Analysis
-
max time kernel
133s -
max time network
124s -
platform
windows10-2004_x64 -
resource
win10v2004-20240508-en -
resource tags
arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system -
submitted
23-05-2024 01:13
Static task
static1
Behavioral task
behavioral1
Sample
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
Resource
win7-20240508-en
Behavioral task
behavioral2
Sample
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
Resource
win10v2004-20240508-en
General
-
Target
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
-
Size
722KB
-
MD5
b4d30842f7791c314b5793b467e2e40c
-
SHA1
4fd12e0aa4c9843ff3b42aaf3c2efccb94d76124
-
SHA256
8048e53dd3e484c96e5f586ab9e4152a173364144ad9a50baa050222f61d3a9e
-
SHA512
3a3ff969fafcc390654e02ef1bb37687dd797fdcb96a9574e5d1e5166b548b75569bcbc2ef4fb78d784c1b0dd987c2e79988e17bc09d636952143dc047444c4e
-
SSDEEP
12288:+jv732EXsNCjClPiCrybSHcPw+DN53qPIfm6JIqQXElHnsKptYP9ciE8b7PXVj:qb2w6la4fAiPI+6CElHntfYPaiE8b7tj
Malware Config
Signatures
-
Program crash 1 IoCs
Processes:
WerFault.exepid pid_target process target process 1636 2592 WerFault.exe Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe -
Suspicious behavior: EnumeratesProcesses 10 IoCs
Processes:
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exepid process 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe -
Suspicious use of AdjustPrivilegeToken 1 IoCs
Processes:
Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exedescription pid process Token: SeDebugPrivilege 2592 Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe"C:\Users\Admin\AppData\Local\Temp\Pliego+Tcnico+-+Desmontaje+de+puerta+y+.exe"1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2592 -s 12122⤵
- Program crash
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 376 -p 2592 -ip 25921⤵
Network
MITRE ATT&CK Matrix
Replay Monitor
Loading Replay Monitor...
Downloads
-
memory/2592-0-0x0000000074CAE000-0x0000000074CAF000-memory.dmpFilesize
4KB
-
memory/2592-1-0x0000000000A10000-0x0000000000ACA000-memory.dmpFilesize
744KB
-
memory/2592-2-0x0000000005A50000-0x0000000005FF4000-memory.dmpFilesize
5.6MB
-
memory/2592-3-0x00000000054A0000-0x0000000005532000-memory.dmpFilesize
584KB
-
memory/2592-4-0x0000000005630000-0x000000000563A000-memory.dmpFilesize
40KB
-
memory/2592-5-0x0000000074CA0000-0x0000000075450000-memory.dmpFilesize
7.7MB
-
memory/2592-6-0x0000000007E40000-0x0000000007EFA000-memory.dmpFilesize
744KB
-
memory/2592-7-0x0000000007F20000-0x0000000007F42000-memory.dmpFilesize
136KB
-
memory/2592-8-0x000000000A5B0000-0x000000000A5BC000-memory.dmpFilesize
48KB
-
memory/2592-9-0x0000000002E00000-0x0000000002E10000-memory.dmpFilesize
64KB
-
memory/2592-10-0x00000000068B0000-0x0000000006934000-memory.dmpFilesize
528KB
-
memory/2592-11-0x000000000B660000-0x000000000B6FC000-memory.dmpFilesize
624KB
-
memory/2592-12-0x0000000074CAE000-0x0000000074CAF000-memory.dmpFilesize
4KB
-
memory/2592-13-0x0000000074CA0000-0x0000000075450000-memory.dmpFilesize
7.7MB
-
memory/2592-14-0x0000000074CA0000-0x0000000075450000-memory.dmpFilesize
7.7MB