Analysis Overview
SHA256
44beca4107263dd406893a7c9f46e716bcfd121c41c15130a868f2345d5143f2
Threat Level: Known bad
The file bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118 was found to be: Known bad.
Malicious Activity Summary
Modifies WinLogon for persistence
Darkcomet family
Darkcomet
Drops file in Drivers directory
Sets file to hidden
Loads dropped DLL
Executes dropped EXE
Checks computer location settings
Adds Run key to start application
Drops file in System32 directory
Unsigned PE
Enumerates physical storage devices
Suspicious use of AdjustPrivilegeToken
Modifies registry class
Suspicious use of WriteProcessMemory
Views/modifies file attributes
MITRE ATT&CK Matrix V13
Analysis: static1
Detonation Overview
Reported
2024-06-18 06:57
Signatures
Darkcomet family
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-06-18 06:57
Reported
2024-06-18 06:59
Platform
win7-20240221-en
Max time kernel
144s
Max time network
120s
Command Line
Signatures
Darkcomet
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Drops file in Drivers directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Sets file to hidden
Executes dropped EXE
Loads dropped DLL
Adds Run key to start application
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2297530677-1229052932-2803917579-1000\Software\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
Enumerates physical storage devices
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
Views/modifies file attributes
Processes
C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
Network
Files
memory/2080-0-0x00000000002E0000-0x00000000002E1000-memory.dmp
\Windows\SysWOW64\Windupdt\shell32.exe
| MD5 | bb32e1af9a4bfa8e3cf473ad54354eb9 |
| SHA1 | 55428fad1677ddd437fcb798baac234c99de7b59 |
| SHA256 | 44beca4107263dd406893a7c9f46e716bcfd121c41c15130a868f2345d5143f2 |
| SHA512 | 7750bcad505a96382e9c7652faac3f2d27cf38242aedcfb89bb3989eea4d0a68dffc3b4c326123360572bb6b1751a2c03dbadf76951148e8348a6cfcd84a4c0c |
memory/2080-12-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 2025fb9261f92eb74eba9e76e3156bc2 |
| SHA1 | ee6df8e68db250a5baaa71c8488935f573e44384 |
| SHA256 | b7b38bf5ec4a5912684b7f149ad73acdc508ff8b09266f38d14d3da5982f408f |
| SHA512 | 0d781324b2013a93974fef04822453c3febef86dd5cffbd06ef8fc8ede71f4bcde4e41a0a15e8dd6fff509020daee0fcfafb7dbf8352de809a5b72c9f72c714e |
memory/2656-18-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 0f60034b97d86dc774130e8511278531 |
| SHA1 | 0418bcf04b3bcb357ab985f1c0b7cfd3e73ff3ff |
| SHA256 | 592c96d77c913e99f7e63108363283e16d8c71e864570a1d6b1f70d4f1816eca |
| SHA512 | 19fb10716949774e733403c6e823d7a758406dfa40ae7555e57156a0775a523ef8ded4724cf6097502e566c1f83990b5e7945db46ea1254290b71ab24c1ccdc3 |
memory/2392-25-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 200d1a52619900333cfb69eab8a13136 |
| SHA1 | f9ee19ae497f673dc99f8ccf5ed36a63927b6a68 |
| SHA256 | 93dfce859e502028176435d3fe56ce7e385b39303066857bde2e09f42f5b86ef |
| SHA512 | 295afac683ca9726298a377e6baf32e8fe9a5e8e0e2b49261da7e49e10917a48ced5b12734f9dd4d9ee9e1f8bfaa16ad7bb3a4e6a3be0ea685806cc0e3e4e10b |
memory/1396-31-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | b9e214c8341338cf19722a511eb94d69 |
| SHA1 | ea5a00cde38a54cda4f287389514a25aa7312748 |
| SHA256 | 4e3caca72ee62ef26f01f267b9489b7d41db4b782becebbe32a9897561fdf2cb |
| SHA512 | 4dd89b40276967f2397f2d3c09a89f9ab278647932b90f9ad40dd2731f6d60dd766bbff1306a3b35d0e28a6d4aafce79115ec8561b80ea4d1d0d67de7e8bc8d6 |
memory/1824-37-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | ec3fc17816909f36ade0feaedf124f8c |
| SHA1 | 05ba7aa1f12ed72f85e4fc7983c0e33fa11e494e |
| SHA256 | 946f5e3c95715843bf3ca08a11d58bdbbbad872d3af8f4644cfa81881dd5dd3b |
| SHA512 | b38a5996dd96832099375291c9aa7c7db587d1481dadaf75d8cf8c282f949d5f0102dbd6309d2239ece0ceff63458891b56a8e73cf0eb19ce395f05092883ad8 |
memory/2296-42-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 5671f283c3623a072fe186fe043301d2 |
| SHA1 | 06ceda8bddf86bd07b01638d46fab9835eb640c7 |
| SHA256 | b011b261370fa812ad641a04f58ea381210875798efc0c687ecd409c2b96f677 |
| SHA512 | a80ac877fdae791288b8ea08a8f7819c2f16563c2ab1f12644a1d34d5f0077761d1fbd82ad4bcf167a2519e72d03405aa7929a5590e2502df05a8a042e096694 |
memory/760-49-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 63321d89f7ff587934df55b4d7800bac |
| SHA1 | 7b165112c5e9e73e4243505b5263ec0f756fbd28 |
| SHA256 | dcfe9a4739aec0c469b11c307704c45fb97f68948389b1effef2e3392eee993a |
| SHA512 | 8b30490003b4a27dd8736006d94c522578451a72792acbbfb8abc30e132dbb54469dfe114cc16e094d53a8dc56f8b314faf35d9c14f617a3f803711cca8a4883 |
memory/2400-54-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 6d786bd1aa7de25518c30f2965aa3c81 |
| SHA1 | cb6d5d2641d2ae965ba1aa1f3ebd90c4bbb62cb4 |
| SHA256 | 61f9591a57c8072486516edd70dcb1db1aab72bd274b806ae7a5368f27f2de3a |
| SHA512 | fa5266e95881ca54b49f06ec0f57ef14cd3185f34e2c1e1f3f0c4b7d5fc636b99ffb91ce6ed48c71ea7dd873a6ca1a3e5be710ef6b60074f8cb7bc23a0ab8010 |
memory/960-61-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | f436e1e4274fdcea997f88e7f6bcecdd |
| SHA1 | 2e7ceaa4ecc8507b11edf7f3cc8164075f3ff8c9 |
| SHA256 | 85ceb2a48e1daddab5603834bdfbc242b90032e0360d808d8b21b2fa952a9973 |
| SHA512 | bd2846d50b67d8abbb6be487e288752a8d2ad9798613726027ab91f6584df71f090dc6bf836e01d2efa0833f2fa600e810ff2dcef9991f272a45ff31102d22d2 |
memory/904-66-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | a1d15bf7487573996c30e4fe05d0569b |
| SHA1 | 2e6216fd75bfa3df4c1161aaff787a09a0ffe117 |
| SHA256 | b7e863521ed21a6f4dede6dd9a9714a38a63ce39d78c872c89b1b3a1767b37a0 |
| SHA512 | 9dee609bdea4deb48a345b3ab9e0a705bd19403202f119438339546b4876aef8d3716cbe5a98f27c055ee1b76eef9069c0a9bbd126ae3e56dffbd591d506d916 |
memory/2592-73-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 6f06a28ffd2f798bd246f7742ce1f506 |
| SHA1 | b035c19d44e234927550470f1150438636c34da6 |
| SHA256 | 65b11ccc98aedaec82c6726ca11cbf870df8973b2ec1a76abd93ad39674e28bd |
| SHA512 | 09e9ea1d550cce9913d9c172926d07914cb53cb431b542ef7d06ba58fa773a8e4f316b780718d0580aa74818c7709655355cd91efd30d698c81ace05bf6b5e3c |
memory/3064-79-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | a592958337ed0a20799aea1380458f61 |
| SHA1 | 66a4f3f0a61ada67b7bce8380cfbf045b8a72b46 |
| SHA256 | 7af93a3ae335d64d7e87f7a875619f95809bae26a2570d91099bebba25b71aea |
| SHA512 | 8d36cfa090dcdf3c13a9811d349957863775e1cc1b56e53b13c0bb60bdfe93282b8ba60c09c4ca2c2b10892e083c042be3b2f17a3d31e5a774f33715d018f705 |
memory/2624-85-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | b51a44e13770b8320d5ec570c0b883ee |
| SHA1 | a248a4ac25953b402419f9576b397c7ce4689876 |
| SHA256 | 7f095aaa86e15ad97d2435db999a09f66425848ebd26604b751a996543627cc5 |
| SHA512 | a861fdbb15a0ec306e66ff85b1f7be94d6f5addf9ebc97a45a50e5af77f369a59b62fbad03d6e8c7ff66a7625dad86b522fe89916566187cf9f416b004188f43 |
memory/1336-88-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2324-90-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2424-92-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2980-94-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2972-96-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2828-98-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2520-100-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2644-102-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2244-104-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/556-106-0x0000000000400000-0x00000000004BD000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-06-18 06:57
Reported
2024-06-18 06:59
Platform
win10v2004-20240611-en
Max time kernel
149s
Max time network
150s
Command Line
Signatures
Darkcomet
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe,C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Drops file in Drivers directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\system32\drivers\etc\hosts | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Sets file to hidden
Checks computer location settings
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Executes dropped EXE
Adds Run key to start application
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2080292272-204036150-2159171770-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell32.dll = "C:\\Windows\\system32\\Windupdt\\shell32.exe" | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\shell32.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Windupdt\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Enumerates physical storage devices
Modifies registry class
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\Windupdt\shell32.exe | N/A |
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
Views/modifies file attributes
Processes
C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp\bb32e1af9a4bfa8e3cf473ad54354eb9_JaffaCakes118.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt\shell32.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\Windupdt" +s +h
C:\Windows\SysWOW64\Windupdt\shell32.exe
"C:\Windows\system32\Windupdt\shell32.exe"
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | g.bing.com | udp |
| US | 204.79.197.237:443 | g.bing.com | tcp |
| BE | 88.221.83.179:443 | www.bing.com | tcp |
| US | 8.8.8.8:53 | 172.210.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 22.160.190.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 26.35.223.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 179.83.221.88.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 157.123.68.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 206.23.85.13.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 183.59.114.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 86.23.85.13.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 0.205.248.87.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 138.107.17.2.in-addr.arpa | udp |
| US | 52.111.227.13:443 | tcp | |
| US | 8.8.8.8:53 | 172.214.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 23.236.111.52.in-addr.arpa | udp |
Files
memory/2932-0-0x00000000009A0000-0x00000000009A1000-memory.dmp
C:\Windows\SysWOW64\Windupdt\shell32.exe
| MD5 | bb32e1af9a4bfa8e3cf473ad54354eb9 |
| SHA1 | 55428fad1677ddd437fcb798baac234c99de7b59 |
| SHA256 | 44beca4107263dd406893a7c9f46e716bcfd121c41c15130a868f2345d5143f2 |
| SHA512 | 7750bcad505a96382e9c7652faac3f2d27cf38242aedcfb89bb3989eea4d0a68dffc3b4c326123360572bb6b1751a2c03dbadf76951148e8348a6cfcd84a4c0c |
memory/2932-35-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/4536-36-0x0000000002270000-0x0000000002271000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | bb122c2305a19e51299ee9a8b7a9a2df |
| SHA1 | 75cafa2f072775f6f70e8dce0bc6b6a3fe611c8a |
| SHA256 | 2bfabe13158fe8a6689c4cc2d634475fb4e85e5aa2ba8d2eb1246f3deee4a4de |
| SHA512 | fef90fa3306024c4beb9e7dad2bf88a4ae19660cbb7fe8c17d1c7f3a42d6532bb922cc31985f023e06396be3816a4c597ea51b168ceca7d3c796a253410b0b75 |
memory/4536-40-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | bdb34133ebff4cb96f78bf79299c39cd |
| SHA1 | f878a7a5b03dd69bda5c1be4ad642956257821a0 |
| SHA256 | fad3564e8fd6f1654ad559c94849cc2f8155e6c5fd4291e0ccdf0b1fa6f781b6 |
| SHA512 | 3ac4cf318e934d1702e237ff2c350dfb13f83358485cc800abd11b65c1c8d10916fa25ce3ffff57346ce474f3a30236f100cf5d540b14e00781b70a9a613f281 |
memory/4068-44-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 2d9864dd5ef84c6c2b2c06c0abd46339 |
| SHA1 | 8884b02d25a84251a707096f278bd085387d0414 |
| SHA256 | 70ab029cf3bde8d002c858b80008ca5f61003310da41d58b6548426a3795e400 |
| SHA512 | 71c4bb27b2b5278d39e44039b5d23d3986f41f951aac2d61420fa72f9e507d479c24b8e802d62aca87d38027bcc272d6d5cea008553c6248c4c31fe1c48d1810 |
memory/3960-48-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 6c8147c55e3c1df759864c9681379c2f |
| SHA1 | fb72e2b10605e6148e0fdeb6480f446da699c8d2 |
| SHA256 | 002ba91992590a88a03b4ee616cb69d7def5825fd086c8f7b9268db96a9931a5 |
| SHA512 | feeddba7d039672b0f4e64b3d2054d3901bb5cee64af077aeadcd3efea2a8a93525873e21c720dc429a1151be25bf7c1cbc23d80919e42b60271bc6b57968553 |
memory/3892-52-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 30ed3a0da738b22ed0736bf1d3d83d99 |
| SHA1 | 14906c94dc35384f52ae997a7f907dfed45ad4e7 |
| SHA256 | 9497bce09ebf478de7f2cb4903acc08dfe28804814d8f5f003cea5bbb46ee336 |
| SHA512 | ec34efcfe57461c2d3d2b874ac69736264c264b482e4b8ef917c75b8303729bfc57d560f95001e1db677023582fa69952a0a951396b9f1bf624aad3960b3b018 |
memory/4712-56-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | d6d823cb0581853d2f838ed64435435f |
| SHA1 | c96fb2c1b1d62e44a35efb23d09e6452499360c6 |
| SHA256 | 0fa90da28d647d74641d2fbcc3055d8f25dc37eae5a7695fb6bde31df9924a7a |
| SHA512 | 9faca8804f5c1fede4b3fee1178650d08addfbad22c4f4899797644fcabdf3afc55e82b13c88a835de8ca51d9823b35c2cfb561fb8b3fad13e9124c91106916c |
memory/1232-60-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 34ebfa6b50eeb5ff30dda4d15ed48a3b |
| SHA1 | cb9b558671089642efcc1b04ddcc97e7ff73e485 |
| SHA256 | b1b14ed3480a870cf12ebd63d1d9bdf67d9e906063c279bd62957d249a474dcf |
| SHA512 | f5cb691bffde9264846e366d501a7a46df790b755975fc04c2b3f9079241f3be9ad6c09d8f63515211d4bd5dabf438720155d5a63e5be6df752631c66905fd0a |
memory/1356-64-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | d41d8cd98f00b204e9800998ecf8427e |
| SHA1 | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
| SHA256 | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 |
| SHA512 | cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e |
memory/3872-68-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | b9bf23eeb24bd5706b791ba6148bf17b |
| SHA1 | 70e98ae75f56bf3797e9bed45a7c0fa712b662f3 |
| SHA256 | afb379b707ad8f3b5fb8338b5e4d26e74923ae7bcbda09b5a1e7a5c2a4ee2155 |
| SHA512 | cca07e8f2ccc9915b72062015f29e349f24dc462af1f5d1a513890985fed72da986560c835c4d31587dcd72c4023071759c583c2ac81d5907e51d870eba036ac |
memory/4364-72-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 32ef7aa9f69649c7628bac299f58470a |
| SHA1 | 323ee9975ab736ffc8492a8eeae36efd94c14558 |
| SHA256 | 6912cf433b0cc98b73385d6fe6ad585d4a24a65840dccc030f17a77d5d45d05c |
| SHA512 | 73a934d58b5a8de03d31e6f4b08a2621d7285b865846faa5b994ff845c1ade01ac84c3133665eec7d5f70929a6e59fedd8208a4a27f892a498542995a1325067 |
memory/3520-76-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 5746666433c35e37e29d113c7d3c62a6 |
| SHA1 | 75ddf783afa6778dd599ade383e3d045d49f58b0 |
| SHA256 | 7405dbc12df3ebd0f87af9c66b46ce848f3349ef7f9458d8ad7882374295698d |
| SHA512 | aa32bc274c30cd809c451824edd19ed6b42f6197ca8b559a377a54e69690498a350b2c35fd3452b6f3acaf65df0b21cdc3a3d22c926d63bb2d8208d49285b354 |
memory/3208-80-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | ee6e407d384597ebad20ce8bb194744a |
| SHA1 | b4e7b30efb360b7fc2608939480837d09ec159d3 |
| SHA256 | 9e94ead6f0236dcacd80e59caa8ccecc2ac9895da9418faa9b112101741cdd7b |
| SHA512 | e3328b64e6db44856c6571ac4c4c98b984604c82b401d542949a3f075b439296df5193a68feb204ef57e7c7ae5154eeeef306f2c8dc2cb8323b7b52eabed9958 |
memory/1332-84-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 6d3212c092503ae146b065b19e517ddc |
| SHA1 | 813b501f2d6da265965f0ee17f9885a0b6f96ad9 |
| SHA256 | 8196c28c890eab7fcd97d6ed2faac1365ff83a064c27d4a06d9c83996f85fde7 |
| SHA512 | 344df6a6b5f11354cd0eade55320230d63361ab08f10e3aaca0fae54c18f019d69fda4f862f1f7be4b5a243b0131d113824a386d24937a345ba84e065a5dea66 |
memory/3956-88-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 3191bd7970e8a94d547337b44e89e3c7 |
| SHA1 | 6e633c9554762b7d39ffdec13fd0fdccd267927f |
| SHA256 | a2c3c44306b6d2b2b6d886ec8b1499ae5f0faa376caddd18b6231496b307f316 |
| SHA512 | 08f6c053294289454521c9a02e270bc942c62350205167e6d90c1b2d05d75a5cbea1f15b7836eabf58cdf68744145a9e887c9029cd5b89a2870c4c7f8d4b6c78 |
memory/3664-92-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 443583e6f4cd7d07228209eab7982485 |
| SHA1 | 88bf79e05bbdf3d6cb7d5a9179b757fd72c93189 |
| SHA256 | 559d3fa3db38ffbc7cb9c7b0dde393ea4486893084d6147bcf1e5955f5421e6c |
| SHA512 | d95e471936e7755b2321d90a5dfa4f07da84474324e21a1f5435b374afd60a6659ee7a5d19d2cbe195b6415b44a9a2749035d35477d7b3376b0c35424af8e3ed |
memory/1744-96-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | b2680a1e8762ec4dd26f22d3200bbebb |
| SHA1 | 7fbe99418abdd3da52887a898ce455f2a316c154 |
| SHA256 | 65222cfa633951e876794a2fc399763ffde241e7edfd49739fb0fe0cf6bce33c |
| SHA512 | 65b3d974be971efb92e99a366694cd005a44570d195cafc9dd79da86277a8988eaf65258accb5e2d0b8bf557914af7ee136252b5fbdfdce58d4ba83db328a351 |
memory/2460-100-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/2164-104-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | 8142884c2f74b2fd5f3c9ac21c2d1e98 |
| SHA1 | 2ddeb1ab0ece4ee54b125421e80d35238f563271 |
| SHA256 | f1933ea00665fc2364bd43fe09c379dead97c521c93212312c6ff128fd5359ef |
| SHA512 | fd2fdfd3c91650a9e3641c88d3f80781b33db579d8687bdcb5a26e37c84c21b17d6447fbd957f7cf65c73aab7b35ff1f0cd292dcf0e85e42cc1ccdda2ed0ee60 |
memory/3176-108-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/5096-112-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/1860-116-0x0000000000400000-0x00000000004BD000-memory.dmp
C:\Windows\system32\drivers\etc\hosts
| MD5 | fb3c557bba95bef784b9657683fdc615 |
| SHA1 | 142688b8de95b4bec921eff163b2b7a670b2d5f5 |
| SHA256 | d495b05b9f6ffdf61344495ecb138e2e60b1637da2edd7bd298d2cc311d87802 |
| SHA512 | 0673f5eb852f0c17ed4f8c4cf968d4e86056bec8a799749bf67d492f8aafa6e33bf51594780d785ffca9e9212ed219a69d675a8753e9751b32af2d8d5ee71435 |
memory/4404-120-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/4580-122-0x0000000000400000-0x00000000004BD000-memory.dmp
memory/4704-124-0x0000000000400000-0x00000000004BD000-memory.dmp