Malware Analysis Report

2025-01-03 08:42

Sample ID 240504-1qqv3scc8z
Target 14482d720ca414b66340964da9d65036_JaffaCakes118
SHA256 b323df0d03003d63a31e6b6c629f261e70806df26772548346a98e74dff7795d
Tags
gandcrab backdoor ransomware
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

b323df0d03003d63a31e6b6c629f261e70806df26772548346a98e74dff7795d

Threat Level: Known bad

The file 14482d720ca414b66340964da9d65036_JaffaCakes118 was found to be: Known bad.

Malicious Activity Summary

gandcrab backdoor ransomware

GandCrab payload

Gandcrab

Gandcrab family

Program crash

Unsigned PE

Suspicious behavior: GetForegroundWindowSpam

Suspicious use of AdjustPrivilegeToken

Checks SCSI registry key(s)

Checks processor information in registry

Modifies registry class

Suspicious behavior: EnumeratesProcesses

Suspicious use of FindShellTrayWindow

Suspicious use of SendNotifyMessage

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-05-04 21:51

Signatures

GandCrab payload

Description Indicator Process Target
N/A N/A N/A N/A

Gandcrab family

gandcrab

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-05-04 21:51

Reported

2024-05-04 21:52

Platform

win10v2004-20240426-en

Max time kernel

78s

Max time network

77s

Command Line

"C:\Users\Admin\AppData\Local\Temp\14482d720ca414b66340964da9d65036_JaffaCakes118.exe"

Signatures

GandCrab payload

Description Indicator Process Target
N/A N/A N/A N/A

Gandcrab

ransomware backdoor gandcrab

Checks SCSI registry key(s)

Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000 C:\Windows\system32\taskmgr.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\Properties\{b725f130-47ef-101a-a5f1-02608c9eebac}\000A C:\Windows\system32\taskmgr.exe N/A
Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\FriendlyName C:\Windows\system32\taskmgr.exe N/A

Checks processor information in registry

Description Indicator Process Target
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\system32\taskmgr.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\system32\taskmgr.exe N/A

Modifies registry class

Description Indicator Process Target
Key created \REGISTRY\USER\S-1-5-21-1162180587-977231257-2194346871-1000_Classes\Local Settings C:\Windows\system32\taskmgr.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A

Suspicious behavior: GetForegroundWindowSpam

Description Indicator Process Target
N/A N/A C:\Windows\system32\taskmgr.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeDebugPrivilege N/A C:\Windows\system32\taskmgr.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\system32\taskmgr.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Windows\system32\taskmgr.exe N/A

Suspicious use of FindShellTrayWindow

Description Indicator Process Target
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A

Suspicious use of SendNotifyMessage

Description Indicator Process Target
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A
N/A N/A C:\Windows\system32\taskmgr.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\14482d720ca414b66340964da9d65036_JaffaCakes118.exe

"C:\Users\Admin\AppData\Local\Temp\14482d720ca414b66340964da9d65036_JaffaCakes118.exe"

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3016 -ip 3016

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3016 -s 344

C:\Windows\system32\taskmgr.exe

"C:\Windows\system32\taskmgr.exe" /4

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

C:\Windows\System32\t4pfwd.exe

"C:\Windows\System32\t4pfwd.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 g.bing.com udp
US 204.79.197.237:443 g.bing.com tcp
US 8.8.8.8:53 104.219.191.52.in-addr.arpa udp
US 8.8.8.8:53 237.197.79.204.in-addr.arpa udp
US 8.8.8.8:53 77.190.18.2.in-addr.arpa udp
US 8.8.8.8:53 75.159.190.20.in-addr.arpa udp
NL 23.62.61.144:443 www.bing.com tcp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 144.61.62.23.in-addr.arpa udp
NL 23.62.61.57:443 www.bing.com tcp
US 8.8.8.8:53 154.239.44.20.in-addr.arpa udp
US 8.8.8.8:53 57.61.62.23.in-addr.arpa udp
US 8.8.8.8:53 97.17.167.52.in-addr.arpa udp
US 8.8.8.8:53 183.59.114.20.in-addr.arpa udp
US 8.8.8.8:53 198.187.3.20.in-addr.arpa udp
US 8.8.8.8:53 79.190.18.2.in-addr.arpa udp

Files

memory/3016-0-0x000000000F080000-0x000000000F096000-memory.dmp

memory/3796-1-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-2-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-3-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-13-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-12-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-11-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-10-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-9-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-8-0x0000029F76330000-0x0000029F76331000-memory.dmp

memory/3796-7-0x0000029F76330000-0x0000029F76331000-memory.dmp