xmrig | 2957708f7f60f394ea3504b974107c4130d94f12e5c1c72d318700408bcd3a40

Analysis

max time kernel
10s
max time network
1s
platform
windows7_x64
resource
win7-20240215-en
resource tags

arch:x64arch:x86image:win7-20240215-enlocale:en-usos:windows7-x64system
submitted
10/06/2024, 04:54

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2957708f7f60f394ea3504b974107c4130d94f12e5c1c72d318700408bcd3a40.exe
Size

1.9MB
MD5

2b997d2a2564c4e95a058ddf631a3b6f
SHA1

7596dea72b4b24f08c1725fe0e5a7b9230385759
SHA256

2957708f7f60f394ea3504b974107c4130d94f12e5c1c72d318700408bcd3a40
SHA512

517466f8a403b2eeb79354185c779cf29b6d778a5b9025f7fdf747293cd53f419f5198b78b9ec2a94d581a5e2bb96b1bec7b153416672b2314d8296e3532f761
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcqkeBWF3WAv4op8MDu7EdN4scYTKYNY4s9:knw9oUUEEDl37jcqMHdqsceYj

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

UPX dump on OEP (original entry point) 10 IoCs

resource	yara_rule
behavioral1/memory/2228-2-0x000000013F070000-0x000000013F461000-memory.dmp	UPX
behavioral1/files/0x000d000000014323-5.dat	UPX
behavioral1/files/0x0007000000014b10-26.dat	UPX
behavioral1/files/0x0006000000015c9c-61.dat	UPX
behavioral1/files/0x0006000000015cd9-76.dat	UPX
behavioral1/memory/2660-81-0x000000013F1B0000-0x000000013F5A1000-memory.dmp	UPX
behavioral1/files/0x0006000000015d0c-100.dat	UPX
behavioral1/files/0x0006000000015d24-109.dat	UPX
behavioral1/files/0x0006000000016476-159.dat	UPX
behavioral1/files/0x0006000000016a6f-180.dat	UPX

XMRig Miner payload 2 IoCs

miner

resource	yara_rule
behavioral1/memory/2660-81-0x000000013F1B0000-0x000000013F5A1000-memory.dmp	xmrig
behavioral1/memory/2652-88-0x000000013F980000-0x000000013FD71000-memory.dmp	xmrig

UPX packed file 11 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/memory/2228-2-0x000000013F070000-0x000000013F461000-memory.dmp	upx
behavioral1/files/0x000d000000014323-5.dat	upx
behavioral1/files/0x0007000000014b10-26.dat	upx
behavioral1/files/0x0006000000015c9c-61.dat	upx
behavioral1/files/0x0006000000015cd9-76.dat	upx
behavioral1/memory/2660-81-0x000000013F1B0000-0x000000013F5A1000-memory.dmp	upx
behavioral1/memory/2652-88-0x000000013F980000-0x000000013FD71000-memory.dmp	upx
behavioral1/files/0x0006000000015d0c-100.dat	upx
behavioral1/files/0x0006000000015d24-109.dat	upx
behavioral1/files/0x0006000000016476-159.dat	upx
behavioral1/files/0x0006000000016a6f-180.dat	upx

C:\Users\Admin\AppData\Local\Temp\2957708f7f60f394ea3504b974107c4130d94f12e5c1c72d318700408bcd3a40.exe
"C:\Users\Admin\AppData\Local\Temp\2957708f7f60f394ea3504b974107c4130d94f12e5c1c72d318700408bcd3a40.exe"
1⤵
PID:2228
- C:\Windows\System32\ikEWGvi.exe
  C:\Windows\System32\ikEWGvi.exe
  2⤵
  PID:2748
- C:\Windows\System32\OHHJCnM.exe
  C:\Windows\System32\OHHJCnM.exe
  2⤵
  PID:1768
- C:\Windows\System32\uxqVlqV.exe
  C:\Windows\System32\uxqVlqV.exe
  2⤵
  PID:1580
- C:\Windows\System32\eZfIsuJ.exe
  C:\Windows\System32\eZfIsuJ.exe
  2⤵
  PID:768
- C:\Windows\System32\UicTjhg.exe
  C:\Windows\System32\UicTjhg.exe
  2⤵
  PID:2244
- C:\Windows\System32\iGWUBWb.exe
  C:\Windows\System32\iGWUBWb.exe
  2⤵
  PID:1636
- C:\Windows\System32\dvXJVfo.exe
  C:\Windows\System32\dvXJVfo.exe
  2⤵
  PID:308
- C:\Windows\System32\lNtsZUL.exe
  C:\Windows\System32\lNtsZUL.exe
  2⤵
  PID:1656
- C:\Windows\System32\rhaNqJa.exe
  C:\Windows\System32\rhaNqJa.exe
  2⤵
  PID:2160
- C:\Windows\System32\tPYtyer.exe
  C:\Windows\System32\tPYtyer.exe
  2⤵
  PID:348
- C:\Windows\System32\ESvbRNp.exe
  C:\Windows\System32\ESvbRNp.exe
  2⤵
  PID:1256
- C:\Windows\System32\fwvsyIU.exe
  C:\Windows\System32\fwvsyIU.exe
  2⤵
  PID:2464
- C:\Windows\System32\YmJjBFx.exe
  C:\Windows\System32\YmJjBFx.exe
  2⤵
  PID:2264
- C:\Windows\System32\glGYSoY.exe
  C:\Windows\System32\glGYSoY.exe
  2⤵
  PID:1732
- C:\Windows\System32\FAwNpwd.exe
  C:\Windows\System32\FAwNpwd.exe
  2⤵
  PID:2116
- C:\Windows\System32\eXmZeBx.exe
  C:\Windows\System32\eXmZeBx.exe
  2⤵
  PID:3028
- C:\Windows\System32\hrlRPsX.exe
  C:\Windows\System32\hrlRPsX.exe
  2⤵
  PID:1168
- C:\Windows\System32\ixdwfeO.exe
  C:\Windows\System32\ixdwfeO.exe
  2⤵
  PID:844
- C:\Windows\System32\TPGNqfN.exe
  C:\Windows\System32\TPGNqfN.exe
  2⤵
  PID:1792
- C:\Windows\System32\AzLdbTw.exe
  C:\Windows\System32\AzLdbTw.exe
  2⤵
  PID:1068
- C:\Windows\System32\eLJmMzO.exe
  C:\Windows\System32\eLJmMzO.exe
  2⤵
  PID:1332
- C:\Windows\System32\tIzfPnf.exe
  C:\Windows\System32\tIzfPnf.exe
  2⤵
  PID:1340
- C:\Windows\System32\VbvSgHj.exe
  C:\Windows\System32\VbvSgHj.exe
  2⤵
  PID:2156
- C:\Windows\System32\EsqpVEv.exe
  C:\Windows\System32\EsqpVEv.exe
  2⤵
  PID:3016
- C:\Windows\System32\HKGDVYY.exe
  C:\Windows\System32\HKGDVYY.exe
  2⤵
  PID:2300
- C:\Windows\System32\ijieiwI.exe
  C:\Windows\System32\ijieiwI.exe
  2⤵
  PID:1808
- C:\Windows\System32\ZxDqmEO.exe
  C:\Windows\System32\ZxDqmEO.exe
  2⤵
  PID:1132
- C:\Windows\System32\LgpztDV.exe
  C:\Windows\System32\LgpztDV.exe
  2⤵
  PID:2124
- C:\Windows\System32\sAZzQof.exe
  C:\Windows\System32\sAZzQof.exe
  2⤵
  PID:2588
- C:\Windows\System32\tWbCtLy.exe
  C:\Windows\System32\tWbCtLy.exe
  2⤵
  PID:2540
- C:\Windows\System32\SWBSgtY.exe
  C:\Windows\System32\SWBSgtY.exe
  2⤵
  PID:2852
- C:\Windows\System32\ZHWVTDg.exe
  C:\Windows\System32\ZHWVTDg.exe
  2⤵
  PID:1904
- C:\Windows\System32\tuYTTFS.exe
  C:\Windows\System32\tuYTTFS.exe
  2⤵
  PID:2768
- C:\Windows\System32\KzURQSU.exe
  C:\Windows\System32\KzURQSU.exe
  2⤵
  PID:352
- C:\Windows\System32\Rvefqot.exe
  C:\Windows\System32\Rvefqot.exe
  2⤵
  PID:1516
- C:\Windows\System32\JCVUdwE.exe
  C:\Windows\System32\JCVUdwE.exe
  2⤵
  PID:1812
- C:\Windows\System32\hyAebVY.exe
  C:\Windows\System32\hyAebVY.exe
  2⤵
  PID:1892
- C:\Windows\System32\GKeOFpi.exe
  C:\Windows\System32\GKeOFpi.exe
  2⤵
  PID:1176
- C:\Windows\System32\NELgtox.exe
  C:\Windows\System32\NELgtox.exe
  2⤵
  PID:972
- C:\Windows\System32\DbTmAgV.exe
  C:\Windows\System32\DbTmAgV.exe
  2⤵
  PID:2020
- C:\Windows\System32\pxJKutY.exe
  C:\Windows\System32\pxJKutY.exe
  2⤵
  PID:1736
- C:\Windows\System32\fwVkXks.exe
  C:\Windows\System32\fwVkXks.exe
  2⤵
  PID:2180
- C:\Windows\System32\Bcbpfem.exe
  C:\Windows\System32\Bcbpfem.exe
  2⤵
  PID:2384
- C:\Windows\System32\bTISaNC.exe
  C:\Windows\System32\bTISaNC.exe
  2⤵
  PID:2628
- C:\Windows\System32\NHFfMbQ.exe
  C:\Windows\System32\NHFfMbQ.exe
  2⤵
  PID:1632
- C:\Windows\System32\CITbqlU.exe
  C:\Windows\System32\CITbqlU.exe
  2⤵
  PID:1828
- C:\Windows\System32\FSgneBl.exe
  C:\Windows\System32\FSgneBl.exe
  2⤵
  PID:2944
- C:\Windows\System32\kNDGnLd.exe
  C:\Windows\System32\kNDGnLd.exe
  2⤵
  PID:2968
- C:\Windows\System32\rWwWILR.exe
  C:\Windows\System32\rWwWILR.exe
  2⤵
  PID:1140
- C:\Windows\System32\ePHBVzW.exe
  C:\Windows\System32\ePHBVzW.exe
  2⤵
  PID:2604
- C:\Windows\System32\GesbSTc.exe
  C:\Windows\System32\GesbSTc.exe
  2⤵
  PID:2760
- C:\Windows\System32\gIaFZfh.exe
  C:\Windows\System32\gIaFZfh.exe
  2⤵
  PID:1952
- C:\Windows\System32\zKXqqiu.exe
  C:\Windows\System32\zKXqqiu.exe
  2⤵
  PID:1616
- C:\Windows\System32\nDTZgLs.exe
  C:\Windows\System32\nDTZgLs.exe
  2⤵
  PID:2036
- C:\Windows\System32\LXRtqSd.exe
  C:\Windows\System32\LXRtqSd.exe
  2⤵
  PID:2196
- C:\Windows\System32\YGAplfQ.exe
  C:\Windows\System32\YGAplfQ.exe
  2⤵
  PID:2636
- C:\Windows\System32\jLwxrHr.exe
  C:\Windows\System32\jLwxrHr.exe
  2⤵
  PID:2740
- C:\Windows\System32\oqjWvgk.exe
  C:\Windows\System32\oqjWvgk.exe
  2⤵
  PID:3708
- C:\Windows\System32\JUTqDzE.exe
  C:\Windows\System32\JUTqDzE.exe
  2⤵
  PID:4076
- C:\Windows\System32\zVLEnPp.exe
  C:\Windows\System32\zVLEnPp.exe
  2⤵
  PID:4092
- C:\Windows\System32\AMSxqnO.exe
  C:\Windows\System32\AMSxqnO.exe
  2⤵
  PID:2712
- C:\Windows\System32\eiAFTSF.exe
  C:\Windows\System32\eiAFTSF.exe
  2⤵
  PID:2120
- C:\Windows\System32\tgrFhZx.exe
  C:\Windows\System32\tgrFhZx.exe
  2⤵
  PID:2916
- C:\Windows\System32\QalWchH.exe
  C:\Windows\System32\QalWchH.exe
  2⤵
  PID:3096
- C:\Windows\System32\SzNmDrG.exe
  C:\Windows\System32\SzNmDrG.exe
  2⤵
  PID:3136
- C:\Windows\System32\FfmDZbZ.exe
  C:\Windows\System32\FfmDZbZ.exe
  2⤵
  PID:4112
- C:\Windows\System32\DtKssHT.exe
  C:\Windows\System32\DtKssHT.exe
  2⤵
  PID:4128
- C:\Windows\System32\CWkhcFu.exe
  C:\Windows\System32\CWkhcFu.exe
  2⤵
  PID:4144
- C:\Windows\System32\wrodKYJ.exe
  C:\Windows\System32\wrodKYJ.exe
  2⤵
  PID:4160
- C:\Windows\System32\qiPhdDg.exe
  C:\Windows\System32\qiPhdDg.exe
  2⤵
  PID:4176
- C:\Windows\System32\fkLtZTk.exe
  C:\Windows\System32\fkLtZTk.exe
  2⤵
  PID:4192
- C:\Windows\System32\dupvVBN.exe
  C:\Windows\System32\dupvVBN.exe
  2⤵
  PID:4208
- C:\Windows\System32\ahJgqhv.exe
  C:\Windows\System32\ahJgqhv.exe
  2⤵
  PID:4224
- C:\Windows\System32\fyTBFun.exe
  C:\Windows\System32\fyTBFun.exe
  2⤵
  PID:4240
- C:\Windows\System32\UCmODob.exe
  C:\Windows\System32\UCmODob.exe
  2⤵
  PID:4256
- C:\Windows\System32\AOABbbZ.exe
  C:\Windows\System32\AOABbbZ.exe
  2⤵
  PID:4576
- C:\Windows\System32\WXwCWmT.exe
  C:\Windows\System32\WXwCWmT.exe
  2⤵
  PID:4604
- C:\Windows\System32\hXIYzfu.exe
  C:\Windows\System32\hXIYzfu.exe
  2⤵
  PID:4620
- C:\Windows\System32\SMvpwCc.exe
  C:\Windows\System32\SMvpwCc.exe
  2⤵
  PID:4636
- C:\Windows\System32\pyiuHYD.exe
  C:\Windows\System32\pyiuHYD.exe
  2⤵
  PID:4652
- C:\Windows\System32\xmjWMCX.exe
  C:\Windows\System32\xmjWMCX.exe
  2⤵
  PID:4668
- C:\Windows\System32\qbffcdN.exe
  C:\Windows\System32\qbffcdN.exe
  2⤵
  PID:4684
- C:\Windows\System32\JQeONJE.exe
  C:\Windows\System32\JQeONJE.exe
  2⤵
  PID:4700
- C:\Windows\System32\tnjAfuA.exe
  C:\Windows\System32\tnjAfuA.exe
  2⤵
  PID:4720
- C:\Windows\System32\WjeZVko.exe
  C:\Windows\System32\WjeZVko.exe
  2⤵
  PID:4736
- C:\Windows\System32\QJJMfWL.exe
  C:\Windows\System32\QJJMfWL.exe
  2⤵
  PID:4752
- C:\Windows\System32\TZqDucj.exe
  C:\Windows\System32\TZqDucj.exe
  2⤵
  PID:4768
- C:\Windows\System32\biNwTQK.exe
  C:\Windows\System32\biNwTQK.exe
  2⤵
  PID:4784
- C:\Windows\System32\NVSkaXh.exe
  C:\Windows\System32\NVSkaXh.exe
  2⤵
  PID:4800
- C:\Windows\System32\KhVVRZh.exe
  C:\Windows\System32\KhVVRZh.exe
  2⤵
  PID:4820
- C:\Windows\System32\fvzUrqo.exe
  C:\Windows\System32\fvzUrqo.exe
  2⤵
  PID:4836
- C:\Windows\System32\GcjMmPX.exe
  C:\Windows\System32\GcjMmPX.exe
  2⤵
  PID:4852
- C:\Windows\System32\hgrHEOI.exe
  C:\Windows\System32\hgrHEOI.exe
  2⤵
  PID:4868
- C:\Windows\System32\fskNnqu.exe
  C:\Windows\System32\fskNnqu.exe
  2⤵
  PID:4884
- C:\Windows\System32\RnOGBFp.exe
  C:\Windows\System32\RnOGBFp.exe
  2⤵
  PID:4900
- C:\Windows\System32\eEEceLe.exe
  C:\Windows\System32\eEEceLe.exe
  2⤵
  PID:4920
- C:\Windows\System32\VDeTUYb.exe
  C:\Windows\System32\VDeTUYb.exe
  2⤵
  PID:4936
- C:\Windows\System32\kdqUGJl.exe
  C:\Windows\System32\kdqUGJl.exe
  2⤵
  PID:4952
- C:\Windows\System32\HSZXWzG.exe
  C:\Windows\System32\HSZXWzG.exe
  2⤵
  PID:4968
- C:\Windows\System32\usBfJOz.exe
  C:\Windows\System32\usBfJOz.exe
  2⤵
  PID:4984
- C:\Windows\System32\YCTZfCt.exe
  C:\Windows\System32\YCTZfCt.exe
  2⤵
  PID:5004
- C:\Windows\System32\NBznZzE.exe
  C:\Windows\System32\NBznZzE.exe
  2⤵
  PID:5020
- C:\Windows\System32\cWsRRPX.exe
  C:\Windows\System32\cWsRRPX.exe
  2⤵
  PID:5036
- C:\Windows\System32\CMalkqF.exe
  C:\Windows\System32\CMalkqF.exe
  2⤵
  PID:5056
- C:\Windows\System32\MESZscW.exe
  C:\Windows\System32\MESZscW.exe
  2⤵
  PID:5072
- C:\Windows\System32\JtSVljC.exe
  C:\Windows\System32\JtSVljC.exe
  2⤵
  PID:5088
- C:\Windows\System32\VpwVmFr.exe
  C:\Windows\System32\VpwVmFr.exe
  2⤵
  PID:5104
- C:\Windows\System32\zAJWCFi.exe
  C:\Windows\System32\zAJWCFi.exe
  2⤵
  PID:1060
- C:\Windows\System32\VzcpyTV.exe
  C:\Windows\System32\VzcpyTV.exe
  2⤵
  PID:684
- C:\Windows\System32\Hpojgus.exe
  C:\Windows\System32\Hpojgus.exe
  2⤵
  PID:3256
- C:\Windows\System32\RDtfqYJ.exe
  C:\Windows\System32\RDtfqYJ.exe
  2⤵
  PID:3420
- C:\Windows\System32\MCpFKGI.exe
  C:\Windows\System32\MCpFKGI.exe
  2⤵
  PID:3484
- C:\Windows\System32\IyDFFmU.exe
  C:\Windows\System32\IyDFFmU.exe
  2⤵
  PID:3880
- C:\Windows\System32\dTGuFwM.exe
  C:\Windows\System32\dTGuFwM.exe
  2⤵
  PID:3268
- C:\Windows\System32\wDYRGFW.exe
  C:\Windows\System32\wDYRGFW.exe
  2⤵
  PID:3404
- C:\Windows\System32\yfyxkDv.exe
  C:\Windows\System32\yfyxkDv.exe
  2⤵
  PID:3472
- C:\Windows\System32\DEIbUGd.exe
  C:\Windows\System32\DEIbUGd.exe
  2⤵
  PID:3504
- C:\Windows\System32\shRdDSB.exe
  C:\Windows\System32\shRdDSB.exe
  2⤵
  PID:3600
- C:\Windows\System32\tUZkKGM.exe
  C:\Windows\System32\tUZkKGM.exe
  2⤵
  PID:3668
- C:\Windows\System32\tflsaab.exe
  C:\Windows\System32\tflsaab.exe
  2⤵
  PID:3772
- C:\Windows\System32\pTroBQq.exe
  C:\Windows\System32\pTroBQq.exe
  2⤵
  PID:3836
- C:\Windows\System32\SuMjPih.exe
  C:\Windows\System32\SuMjPih.exe
  2⤵
  PID:3968
- C:\Windows\System32\BKAGlqY.exe
  C:\Windows\System32\BKAGlqY.exe
  2⤵
  PID:4036
- C:\Windows\System32\uzzjNQj.exe
  C:\Windows\System32\uzzjNQj.exe
  2⤵
  PID:1880
- C:\Windows\System32\xzJuBwi.exe
  C:\Windows\System32\xzJuBwi.exe
  2⤵
  PID:4124
- C:\Windows\System32\CVLpECF.exe
  C:\Windows\System32\CVLpECF.exe
  2⤵
  PID:4220
- C:\Windows\System32\Dyoonps.exe
  C:\Windows\System32\Dyoonps.exe
  2⤵
  PID:4308
- C:\Windows\System32\DGqsqNp.exe
  C:\Windows\System32\DGqsqNp.exe
  2⤵
  PID:4344
- C:\Windows\System32\SVvXHPn.exe
  C:\Windows\System32\SVvXHPn.exe
  2⤵
  PID:4232
- C:\Windows\System32\wtfazLg.exe
  C:\Windows\System32\wtfazLg.exe
  2⤵
  PID:4288
- C:\Windows\System32\CqYIbip.exe
  C:\Windows\System32\CqYIbip.exe
  2⤵
  PID:3988
- C:\Windows\System32\vhBrDYs.exe
  C:\Windows\System32\vhBrDYs.exe
  2⤵
  PID:4388
- C:\Windows\System32\dUArCqf.exe
  C:\Windows\System32\dUArCqf.exe
  2⤵
  PID:4408
- C:\Windows\System32\eYAXfdj.exe
  C:\Windows\System32\eYAXfdj.exe
  2⤵
  PID:4452
- C:\Windows\System32\VrGzLZX.exe
  C:\Windows\System32\VrGzLZX.exe
  2⤵
  PID:4508
- C:\Windows\System32\kVKKjFb.exe
  C:\Windows\System32\kVKKjFb.exe
  2⤵
  PID:4536
- C:\Windows\System32\HWWcqNF.exe
  C:\Windows\System32\HWWcqNF.exe
  2⤵
  PID:4392
- C:\Windows\System32\wEqXFQX.exe
  C:\Windows\System32\wEqXFQX.exe
  2⤵
  PID:4436
- C:\Windows\System32\rwZEXgy.exe
  C:\Windows\System32\rwZEXgy.exe
  2⤵
  PID:4464
- C:\Windows\System32\wAVFEgD.exe
  C:\Windows\System32\wAVFEgD.exe
  2⤵
  PID:4492
- C:\Windows\System32\jufebcU.exe
  C:\Windows\System32\jufebcU.exe
  2⤵
  PID:4512
- C:\Windows\System32\CdilOJo.exe
  C:\Windows\System32\CdilOJo.exe
  2⤵
  PID:4524
- C:\Windows\System32\TlTzJqK.exe
  C:\Windows\System32\TlTzJqK.exe
  2⤵
  PID:4272
- C:\Windows\System32\ULfryCw.exe
  C:\Windows\System32\ULfryCw.exe
  2⤵
  PID:2400
- C:\Windows\System32\mBXafKo.exe
  C:\Windows\System32\mBXafKo.exe
  2⤵
  PID:340
- C:\Windows\System32\sGreaqn.exe
  C:\Windows\System32\sGreaqn.exe
  2⤵
  PID:4632
- C:\Windows\System32\vPOSEDT.exe
  C:\Windows\System32\vPOSEDT.exe
  2⤵
  PID:4828
- C:\Windows\System32\NJuxjBM.exe
  C:\Windows\System32\NJuxjBM.exe
  2⤵
  PID:4644
- C:\Windows\System32\nxKuouq.exe
  C:\Windows\System32\nxKuouq.exe
  2⤵
  PID:4728
- C:\Windows\System32\yiTuhpS.exe
  C:\Windows\System32\yiTuhpS.exe
  2⤵
  PID:4680
- C:\Windows\System32\iAbFYIT.exe
  C:\Windows\System32\iAbFYIT.exe
  2⤵
  PID:4964
- C:\Windows\System32\FXZlHFK.exe
  C:\Windows\System32\FXZlHFK.exe
  2⤵
  PID:4696
- C:\Windows\System32\owCDzgs.exe
  C:\Windows\System32\owCDzgs.exe
  2⤵
  PID:4808
- C:\Windows\System32\cFrGvrQ.exe
  C:\Windows\System32\cFrGvrQ.exe
  2⤵
  PID:4848
- C:\Windows\System32\hKHjUcP.exe
  C:\Windows\System32\hKHjUcP.exe
  2⤵
  PID:5000
- C:\Windows\System32\pGCoiOE.exe
  C:\Windows\System32\pGCoiOE.exe
  2⤵
  PID:4776
- C:\Windows\System32\NAcVwqo.exe
  C:\Windows\System32\NAcVwqo.exe
  2⤵
  PID:5096
- C:\Windows\System32\kfJRSvm.exe
  C:\Windows\System32\kfJRSvm.exe
  2⤵
  PID:3188
- C:\Windows\System32\qMKGPnV.exe
  C:\Windows\System32\qMKGPnV.exe
  2⤵
  PID:5048
- C:\Windows\System32\iIVLyjT.exe
  C:\Windows\System32\iIVLyjT.exe
  2⤵
  PID:3488
- C:\Windows\System32\boUxrWA.exe
  C:\Windows\System32\boUxrWA.exe
  2⤵
  PID:3552
- C:\Windows\System32\nWePmRN.exe
  C:\Windows\System32\nWePmRN.exe
  2⤵
  PID:3688
- C:\Windows\System32\fCDVMaH.exe
  C:\Windows\System32\fCDVMaH.exe
  2⤵
  PID:3864
- C:\Windows\System32\scHRoos.exe
  C:\Windows\System32\scHRoos.exe
  2⤵
  PID:4528
- C:\Windows\System32\subSLEd.exe
  C:\Windows\System32\subSLEd.exe
  2⤵
  PID:4312
- C:\Windows\System32\tlOyDLl.exe
  C:\Windows\System32\tlOyDLl.exe
  2⤵
  PID:4324
- C:\Windows\System32\qIqVnxg.exe
  C:\Windows\System32\qIqVnxg.exe
  2⤵
  PID:4748
- C:\Windows\System32\ezsBIBb.exe
  C:\Windows\System32\ezsBIBb.exe
  2⤵
  PID:4664
- C:\Windows\System32\nzeWxYh.exe
  C:\Windows\System32\nzeWxYh.exe
  2⤵
  PID:4676
- C:\Windows\System32\QGbJXeX.exe
  C:\Windows\System32\QGbJXeX.exe
  2⤵
  PID:2728
- C:\Windows\System32\xCVRsEX.exe
  C:\Windows\System32\xCVRsEX.exe
  2⤵
  PID:4780
- C:\Windows\System32\TqzEgjO.exe
  C:\Windows\System32\TqzEgjO.exe
  2⤵
  PID:4976
- C:\Windows\System32\iBykyaJ.exe
  C:\Windows\System32\iBykyaJ.exe
  2⤵
  PID:3184
- C:\Windows\System32\znNozcs.exe
  C:\Windows\System32\znNozcs.exe
  2⤵
  PID:2792
- C:\Windows\System32\VUNisjH.exe
  C:\Windows\System32\VUNisjH.exe
  2⤵
  PID:3220
- C:\Windows\System32\VoNqVDk.exe
  C:\Windows\System32\VoNqVDk.exe
  2⤵
  PID:3368
- C:\Windows\System32\QAmLpGS.exe
  C:\Windows\System32\QAmLpGS.exe
  2⤵
  PID:4440
- C:\Windows\System32\VoMfDBD.exe
  C:\Windows\System32\VoMfDBD.exe
  2⤵
  PID:3316
- C:\Windows\System32\wHGbZoy.exe
  C:\Windows\System32\wHGbZoy.exe
  2⤵
  PID:3656
- C:\Windows\System32\kQTEtcw.exe
  C:\Windows\System32\kQTEtcw.exe
  2⤵
  PID:2220
- C:\Windows\System32\emzKwba.exe
  C:\Windows\System32\emzKwba.exe
  2⤵
  PID:3436

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CruojFj.exe

Filesize
1.6MB

MD5
0622f4ea2cc094cd2f76765b2d86914d

SHA1
5def4f371242857792bcc915d157410ab534bb90

SHA256
30e048d78ff1831e162d39e84e5801779736700656cf4af45ee9523a8b73c36d

SHA512
8adcef6accf53b86fff02634d8d1204d76c91c922a4649cbf9927b55ad43d4d33ab932411adab9d0caebb062cc027f0f851c421dc8fa560133995221389bbec6

Download Submit
C:\Windows\System32\DSkTBJG.exe

Filesize
1.9MB

MD5
2b2e3efe219cc2cbffe2185b1ef7cc94

SHA1
1de96305e1d58243fd759796e3eda0e356c22db5

SHA256
4206bbbcb1416d420de59c0fc4c864741e6bf622b6bd7f1e255fb7a6bf501510

SHA512
66af8471840b67200b2b9dd76f2b0bd36c0a4533d710e504520efc231c1b5927fdb99edb0d37d73a2c9c9645270ef001883e01ee5a6cbf1fd2a48c5bc4190f05

Download Submit
C:\Windows\System32\ElrwCtY.exe

Filesize
1.2MB

MD5
8449b36068ec6cfedfd1451651f9c0ff

SHA1
3142d370ec9101cd8b364e84c20f690e2315d13b

SHA256
ee7e9a7d3ec3f1e677172c2cd7c541d94dcab14a95cf31db657c12bf0825b5ab

SHA512
dd5e620027ddaa4a47c0d88402b3bb4acefb6f8261ba48239e34a3e140d2eac68075a9d56ac37067f0b067dc20887bd8b015acc2ee73b7fcaa11f2e4871b7263

Download Submit
C:\Windows\System32\NLPtGkB.exe

Filesize
1.9MB

MD5
3e718fe0f9bd0e5df99d7acad9e58742

SHA1
38fcbfd26d9088e0c9c85399ff19e00fa410c6f4

SHA256
893cd85e9c7240ce70f34817ef0e3bca1e767277e200955f7e12b72d1915994c

SHA512
25e74973d78dd462d5305dc09711d59797038cdc283b24a5fb4362918c64054cf69edfb4cb4b2e0e14232741e6978f6f33cadc399cfaedb951fb8575f9e827c1

Download Submit
C:\Windows\System32\cuInFlm.exe

Filesize
1.9MB

MD5
ea05cd7017bf5f7edf05ba7b6983d4a0

SHA1
f33b4f8b0dd8da9bef4a595a4fde55d5e83ce0e2

SHA256
f4af6e54c3a0027bb61f5d2127ef0eb5c35186388f65a116eb2f427252579a5f

SHA512
dfa8c530466d2036a00baeec4fb1568366183d7c4d8171d858409467e5197a8c1f9a591946617c0140391d93b56c577333376db96fdb96ec909ed9096294194a

Download Submit
C:\Windows\System32\rMPcQjC.exe

Filesize
1.9MB

MD5
322c96505a0134ed4f254a1816c3fefa

SHA1
3b5beb79f3340dced51e5280d9c4a038a64ecf3c

SHA256
ae620283c9013743707b8a4d62f5cf9a3863960e394ab89bb4c43794a242c7c4

SHA512
e1c84f60878ade3d54826dd3d2379623b8490785ddc6710fcd3c3ae8395b4b402982b3cd0618eec560e91ae7b9c163dbed4b67a6f3ad1f83846e2fe9efa0c139

Download Submit
\Windows\System32\IXmqJFH.exe

Filesize
1.9MB

MD5
55ddca77d2e8aeee48a05c5167bb865f

SHA1
cc91fa4b24cb4d34433069350e7df88d2439d6b4

SHA256
5f33b68f04e91741cbb3ba9650ea0f049ce9b4b73910f95884cd2c3395234ec2

SHA512
c7730ccc9d66930458ed5782ebb524823359a8817f7d7971028c8b011e870f2e2fb4d0bc2d0fe785122282c932c103454bbe533c6bfac98ab89813b87d119107

Download Submit
\Windows\System32\QkXlreX.exe

Filesize
1.9MB

MD5
9fd581de553c1a300a8eea5d0d8c60f3

SHA1
eae7ba5554098815d92c0d94dd2e4a2f72d21526

SHA256
c972078ba1deda09c5ba40fdbc187d7c79bc50eb8caa9f95343b31bb3ed7e452

SHA512
1108476bf18604194e324a1e48e711cabe7345f53d0687b5cb56d9e02c9c79b2e225aee4bc182c080f982320b9b6dde44cb8a09ee12777c833440bfceb5fd2cc

Download Submit
memory/2228-97-0x000000013FEB0000-0x00000001402A1000-memory.dmp

Filesize
3.9MB

Download
memory/2228-2-0x000000013F070000-0x000000013F461000-memory.dmp

Filesize
3.9MB

Download
memory/2228-0-0x0000000000080000-0x0000000000090000-memory.dmp

Filesize
64KB

Download
memory/2652-88-0x000000013F980000-0x000000013FD71000-memory.dmp

Filesize
3.9MB

Download
memory/2660-81-0x000000013F1B0000-0x000000013F5A1000-memory.dmp

Filesize
3.9MB

Download