Malware Analysis Report

2024-11-16 13:36

Sample ID 240528-hnxazabb66
Target Уолтер Уайт звонит, прими звонок.exe
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
Tags
xworm execution persistence rat trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639

Threat Level: Known bad

The file Уолтер Уайт звонит, прими звонок.exe was found to be: Known bad.

Malicious Activity Summary

xworm execution persistence rat trojan

Xworm

Detect Xworm Payload

Command and Scripting Interpreter: PowerShell

Drops startup file

Loads dropped DLL

Checks computer location settings

Looks up external IP address via web service

Adds Run key to start application

Suspicious use of NtSetInformationThreadHideFromDebugger

Unsigned PE

Enumerates physical storage devices

Suspicious use of AdjustPrivilegeToken

Suspicious use of WriteProcessMemory

Suspicious behavior: EnumeratesProcesses

Suspicious use of SetWindowsHookEx

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-05-28 06:53

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-05-28 06:53

Reported

2024-05-28 06:56

Platform

win7-20240221-en

Max time kernel

147s

Max time network

151s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Detect Xworm Payload

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Xworm

trojan rat xworm

Drops startup file

Description Indicator Process Target
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-3452737119-3959686427-228443150-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Users\\Admin\\AppData\\Roaming\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 3000 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2392 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2424 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2424 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2424 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2424 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2460 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2460 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2460 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2460 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2028 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2028 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2028 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3000 wrote to memory of 2028 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Roaming\svchost.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'

Network

Country Destination Domain Proto
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp

Files

memory/3000-0-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-1-0x0000000000160000-0x0000000000161000-memory.dmp

memory/3000-2-0x000000007452E000-0x000000007452F000-memory.dmp

memory/3000-3-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-5-0x0000000074520000-0x0000000074C0E000-memory.dmp

memory/3000-4-0x0000000000C80000-0x0000000001060000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\69M5JSMQN3FMIYXWYHXC.temp

MD5 d732e9299c4f0049763f4dedc7412ec2
SHA1 fb239e83249b88e8c21ee645e8f235c37f06c78a
SHA256 853dd638d9efbad4eb95971e7199bdb7ed3b3efc0f643bb6fcad3594be426b37
SHA512 c31dfa5bd06364d478f9477500d593aff7ac2e254df144a806ef1f6d4a516add5c135f096943b39bb8f26ea8e8a12129389636c197f468afb66084a1368d59f4

\Users\Admin\AppData\Roaming\svchost.exe

MD5 125804856ef3d0de3e8af8c110b49f93
SHA1 5a6aab0ec49536fd531de79e8769f7c40c67003a
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
SHA512 a91aa797093ac1cab925f889b9b9d2107c76441f207f7ffb6aec605b2ce11c324f75d0ded61eed2c089dd8c2c5eaa301402c3d0c59623f716f8bf6dbb736f8d3

memory/3000-29-0x00000000039F0000-0x0000000003A00000-memory.dmp

memory/3000-28-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-30-0x0000000000160000-0x0000000000161000-memory.dmp

memory/3000-31-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-32-0x000000007452E000-0x000000007452F000-memory.dmp

memory/3000-33-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-34-0x0000000074520000-0x0000000074C0E000-memory.dmp

memory/3000-35-0x00000000039F0000-0x0000000003A00000-memory.dmp

memory/3000-36-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-37-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-38-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-40-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-41-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-42-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-43-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-44-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-45-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-46-0x0000000000C80000-0x0000000001060000-memory.dmp

memory/3000-47-0x0000000000C80000-0x0000000001060000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-05-28 06:53

Reported

2024-05-28 06:56

Platform

win10v2004-20240426-en

Max time kernel

149s

Max time network

152s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Detect Xworm Payload

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Xworm

trojan rat xworm

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-3906287020-2915474608-1755617787-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Drops startup file

Description Indicator Process Target
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-3906287020-2915474608-1755617787-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Users\\Admin\\AppData\\Roaming\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2384 wrote to memory of 3484 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 3484 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 3484 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 3356 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 3356 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 3356 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 772 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 772 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 772 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 4644 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 4644 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2384 wrote to memory of 4644 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Roaming\svchost.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'

Network

Country Destination Domain Proto
US 8.8.8.8:53 0.204.248.87.in-addr.arpa udp
US 8.8.8.8:53 28.118.140.52.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 73.31.126.40.in-addr.arpa udp
US 8.8.8.8:53 196.249.167.52.in-addr.arpa udp
US 8.8.8.8:53 86.23.85.13.in-addr.arpa udp
US 8.8.8.8:53 171.39.242.20.in-addr.arpa udp
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 1.112.95.208.in-addr.arpa udp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 8.8.8.8:53 19.221.185.147.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 8.8.8.8:53 udp

Files

memory/2384-0-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-1-0x0000000000BC0000-0x0000000000BC1000-memory.dmp

memory/2384-2-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-5-0x0000000073C3E000-0x0000000073C3F000-memory.dmp

memory/2384-6-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-7-0x0000000005C80000-0x0000000005D1C000-memory.dmp

memory/2384-8-0x0000000005D20000-0x0000000005D86000-memory.dmp

memory/2384-9-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-10-0x0000000002CA0000-0x0000000002CD6000-memory.dmp

memory/3484-12-0x0000000005930000-0x0000000005F58000-memory.dmp

memory/3484-11-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-13-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-14-0x0000000005800000-0x0000000005822000-memory.dmp

memory/3484-15-0x00000000058A0000-0x0000000005906000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_z5wqlaye.gqg.ps1

MD5 d17fe0a3f47be24a6453e9ef58c94641
SHA1 6ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA256 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA512 5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

memory/3484-16-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-26-0x0000000006250000-0x00000000065A4000-memory.dmp

memory/3484-27-0x00000000065F0000-0x000000000660E000-memory.dmp

memory/3484-28-0x0000000006620000-0x000000000666C000-memory.dmp

memory/3484-30-0x0000000007790000-0x00000000077C2000-memory.dmp

memory/3484-41-0x0000000007770000-0x000000000778E000-memory.dmp

memory/2384-29-0x0000000000150000-0x0000000000530000-memory.dmp

memory/3484-31-0x000000006F400000-0x000000006F44C000-memory.dmp

memory/3484-43-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-42-0x00000000077D0000-0x0000000007873000-memory.dmp

memory/3484-44-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-45-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/3484-47-0x0000000007900000-0x000000000791A000-memory.dmp

memory/3484-46-0x0000000007F40000-0x00000000085BA000-memory.dmp

memory/3484-48-0x0000000007970000-0x000000000797A000-memory.dmp

memory/3484-49-0x0000000007B80000-0x0000000007C16000-memory.dmp

memory/3484-50-0x0000000007B00000-0x0000000007B11000-memory.dmp

memory/3484-51-0x0000000007B30000-0x0000000007B3E000-memory.dmp

memory/3484-52-0x0000000007B40000-0x0000000007B54000-memory.dmp

memory/3484-53-0x0000000007C40000-0x0000000007C5A000-memory.dmp

memory/3484-54-0x0000000007C20000-0x0000000007C28000-memory.dmp

memory/3484-57-0x0000000073C30000-0x00000000743E0000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\powershell.exe.log

MD5 968cb9309758126772781b83adb8a28f
SHA1 8da30e71accf186b2ba11da1797cf67f8f78b47c
SHA256 92099c10776bb7e3f2a8d1b82d4d40d0c4627e4f1bf754a6e58dfd2c2e97042a
SHA512 4bd50732f8af4d688d95999bddfd296115d7033ddc38f86c9fb1f47fde202bffa27e9088bebcaa3064ca946af2f5c1ca6cbde49d0907f0005c7ab42874515dd3

memory/3356-64-0x0000000005F10000-0x0000000006264000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 9e436860fa977e1d28c035698c39514f
SHA1 e1cdf296badea370cd8612bdf069e8be75417415
SHA256 b8180c8ed034e7b04479c6c0706544969668aada99b588e750998939c8779e34
SHA512 5d93e8012551e0d106793e46a49efdfd6fccd0210d7adb7b37ab7bdad96b0344bc0baf5dabb850f5bcb28c3cd874f92eb580266efb710af647fcf48b7e260d9f

memory/3356-70-0x000000006F400000-0x000000006F44C000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 f60a483865be3910f88b4c6bcc99f0d1
SHA1 d980ad609d63082c3cab56374aba678d2243b802
SHA256 700d6fd98aa0858e4f8f1c8aa46020f07749437243fecaf66eb46fb7348d019d
SHA512 0f02b32597509499700f7d111f1df8b397a7745dcecef0b1fabdcbbb1731b485a1a5472b430c47e3303ff954e7e934b528d52cf64cd23004da4993e8daf96ef7

memory/772-91-0x000000006F400000-0x000000006F44C000-memory.dmp

memory/4644-111-0x0000000005AD0000-0x0000000005E24000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 1eab15930ab2c65db59748aac94fc573
SHA1 dccd4c44e78602e5dde1ff8d11da6209521e0ca1
SHA256 30e4c3adc1e1b724d8333e62d4bc177e02e5b0710cbf85a0594b4088b3b2323f
SHA512 d72b84e47cb39bbe7cad6f185cba337fdd6957617dab84c721cd9c8f7823116daf80b9c3e6494ea95f6d46970b823e6b80ee1e9a4b71412399a8a11ef05b8980

memory/4644-113-0x000000006F400000-0x000000006F44C000-memory.dmp

memory/2384-129-0x0000000073C3E000-0x0000000073C3F000-memory.dmp

memory/2384-128-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-130-0x0000000073C30000-0x00000000743E0000-memory.dmp

memory/2384-131-0x000000000A610000-0x000000000A6A2000-memory.dmp

memory/2384-132-0x000000000AC60000-0x000000000B204000-memory.dmp

memory/2384-133-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-134-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-135-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-136-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-138-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-139-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-140-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-141-0x0000000000150000-0x0000000000530000-memory.dmp

memory/2384-142-0x0000000000150000-0x0000000000530000-memory.dmp