Analysis
-
max time kernel
121s -
max time network
122s -
platform
windows7_x64 -
resource
win7-20240508-en -
resource tags
arch:x64arch:x86image:win7-20240508-enlocale:en-usos:windows7-x64system -
submitted
23-05-2024 01:13
Static task
static1
Behavioral task
behavioral1
Sample
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
Resource
win7-20240508-en
Behavioral task
behavioral2
Sample
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
Resource
win10v2004-20240508-en
General
-
Target
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
-
Size
722KB
-
MD5
b4d30842f7791c314b5793b467e2e40c
-
SHA1
4fd12e0aa4c9843ff3b42aaf3c2efccb94d76124
-
SHA256
8048e53dd3e484c96e5f586ab9e4152a173364144ad9a50baa050222f61d3a9e
-
SHA512
3a3ff969fafcc390654e02ef1bb37687dd797fdcb96a9574e5d1e5166b548b75569bcbc2ef4fb78d784c1b0dd987c2e79988e17bc09d636952143dc047444c4e
-
SSDEEP
12288:+jv732EXsNCjClPiCrybSHcPw+DN53qPIfm6JIqQXElHnsKptYP9ciE8b7PXVj:qb2w6la4fAiPI+6CElHntfYPaiE8b7tj
Malware Config
Signatures
-
Program crash 1 IoCs
Processes:
WerFault.exepid pid_target process target process 2404 2136 WerFault.exe Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe -
Suspicious behavior: EnumeratesProcesses 9 IoCs
Processes:
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exepid process 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exedescription pid process Token: SeDebugPrivilege 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe -
Suspicious use of WriteProcessMemory 4 IoCs
Processes:
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exedescription pid process target process PID 2136 wrote to memory of 2404 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe WerFault.exe PID 2136 wrote to memory of 2404 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe WerFault.exe PID 2136 wrote to memory of 2404 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe WerFault.exe PID 2136 wrote to memory of 2404 2136 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe WerFault.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe"C:\Users\Admin\AppData\Local\Temp\Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe"1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2136 -s 7282⤵
- Program crash
Network
MITRE ATT&CK Matrix
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/2136-0-0x00000000742AE000-0x00000000742AF000-memory.dmpFilesize
4KB
-
memory/2136-1-0x0000000000900000-0x00000000009BA000-memory.dmpFilesize
744KB
-
memory/2136-2-0x00000000742A0000-0x000000007498E000-memory.dmpFilesize
6.9MB
-
memory/2136-3-0x0000000005900000-0x00000000059BA000-memory.dmpFilesize
744KB
-
memory/2136-4-0x00000000004C0000-0x00000000004E2000-memory.dmpFilesize
136KB
-
memory/2136-5-0x00000000004A0000-0x00000000004AC000-memory.dmpFilesize
48KB
-
memory/2136-6-0x00000000005E0000-0x00000000005F0000-memory.dmpFilesize
64KB
-
memory/2136-7-0x000000000D180000-0x000000000D204000-memory.dmpFilesize
528KB
-
memory/2136-8-0x00000000742AE000-0x00000000742AF000-memory.dmpFilesize
4KB
-
memory/2136-9-0x00000000742A0000-0x000000007498E000-memory.dmpFilesize
6.9MB