_remote_thread
768
crypto_scheme
256
host
ns7.softline.top,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books,ns8.softline.top,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books,ns9.softline.top,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
http_header1
AAAACgAAAAtBY2NlcHQ6ICovKgAAAAoAAAAUSG9zdDogd3d3LmFtYXpvbi5jb20AAAAHAAAAAAAAAAMAAAACAAAADnNlc3Npb24tdG9rZW49AAAAAgAAAAxza2luPW5vc2tpbjsAAAABAAAALGNzbS1oaXQ9cy0yNEtVMTFCQjgyUlpTWUdKM0JES3wxNDE5ODk5MDEyOTk2AAAABgAAAAZDb29raWUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
http_header2
AAAACgAAAAtBY2NlcHQ6ICovKgAAAAoAAAAWQ29udGVudC1UeXBlOiB0ZXh0L3htbAAAAAoAAAAgWC1SZXF1ZXN0ZWQtV2l0aDogWE1MSHR0cFJlcXVlc3QAAAAKAAAAFEhvc3Q6IHd3dy5hbWF6b24uY29tAAAACQAAAApzej0xNjB4NjAwAAAACQAAABFvZT1vZT1JU08tODg1OS0xOwAAAAcAAAAAAAAABQAAAAJzbgAAAAkAAAAGcz0zNzE3AAAACQAAACJkY19yZWY9aHR0cCUzQSUyRiUyRnd3dy5hbWF6b24uY29tAAAABwAAAAEAAAADAAAABAAAAAAAAA==
http_method1
GET
http_method2
POST
maxdns
255
pipe_name
\\%s\pipe\msagent_%x
polling_time
5000
port_number
443
sc_process32
%windir%\syswow64\rundll32.exe
sc_process64
%windir%\sysnative\rundll32.exe
state_machine
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDI579oVVII0cYncGonU6vTWyFhqmq8w5QwvI8qsoWeV68Ngy+MjNPX2crcSVVWKQ3j09FII28KTmoE1XFVjEXF3WytRSlDe1OKfOAHX3XYkS9LcUAy0eRl2h4a73hrg1ir/rpisNT6hHtYaK3tmH8DgW/n1XfTfbWk1MZ7cXQHWQIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
unknown1
4096
unknown2
AAAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
uri
/N4215/adj/amzn.us.sr.aps
user_agent
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
watermark
0

Signatures

Cobalt Strike reflective loader 38 IoCs

Detects the reflective loader used by Cobalt Strike.

Processes:

resource	yara_rule
\Windows\system\ttBgeBY.exe	cobalt_reflective_dll
\Windows\system\kuouusp.exe	cobalt_reflective_dll
\Windows\system\cmlMmbR.exe	cobalt_reflective_dll
C:\Windows\system\EWXBrzM.exe	cobalt_reflective_dll
C:\Windows\system\VaBtAvT.exe	cobalt_reflective_dll
C:\Windows\system\kUJcOEM.exe	cobalt_reflective_dll
C:\Windows\system\UjwoGta.exe	cobalt_reflective_dll
\Windows\system\ZpoYzrp.exe	cobalt_reflective_dll
\Windows\system\VdSMJAC.exe	cobalt_reflective_dll
\Windows\system\XcDzQUJ.exe	cobalt_reflective_dll
\Windows\system\HKTpFKP.exe	cobalt_reflective_dll
\Windows\system\BGxPjfY.exe	cobalt_reflective_dll
\Windows\system\pDcKGYc.exe	cobalt_reflective_dll
\Windows\system\CXwoAui.exe	cobalt_reflective_dll
C:\Windows\system\UHCqfxY.exe	cobalt_reflective_dll
C:\Windows\system\LkmPIXR.exe	cobalt_reflective_dll
\Windows\system\BvWaMWB.exe	cobalt_reflective_dll
\Windows\system\XXhWvZA.exe	cobalt_reflective_dll
\Windows\system\SSVzoKI.exe	cobalt_reflective_dll
C:\Windows\system\bfwfErP.exe	cobalt_reflective_dll
\Windows\system\MYyQukW.exe	cobalt_reflective_dll
\Windows\system\vMuEIXk.exe	cobalt_reflective_dll
C:\Windows\system\ffJRoRx.exe	cobalt_reflective_dll
C:\Windows\system\PFFTAcE.exe	cobalt_reflective_dll
C:\Windows\system\veGbZjB.exe	cobalt_reflective_dll
C:\Windows\system\ZGlUNTG.exe	cobalt_reflective_dll
C:\Windows\system\HpBwXUR.exe	cobalt_reflective_dll
C:\Windows\system\MAodSzD.exe	cobalt_reflective_dll
C:\Windows\system\vHvTOqC.exe	cobalt_reflective_dll
C:\Windows\system\diWwdvs.exe	cobalt_reflective_dll
C:\Windows\system\nMWwEQV.exe	cobalt_reflective_dll
C:\Windows\system\blAkfRZ.exe	cobalt_reflective_dll
C:\Windows\system\Tlbgmye.exe	cobalt_reflective_dll
C:\Windows\system\VTDSBwq.exe	cobalt_reflective_dll
C:\Windows\system\JcNPKjk.exe	cobalt_reflective_dll
C:\Windows\system\dgGOVAz.exe	cobalt_reflective_dll
\Windows\system\XzyCDks.exe	cobalt_reflective_dll
C:\Windows\system\xVaNoDL.exe	cobalt_reflective_dll

Cobaltstrike
Detected malicious payload which is part of Cobaltstrike.
trojan backdoor cobaltstrike
xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

Detects Reflective DLL injection artifacts 38 IoCs

Processes:

resource	yara_rule
\Windows\system\ttBgeBY.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\kuouusp.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\cmlMmbR.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\EWXBrzM.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\VaBtAvT.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\kUJcOEM.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\UjwoGta.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\ZpoYzrp.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\VdSMJAC.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\XcDzQUJ.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\HKTpFKP.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\BGxPjfY.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\pDcKGYc.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\CXwoAui.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\UHCqfxY.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\LkmPIXR.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\BvWaMWB.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\XXhWvZA.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\SSVzoKI.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\bfwfErP.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\MYyQukW.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\vMuEIXk.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\ffJRoRx.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\PFFTAcE.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\veGbZjB.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\ZGlUNTG.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\HpBwXUR.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\MAodSzD.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\vHvTOqC.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\diWwdvs.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\nMWwEQV.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\blAkfRZ.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\Tlbgmye.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\VTDSBwq.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\JcNPKjk.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\dgGOVAz.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
\Windows\system\XzyCDks.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader
C:\Windows\system\xVaNoDL.exe	INDICATOR_SUSPICIOUS_ReflectiveLoader

UPX dump on OEP (original entry point) 45 IoCs

Processes:

resource	yara_rule
behavioral1/memory/1060-0-0x000000013FD70000-0x00000001400C4000-memory.dmp	UPX
\Windows\system\ttBgeBY.exe	UPX
\Windows\system\kuouusp.exe	UPX
\Windows\system\cmlMmbR.exe	UPX
C:\Windows\system\EWXBrzM.exe	UPX
C:\Windows\system\VaBtAvT.exe	UPX
C:\Windows\system\kUJcOEM.exe	UPX
C:\Windows\system\UjwoGta.exe	UPX
behavioral1/memory/2500-136-0x000000013F9F0000-0x000000013FD44000-memory.dmp	UPX
\Windows\system\ZpoYzrp.exe	UPX
\Windows\system\VdSMJAC.exe	UPX
\Windows\system\XcDzQUJ.exe	UPX
\Windows\system\HKTpFKP.exe	UPX
\Windows\system\BGxPjfY.exe	UPX
\Windows\system\pDcKGYc.exe	UPX
\Windows\system\CXwoAui.exe	UPX
C:\Windows\system\UHCqfxY.exe	UPX
C:\Windows\system\LkmPIXR.exe	UPX
\Windows\system\BvWaMWB.exe	UPX
\Windows\system\XXhWvZA.exe	UPX
\Windows\system\SSVzoKI.exe	UPX
C:\Windows\system\bfwfErP.exe	UPX
\Windows\system\MYyQukW.exe	UPX
\Windows\system\vMuEIXk.exe	UPX
behavioral1/memory/2712-380-0x000000013FA70000-0x000000013FDC4000-memory.dmp	UPX
behavioral1/memory/2488-490-0x000000013F990000-0x000000013FCE4000-memory.dmp	UPX
behavioral1/memory/2536-553-0x000000013F550000-0x000000013F8A4000-memory.dmp	UPX
C:\Windows\system\ffJRoRx.exe	UPX
C:\Windows\system\PFFTAcE.exe	UPX
C:\Windows\system\veGbZjB.exe	UPX
C:\Windows\system\ZGlUNTG.exe	UPX
behavioral1/memory/2596-149-0x000000013F4C0000-0x000000013F814000-memory.dmp	UPX
C:\Windows\system\HpBwXUR.exe	UPX
C:\Windows\system\MAodSzD.exe	UPX
C:\Windows\system\vHvTOqC.exe	UPX
C:\Windows\system\diWwdvs.exe	UPX
C:\Windows\system\nMWwEQV.exe	UPX
C:\Windows\system\blAkfRZ.exe	UPX
C:\Windows\system\Tlbgmye.exe	UPX
C:\Windows\system\VTDSBwq.exe	UPX
C:\Windows\system\JcNPKjk.exe	UPX
C:\Windows\system\dgGOVAz.exe	UPX
\Windows\system\XzyCDks.exe	UPX
C:\Windows\system\xVaNoDL.exe	UPX
behavioral1/memory/2992-38-0x000000013F3F0000-0x000000013F744000-memory.dmp	UPX

XMRig Miner payload 46 IoCs

miner

Processes:

resource	yara_rule
behavioral1/memory/1060-0-0x000000013FD70000-0x00000001400C4000-memory.dmp	xmrig
\Windows\system\ttBgeBY.exe	xmrig
\Windows\system\kuouusp.exe	xmrig
\Windows\system\cmlMmbR.exe	xmrig
C:\Windows\system\EWXBrzM.exe	xmrig
C:\Windows\system\VaBtAvT.exe	xmrig
C:\Windows\system\kUJcOEM.exe	xmrig
C:\Windows\system\UjwoGta.exe	xmrig
behavioral1/memory/2500-136-0x000000013F9F0000-0x000000013FD44000-memory.dmp	xmrig
\Windows\system\ZpoYzrp.exe	xmrig
\Windows\system\VdSMJAC.exe	xmrig
\Windows\system\XcDzQUJ.exe	xmrig
\Windows\system\HKTpFKP.exe	xmrig
\Windows\system\BGxPjfY.exe	xmrig
\Windows\system\pDcKGYc.exe	xmrig
\Windows\system\CXwoAui.exe	xmrig
C:\Windows\system\UHCqfxY.exe	xmrig
C:\Windows\system\LkmPIXR.exe	xmrig
\Windows\system\BvWaMWB.exe	xmrig
\Windows\system\XXhWvZA.exe	xmrig
\Windows\system\SSVzoKI.exe	xmrig
C:\Windows\system\bfwfErP.exe	xmrig
\Windows\system\MYyQukW.exe	xmrig
\Windows\system\vMuEIXk.exe	xmrig
behavioral1/memory/2712-380-0x000000013FA70000-0x000000013FDC4000-memory.dmp	xmrig
behavioral1/memory/2488-490-0x000000013F990000-0x000000013FCE4000-memory.dmp	xmrig
behavioral1/memory/2536-553-0x000000013F550000-0x000000013F8A4000-memory.dmp	xmrig
C:\Windows\system\ffJRoRx.exe	xmrig
C:\Windows\system\PFFTAcE.exe	xmrig
C:\Windows\system\veGbZjB.exe	xmrig
C:\Windows\system\ZGlUNTG.exe	xmrig
behavioral1/memory/2596-149-0x000000013F4C0000-0x000000013F814000-memory.dmp	xmrig
C:\Windows\system\HpBwXUR.exe	xmrig
C:\Windows\system\MAodSzD.exe	xmrig
C:\Windows\system\vHvTOqC.exe	xmrig
C:\Windows\system\diWwdvs.exe	xmrig
C:\Windows\system\nMWwEQV.exe	xmrig
C:\Windows\system\blAkfRZ.exe	xmrig
C:\Windows\system\Tlbgmye.exe	xmrig
C:\Windows\system\VTDSBwq.exe	xmrig
C:\Windows\system\JcNPKjk.exe	xmrig
behavioral1/memory/1060-42-0x000000013F9F0000-0x000000013FD44000-memory.dmp	xmrig
C:\Windows\system\dgGOVAz.exe	xmrig
\Windows\system\XzyCDks.exe	xmrig
C:\Windows\system\xVaNoDL.exe	xmrig
behavioral1/memory/2992-38-0x000000013F3F0000-0x000000013F744000-memory.dmp	xmrig

Executes dropped EXE 3 IoCs

Processes:

ttBgeBY.execmlMmbR.exekuouusp.exe

pid process

2064 ttBgeBY.exe
2572 cmlMmbR.exe
2992 kuouusp.exe

pid	process
2064	ttBgeBY.exe
2572	cmlMmbR.exe
2992	kuouusp.exe

Loads dropped DLL 3 IoCs

Processes:

2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe

pid	process
1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe

UPX packed file 45 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral1/memory/1060-0-0x000000013FD70000-0x00000001400C4000-memory.dmp	upx
\Windows\system\ttBgeBY.exe	upx
\Windows\system\kuouusp.exe	upx
\Windows\system\cmlMmbR.exe	upx
C:\Windows\system\EWXBrzM.exe	upx
C:\Windows\system\VaBtAvT.exe	upx
C:\Windows\system\kUJcOEM.exe	upx
C:\Windows\system\UjwoGta.exe	upx
behavioral1/memory/2500-136-0x000000013F9F0000-0x000000013FD44000-memory.dmp	upx
\Windows\system\ZpoYzrp.exe	upx
\Windows\system\VdSMJAC.exe	upx
\Windows\system\XcDzQUJ.exe	upx
\Windows\system\HKTpFKP.exe	upx
\Windows\system\BGxPjfY.exe	upx
\Windows\system\pDcKGYc.exe	upx
\Windows\system\CXwoAui.exe	upx
C:\Windows\system\UHCqfxY.exe	upx
C:\Windows\system\LkmPIXR.exe	upx
\Windows\system\BvWaMWB.exe	upx
\Windows\system\XXhWvZA.exe	upx
\Windows\system\SSVzoKI.exe	upx
C:\Windows\system\bfwfErP.exe	upx
\Windows\system\MYyQukW.exe	upx
\Windows\system\vMuEIXk.exe	upx
behavioral1/memory/2712-380-0x000000013FA70000-0x000000013FDC4000-memory.dmp	upx
behavioral1/memory/2488-490-0x000000013F990000-0x000000013FCE4000-memory.dmp	upx
behavioral1/memory/2536-553-0x000000013F550000-0x000000013F8A4000-memory.dmp	upx
C:\Windows\system\ffJRoRx.exe	upx
C:\Windows\system\PFFTAcE.exe	upx
C:\Windows\system\veGbZjB.exe	upx
C:\Windows\system\ZGlUNTG.exe	upx
behavioral1/memory/2596-149-0x000000013F4C0000-0x000000013F814000-memory.dmp	upx
C:\Windows\system\HpBwXUR.exe	upx
C:\Windows\system\MAodSzD.exe	upx
C:\Windows\system\vHvTOqC.exe	upx
C:\Windows\system\diWwdvs.exe	upx
C:\Windows\system\nMWwEQV.exe	upx
C:\Windows\system\blAkfRZ.exe	upx
C:\Windows\system\Tlbgmye.exe	upx
C:\Windows\system\VTDSBwq.exe	upx
C:\Windows\system\JcNPKjk.exe	upx
C:\Windows\system\dgGOVAz.exe	upx
\Windows\system\XzyCDks.exe	upx
C:\Windows\system\xVaNoDL.exe	upx
behavioral1/memory/2992-38-0x000000013F3F0000-0x000000013F744000-memory.dmp	upx

Drops file in Windows directory 4 IoCs

Processes:

2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe

description	ioc	process
File created	C:\Windows\System\ttBgeBY.exe	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
File created	C:\Windows\System\cmlMmbR.exe	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
File created	C:\Windows\System\kuouusp.exe	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
File created	C:\Windows\System\kUJcOEM.exe	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe

Suspicious use of WriteProcessMemory 9 IoCs

Processes:

2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe

description	pid	process	target process
PID 1060 wrote to memory of 2064	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	ttBgeBY.exe
PID 1060 wrote to memory of 2064	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	ttBgeBY.exe
PID 1060 wrote to memory of 2064	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	ttBgeBY.exe
PID 1060 wrote to memory of 2572	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	cmlMmbR.exe
PID 1060 wrote to memory of 2572	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	cmlMmbR.exe
PID 1060 wrote to memory of 2572	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	cmlMmbR.exe
PID 1060 wrote to memory of 2992	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	kuouusp.exe
PID 1060 wrote to memory of 2992	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	kuouusp.exe
PID 1060 wrote to memory of 2992	1060	2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe	kuouusp.exe

C:\Users\Admin\AppData\Local\Temp\2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe
"C:\Users\Admin\AppData\Local\Temp\2024-04-01_7652e6ee2e559f73eb1a0d77f948f53c_cobalt-strike_cobaltstrike.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious use of WriteProcessMemory
PID:1060

C:\Windows\System\ttBgeBY.exe
C:\Windows\System\ttBgeBY.exe
2⤵
- Executes dropped EXE
PID:2064

C:\Windows\System\cmlMmbR.exe
C:\Windows\System\cmlMmbR.exe
2⤵
- Executes dropped EXE
PID:2572

C:\Windows\System\kuouusp.exe
C:\Windows\System\kuouusp.exe
2⤵
- Executes dropped EXE
PID:2992

C:\Windows\System\kUJcOEM.exe
C:\Windows\System\kUJcOEM.exe
2⤵
PID:2500

C:\Windows\System\VaBtAvT.exe
C:\Windows\System\VaBtAvT.exe
2⤵
PID:2596

C:\Windows\System\XzyCDks.exe
C:\Windows\System\XzyCDks.exe
2⤵
PID:2536

C:\Windows\System\EWXBrzM.exe
C:\Windows\System\EWXBrzM.exe
2⤵
PID:2712

C:\Windows\System\ZGlUNTG.exe
C:\Windows\System\ZGlUNTG.exe
2⤵
PID:2508

C:\Windows\System\xVaNoDL.exe
C:\Windows\System\xVaNoDL.exe
2⤵
PID:2488

C:\Windows\System\LkmPIXR.exe
C:\Windows\System\LkmPIXR.exe
2⤵
PID:2868

C:\Windows\System\UjwoGta.exe
C:\Windows\System\UjwoGta.exe
2⤵
PID:2436

C:\Windows\System\Tlbgmye.exe
C:\Windows\System\Tlbgmye.exe
2⤵
PID:2384

C:\Windows\System\dgGOVAz.exe
C:\Windows\System\dgGOVAz.exe
2⤵
PID:2420

C:\Windows\System\MAodSzD.exe
C:\Windows\System\MAodSzD.exe
2⤵
PID:1744

C:\Windows\System\veGbZjB.exe
C:\Windows\System\veGbZjB.exe
2⤵
PID:2656

C:\Windows\System\HpBwXUR.exe
C:\Windows\System\HpBwXUR.exe
2⤵
PID:740

C:\Windows\System\bfwfErP.exe
C:\Windows\System\bfwfErP.exe
2⤵
PID:1964

C:\Windows\System\PFFTAcE.exe
C:\Windows\System\PFFTAcE.exe
2⤵
PID:2700

C:\Windows\System\JcNPKjk.exe
C:\Windows\System\JcNPKjk.exe
2⤵
PID:1640

C:\Windows\System\SSVzoKI.exe
C:\Windows\System\SSVzoKI.exe
2⤵
PID:1692

C:\Windows\System\VTDSBwq.exe
C:\Windows\System\VTDSBwq.exe
2⤵
PID:936

C:\Windows\System\XXhWvZA.exe
C:\Windows\System\XXhWvZA.exe
2⤵
PID:1612

C:\Windows\System\UHCqfxY.exe
C:\Windows\System\UHCqfxY.exe
2⤵
PID:920

C:\Windows\System\BvWaMWB.exe
C:\Windows\System\BvWaMWB.exe
2⤵
PID:1980

C:\Windows\System\blAkfRZ.exe
C:\Windows\System\blAkfRZ.exe
2⤵
PID:1568

C:\Windows\System\CXwoAui.exe
C:\Windows\System\CXwoAui.exe
2⤵
PID:268

C:\Windows\System\nMWwEQV.exe
C:\Windows\System\nMWwEQV.exe
2⤵
PID:2484

C:\Windows\System\pDcKGYc.exe
C:\Windows\System\pDcKGYc.exe
2⤵
PID:1620

C:\Windows\System\diWwdvs.exe
C:\Windows\System\diWwdvs.exe
2⤵
PID:1148

C:\Windows\System\BGxPjfY.exe
C:\Windows\System\BGxPjfY.exe
2⤵
PID:1492

C:\Windows\System\vHvTOqC.exe
C:\Windows\System\vHvTOqC.exe
2⤵
PID:1956

C:\Windows\System\HKTpFKP.exe
C:\Windows\System\HKTpFKP.exe
2⤵
PID:1248

C:\Windows\System\ffJRoRx.exe
C:\Windows\System\ffJRoRx.exe
2⤵
PID:2948

C:\Windows\System\XcDzQUJ.exe
C:\Windows\System\XcDzQUJ.exe
2⤵
PID:2328

C:\Windows\System\vMuEIXk.exe
C:\Windows\System\vMuEIXk.exe
2⤵
PID:2796

C:\Windows\System\VdSMJAC.exe
C:\Windows\System\VdSMJAC.exe
2⤵
PID:1792

C:\Windows\System\MYyQukW.exe
C:\Windows\System\MYyQukW.exe
2⤵
PID:2988

C:\Windows\System\ZpoYzrp.exe
C:\Windows\System\ZpoYzrp.exe
2⤵
PID:1196

C:\Windows\System\PQpQMPZ.exe
C:\Windows\System\PQpQMPZ.exe
2⤵
PID:1152

C:\Windows\System\xLjAgzB.exe
C:\Windows\System\xLjAgzB.exe
2⤵
PID:2272

C:\Windows\System\txcaScy.exe
C:\Windows\System\txcaScy.exe
2⤵
PID:1004

C:\Windows\System\CPuGxaq.exe
C:\Windows\System\CPuGxaq.exe
2⤵
PID:1036

C:\Windows\System\TUKnMkF.exe
C:\Windows\System\TUKnMkF.exe
2⤵
PID:1644

C:\Windows\System\PCdgNIH.exe
C:\Windows\System\PCdgNIH.exe
2⤵
PID:1320

C:\Windows\System\vFxiFWm.exe
C:\Windows\System\vFxiFWm.exe
2⤵
PID:992

C:\Windows\System\zppVFhl.exe
C:\Windows\System\zppVFhl.exe
2⤵
PID:320

C:\Windows\System\FAxoIqh.exe
C:\Windows\System\FAxoIqh.exe
2⤵
PID:648

C:\Windows\System\VCkBXAB.exe
C:\Windows\System\VCkBXAB.exe
2⤵
PID:680

C:\Windows\System\tYIputO.exe
C:\Windows\System\tYIputO.exe
2⤵
PID:556

C:\Windows\System\qIEzIpS.exe
C:\Windows\System\qIEzIpS.exe
2⤵
PID:1532

C:\Windows\System\wYEMwjG.exe
C:\Windows\System\wYEMwjG.exe
2⤵
PID:1444

C:\Windows\System\pHuaTls.exe
C:\Windows\System\pHuaTls.exe
2⤵
PID:2264

C:\Windows\System\YTgcyGj.exe
C:\Windows\System\YTgcyGj.exe
2⤵
PID:3032

C:\Windows\System\hUPxbtn.exe
C:\Windows\System\hUPxbtn.exe
2⤵
PID:868

C:\Windows\System\ILptEpu.exe
C:\Windows\System\ILptEpu.exe
2⤵
PID:2472

C:\Windows\System\JiJwGFG.exe
C:\Windows\System\JiJwGFG.exe
2⤵
PID:1592

C:\Windows\System\egUPDQf.exe
C:\Windows\System\egUPDQf.exe
2⤵
PID:1680

C:\Windows\System\bPzNKtI.exe
C:\Windows\System\bPzNKtI.exe
2⤵
PID:2184

C:\Windows\System\gfzhsPh.exe
C:\Windows\System\gfzhsPh.exe
2⤵
PID:3044

C:\Windows\System\cfssnYQ.exe
C:\Windows\System\cfssnYQ.exe
2⤵
PID:2520

C:\Windows\System\aAymkIM.exe
C:\Windows\System\aAymkIM.exe
2⤵
PID:2220

C:\Windows\System\ddZfiAs.exe
C:\Windows\System\ddZfiAs.exe
2⤵
PID:2732

C:\Windows\System\SfmuAqH.exe
C:\Windows\System\SfmuAqH.exe
2⤵
PID:2388

C:\Windows\System\DljJvQh.exe
C:\Windows\System\DljJvQh.exe
2⤵
PID:2128

C:\Windows\System\TYVhjIy.exe
C:\Windows\System\TYVhjIy.exe
2⤵
PID:1668

C:\Windows\System\qJfKhBZ.exe
C:\Windows\System\qJfKhBZ.exe
2⤵
PID:2872

C:\Windows\System\lWeEBOX.exe
C:\Windows\System\lWeEBOX.exe
2⤵
PID:1996

C:\Windows\System\MODRZDq.exe
C:\Windows\System\MODRZDq.exe
2⤵
PID:472

C:\Windows\System\rgMTGwl.exe
C:\Windows\System\rgMTGwl.exe
2⤵
PID:1104

C:\Windows\System\gdbGHuy.exe
C:\Windows\System\gdbGHuy.exe
2⤵
PID:1484

C:\Windows\System\ObPPoJe.exe
C:\Windows\System\ObPPoJe.exe
2⤵
PID:1632

C:\Windows\System\PSpbwUr.exe
C:\Windows\System\PSpbwUr.exe
2⤵
PID:2284

C:\Windows\System\sdcoeaR.exe
C:\Windows\System\sdcoeaR.exe
2⤵
PID:1312

C:\Windows\System\GaNLiCm.exe
C:\Windows\System\GaNLiCm.exe
2⤵
PID:2444

C:\Windows\System\pbdxISM.exe
C:\Windows\System\pbdxISM.exe
2⤵
PID:2372

C:\Windows\System\IRnbUNS.exe
C:\Windows\System\IRnbUNS.exe
2⤵
PID:688

C:\Windows\System\NdLytrZ.exe
C:\Windows\System\NdLytrZ.exe
2⤵
PID:1256

C:\Windows\System\peKNRDP.exe
C:\Windows\System\peKNRDP.exe
2⤵
PID:2024

C:\Windows\System\QGWgECx.exe
C:\Windows\System\QGWgECx.exe
2⤵
PID:1396

C:\Windows\System\LDaITxE.exe
C:\Windows\System\LDaITxE.exe
2⤵
PID:2008

C:\Windows\System\ntKBvPh.exe
C:\Windows\System\ntKBvPh.exe
2⤵
PID:1600

C:\Windows\System\iEfiijf.exe
C:\Windows\System\iEfiijf.exe
2⤵
PID:2464

C:\Windows\System\FWEcqMu.exe
C:\Windows\System\FWEcqMu.exe
2⤵
PID:2036

C:\Windows\System\XmimVQc.exe
C:\Windows\System\XmimVQc.exe
2⤵
PID:2332

C:\Windows\System\vkIYKIO.exe
C:\Windows\System\vkIYKIO.exe
2⤵
PID:2660

C:\Windows\System\LxnLQjV.exe
C:\Windows\System\LxnLQjV.exe
2⤵
PID:2584

C:\Windows\System\KNtVhUP.exe
C:\Windows\System\KNtVhUP.exe
2⤵
PID:2684

C:\Windows\System\ZDaevbv.exe
C:\Windows\System\ZDaevbv.exe
2⤵
PID:2112

C:\Windows\System\BBsAnpf.exe
C:\Windows\System\BBsAnpf.exe
2⤵
PID:2556

C:\Windows\System\raDqeXS.exe
C:\Windows\System\raDqeXS.exe
2⤵
PID:1252

C:\Windows\System\PJfPfWy.exe
C:\Windows\System\PJfPfWy.exe
2⤵
PID:692

C:\Windows\System\OXZzahV.exe
C:\Windows\System\OXZzahV.exe
2⤵
PID:972

C:\Windows\System\SwbOdyD.exe
C:\Windows\System\SwbOdyD.exe
2⤵
PID:2448

C:\Windows\System\utZVJAd.exe
C:\Windows\System\utZVJAd.exe
2⤵
PID:1776

C:\Windows\System\vrIpSJy.exe
C:\Windows\System\vrIpSJy.exe
2⤵
PID:3076

C:\Windows\System\XHUBDgX.exe
C:\Windows\System\XHUBDgX.exe
2⤵
PID:3096

C:\Windows\System\gHCiObR.exe
C:\Windows\System\gHCiObR.exe
2⤵
PID:3112

C:\Windows\System\WVbBEeb.exe
C:\Windows\System\WVbBEeb.exe
2⤵
PID:3132

C:\Windows\System\wCcvMdU.exe
C:\Windows\System\wCcvMdU.exe
2⤵
PID:3180

C:\Windows\System\JVvJYBB.exe
C:\Windows\System\JVvJYBB.exe
2⤵
PID:3196

C:\Windows\System\IyEFoLc.exe
C:\Windows\System\IyEFoLc.exe
2⤵
PID:3212

C:\Windows\System\dRNEMoA.exe
C:\Windows\System\dRNEMoA.exe
2⤵
PID:3228

C:\Windows\System\qBosjOm.exe
C:\Windows\System\qBosjOm.exe
2⤵
PID:3244

C:\Windows\System\XhZoVLw.exe
C:\Windows\System\XhZoVLw.exe
2⤵
PID:3260

C:\Windows\System\NARuqbn.exe
C:\Windows\System\NARuqbn.exe
2⤵
PID:3276

C:\Windows\System\fJnkrPj.exe
C:\Windows\System\fJnkrPj.exe
2⤵
PID:3292

C:\Windows\System\eoZypyX.exe
C:\Windows\System\eoZypyX.exe
2⤵
PID:3308

C:\Windows\System\JJbJiUP.exe
C:\Windows\System\JJbJiUP.exe
2⤵
PID:3324

C:\Windows\System\MFvSTTV.exe
C:\Windows\System\MFvSTTV.exe
2⤵
PID:3360

C:\Windows\System\CGkTjdR.exe
C:\Windows\System\CGkTjdR.exe
2⤵
PID:3376

C:\Windows\System\WRGhHry.exe
C:\Windows\System\WRGhHry.exe
2⤵
PID:3396

C:\Windows\System\DwxgSfI.exe
C:\Windows\System\DwxgSfI.exe
2⤵
PID:3412

C:\Windows\System\FgZvxfh.exe
C:\Windows\System\FgZvxfh.exe
2⤵
PID:3428

C:\Windows\System\uuLrIjy.exe
C:\Windows\System\uuLrIjy.exe
2⤵
PID:3444

C:\Windows\System\lxQuCPK.exe
C:\Windows\System\lxQuCPK.exe
2⤵
PID:3460

C:\Windows\System\BcDVVYU.exe
C:\Windows\System\BcDVVYU.exe
2⤵
PID:3540

C:\Windows\System\UYkSifu.exe
C:\Windows\System\UYkSifu.exe
2⤵
PID:3560

C:\Windows\System\pfYqEpJ.exe
C:\Windows\System\pfYqEpJ.exe
2⤵
PID:3576

C:\Windows\System\DwWOlcc.exe
C:\Windows\System\DwWOlcc.exe
2⤵
PID:3592

C:\Windows\System\VEypzSS.exe
C:\Windows\System\VEypzSS.exe
2⤵
PID:3612

C:\Windows\System\pvXVuwt.exe
C:\Windows\System\pvXVuwt.exe
2⤵
PID:3628

C:\Windows\System\iyNxkQg.exe
C:\Windows\System\iyNxkQg.exe
2⤵
PID:3644

C:\Windows\System\WMrPmfq.exe
C:\Windows\System\WMrPmfq.exe
2⤵
PID:3676

C:\Windows\System\KrnDOBh.exe
C:\Windows\System\KrnDOBh.exe
2⤵
PID:3692

C:\Windows\System\xQkouCp.exe
C:\Windows\System\xQkouCp.exe
2⤵
PID:3712

C:\Windows\System\bDrHuGw.exe
C:\Windows\System\bDrHuGw.exe
2⤵
PID:3728

C:\Windows\System\lsbgwnn.exe
C:\Windows\System\lsbgwnn.exe
2⤵
PID:3744

C:\Windows\System\efmsBmh.exe
C:\Windows\System\efmsBmh.exe
2⤵
PID:3760

C:\Windows\System\fliKRhS.exe
C:\Windows\System\fliKRhS.exe
2⤵
PID:3776

C:\Windows\System\WpclaGC.exe
C:\Windows\System\WpclaGC.exe
2⤵
PID:3792

C:\Windows\System\HeCvvPp.exe
C:\Windows\System\HeCvvPp.exe
2⤵
PID:3808

C:\Windows\System\PmchofG.exe
C:\Windows\System\PmchofG.exe
2⤵
PID:3824

C:\Windows\System\pDNvXoX.exe
C:\Windows\System\pDNvXoX.exe
2⤵
PID:3840

C:\Windows\System\seTdIsa.exe
C:\Windows\System\seTdIsa.exe
2⤵
PID:3856

C:\Windows\System\HfIcFAf.exe
C:\Windows\System\HfIcFAf.exe
2⤵
PID:3872

C:\Windows\System\OecDqXU.exe
C:\Windows\System\OecDqXU.exe
2⤵
PID:3888

C:\Windows\System\lvfSwFV.exe
C:\Windows\System\lvfSwFV.exe
2⤵
PID:3904

C:\Windows\System\xQBnbEb.exe
C:\Windows\System\xQBnbEb.exe
2⤵
PID:3920

C:\Windows\System\zQvzxRe.exe
C:\Windows\System\zQvzxRe.exe
2⤵
PID:3936

C:\Windows\System\fjSifZV.exe
C:\Windows\System\fjSifZV.exe
2⤵
PID:3952

C:\Windows\System\vfOAogy.exe
C:\Windows\System\vfOAogy.exe
2⤵
PID:3980

C:\Windows\System\dbkpeDG.exe
C:\Windows\System\dbkpeDG.exe
2⤵
PID:3996

C:\Windows\System\sFDUIpb.exe
C:\Windows\System\sFDUIpb.exe
2⤵
PID:4012

C:\Windows\System\AyiZCBv.exe
C:\Windows\System\AyiZCBv.exe
2⤵
PID:4060

C:\Windows\System\uGXDejd.exe
C:\Windows\System\uGXDejd.exe
2⤵
PID:1216

C:\Windows\System\jMzffJB.exe
C:\Windows\System\jMzffJB.exe
2⤵
PID:2996

C:\Windows\System\voxXivx.exe
C:\Windows\System\voxXivx.exe
2⤵
PID:332

C:\Windows\System\LgHxXaF.exe
C:\Windows\System\LgHxXaF.exe
2⤵
PID:1972

C:\Windows\System\iFIVmrB.exe
C:\Windows\System\iFIVmrB.exe
2⤵
PID:2228

C:\Windows\System\yWgzbpJ.exe
C:\Windows\System\yWgzbpJ.exe
2⤵
PID:1732

C:\Windows\System\TmHwFMo.exe
C:\Windows\System\TmHwFMo.exe
2⤵
PID:2576

C:\Windows\System\BvpkBIm.exe
C:\Windows\System\BvpkBIm.exe
2⤵
PID:1952

C:\Windows\System\agNIcdM.exe
C:\Windows\System\agNIcdM.exe
2⤵
PID:2136

C:\Windows\System\lRktovW.exe
C:\Windows\System\lRktovW.exe
2⤵
PID:3092

C:\Windows\System\rPOMxHE.exe
C:\Windows\System\rPOMxHE.exe
2⤵
PID:2152

C:\Windows\System\NnrgwKU.exe
C:\Windows\System\NnrgwKU.exe
2⤵
PID:1128

C:\Windows\System\VadJkUP.exe
C:\Windows\System\VadJkUP.exe
2⤵
PID:3320

C:\Windows\System\qOtPThM.exe
C:\Windows\System\qOtPThM.exe
2⤵
PID:3152

C:\Windows\System\alquLhf.exe
C:\Windows\System\alquLhf.exe
2⤵
PID:3192

C:\Windows\System\QxizlDH.exe
C:\Windows\System\QxizlDH.exe
2⤵
PID:3172

C:\Windows\System\kSiytZm.exe
C:\Windows\System\kSiytZm.exe
2⤵
PID:3252

C:\Windows\System\WzoCHat.exe
C:\Windows\System\WzoCHat.exe
2⤵
PID:3176

C:\Windows\System\XxlIEZs.exe
C:\Windows\System\XxlIEZs.exe
2⤵
PID:3436

C:\Windows\System\fnVxQna.exe
C:\Windows\System\fnVxQna.exe
2⤵
PID:3480

C:\Windows\System\JtwcoLu.exe
C:\Windows\System\JtwcoLu.exe
2⤵
PID:3568

C:\Windows\System\ljaflkp.exe
C:\Windows\System\ljaflkp.exe
2⤵
PID:2004

C:\Windows\System\EkaruNV.exe
C:\Windows\System\EkaruNV.exe
2⤵
PID:3784

C:\Windows\System\XMVRoqD.exe
C:\Windows\System\XMVRoqD.exe
2⤵
PID:3848

C:\Windows\System\glKCUaK.exe
C:\Windows\System\glKCUaK.exe
2⤵
PID:3916

C:\Windows\System\xQWYUSs.exe
C:\Windows\System\xQWYUSs.exe
2⤵
PID:3988

C:\Windows\System\WRnImDZ.exe
C:\Windows\System\WRnImDZ.exe
2⤵
PID:4020

C:\Windows\System\eHUGDxF.exe
C:\Windows\System\eHUGDxF.exe
2⤵
PID:2080

C:\Windows\System\WJHdEcp.exe
C:\Windows\System\WJHdEcp.exe
2⤵
PID:796

C:\Windows\System\EWosapi.exe
C:\Windows\System\EWosapi.exe
2⤵
PID:2748

C:\Windows\System\BdOJjZJ.exe
C:\Windows\System\BdOJjZJ.exe
2⤵
PID:3208

C:\Windows\System\rvUAJAQ.exe
C:\Windows\System\rvUAJAQ.exe
2⤵
PID:3236

C:\Windows\System\cuXUJVC.exe
C:\Windows\System\cuXUJVC.exe
2⤵
PID:3584

C:\Windows\System\TkApbpP.exe
C:\Windows\System\TkApbpP.exe
2⤵
PID:3708

C:\Windows\System\jBKyHui.exe
C:\Windows\System\jBKyHui.exe
2⤵
PID:3896

C:\Windows\System\QoAwgdD.exe
C:\Windows\System\QoAwgdD.exe
2⤵
PID:3968

C:\Windows\System\SefpxwS.exe
C:\Windows\System\SefpxwS.exe
2⤵
PID:3420

C:\Windows\System\DpienyV.exe
C:\Windows\System\DpienyV.exe
2⤵
PID:3652

C:\Windows\System\NgOfbYY.exe
C:\Windows\System\NgOfbYY.exe
2⤵
PID:3864

C:\Windows\System\CCareFn.exe
C:\Windows\System\CCareFn.exe
2⤵
PID:4080

C:\Windows\System\oFuSdEc.exe
C:\Windows\System\oFuSdEc.exe
2⤵
PID:4004

C:\Windows\System\DKVfypp.exe
C:\Windows\System\DKVfypp.exe
2⤵
PID:2560

C:\Windows\System\FqpPDFz.exe
C:\Windows\System\FqpPDFz.exe
2⤵
PID:1992

C:\Windows\System\zubWGnj.exe
C:\Windows\System\zubWGnj.exe
2⤵
PID:736

C:\Windows\System\Uhfoynf.exe
C:\Windows\System\Uhfoynf.exe
2⤵
PID:2636

C:\Windows\System\BXdqMbu.exe
C:\Windows\System\BXdqMbu.exe
2⤵
PID:1724

C:\Windows\System\gwBNCFG.exe
C:\Windows\System\gwBNCFG.exe
2⤵
PID:1648

C:\Windows\System\WhwJzjR.exe
C:\Windows\System\WhwJzjR.exe
2⤵
PID:3452

C:\Windows\System\PJjTcNV.exe
C:\Windows\System\PJjTcNV.exe
2⤵
PID:2016

C:\Windows\System\SdrSzeG.exe
C:\Windows\System\SdrSzeG.exe
2⤵
PID:3600

C:\Windows\System\yTDAMzf.exe
C:\Windows\System\yTDAMzf.exe
2⤵
PID:4068

C:\Windows\System\VRKUkTI.exe
C:\Windows\System\VRKUkTI.exe
2⤵
PID:2708

C:\Windows\System\VugsrWi.exe
C:\Windows\System\VugsrWi.exe
2⤵
PID:2940

C:\Windows\System\jKodaMg.exe
C:\Windows\System\jKodaMg.exe
2⤵
PID:2592

C:\Windows\System\vWMQvTu.exe
C:\Windows\System\vWMQvTu.exe
2⤵
PID:3188

C:\Windows\System\qjqOzud.exe
C:\Windows\System\qjqOzud.exe
2⤵
PID:3816

C:\Windows\System\ifWbsIr.exe
C:\Windows\System\ifWbsIr.exe
2⤵
PID:3948

C:\Windows\System\SHHGAJw.exe
C:\Windows\System\SHHGAJw.exe
2⤵
PID:3108

C:\Windows\System\qxobNnt.exe
C:\Windows\System\qxobNnt.exe
2⤵
PID:2664

C:\Windows\System\OMWNzin.exe
C:\Windows\System\OMWNzin.exe
2⤵
PID:2044

C:\Windows\System\CqHbSPg.exe
C:\Windows\System\CqHbSPg.exe
2⤵
PID:3548

C:\Windows\System\FuSwXse.exe
C:\Windows\System\FuSwXse.exe
2⤵
PID:3656

C:\Windows\System\PuwkIpz.exe
C:\Windows\System\PuwkIpz.exe
2⤵
PID:3684

C:\Windows\System\qlxMccW.exe
C:\Windows\System\qlxMccW.exe
2⤵
PID:3620

C:\Windows\System\BGdwfYr.exe
C:\Windows\System\BGdwfYr.exe
2⤵
PID:2780

C:\Windows\System\NNiFnVo.exe
C:\Windows\System\NNiFnVo.exe
2⤵
PID:2852

C:\Windows\System\Nnkwhaf.exe
C:\Windows\System\Nnkwhaf.exe
2⤵
PID:3268

C:\Windows\System\mFMAHcN.exe
C:\Windows\System\mFMAHcN.exe
2⤵
PID:1228

C:\Windows\System\OgxnllE.exe
C:\Windows\System\OgxnllE.exe
2⤵
PID:3484

C:\Windows\System\oJGPGBO.exe
C:\Windows\System\oJGPGBO.exe
2⤵
PID:3128

C:\Windows\System\uhivCVP.exe
C:\Windows\System\uhivCVP.exe
2⤵
PID:2952

C:\Windows\System\HolrmWt.exe
C:\Windows\System\HolrmWt.exe
2⤵
PID:4104

C:\Windows\System\jlWoype.exe
C:\Windows\System\jlWoype.exe
2⤵
PID:4120

C:\Windows\System\spLGFNj.exe
C:\Windows\System\spLGFNj.exe
2⤵
PID:4136

C:\Windows\System\IacTqDd.exe
C:\Windows\System\IacTqDd.exe
2⤵
PID:4152

C:\Windows\System\UBocOAu.exe
C:\Windows\System\UBocOAu.exe
2⤵
PID:4168

C:\Windows\System\JoaKiYO.exe
C:\Windows\System\JoaKiYO.exe
2⤵
PID:4184

C:\Windows\System\hWdsbUZ.exe
C:\Windows\System\hWdsbUZ.exe
2⤵
PID:4200

C:\Windows\System\oeELBVz.exe
C:\Windows\System\oeELBVz.exe
2⤵
PID:4216

C:\Windows\System\XnTaKeE.exe
C:\Windows\System\XnTaKeE.exe
2⤵
PID:4232

C:\Windows\System\XrXHkEK.exe
C:\Windows\System\XrXHkEK.exe
2⤵
PID:4248

C:\Windows\System\LOAThlw.exe
C:\Windows\System\LOAThlw.exe
2⤵
PID:4264

C:\Windows\System\uggOuME.exe
C:\Windows\System\uggOuME.exe
2⤵
PID:4280

C:\Windows\System\BTrwxCd.exe
C:\Windows\System\BTrwxCd.exe
2⤵
PID:4296

C:\Windows\System\kVuQQXh.exe
C:\Windows\System\kVuQQXh.exe
2⤵
PID:4312

C:\Windows\System\UgbSUSk.exe
C:\Windows\System\UgbSUSk.exe
2⤵
PID:4328

C:\Windows\System\SqFBDoX.exe
C:\Windows\System\SqFBDoX.exe
2⤵
PID:4344

C:\Windows\System\kbTkXHC.exe
C:\Windows\System\kbTkXHC.exe
2⤵
PID:4360

C:\Windows\System\LtXCGCz.exe
C:\Windows\System\LtXCGCz.exe
2⤵
PID:4376

C:\Windows\System\lPcBXYu.exe
C:\Windows\System\lPcBXYu.exe
2⤵
PID:4392

C:\Windows\System\YvrrmSA.exe
C:\Windows\System\YvrrmSA.exe
2⤵
PID:4408

C:\Windows\System\TkqKKmB.exe
C:\Windows\System\TkqKKmB.exe
2⤵
PID:4424

C:\Windows\System\dedpwPt.exe
C:\Windows\System\dedpwPt.exe
2⤵
PID:4440

C:\Windows\System\xBplCzK.exe
C:\Windows\System\xBplCzK.exe
2⤵
PID:4460

C:\Windows\System\wTzxkHi.exe
C:\Windows\System\wTzxkHi.exe
2⤵
PID:4480

C:\Windows\System\frpiTYz.exe
C:\Windows\System\frpiTYz.exe
2⤵
PID:4496

C:\Windows\System\SPRNCwp.exe
C:\Windows\System\SPRNCwp.exe
2⤵
PID:4512

C:\Windows\System\xqAYlsL.exe
C:\Windows\System\xqAYlsL.exe
2⤵
PID:4528

C:\Windows\System\GfngPzi.exe
C:\Windows\System\GfngPzi.exe
2⤵
PID:4544

C:\Windows\System\rWdKoJX.exe
C:\Windows\System\rWdKoJX.exe
2⤵
PID:4560

C:\Windows\System\MBLiYjx.exe
C:\Windows\System\MBLiYjx.exe
2⤵
PID:4576

C:\Windows\System\xWoqXgY.exe
C:\Windows\System\xWoqXgY.exe
2⤵
PID:4592

C:\Windows\System\enHPqpi.exe
C:\Windows\System\enHPqpi.exe
2⤵
PID:4608

C:\Windows\System\UWQQcHc.exe
C:\Windows\System\UWQQcHc.exe
2⤵
PID:4624

C:\Windows\System\KGBgtRK.exe
C:\Windows\System\KGBgtRK.exe
2⤵
PID:4640

C:\Windows\System\kPurfhd.exe
C:\Windows\System\kPurfhd.exe
2⤵
PID:4656

C:\Windows\System\dBSkYmZ.exe
C:\Windows\System\dBSkYmZ.exe
2⤵
PID:4672

C:\Windows\System\bzXErlo.exe
C:\Windows\System\bzXErlo.exe
2⤵
PID:4688

C:\Windows\System\RZdSOTd.exe
C:\Windows\System\RZdSOTd.exe
2⤵
PID:4704

C:\Windows\System\SKTRGOi.exe
C:\Windows\System\SKTRGOi.exe
2⤵
PID:4720

C:\Windows\System\BCjBogv.exe
C:\Windows\System\BCjBogv.exe
2⤵
PID:4736

C:\Windows\System\vncPXTC.exe
C:\Windows\System\vncPXTC.exe
2⤵
PID:4752

C:\Windows\System\lAXDZCh.exe
C:\Windows\System\lAXDZCh.exe
2⤵
PID:4768

C:\Windows\System\sawBvkT.exe
C:\Windows\System\sawBvkT.exe
2⤵
PID:4784

C:\Windows\System\vBLLwFG.exe
C:\Windows\System\vBLLwFG.exe
2⤵
PID:4800

C:\Windows\System\rvwoiws.exe
C:\Windows\System\rvwoiws.exe
2⤵
PID:4816

C:\Windows\System\iGdLuuc.exe
C:\Windows\System\iGdLuuc.exe
2⤵
PID:4832

C:\Windows\System\ioZLWrU.exe
C:\Windows\System\ioZLWrU.exe
2⤵
PID:4860

C:\Windows\System\yrZRnPO.exe
C:\Windows\System\yrZRnPO.exe
2⤵
PID:4876

C:\Windows\System\wQxJXSy.exe
C:\Windows\System\wQxJXSy.exe
2⤵
PID:4892

C:\Windows\System\uWBptQn.exe
C:\Windows\System\uWBptQn.exe
2⤵
PID:4908

C:\Windows\System\gDIiLMJ.exe
C:\Windows\System\gDIiLMJ.exe
2⤵
PID:4924

C:\Windows\System\CLblUkz.exe
C:\Windows\System\CLblUkz.exe
2⤵
PID:4940

C:\Windows\System\IgqftLW.exe
C:\Windows\System\IgqftLW.exe
2⤵
PID:4956

C:\Windows\System\NNqQodW.exe
C:\Windows\System\NNqQodW.exe
2⤵
PID:4972

C:\Windows\System\TbgnaqZ.exe
C:\Windows\System\TbgnaqZ.exe
2⤵
PID:4992

C:\Windows\System\BKtDSOm.exe
C:\Windows\System\BKtDSOm.exe
2⤵
PID:5008

C:\Windows\System\exxJWFq.exe
C:\Windows\System\exxJWFq.exe
2⤵
PID:5024

C:\Windows\System\CEjpcNH.exe
C:\Windows\System\CEjpcNH.exe
2⤵
PID:5040

C:\Windows\System\sKuBXwi.exe
C:\Windows\System\sKuBXwi.exe
2⤵
PID:5056

C:\Windows\System\lLCqLCN.exe
C:\Windows\System\lLCqLCN.exe
2⤵
PID:5072

C:\Windows\System\kYNGMsH.exe
C:\Windows\System\kYNGMsH.exe
2⤵
PID:5088

C:\Windows\System\XHZuPxg.exe
C:\Windows\System\XHZuPxg.exe
2⤵
PID:5104

C:\Windows\System\ZjwHSxO.exe
C:\Windows\System\ZjwHSxO.exe
2⤵
PID:3204

C:\Windows\System\ZjdlAOp.exe
C:\Windows\System\ZjdlAOp.exe
2⤵
PID:3724

C:\Windows\System\RawRaEM.exe
C:\Windows\System\RawRaEM.exe
2⤵
PID:3756

C:\Windows\System\CdLHlPb.exe
C:\Windows\System\CdLHlPb.exe
2⤵
PID:3624

C:\Windows\System\oyIIFOH.exe
C:\Windows\System\oyIIFOH.exe
2⤵
PID:3408

C:\Windows\System\vdnLOhT.exe
C:\Windows\System\vdnLOhT.exe
2⤵
PID:4100

C:\Windows\System\ybLepYb.exe
C:\Windows\System\ybLepYb.exe
2⤵
PID:4536

C:\Windows\System\rPtPuqt.exe
C:\Windows\System\rPtPuqt.exe
2⤵
PID:5096

C:\Windows\System\lHduwKn.exe
C:\Windows\System\lHduwKn.exe
2⤵
PID:2256

C:\Windows\System\JmWoaMa.exe
C:\Windows\System\JmWoaMa.exe
2⤵
PID:4524

C:\Windows\System\qGTrEgY.exe
C:\Windows\System\qGTrEgY.exe
2⤵
PID:2928

C:\Windows\System\GEiegdM.exe
C:\Windows\System\GEiegdM.exe
2⤵
PID:4776

C:\Windows\System\fwUvioU.exe
C:\Windows\System\fwUvioU.exe
2⤵
PID:2392

C:\Windows\System\xQtvBsD.exe
C:\Windows\System\xQtvBsD.exe
2⤵
PID:3472

C:\Windows\System\JrdaZwq.exe
C:\Windows\System\JrdaZwq.exe
2⤵
PID:2056

C:\Windows\System\ecjINiU.exe
C:\Windows\System\ecjINiU.exe
2⤵
PID:4868

C:\Windows\System\mExVxKE.exe
C:\Windows\System\mExVxKE.exe
2⤵
PID:4936

C:\Windows\System\SAYwKGU.exe
C:\Windows\System\SAYwKGU.exe
2⤵
PID:4052

C:\Windows\System\BgxQDNW.exe
C:\Windows\System\BgxQDNW.exe
2⤵
PID:4336

C:\Windows\System\JhBNaeC.exe
C:\Windows\System\JhBNaeC.exe
2⤵
PID:4808

C:\Windows\System\pfQDoDd.exe
C:\Windows\System\pfQDoDd.exe
2⤵
PID:5020

C:\Windows\System\jJryWnU.exe
C:\Windows\System\jJryWnU.exe
2⤵
PID:1560

C:\Windows\System\WxBKwsj.exe
C:\Windows\System\WxBKwsj.exe
2⤵
PID:1616

C:\Windows\System\slOIHTZ.exe
C:\Windows\System\slOIHTZ.exe
2⤵
PID:4504

C:\Windows\System\VlAKpdJ.exe
C:\Windows\System\VlAKpdJ.exe
2⤵
PID:4192

C:\Windows\System\uYkGOhZ.exe
C:\Windows\System\uYkGOhZ.exe
2⤵
PID:4024

C:\Windows\System\gVwKFBq.exe
C:\Windows\System\gVwKFBq.exe
2⤵
PID:924

C:\Windows\System\rhJjxnp.exe
C:\Windows\System\rhJjxnp.exe
2⤵
PID:5068

C:\Windows\System\uevhdFR.exe
C:\Windows\System\uevhdFR.exe
2⤵
PID:4748

C:\Windows\System\RrGPeqw.exe
C:\Windows\System\RrGPeqw.exe
2⤵
PID:4472

C:\Windows\System\sAifmAA.exe
C:\Windows\System\sAifmAA.exe
2⤵
PID:2032

C:\Windows\System\LwNUswV.exe
C:\Windows\System\LwNUswV.exe
2⤵
PID:4520

C:\Windows\System\vYhFGhB.exe
C:\Windows\System\vYhFGhB.exe
2⤵
PID:4648

C:\Windows\System\wYkSbpa.exe
C:\Windows\System\wYkSbpa.exe
2⤵
PID:5712

C:\Windows\System\xCasEuy.exe
C:\Windows\System\xCasEuy.exe
2⤵
PID:4244

C:\Windows\System\QQTOFKe.exe
C:\Windows\System\QQTOFKe.exe
2⤵
PID:5700

C:\Windows\System\STsvgGn.exe
C:\Windows\System\STsvgGn.exe
2⤵
PID:1768

C:\Windows\System\EuQKRsg.exe
C:\Windows\System\EuQKRsg.exe
2⤵
PID:4584

C:\Windows\System\RXRfZoS.exe
C:\Windows\System\RXRfZoS.exe
2⤵
PID:6184

C:\Windows\System\qDgKHdf.exe
C:\Windows\System\qDgKHdf.exe
2⤵
PID:6620

C:\Windows\System\AYTgcBR.exe
C:\Windows\System\AYTgcBR.exe
2⤵
PID:7028

C:\Windows\System\bQldAXy.exe
C:\Windows\System\bQldAXy.exe
2⤵
PID:6160

C:\Windows\System\ULfFALO.exe
C:\Windows\System\ULfFALO.exe
2⤵
PID:1800

C:\Windows\System\LGPsFck.exe
C:\Windows\System\LGPsFck.exe
2⤵
PID:7188

C:\Windows\System\bzRahrt.exe
C:\Windows\System\bzRahrt.exe
2⤵
PID:7204

C:\Windows\System\XvMMyaC.exe
C:\Windows\System\XvMMyaC.exe
2⤵
PID:7644

C:\Windows\System\LPVkLVR.exe
C:\Windows\System\LPVkLVR.exe
2⤵
PID:8088

C:\Windows\System\yMxJXcm.exe
C:\Windows\System\yMxJXcm.exe
2⤵
PID:7512

C:\Windows\System\YHufsjD.exe
C:\Windows\System\YHufsjD.exe
2⤵
PID:7608

C:\Windows\System\LwwkjYF.exe
C:\Windows\System\LwwkjYF.exe
2⤵
PID:7392

C:\Windows\System\hcrYbMS.exe
C:\Windows\System\hcrYbMS.exe
2⤵
PID:7704

C:\Windows\System\lwqVEew.exe
C:\Windows\System\lwqVEew.exe
2⤵
PID:7296

C:\Windows\System\XVlCKXF.exe
C:\Windows\System\XVlCKXF.exe
2⤵
PID:8496

C:\Windows\System\OzeQgbK.exe
C:\Windows\System\OzeQgbK.exe
2⤵
PID:8744

C:\Windows\System\nhYLzkc.exe
C:\Windows\System\nhYLzkc.exe
2⤵
PID:8200

C:\Windows\System\qHXfzqI.exe
C:\Windows\System\qHXfzqI.exe
2⤵
PID:9156

C:\Windows\System\zhSUSjD.exe
C:\Windows\System\zhSUSjD.exe
2⤵
PID:8344

C:\Windows\System\UivkPYh.exe
C:\Windows\System\UivkPYh.exe
2⤵
PID:8360

C:\Windows\System\FyRoNLW.exe
C:\Windows\System\FyRoNLW.exe
2⤵
PID:9128

C:\Windows\System\WkZodvU.exe
C:\Windows\System\WkZodvU.exe
2⤵
PID:7496

C:\Windows\System\LYDnckH.exe
C:\Windows\System\LYDnckH.exe
2⤵
PID:8724

C:\Windows\System\BibECgb.exe
C:\Windows\System\BibECgb.exe
2⤵
PID:8568

C:\Windows\System\BOZQGAZ.exe
C:\Windows\System\BOZQGAZ.exe
2⤵
PID:7100

C:\Windows\System\bIOGfUB.exe
C:\Windows\System\bIOGfUB.exe
2⤵
PID:8708

C:\Windows\System\rzYKbMA.exe
C:\Windows\System\rzYKbMA.exe
2⤵
PID:9340

C:\Windows\System\bBmJPwJ.exe
C:\Windows\System\bBmJPwJ.exe
2⤵
PID:9356

C:\Windows\System\LNdTuFn.exe
C:\Windows\System\LNdTuFn.exe
2⤵
PID:9372

C:\Windows\System\HRPAYmm.exe
C:\Windows\System\HRPAYmm.exe
2⤵
PID:9388

C:\Windows\System\DWYEJuZ.exe
C:\Windows\System\DWYEJuZ.exe
2⤵
PID:9404

C:\Windows\System\IzbGfkc.exe
C:\Windows\System\IzbGfkc.exe
2⤵
PID:9420

C:\Windows\System\CBvCZLL.exe
C:\Windows\System\CBvCZLL.exe
2⤵
PID:9436

C:\Windows\System\OSNaluY.exe
C:\Windows\System\OSNaluY.exe
2⤵
PID:9452

C:\Windows\System\oMdiDUR.exe
C:\Windows\System\oMdiDUR.exe
2⤵
PID:9468

C:\Windows\System\GXcqoHD.exe
C:\Windows\System\GXcqoHD.exe
2⤵
PID:9484

C:\Windows\System\dovQARe.exe
C:\Windows\System\dovQARe.exe
2⤵
PID:9500

C:\Windows\System\fezUGNL.exe
C:\Windows\System\fezUGNL.exe
2⤵
PID:9516

C:\Windows\System\dMXzhdf.exe
C:\Windows\System\dMXzhdf.exe
2⤵
PID:9532

C:\Windows\System\kRcegsQ.exe
C:\Windows\System\kRcegsQ.exe
2⤵
PID:9548

C:\Windows\System\VZCqZME.exe
C:\Windows\System\VZCqZME.exe
2⤵
PID:9564

C:\Windows\System\pxpLNnh.exe
C:\Windows\System\pxpLNnh.exe
2⤵
PID:9744

C:\Windows\System\rgrbgnv.exe
C:\Windows\System\rgrbgnv.exe
2⤵
PID:9760

C:\Windows\System\FzHjFkQ.exe
C:\Windows\System\FzHjFkQ.exe
2⤵
PID:9776

C:\Windows\System\yoXqRto.exe
C:\Windows\System\yoXqRto.exe
2⤵
PID:9792

C:\Windows\System\pmYSDHx.exe
C:\Windows\System\pmYSDHx.exe
2⤵
PID:9808

C:\Windows\System\youqwKq.exe
C:\Windows\System\youqwKq.exe
2⤵
PID:9824

C:\Windows\System\qKBrhTc.exe
C:\Windows\System\qKBrhTc.exe
2⤵
PID:9840

C:\Windows\System\RdjLcLR.exe
C:\Windows\System\RdjLcLR.exe
2⤵
PID:9856

C:\Windows\System\ZKPOKec.exe
C:\Windows\System\ZKPOKec.exe
2⤵
PID:9872

C:\Windows\System\bjxPvuH.exe
C:\Windows\System\bjxPvuH.exe
2⤵
PID:9888

C:\Windows\System\Yttowlx.exe
C:\Windows\System\Yttowlx.exe
2⤵
PID:9904

C:\Windows\System\JRtasix.exe
C:\Windows\System\JRtasix.exe
2⤵
PID:9920

C:\Windows\System\LkTdSzd.exe
C:\Windows\System\LkTdSzd.exe
2⤵
PID:9940

C:\Windows\System\tzGRQJT.exe
C:\Windows\System\tzGRQJT.exe
2⤵
PID:9956

C:\Windows\System\OsvwQRv.exe
C:\Windows\System\OsvwQRv.exe
2⤵
PID:9972

C:\Windows\System\uICIZaF.exe
C:\Windows\System\uICIZaF.exe
2⤵
PID:9988

C:\Windows\System\TOTJcGe.exe
C:\Windows\System\TOTJcGe.exe
2⤵
PID:10004

C:\Windows\System\quJogIj.exe
C:\Windows\System\quJogIj.exe
2⤵
PID:10020

C:\Windows\System\ZZluwJO.exe
C:\Windows\System\ZZluwJO.exe
2⤵
PID:10036

C:\Windows\System\mmfSQXh.exe
C:\Windows\System\mmfSQXh.exe
2⤵
PID:10052

C:\Windows\System\khhiiHM.exe
C:\Windows\System\khhiiHM.exe
2⤵
PID:10068

C:\Windows\System\KMXcmEk.exe
C:\Windows\System\KMXcmEk.exe
2⤵
PID:10084

C:\Windows\System\XEYweIC.exe
C:\Windows\System\XEYweIC.exe
2⤵
PID:10100

C:\Windows\System\xEFDmnn.exe
C:\Windows\System\xEFDmnn.exe
2⤵
PID:10116

C:\Windows\System\OEYjNVv.exe
C:\Windows\System\OEYjNVv.exe
2⤵
PID:10132

C:\Windows\System\MBUaWYq.exe
C:\Windows\System\MBUaWYq.exe
2⤵
PID:10148

C:\Windows\System\YjoInei.exe
C:\Windows\System\YjoInei.exe
2⤵
PID:10164

C:\Windows\System\sekOBDm.exe
C:\Windows\System\sekOBDm.exe
2⤵
PID:10180

C:\Windows\System\RCkcwOH.exe
C:\Windows\System\RCkcwOH.exe
2⤵
PID:10196

C:\Windows\System\rlCtmAz.exe
C:\Windows\System\rlCtmAz.exe
2⤵
PID:10216

C:\Windows\System\AsZWGtm.exe
C:\Windows\System\AsZWGtm.exe
2⤵
PID:10232

C:\Windows\System\DQWkYSk.exe
C:\Windows\System\DQWkYSk.exe
2⤵
PID:8756

C:\Windows\System\lpqGCZz.exe
C:\Windows\System\lpqGCZz.exe
2⤵
PID:7896

C:\Windows\System\jKTdSXr.exe
C:\Windows\System\jKTdSXr.exe
2⤵
PID:7752

C:\Windows\System\tYzNQlG.exe
C:\Windows\System\tYzNQlG.exe
2⤵
PID:9188

C:\Windows\System\QfgFduD.exe
C:\Windows\System\QfgFduD.exe
2⤵
PID:8148

C:\Windows\System\RdzGtXw.exe
C:\Windows\System\RdzGtXw.exe
2⤵
PID:624

C:\Windows\System\obpARwg.exe
C:\Windows\System\obpARwg.exe
2⤵
PID:8472

C:\Windows\System\ugfToUI.exe
C:\Windows\System\ugfToUI.exe
2⤵
PID:8504

C:\Windows\System\YNqGngh.exe
C:\Windows\System\YNqGngh.exe
2⤵
PID:8896

C:\Windows\System\kEUqYWY.exe
C:\Windows\System\kEUqYWY.exe
2⤵
PID:9288

C:\Windows\System\Cdprpls.exe
C:\Windows\System\Cdprpls.exe
2⤵
PID:9352

C:\Windows\System\LrFHCQg.exe
C:\Windows\System\LrFHCQg.exe
2⤵
PID:9416

C:\Windows\System\EfOAWNu.exe
C:\Windows\System\EfOAWNu.exe
2⤵
PID:7684

C:\Windows\System\KVlvDWs.exe
C:\Windows\System\KVlvDWs.exe
2⤵
PID:9448

C:\Windows\System\LsQIZSA.exe
C:\Windows\System\LsQIZSA.exe
2⤵
PID:9508

C:\Windows\System\xWFlzUh.exe
C:\Windows\System\xWFlzUh.exe
2⤵
PID:9572

C:\Windows\System\wLAKkzl.exe
C:\Windows\System\wLAKkzl.exe
2⤵
PID:9268

C:\Windows\System\STTQIUr.exe
C:\Windows\System\STTQIUr.exe
2⤵
PID:9304

C:\Windows\System\Iyrefcl.exe
C:\Windows\System\Iyrefcl.exe
2⤵
PID:8556

C:\Windows\System\gygDCTZ.exe
C:\Windows\System\gygDCTZ.exe
2⤵
PID:10204

C:\Windows\System\xLHzzGx.exe
C:\Windows\System\xLHzzGx.exe
2⤵
PID:10444

C:\Windows\System\gmRZUlY.exe
C:\Windows\System\gmRZUlY.exe
2⤵
PID:10460

C:\Windows\System\bTkCRnO.exe
C:\Windows\System\bTkCRnO.exe
2⤵
PID:10476

C:\Windows\System\tWfNOej.exe
C:\Windows\System\tWfNOej.exe
2⤵
PID:10492

C:\Windows\System\FHnTRbV.exe
C:\Windows\System\FHnTRbV.exe
2⤵
PID:10508

C:\Windows\System\zFWkzkl.exe
C:\Windows\System\zFWkzkl.exe
2⤵
PID:10532

C:\Windows\System\zEUeBCo.exe
C:\Windows\System\zEUeBCo.exe
2⤵
PID:10980

C:\Windows\System\fMeAXrA.exe
C:\Windows\System\fMeAXrA.exe
2⤵
PID:9756

C:\Windows\System\tKTnhnV.exe
C:\Windows\System\tKTnhnV.exe
2⤵
PID:9076

C:\Windows\System\RORlvVh.exe
C:\Windows\System\RORlvVh.exe
2⤵
PID:9320

C:\Windows\System\ppYQWLl.exe
C:\Windows\System\ppYQWLl.exe
2⤵
PID:9816

C:\Windows\System\yKBTypA.exe
C:\Windows\System\yKBTypA.exe
2⤵
PID:8540

C:\Windows\System\yyiGMyA.exe
C:\Windows\System\yyiGMyA.exe
2⤵
PID:10064

C:\Windows\System\ZIejFtH.exe
C:\Windows\System\ZIejFtH.exe
2⤵
PID:10252

C:\Windows\System\XryZdaA.exe
C:\Windows\System\XryZdaA.exe
2⤵
PID:10352

C:\Windows\System\eAiycjv.exe
C:\Windows\System\eAiycjv.exe
2⤵
PID:9608

C:\Windows\System\YEUksIj.exe
C:\Windows\System\YEUksIj.exe
2⤵
PID:10576

C:\Windows\System\TNfdzga.exe
C:\Windows\System\TNfdzga.exe
2⤵
PID:10972

C:\Windows\System\xzyGayA.exe
C:\Windows\System\xzyGayA.exe
2⤵
PID:10372

C:\Windows\System\sPpIToc.exe
C:\Windows\System\sPpIToc.exe
2⤵
PID:10304

C:\Windows\System\FYRVapL.exe
C:\Windows\System\FYRVapL.exe
2⤵
PID:10376

C:\Windows\System\YsyzYRb.exe
C:\Windows\System\YsyzYRb.exe
2⤵
PID:2912

C:\Windows\System\lwURZrN.exe
C:\Windows\System\lwURZrN.exe
2⤵
PID:10960

C:\Windows\System\cDzSViR.exe
C:\Windows\System\cDzSViR.exe
2⤵
PID:9560

C:\Windows\System\NsUaaUc.exe
C:\Windows\System\NsUaaUc.exe
2⤵
PID:9884

C:\Windows\System\laxpbBu.exe
C:\Windows\System\laxpbBu.exe
2⤵
PID:9772

C:\Windows\System\vKyXenI.exe
C:\Windows\System\vKyXenI.exe
2⤵
PID:10288

C:\Windows\System\RMmBqDZ.exe
C:\Windows\System\RMmBqDZ.exe
2⤵
PID:11036

C:\Windows\System\PybEals.exe
C:\Windows\System\PybEals.exe
2⤵
PID:10224

C:\Windows\System\CKwUShW.exe
C:\Windows\System\CKwUShW.exe
2⤵
PID:10592

C:\Windows\System\NaGxEsN.exe
C:\Windows\System\NaGxEsN.exe
2⤵
PID:10060

C:\Windows\System\gNAKcLI.exe
C:\Windows\System\gNAKcLI.exe
2⤵
PID:11672

C:\Windows\System\kODhWHR.exe
C:\Windows\System\kODhWHR.exe
2⤵
PID:11916

C:\Windows\System\bJmHysP.exe
C:\Windows\System\bJmHysP.exe
2⤵
PID:11932

C:\Windows\System\LZTTSme.exe
C:\Windows\System\LZTTSme.exe
2⤵
PID:11948

C:\Windows\System\jDAVojX.exe
C:\Windows\System\jDAVojX.exe
2⤵
PID:11964

C:\Windows\System\pMbuUOX.exe
C:\Windows\System\pMbuUOX.exe
2⤵
PID:11980

C:\Windows\System\eKkVPqc.exe
C:\Windows\System\eKkVPqc.exe
2⤵
PID:11996

C:\Windows\System\wtTVTCF.exe
C:\Windows\System\wtTVTCF.exe
2⤵
PID:12012

C:\Windows\System\QRvyaNW.exe
C:\Windows\System\QRvyaNW.exe
2⤵
PID:12028

C:\Windows\System\uBNnNea.exe
C:\Windows\System\uBNnNea.exe
2⤵
PID:12044

C:\Windows\System\nXVENjL.exe
C:\Windows\System\nXVENjL.exe
2⤵
PID:12060

C:\Windows\System\QeahfAb.exe
C:\Windows\System\QeahfAb.exe
2⤵
PID:12076

C:\Windows\System\OZlQnfi.exe
C:\Windows\System\OZlQnfi.exe
2⤵
PID:12092

C:\Windows\System\zuWMwca.exe
C:\Windows\System\zuWMwca.exe
2⤵
PID:12212

C:\Windows\System\ZyNKQax.exe
C:\Windows\System\ZyNKQax.exe
2⤵
PID:12228

C:\Windows\System\NNIPQZQ.exe
C:\Windows\System\NNIPQZQ.exe
2⤵
PID:12244

C:\Windows\System\VCrfWAi.exe
C:\Windows\System\VCrfWAi.exe
2⤵
PID:12260

C:\Windows\System\VAofpdu.exe
C:\Windows\System\VAofpdu.exe
2⤵
PID:12280

C:\Windows\System\nsOOxit.exe
C:\Windows\System\nsOOxit.exe
2⤵
PID:11100

C:\Windows\System\NUtIboc.exe
C:\Windows\System\NUtIboc.exe
2⤵
PID:11184

C:\Windows\System\yNSWrQr.exe
C:\Windows\System\yNSWrQr.exe
2⤵
PID:11084

C:\Windows\System\prwbWDk.exe
C:\Windows\System\prwbWDk.exe
2⤵
PID:10768

C:\Windows\System\UqfpxZV.exe
C:\Windows\System\UqfpxZV.exe
2⤵
PID:9060

C:\Windows\System\TaIxdHc.exe
C:\Windows\System\TaIxdHc.exe
2⤵
PID:9624

C:\Windows\System\nHNleBX.exe
C:\Windows\System\nHNleBX.exe
2⤵
PID:11292

C:\Windows\System\cJVNZZa.exe
C:\Windows\System\cJVNZZa.exe
2⤵
PID:11360

C:\Windows\System\XQjNqBQ.exe
C:\Windows\System\XQjNqBQ.exe
2⤵
PID:11392

C:\Windows\System\baKkbBw.exe
C:\Windows\System\baKkbBw.exe
2⤵
PID:11088

C:\Windows\System\XtyIifp.exe
C:\Windows\System\XtyIifp.exe
2⤵
PID:11456

C:\Windows\System\BYpXLIq.exe
C:\Windows\System\BYpXLIq.exe
2⤵
PID:10524

C:\Windows\System\tQAEQlY.exe
C:\Windows\System\tQAEQlY.exe
2⤵
PID:10688

C:\Windows\System\OQjJpHk.exe
C:\Windows\System\OQjJpHk.exe
2⤵
PID:11524

C:\Windows\System\DVLdfmm.exe
C:\Windows\System\DVLdfmm.exe
2⤵
PID:11616

C:\Windows\System\WArfgyU.exe
C:\Windows\System\WArfgyU.exe
2⤵
PID:11680

C:\Windows\System\xoovrds.exe
C:\Windows\System\xoovrds.exe
2⤵
PID:11008

C:\Windows\System\UzoJZWx.exe
C:\Windows\System\UzoJZWx.exe
2⤵
PID:10112

C:\Windows\System\olWmZZo.exe
C:\Windows\System\olWmZZo.exe
2⤵
PID:11168

C:\Windows\System\BcQGQjU.exe
C:\Windows\System\BcQGQjU.exe
2⤵
PID:11600

C:\Windows\System\OBwxhhW.exe
C:\Windows\System\OBwxhhW.exe
2⤵
PID:11748

C:\Windows\System\HfpGwWP.exe
C:\Windows\System\HfpGwWP.exe
2⤵
PID:10844

C:\Windows\System\PGlmEPv.exe
C:\Windows\System\PGlmEPv.exe
2⤵
PID:11308

C:\Windows\System\ydPMPAb.exe
C:\Windows\System\ydPMPAb.exe
2⤵
PID:11732

C:\Windows\System\jzBRDIl.exe
C:\Windows\System\jzBRDIl.exe
2⤵
PID:11372

C:\Windows\System\oyzqxbL.exe
C:\Windows\System\oyzqxbL.exe
2⤵
PID:11812

C:\Windows\System\ogWKSFl.exe
C:\Windows\System\ogWKSFl.exe
2⤵
PID:11876

C:\Windows\System\tCHbQUh.exe
C:\Windows\System\tCHbQUh.exe
2⤵
PID:11940

C:\Windows\System\qbcOmau.exe
C:\Windows\System\qbcOmau.exe
2⤵
PID:12004

C:\Windows\System\WpjVMhp.exe
C:\Windows\System\WpjVMhp.exe
2⤵
PID:11444

C:\Windows\System\ERPNfXq.exe
C:\Windows\System\ERPNfXq.exe
2⤵
PID:11508

C:\Windows\System\zvhpBjw.exe
C:\Windows\System\zvhpBjw.exe
2⤵
PID:12040

C:\Windows\System\kCXgJno.exe
C:\Windows\System\kCXgJno.exe
2⤵
PID:12132

C:\Windows\System\qqAUZwB.exe
C:\Windows\System\qqAUZwB.exe
2⤵
PID:12196

C:\Windows\System\HyZryXf.exe
C:\Windows\System\HyZryXf.exe
2⤵
PID:11632

C:\Windows\System\vCGOEpI.exe
C:\Windows\System\vCGOEpI.exe
2⤵
PID:2012

C:\Windows\System\JngaEVr.exe
C:\Windows\System\JngaEVr.exe
2⤵
PID:9952

C:\Windows\System\eAZgbVn.exe
C:\Windows\System\eAZgbVn.exe
2⤵
PID:11428

C:\Windows\System\gMNnYbz.exe
C:\Windows\System\gMNnYbz.exe
2⤵
PID:11556

C:\Windows\System\jUmaAQY.exe
C:\Windows\System\jUmaAQY.exe
2⤵
PID:10832

C:\Windows\System\jZcZnvW.exe
C:\Windows\System\jZcZnvW.exe
2⤵
PID:9432

C:\Windows\System\zrVqPDz.exe
C:\Windows\System\zrVqPDz.exe
2⤵
PID:11388

C:\Windows\System\ttnfpJE.exe
C:\Windows\System\ttnfpJE.exe
2⤵
PID:11440

C:\Windows\System\DPBjpvj.exe
C:\Windows\System\DPBjpvj.exe
2⤵
PID:11720

C:\Windows\System\yyAeEly.exe
C:\Windows\System\yyAeEly.exe
2⤵
PID:12300

C:\Windows\System\wvmuRwK.exe
C:\Windows\System\wvmuRwK.exe
2⤵
PID:12316

C:\Windows\System\xwWUHwv.exe
C:\Windows\System\xwWUHwv.exe
2⤵
PID:12332

C:\Windows\System\oCWyLkX.exe
C:\Windows\System\oCWyLkX.exe
2⤵
PID:12352

C:\Windows\System\JVJIVke.exe
C:\Windows\System\JVJIVke.exe
2⤵
PID:12368

C:\Windows\System\IuDSUrV.exe
C:\Windows\System\IuDSUrV.exe
2⤵
PID:12384

C:\Windows\System\xHVhRpf.exe
C:\Windows\System\xHVhRpf.exe
2⤵
PID:12400

C:\Windows\System\htocfep.exe
C:\Windows\System\htocfep.exe
2⤵
PID:12416

C:\Windows\System\GklsoUp.exe
C:\Windows\System\GklsoUp.exe
2⤵
PID:12432

C:\Windows\System\KWoHIFG.exe
C:\Windows\System\KWoHIFG.exe
2⤵
PID:12448

C:\Windows\System\MpsqOtC.exe
C:\Windows\System\MpsqOtC.exe
2⤵
PID:12464

C:\Windows\System\dqnRaes.exe
C:\Windows\System\dqnRaes.exe
2⤵
PID:12480

C:\Windows\System\EwsmgOW.exe
C:\Windows\System\EwsmgOW.exe
2⤵
PID:12496

C:\Windows\System\uDRokEn.exe
C:\Windows\System\uDRokEn.exe
2⤵
PID:12512

C:\Windows\System\sJwjYxc.exe
C:\Windows\System\sJwjYxc.exe
2⤵
PID:12528

C:\Windows\System\kTCdJRf.exe
C:\Windows\System\kTCdJRf.exe
2⤵
PID:12544

C:\Windows\System\TAALCqu.exe
C:\Windows\System\TAALCqu.exe
2⤵
PID:12560

C:\Windows\System\iFBWoZt.exe
C:\Windows\System\iFBWoZt.exe
2⤵
PID:12576

C:\Windows\System\qXJziyg.exe
C:\Windows\System\qXJziyg.exe
2⤵
PID:12592

C:\Windows\System\vPoawaT.exe
C:\Windows\System\vPoawaT.exe
2⤵
PID:12608

C:\Windows\System\eslzetP.exe
C:\Windows\System\eslzetP.exe
2⤵
PID:12624

C:\Windows\System\YBOZTVN.exe
C:\Windows\System\YBOZTVN.exe
2⤵
PID:12640

C:\Windows\System\iDfhSkW.exe
C:\Windows\System\iDfhSkW.exe
2⤵
PID:12660

C:\Windows\System\cXKurFg.exe
C:\Windows\System\cXKurFg.exe
2⤵
PID:12676

C:\Windows\System\goGcrsg.exe
C:\Windows\System\goGcrsg.exe
2⤵
PID:12692

C:\Windows\System\zQmDrUr.exe
C:\Windows\System\zQmDrUr.exe
2⤵
PID:12708

C:\Windows\System\vFfTIrR.exe
C:\Windows\System\vFfTIrR.exe
2⤵
PID:12724

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\system\EWXBrzM.exe
Filesize
6.0MB

MD5
120212514e70e742506cf490c0cc562e

SHA1
90e136783959153eeb9e74acd79937d43d03af1e

SHA256
fe15df5e70b486e66cca005186b69566393d9746a9a99ccf4f4b817916c3a857

SHA512
9e132ea390bc7d91f95c5b896f5b7791a05827d8c5bc0e3f6845b17e362337bf082dd53ffdb0ab57b781ee2ce882f8bc8cb47ac474413ff42547f06e1989d0e8

Download Submit
C:\Windows\system\HpBwXUR.exe
Filesize
6.0MB

MD5
dbe287bc6e469f7476450fb54c33147e

SHA1
beac52b91501b59d1f927b20f5d35ec2cad69c75

SHA256
9b6839f85ce8669ace286bfc286acb03eecfa42f492857021348bf372eddaf5d

SHA512
65545b5aa7a2006afde906920aa7d903102cd8c1fb838bca102e8b6268473c80ad84859f300f8883dd3f7c13e8e9e1beb1670c323a90751729db1e6258e56e78

Download Submit
C:\Windows\system\JcNPKjk.exe
Filesize
6.0MB

MD5
e76c4404a70c555abd3f4e1eca1ce967

SHA1
6424c951d27abdfae8350a016c3c9d4850cc0764

SHA256
51d9b914ef70197b10800971e2040c025914890b62847c3e6ddb964d4c905d7c

SHA512
f01fa22fc5617eab1e86e62b386f57bbde6b6d179dba684bc2275a56fa3c57bc0103f102987caa20d80489dfc7c4895f1d937922c739630c7e99a2387df193af

Download Submit
C:\Windows\system\LkmPIXR.exe
Filesize
6.0MB

MD5
d24b296e1b591b18d8214029a21d82f6

SHA1
4a3bef1cb77db3ab248125e4f4132f334c98f7c2

SHA256
3f95fc00ddb9d6d8fe4bd0cb5a50116df7dcc2a435b8b5ecb37d4504d355eb64

SHA512
15d56270675f21f17249815bc387e99d83577e6fcd5025a49d22e297ccdd9bf16718bc3bf424d7eb3953cddf65d9a7a3eb625a652b61aa75cd2b87543212910c

Download Submit
C:\Windows\system\MAodSzD.exe
Filesize
6.0MB

MD5
dbb7bacb1297584da0ccdc69fbec35c6

SHA1
eee46281ad0561b7765d27f5157209a2c1b2e5db

SHA256
857e3a54b520bd186f70c0327d632ff3514e5736e8bde8102895527bda002469

SHA512
bcce82f172277bf7d4ca7e4eb1795ce892cad44203cf9ab0c0f57f5f4c0bc1a2e92c203ec043b75601b022c86c5c0ae791857c225e5317e4e2417cb5dbf5509e

Download Submit
C:\Windows\system\PFFTAcE.exe
Filesize
6.0MB

MD5
547a008d75da7a66be9615e411ec326e

SHA1
a4435aeb1471c8b942267f0fad2ab8a264e2db87

SHA256
3454b24bedb53cbcf973e3428cd0460a1e0f331246ae93254f7200718f6a51b8

SHA512
bbd55c707906b67de7f817d5ca9d2f8a96b1a8ff648c4b24b93d8bb2f0dc99d9979a44f9504970f955d228b61b092acb360c38690eaa9a11f8f93a3272d8dc4f

Download Submit
C:\Windows\system\Tlbgmye.exe
Filesize
6.0MB

MD5
d1387c6b7a2cb88980943616abf550e9

SHA1
bd77f4dd56d8b73150e9c62fa0dc0cd925adec90

SHA256
0c82c2231e47e36d0ac6ff168f63c6f0e9f3cbab4999667f349028feaa8b121b

SHA512
2a6a55446e2f50df098b2b7b9f41fca401d81048de23863a157b04b570b8c105b0b0dd9c669b63d817a4fac7ce10716ac406cb41d2dc8c3734c6ad4091fab321

Download Submit
C:\Windows\system\UHCqfxY.exe
Filesize
6.0MB

MD5
48f4762f0fbbd317dd30febc0076ad7e

SHA1
4270575b32b2298c267a0519df4f0efe22375781

SHA256
91a41276f035c4b007cc3c08e91b9bd8520bfba2e2600f3e40eaab5fe0ec2c47

SHA512
29d0856352af6768d0a94837ec5c799ca34d47676afde9d00cea491170a35389588166e5ed44ad5690977ef14a9debd4548dd879d7792b81efa2bb47379a16df

Download Submit
C:\Windows\system\UjwoGta.exe
Filesize
6.0MB

MD5
022018c54f84c44130ca77957d033d99

SHA1
c332ed20f059550eec6ac2839da0eb748766d85d

SHA256
62ba7c27b532eb6f4fc8695a417edac559089bec3417a10e8dc7184a72f448ac

SHA512
730d507fafb71343a69b45cacc0c7b41aee118e7b35ed9947278965286262aa2333fc058e98812ffdd6ced3e6cac6abcdabf968632ee1b07141a570fe2fa77eb

Download Submit
C:\Windows\system\VTDSBwq.exe
Filesize
6.0MB

MD5
d071f8813de63b10f624d747698621a2

SHA1
5cf7566ddbca92640a04b4055016c97999dfaa48

SHA256
9fb28195ce32de5b437180df5da56d2da1732b64b468bfc1aac11b69dd511ac3

SHA512
51606db0f0da68a8808255acec90ad53e0ae1d61e5b77aa1862cc2fc089dc06c4f36e2c8f54ff8b455eeba792e5a5be94ca00a6f958f25586d43c75b3f43cee4

Download Submit
C:\Windows\system\VaBtAvT.exe
Filesize
6.0MB

MD5
36fbbf4823d6135783cc6c38621dcc5c

SHA1
3a8c4fdea6176b102bc83b951fc025a4cb6abb55

SHA256
ed55ead0a1f6023119d5dc8e70b344ddacfb38447362baa105cb10d7ff76fd74

SHA512
8f9e48fb5db1292dd337652133215c1e4d8161eeaaa31bbb9c5926578fad9a30ee8e8cca1328962211ad70db1f9f0b347e1b143aed656c86b0838bc9e8805366

Download Submit
C:\Windows\system\ZGlUNTG.exe
Filesize
6.0MB

MD5
4d2097a3f3ef73541bafdeb832cda255

SHA1
86c3bea0272187a384fe8fea57d0dd9aa63b8248

SHA256
3168ccd1c0a5d3d2a66f84ba202e8bf30dd7ccdda06b0cb051ecc21e6308934e

SHA512
0880fb0e75f02f6df5b659741e9eb0cbc61ea91752a439a90f9765dc618053a5d7645294e798dc336f75574980baea1e74ce8496ec9f5b9e728cb380c68cc70f

Download Submit
C:\Windows\system\bfwfErP.exe
Filesize
6.0MB

MD5
2a73ca90795356ede939644bc7c2df5f

SHA1
d6d3af86c8402de9a7282d99ce6b38ed72cf27c9

SHA256
7b94357803f5354161d4b989bbd7cdd4ebe43d2a837c64acbb9538f5dc467000

SHA512
418498339e883c9aa9d464a1ab9fafbb36afd6a5f25452689c9d911ed2af59b7de58ec78addd8a34e23aff23a5e6de1ebd4d3a04ded621600a3b3b8444a879b7

Download Submit
C:\Windows\system\blAkfRZ.exe
Filesize
6.0MB

MD5
90994e1017746384f605adddb0203cea

SHA1
df4f798e0beb49937d989be50f81868b2aec22ae

SHA256
dbd44f5404dea94307c618fff731cc97d3bdc279b481e79c9a12ca9a0cfa9185

SHA512
9680c7c089e58dfbfef02a1bc38ff52e879f459f1c76ce5fd7a876b8f496800d4e44d88f0aa797061192faf24bd1118867e9cbf9b6e25a9d62d0753285cd7eb5

Download Submit
C:\Windows\system\dgGOVAz.exe
Filesize
6.0MB

MD5
42fc1453675e72c64db3e26c10e7abb1

SHA1
d23cebee3c4d0517ff60822034a0eb2a36f4d5c4

SHA256
1e55a42c6ac6bcd71d9d1db55bfdb374547bff1f3a7e3e3afb3540bfad37f8cd

SHA512
d43fccc0ab0d6a0fcb86fc4d70f97371d1dfb2417c3d6e77855d3b43c187f90aec249cd8e8797230cfe1c314a59c2a48f6ea847234f8b8e688db8d54979fd3d1

Download Submit
C:\Windows\system\diWwdvs.exe
Filesize
6.0MB

MD5
d254394a9f9752b21d54e399375a1108

SHA1
648d72de0fcdffac1932ee36d44e3eeceaaf3728

SHA256
a2b2c3b5ca191f6d130136177d571a54941f502e8137d33382dd2a9de61052cb

SHA512
279a2f881b0fce0cfe6c58f13aed9ce3955d36279bbe44b8e5c74f2f637802ef3d989b7d316db42cf5496a1a9995952f93cee30c60c2767f28d0d26dbccd7cca

Download Submit
C:\Windows\system\ffJRoRx.exe
Filesize
6.0MB

MD5
4d1799424cf0b6c8635ba3991c9e2de5

SHA1
996785f97582e25eedcf60d702b6589bb5d55995

SHA256
a1f42ecd3463808516e0beccf91d3fca05ac9bb37b3078ac68ae783a3bc23c65

SHA512
0b85febf614c475c4046a684f8de5405edd259df2e19b6c04d5d6d0ddb655c1ea9b55733bc23317151a9cfef37d4265e4c54c686c40de6b9fd9c00909dc982b1

Download Submit
C:\Windows\system\kUJcOEM.exe
Filesize
6.0MB

MD5
3aab88303eb64a8823dcc8a27988fd32

SHA1
31f74f0c46c90a539c31118e33658d38183439fc

SHA256
d2c7a80f2b00f4ab8aa55597ab3a238bdaa429dd6b33ecb05fd06370a911df0b

SHA512
a181284122130cb877d812cb2706450239f3d87f7688a67b4a655b2a764ca2e38928a6ff46389ff1e48887db29c9adb0fcd33bec2c2ae340b9885c6d2998d069

Download Submit
C:\Windows\system\nMWwEQV.exe
Filesize
6.0MB

MD5
949da0857050e5866c1ff78beaf58e47

SHA1
ae198c7f439de5d9031534f99e3cfca313b515ad

SHA256
d7926f4ae1fea47dbbdb6dce8a72c257405ae34a8da8f61164cecfd69d9dd265

SHA512
15e82bcc40c54908d6f3a9256981163e7f0c9c10afec37390e4230a727acb551f764f8f16708c3a00a36f7d8778f1a366d52e47a474e623c47d9030752417901

Download Submit
C:\Windows\system\vHvTOqC.exe
Filesize
6.0MB

MD5
6c5662af41cd2f2d5281b9e671588b89

SHA1
75a4e7070ede1d2ef17658fcc9ddca021e7c3f25

SHA256
aac5764ccd4d535fb39556825a2230603cec622acb93ba6eb0b26e06fd7af0f3

SHA512
e957dc3f5222a96d1938e38997614cb5c68627f3ca69bad1c85f0ca74bc9e846e27b0272f4dfa217e9b711e9395734811e422c69b668fee1e21dd3f855809b82

Download Submit
C:\Windows\system\veGbZjB.exe
Filesize
6.0MB

MD5
32efa951d2f72aca2bc74703d1933ef3

SHA1
58a8f3e14a3113186b2b3d1fe58ec37bfe9f5596

SHA256
8aa625b61a3c5d79d3736b6af19ba3dad2d9f4f7e4232ea1cdeea173ac97f428

SHA512
be3e65298522c122e6a9ed717dfa471d1bbbb3f35f9b3a8fd998e85ff65a5355887dffa5758d812f4ce09e5498243404586b01896c544507284b6fd8f8127086

Download Submit
C:\Windows\system\xVaNoDL.exe
Filesize
6.0MB

MD5
b1bb5abb37b0e2cd25da008025a2c6a0

SHA1
d313fd5383f2d73cc6ef763c3573bf86a9e1cc75

SHA256
4aaaed69aca820721de3aa28774333e020079d466da7aa5741318b0a7f9bfd48

SHA512
c1044f9cbd8bb7087e095345a9cd6855e7fb508b1b5c2e7195c672c8fabcfd7bfc182edfbdd76a76b9a2f45448dc06b355029ca79e6cecd62eb2e25585ec0323

Download Submit
\Windows\system\BGxPjfY.exe
Filesize
6.0MB

MD5
6c87e4ea97d355588ac7691230cc77f7

SHA1
3281d2b8e835a071f43d4549145912b6ec440fb4

SHA256
b2a9ab9c4b879003ecbde7aa1bb611858c08909fc5374bd0bec319b4b4c0f772

SHA512
28b3ec4ad662093fee5b18f1747798b702c2566f641642ba02cf89b22e5885fbc7e96c940f91af7a296376b1de5b7c8ae36699ff42f81ca149cb2341d60fb260

Download Submit
\Windows\system\BvWaMWB.exe
Filesize
6.0MB

MD5
af0c01d976487cbf539071ad4ff9aca0

SHA1
43a4de101607f9326a8dc07f60e73ac2a3d4249b

SHA256
a2fcf63ea7f672bed5d2982c7e72311e64dbe52237872ab44c93215f789c20cc

SHA512
1c4c52316b90053e28585525201e76b3d353094e93619a0bfe105205fa45f11bc96de666c766660ba4d29e8b6b213578e51ce1c5c11c35a8b922269a5bdf614a

Download Submit
\Windows\system\CXwoAui.exe
Filesize
6.0MB

MD5
74e88e17cf7fd1b558d06157cc1b32cb

SHA1
5ca94aa7c53d7f1f12dbc35a075112b58ea7e903

SHA256
7f10ba2ded7536101c841de67abc5701fe127ccca62d54eba6a19dbb379ad2cb

SHA512
046f068b81793e4e67943da633d35a1fbe3d8fe1c85a743e37b848d0583924f5d683c8abd1aa6686b57bf80bfdc9c94d599987cb11096bf2aeb3e77b1796f3e4

Download Submit
\Windows\system\HKTpFKP.exe
Filesize
6.0MB

MD5
4641b274911596b905ef1aa0f984e199

SHA1
97f849c611004011d7676dacc31959a1d2181c6f

SHA256
d207a3b87655a1a8ef3e9ead7319c0f4ddc16b29f5de39b40ae26257338643a9

SHA512
0df423933d7546fc35f06ea353fd058fa6d965441d899903cf6ce93c50d66b6b219662d79c4d163725baa5455f35082d9a73eaa7568a995ce3f31840ce0d57a1

Download Submit
\Windows\system\MYyQukW.exe
Filesize
6.0MB

MD5
cd2fbfa6b88ed5673a71cd9eda912d8a

SHA1
3da0b565ae7334d8736a18fccf7e2ae2d234efc5

SHA256
7cb179b0842f07d8bea0d0d94f1a0fad49c4559a17ff17e22e74e07470c30995

SHA512
c1846be97176d90e811e10944ca61ccef2f4b37a6b03bc808e3ded905d1c8c14a742561dab00d40c1d91c5d1bf433b1ea7286948942fdce7a569301a188513bb

Download Submit
\Windows\system\SSVzoKI.exe
Filesize
6.0MB

MD5
1dfff81ade2d83f5c7dd381d4114fa51

SHA1
0f98cda9347c59f3aa1c7dfd1bf5a6f2e118551f

SHA256
b0d28ed2378dcd3083fde17ea104cbc37bbd39233c8566ed4cc81937736d027a

SHA512
aee72effe704df8947580c3f95f68e8b40de63a2bb96e91d73d0559299e1b0b61c7c43ed97037c75172ec9e1a812d0611d1c27fd11c034f2b717462dab8cc830

Download Submit
\Windows\system\VdSMJAC.exe
Filesize
6.0MB

MD5
ebb2c7fe63edec7f59190cab528bb991

SHA1
062e966b52abd027587e515b4344fd815a09a3e4

SHA256
2092043dba47e2448e78dda37e42f71055218edae3e08b8cda48981e5775dc25

SHA512
e34f4b60d79b8bd3aabf3ea4ce95dddb63623f123f302b1a06b42e602f0680769ec7911c3fed52256858d42db017484193686402064c62261fa8aee73b9def46

Download Submit
\Windows\system\XXhWvZA.exe
Filesize
6.0MB

MD5
b0a5c16fc98f4cd6d1706b8d568f0ef5

SHA1
28e5b10ae50af1552c747a615776bd8992fec732

SHA256
7d5e23ce05f961fbbd34c785a901d868b06ba413bac1e31537acf805088cd1ab

SHA512
d7e0bb8ba4edc15bb7664d23eefe4582fa911487afd33363325620f42f0dbfb9569913d951526fc0f4b7ddcf8327671082580cdc5f7338cb6b6367ad79dfcbf6

Download Submit
\Windows\system\XcDzQUJ.exe
Filesize
6.0MB

MD5
46d0ccd3446da0290a4a571977d0f9a2

SHA1
9c2cee23586804d402622a04717e1215abc3575c

SHA256
ac2b1552788b39db21a239448d7829325df50c567071eff81cd6f31cda899f98

SHA512
93cd8bec26dfacf7923c5a29939fb50f0622d27cea25a2fca1ab770ccec167eb270f312fc8eb1cd457133dda73f040dd85279766125e44cd2e3bc18c69b52b3f

Download Submit
\Windows\system\XzyCDks.exe
Filesize
6.0MB

MD5
b43e3d56752e1eeff1f928407f44d829

SHA1
ef2cce3a00d6c0ab0a8399f2b3c71e685715e11d

SHA256
c02828e8f2ac6c37b1ef6f139e95893c43f8b6a327544306f882b17f9f70b9de

SHA512
39e93eb2d4b217e38d29d2f0dd401f0453cef6b8f200f2b39cd1fb4011ab74369590ab295aa2496c5535bd5525160eac6a36d64beeb3e1b2dc38ddce117974fa

Download Submit
\Windows\system\ZpoYzrp.exe
Filesize
6.0MB

MD5
6f25166dad58a7ffb30880385284a216

SHA1
cbff73e271e8ba10a19059ffdb8f33f37e605b98

SHA256
f8e46b8a10c678c4169482897a2b7ab9e88c9a918463e8e6dcdb0cf535ed92f8

SHA512
4129595dea500b5d67e188fb2766179d009a7f3f8d86bd71951d9b5ca537e15116882497bfe744bf50680968cfdd4332085182674bfb260e983252ed511e284f

Download Submit
\Windows\system\cmlMmbR.exe
Filesize
6.0MB

MD5
72701519e34cb6c029652d49a11aa59b

SHA1
6f2bc1a11f3d62afec40c48be83a1063a99d51f7

SHA256
561f1dd9683e1d6fd9535214db0e73592eeb84463d2d9dc3a0d90eb9efe35dd8

SHA512
a471e5661c0041da2e92a7f10180aaf76239e10bf1f7ca59d9b837f6045eb91901d3e061f93df3afc81bd3a11486a6c08269c9cd2781d3a2115a72eae065fda9

Download Submit
\Windows\system\kuouusp.exe
Filesize
6.0MB

MD5
d5a98d568a534f0c38dc7c44577adb38

SHA1
8c5845373b5f7f8c66bcb96eee4edc94b7d5d61d

SHA256
5d3ba47fadb5d3f674ded977ff7b9b0e568d233fdcb4596360da9869c4ea9116

SHA512
314bd9ebacb2f4b6e720511ccdfc000d106e55977d58bb153b5c8cdf0a584f6b376160fb3d75b162b5da5c7ea3dae53dbbd8a27ba2a1890222b9fc5a0355a5ec

Download Submit
\Windows\system\pDcKGYc.exe
Filesize
6.0MB

MD5
6aea9ebd4e05614be0d1cf01eeeb73d9

SHA1
211821ebf7d1bb9ff7c4b7fe9df4b9f848773e7a

SHA256
c7fb0812bb133c659b3f29fa7ffa5ac794f07551a1155eb032a63a7a5e5e3a9d

SHA512
63be68b3c52f6bce9c0d04541168bc16bcad92cc48abeec8f9db23298a4af6e952a5a83f6faaa937ea25e7d5c90ece92da1885e9fcdbdafed539cc76d52c3ff9

Download Submit
\Windows\system\ttBgeBY.exe
Filesize
6.0MB

MD5
c4c4d93b4ee517ff6941a81716f36ed9

SHA1
95c033ef4736057c64fd2226bbd2cba93c661198

SHA256
f97e5f7dd4d621c79dbbbb70cdcddfe7bd372c24a4b00ad9187095c8ee6bc870

SHA512
cb2123ba43c1b7ec8fdb3e251539cc91fc745991fe1f316a9b30e5fe80f4e681a67e92e2321944cd95f4d0ab02711de0ce018132e4c84fb11577ce07c612cf0f

Download Submit
\Windows\system\vMuEIXk.exe
Filesize
6.0MB

MD5
6cea86d7fb1b18545e2ebcf265e26e0d

SHA1
fcf0782703d7b004ea1eaa3629fee5fab6f1b1b2

SHA256
99acd47f4323a093430d7fd4eb161de3455610324bdb71dd37989fbae1ffadf0

SHA512
6a615a78d125c8f28c2a73e5def61e3a0d76090a48736487ed817c1426ed3a5990503f02c64adcffd530d6ac39fafdefe89c7aa7ba03dfd57c3d9c481bebd72c

Download Submit
memory/1060-268-0x0000000002420000-0x0000000002774000-memory.dmp

Filesize
3.3MB

Download
memory/1060-624-0x000000013F490000-0x000000013F7E4000-memory.dmp

Filesize
3.3MB

Download
memory/1060-21-0x000000013F830000-0x000000013FB84000-memory.dmp

Filesize
3.3MB

Download
memory/1060-172-0x000000013F550000-0x000000013F8A4000-memory.dmp

Filesize
3.3MB

Download
memory/1060-37-0x000000013F3F0000-0x000000013F744000-memory.dmp

Filesize
3.3MB

Download
memory/1060-42-0x000000013F9F0000-0x000000013FD44000-memory.dmp

Filesize
3.3MB

Download
memory/1060-1-0x0000000000100000-0x0000000000110000-memory.dmp

Filesize
64KB

Download
memory/1060-0-0x000000013FD70000-0x00000001400C4000-memory.dmp

Filesize
3.3MB

Download
memory/2488-490-0x000000013F990000-0x000000013FCE4000-memory.dmp

Filesize
3.3MB

Download
memory/2500-136-0x000000013F9F0000-0x000000013FD44000-memory.dmp

Filesize
3.3MB

Download
memory/2536-553-0x000000013F550000-0x000000013F8A4000-memory.dmp

Filesize
3.3MB

Download
memory/2596-149-0x000000013F4C0000-0x000000013F814000-memory.dmp

Filesize
3.3MB

Download
memory/2712-380-0x000000013FA70000-0x000000013FDC4000-memory.dmp

Filesize
3.3MB

Download
memory/2992-38-0x000000013F3F0000-0x000000013F744000-memory.dmp

Filesize
3.3MB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads