Malware Analysis Report

2024-11-16 13:36

Sample ID 240528-plqtqsed84
Target Уолтер Уайт звонит, прими звонок.exe
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
Tags
xworm execution persistence rat trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639

Threat Level: Known bad

The file Уолтер Уайт звонит, прими звонок.exe was found to be: Known bad.

Malicious Activity Summary

xworm execution persistence rat trojan

Xworm

Detect Xworm Payload

Command and Scripting Interpreter: PowerShell

Loads dropped DLL

Drops startup file

Checks computer location settings

Adds Run key to start application

Looks up external IP address via web service

Suspicious use of NtSetInformationThreadHideFromDebugger

Enumerates physical storage devices

Unsigned PE

Suspicious use of SetWindowsHookEx

Suspicious use of AdjustPrivilegeToken

Suspicious behavior: EnumeratesProcesses

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-05-28 12:25

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-05-28 12:25

Reported

2024-05-28 12:28

Platform

win7-20240220-en

Max time kernel

149s

Max time network

147s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Detect Xworm Payload

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Xworm

trojan rat xworm

Drops startup file

Description Indicator Process Target
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2721934792-624042501-2768869379-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Users\\Admin\\AppData\\Roaming\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Suspicious use of NtSetInformationThreadHideFromDebugger

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2764 wrote to memory of 2564 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2564 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2564 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2564 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2032 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2032 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2032 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2032 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2252 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2252 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2252 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 2764 wrote to memory of 2252 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Roaming\svchost.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'

Network

Country Destination Domain Proto
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp

Files

memory/2764-0-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-1-0x0000000000120000-0x0000000000121000-memory.dmp

memory/2764-2-0x000000007479E000-0x000000007479F000-memory.dmp

memory/2764-3-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-4-0x0000000074790000-0x0000000074E7E000-memory.dmp

memory/2764-5-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms

MD5 e91b09cd9f9c5db5230515422db73f60
SHA1 c76cf676ddb678df65e92b02c0e68af5ff068e07
SHA256 7cffe62aa4f93d3e67aed11baf1e85f8f75a08deb84349ec334586017bb9f82e
SHA512 1d699597f9c26230a32d08d40df42433cca18fdb37ef6f5c6baa8f5c8555da3058872a377404e2674a3f81788291de146f6c86a267e760b112b590188f3fdf71

\Users\Admin\AppData\Roaming\svchost.exe

MD5 125804856ef3d0de3e8af8c110b49f93
SHA1 5a6aab0ec49536fd531de79e8769f7c40c67003a
SHA256 a261eb0a0a1645eb704acc340579f4954677a9308a3a3fff7f18a8fa9fbe5639
SHA512 a91aa797093ac1cab925f889b9b9d2107c76441f207f7ffb6aec605b2ce11c324f75d0ded61eed2c089dd8c2c5eaa301402c3d0c59623f716f8bf6dbb736f8d3

memory/2764-28-0x00000000030D0000-0x00000000030E0000-memory.dmp

memory/2764-29-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-31-0x0000000000120000-0x0000000000121000-memory.dmp

memory/2764-30-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-32-0x000000007479E000-0x000000007479F000-memory.dmp

memory/2764-33-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-34-0x0000000074790000-0x0000000074E7E000-memory.dmp

memory/2764-35-0x00000000030D0000-0x00000000030E0000-memory.dmp

memory/2764-36-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-37-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-38-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-40-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-41-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-42-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-43-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-44-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-45-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-46-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

memory/2764-47-0x0000000000BC0000-0x0000000000FA0000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-05-28 12:25

Reported

2024-05-28 12:28

Platform

win10v2004-20240508-en

Max time kernel

149s

Max time network

153s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

Signatures

Detect Xworm Payload

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Xworm

trojan rat xworm

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-1337824034-2731376981-3755436523-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Drops startup file

Description Indicator Process Target
File created C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A
File opened for modification C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-1337824034-2731376981-3755436523-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Users\\Admin\\AppData\\Roaming\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Enumerates physical storage devices

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 3380 wrote to memory of 4008 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 4008 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 4008 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 2828 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 2828 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 2828 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 1180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 1180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 1180 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
PID 3380 wrote to memory of 3668 N/A C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe

"C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe"

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Local\Temp\Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Уолтер Уайт звонит, прими звонок.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Admin\AppData\Roaming\svchost.exe'

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'svchost.exe'

Network

Country Destination Domain Proto
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
US 8.8.8.8:53 183.142.211.20.in-addr.arpa udp
US 8.8.8.8:53 14.160.190.20.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
NL 23.62.61.75:443 www.bing.com tcp
US 8.8.8.8:53 75.61.62.23.in-addr.arpa udp
US 8.8.8.8:53 228.249.119.40.in-addr.arpa udp
US 8.8.8.8:53 183.59.114.20.in-addr.arpa udp
US 8.8.8.8:53 18.31.95.13.in-addr.arpa udp
US 8.8.8.8:53 134.71.91.104.in-addr.arpa udp
US 8.8.8.8:53 0.205.248.87.in-addr.arpa udp
US 8.8.8.8:53 205.47.74.20.in-addr.arpa udp
US 8.8.8.8:53 48.229.111.52.in-addr.arpa udp
US 8.8.8.8:53 43.58.199.20.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 204.79.197.200:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 1.112.95.208.in-addr.arpa udp
US 8.8.8.8:53 19.ip.gl.ply.gg udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp
US 8.8.8.8:53 19.221.185.147.in-addr.arpa udp
US 147.185.221.19:59926 19.ip.gl.ply.gg tcp

Files

memory/3380-0-0x0000000000440000-0x0000000000820000-memory.dmp

memory/3380-1-0x00000000008A0000-0x00000000008A1000-memory.dmp

memory/3380-2-0x0000000000440000-0x0000000000820000-memory.dmp

memory/3380-12-0x0000000073F4E000-0x0000000073F4F000-memory.dmp

memory/3380-13-0x0000000000440000-0x0000000000820000-memory.dmp

memory/3380-14-0x0000000007E50000-0x0000000007EEC000-memory.dmp

memory/3380-15-0x0000000007DB0000-0x0000000007E16000-memory.dmp

memory/3380-16-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-17-0x0000000002D70000-0x0000000002DA6000-memory.dmp

memory/4008-18-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-19-0x00000000058E0000-0x0000000005F08000-memory.dmp

memory/4008-20-0x00000000057E0000-0x0000000005802000-memory.dmp

memory/4008-21-0x0000000005F10000-0x0000000005F76000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\__PSScriptPolicyTest_zcb1ecjv.0yu.ps1

MD5 d17fe0a3f47be24a6453e9ef58c94641
SHA1 6ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA256 96ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA512 5b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82

memory/4008-31-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-32-0x0000000006040000-0x0000000006394000-memory.dmp

memory/4008-33-0x0000000006660000-0x000000000667E000-memory.dmp

memory/4008-34-0x00000000066B0000-0x00000000066FC000-memory.dmp

memory/3380-35-0x0000000000440000-0x0000000000820000-memory.dmp

memory/4008-36-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-37-0x0000000006C30000-0x0000000006C62000-memory.dmp

memory/4008-38-0x000000006F710000-0x000000006F75C000-memory.dmp

memory/4008-48-0x0000000007650000-0x000000000766E000-memory.dmp

memory/4008-49-0x0000000007670000-0x0000000007713000-memory.dmp

memory/4008-50-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-51-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/4008-53-0x00000000079B0000-0x00000000079CA000-memory.dmp

memory/4008-52-0x0000000007FF0000-0x000000000866A000-memory.dmp

memory/4008-54-0x0000000007A20000-0x0000000007A2A000-memory.dmp

memory/4008-55-0x0000000007C50000-0x0000000007CE6000-memory.dmp

memory/4008-56-0x0000000007BD0000-0x0000000007BE1000-memory.dmp

memory/4008-57-0x0000000007C00000-0x0000000007C0E000-memory.dmp

memory/4008-58-0x0000000007C10000-0x0000000007C24000-memory.dmp

memory/4008-59-0x0000000007D10000-0x0000000007D2A000-memory.dmp

memory/4008-60-0x0000000007CF0000-0x0000000007CF8000-memory.dmp

memory/4008-63-0x0000000073F40000-0x00000000746F0000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\powershell.exe.log

MD5 968cb9309758126772781b83adb8a28f
SHA1 8da30e71accf186b2ba11da1797cf67f8f78b47c
SHA256 92099c10776bb7e3f2a8d1b82d4d40d0c4627e4f1bf754a6e58dfd2c2e97042a
SHA512 4bd50732f8af4d688d95999bddfd296115d7033ddc38f86c9fb1f47fde202bffa27e9088bebcaa3064ca946af2f5c1ca6cbde49d0907f0005c7ab42874515dd3

memory/2828-65-0x0000000005950000-0x0000000005CA4000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 392f6add41e2643672fce8a42cc7a060
SHA1 d92718b6468ce162d98289bf0f0350e95e940c8c
SHA256 7595c605e70ec58a77b5aae3f991e0efb99ee83e90dc3ef506c3e8235cf0246b
SHA512 6ff64a8ce094071b7d5527fec1080e2ebdb3e8a5282f910e2963f0ce2e9f5a1068901b1376d13a350969464619779a68caac97e707fb04282a13e628ab8f258c

memory/2828-76-0x000000006F710000-0x000000006F75C000-memory.dmp

memory/1180-96-0x0000000006420000-0x0000000006774000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 ffc0e9ec78de0e25ac5189a690feff20
SHA1 2fafbc952e09f74251c5852d15c40c6f4a7e8aa5
SHA256 f0beaff7e99177325a5087635d38fe2929518ce722eab750f2e5592fa24f37cf
SHA512 d625c96bf58c20c0aec0f787aa48667bfa4201404518615180d4b2f550ce4008cdd0590c7e8188727dd8ed2a5066a35ae2863b214f78c68412c511b657d6de5d

memory/1180-98-0x000000006F710000-0x000000006F75C000-memory.dmp

C:\Users\Admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

MD5 00540c901929a65b2b58527ac404f46c
SHA1 918ffdb2fceb3890f911b4bc853ec505a2d5ab4d
SHA256 3fdd7bf4e57fa4482631e851592f512854dd3c286231aec7a4a1850e074bae8c
SHA512 b258cc0af20cdf1b9ea70db6325dfd8fe86d2b1f561d81fa4fe6e6b2d673fc339a4f58370718b814389ea0e2ce32f6de8e94d2fa5e5b183b22696e6cfe32453f

memory/3668-119-0x000000006F710000-0x000000006F75C000-memory.dmp

memory/3380-134-0x0000000000440000-0x0000000000820000-memory.dmp

memory/3380-135-0x0000000073F4E000-0x0000000073F4F000-memory.dmp

memory/3380-136-0x000000000A900000-0x000000000A992000-memory.dmp

memory/3380-137-0x000000000AF50000-0x000000000B4F4000-memory.dmp

memory/3380-138-0x0000000073F40000-0x00000000746F0000-memory.dmp

memory/3380-139-0x0000000000440000-0x0000000000820000-memory.dmp

memory/3380-140-0x0000000000440000-0x0000000000820000-memory.dmp