2fa64c968a0fe02d626a225ecc2e1e4a5185f73d70a0557f32f2bbea76361005

Analysis

max time kernel
159s
max time network
159s
platform
windows10-2004_x64
resource
win10v2004-20240226-en
resource tags

arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
submitted
23/06/2024, 23:08

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Dark Moon gen.bat
Size

35KB
MD5

c153581143e0b72cecae38a393991a4b
SHA1

da43d03b19765594ff124415a060551343823a39
SHA256

2fa64c968a0fe02d626a225ecc2e1e4a5185f73d70a0557f32f2bbea76361005
SHA512

8c9807f4a3044f49d99e5b1c2a20d112eba61570fa0e725777a3bd84d6a0e7df1c604579863e27c6d0617c2c84fa4ae8c3b7525e37f7e7ee9c6ef26b6c9db40f
SSDEEP

768:sQFlE38u/LOzTWyv+C42E42aSCghIcjH3oyjoyhPekLLokLL76VkLLHwkLDkLP9J:sQFl48GLOzTWyv+C42E42aSCghIcjH3e

Score

6^/10

Malware Config

Signatures

Legitimate hosting services abused for malware hosting/C2 1 TTPs 1 IoCs

Web Service

T1102

flow	ioc
7	discord.com

Delays execution with timeout.exe 13 IoCs

evasion

pid	Process
1892	timeout.exe
3484	timeout.exe
376	timeout.exe
4384	timeout.exe
4880	timeout.exe
4276	timeout.exe
60	timeout.exe
2892	timeout.exe
4172	timeout.exe
1396	timeout.exe
1248	timeout.exe
1692	timeout.exe
832	timeout.exe

Modifies registry class 6 IoCs

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\VBSFile\Shell\ = "Open2"	cscript.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WSFFile\Shell\ = "Open2"	cscript.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WSHFile\Shell\ = "Open2"	cscript.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\JSFile\Shell\ = "Open2"	cscript.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\JSEFile\Shell\ = "Open2"	cscript.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\VBEFile\Shell\ = "Open2"	cscript.exe

Runs ping.exe 1 TTPs 17 IoCs

Remote System Discovery

T1018

pid	Process
5024	PING.EXE
3960	PING.EXE
3884	PING.EXE
1764	PING.EXE
4984	PING.EXE
544	PING.EXE
1972	PING.EXE
3896	PING.EXE
4348	PING.EXE
1560	PING.EXE
2464	PING.EXE
4404	PING.EXE
2276	PING.EXE
2656	PING.EXE
984	PING.EXE
5052	PING.EXE
3592	PING.EXE

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2916 wrote to memory of 368	2916	cmd.exe	91
PID 2916 wrote to memory of 368	2916	cmd.exe	91
PID 2916 wrote to memory of 1248	2916	cmd.exe	92
PID 2916 wrote to memory of 1248	2916	cmd.exe	92
PID 2916 wrote to memory of 5024	2916	cmd.exe	93
PID 2916 wrote to memory of 5024	2916	cmd.exe	93
PID 2916 wrote to memory of 3960	2916	cmd.exe	94
PID 2916 wrote to memory of 3960	2916	cmd.exe	94
PID 2916 wrote to memory of 984	2916	cmd.exe	95
PID 2916 wrote to memory of 984	2916	cmd.exe	95
PID 2916 wrote to memory of 2464	2916	cmd.exe	96
PID 2916 wrote to memory of 2464	2916	cmd.exe	96
PID 2916 wrote to memory of 5052	2916	cmd.exe	97
PID 2916 wrote to memory of 5052	2916	cmd.exe	97
PID 2916 wrote to memory of 3884	2916	cmd.exe	98
PID 2916 wrote to memory of 3884	2916	cmd.exe	98
PID 2916 wrote to memory of 544	2916	cmd.exe	99
PID 2916 wrote to memory of 544	2916	cmd.exe	99
PID 2916 wrote to memory of 1972	2916	cmd.exe	100
PID 2916 wrote to memory of 1972	2916	cmd.exe	100
PID 2916 wrote to memory of 1764	2916	cmd.exe	101
PID 2916 wrote to memory of 1764	2916	cmd.exe	101
PID 2916 wrote to memory of 832	2916	cmd.exe	102
PID 2916 wrote to memory of 832	2916	cmd.exe	102
PID 2916 wrote to memory of 4984	2916	cmd.exe	103
PID 2916 wrote to memory of 4984	2916	cmd.exe	103
PID 2916 wrote to memory of 4880	2916	cmd.exe	104
PID 2916 wrote to memory of 4880	2916	cmd.exe	104
PID 2916 wrote to memory of 4404	2916	cmd.exe	105
PID 2916 wrote to memory of 4404	2916	cmd.exe	105
PID 2916 wrote to memory of 4276	2916	cmd.exe	106
PID 2916 wrote to memory of 4276	2916	cmd.exe	106
PID 2916 wrote to memory of 2276	2916	cmd.exe	107
PID 2916 wrote to memory of 2276	2916	cmd.exe	107
PID 2916 wrote to memory of 60	2916	cmd.exe	108
PID 2916 wrote to memory of 60	2916	cmd.exe	108
PID 2916 wrote to memory of 3592	2916	cmd.exe	109
PID 2916 wrote to memory of 3592	2916	cmd.exe	109
PID 2916 wrote to memory of 2892	2916	cmd.exe	112
PID 2916 wrote to memory of 2892	2916	cmd.exe	112
PID 2916 wrote to memory of 2656	2916	cmd.exe	113
PID 2916 wrote to memory of 2656	2916	cmd.exe	113
PID 2916 wrote to memory of 4172	2916	cmd.exe	121
PID 2916 wrote to memory of 4172	2916	cmd.exe	121
PID 2916 wrote to memory of 3896	2916	cmd.exe	122
PID 2916 wrote to memory of 3896	2916	cmd.exe	122
PID 2916 wrote to memory of 4384	2916	cmd.exe	123
PID 2916 wrote to memory of 4384	2916	cmd.exe	123
PID 2916 wrote to memory of 4348	2916	cmd.exe	124
PID 2916 wrote to memory of 4348	2916	cmd.exe	124
PID 2916 wrote to memory of 1692	2916	cmd.exe	125
PID 2916 wrote to memory of 1692	2916	cmd.exe	125
PID 2916 wrote to memory of 376	2916	cmd.exe	126
PID 2916 wrote to memory of 376	2916	cmd.exe	126
PID 2916 wrote to memory of 1396	2916	cmd.exe	127
PID 2916 wrote to memory of 1396	2916	cmd.exe	127
PID 2916 wrote to memory of 1892	2916	cmd.exe	129
PID 2916 wrote to memory of 1892	2916	cmd.exe	129
PID 2916 wrote to memory of 1560	2916	cmd.exe	130
PID 2916 wrote to memory of 1560	2916	cmd.exe	130
PID 2916 wrote to memory of 3484	2916	cmd.exe	131
PID 2916 wrote to memory of 3484	2916	cmd.exe	131
PID 2916 wrote to memory of 3372	2916	cmd.exe	132
PID 2916 wrote to memory of 3372	2916	cmd.exe	132

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\Dark Moon gen.bat"
1⤵
- Suspicious use of WriteProcessMemory
PID:2916
- C:\Windows\system32\chcp.com
  chcp 65001
  2⤵
  PID:368
- C:\Windows\system32\timeout.exe
  timeout 2
  2⤵
  - Delays execution with timeout.exe
  PID:1248
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:5024
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:3960
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:984
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:2464
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:5052
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:3884
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:544
- C:\Windows\system32\PING.EXE
  ping localhost -n 1
  2⤵
  - Runs ping.exe
  PID:1972
- C:\Windows\system32\PING.EXE
  ping discord.com
  2⤵
  - Runs ping.exe
  PID:1764
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:832
- C:\Windows\system32\PING.EXE
  ping www.paysafecard.com
  2⤵
  - Runs ping.exe
  PID:4984
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:4880
- C:\Windows\system32\PING.EXE
  ping www.amazon.com
  2⤵
  - Runs ping.exe
  PID:4404
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:4276
- C:\Windows\system32\PING.EXE
  ping play.google.com
  2⤵
  - Runs ping.exe
  PID:2276
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:60
- C:\Windows\system32\PING.EXE
  ping store.steampowered.com
  2⤵
  - Runs ping.exe
  PID:3592
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:2892
- C:\Windows\system32\PING.EXE
  ping netflix.com
  2⤵
  - Runs ping.exe
  PID:2656
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:4172
- C:\Windows\system32\PING.EXE
  ping www.spotify.com
  2⤵
  - Runs ping.exe
  PID:3896
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:4384
- C:\Windows\system32\PING.EXE
  ping www.xbox.com
  2⤵
  - Runs ping.exe
  PID:4348
- C:\Windows\system32\timeout.exe
  timeout 0
  2⤵
  - Delays execution with timeout.exe
  PID:1692
- C:\Windows\system32\timeout.exe
  timeout 1
  2⤵
  - Delays execution with timeout.exe
  PID:376
- C:\Windows\system32\timeout.exe
  timeout 2
  2⤵
  - Delays execution with timeout.exe
  PID:1396
- C:\Windows\system32\timeout.exe
  timeout 2
  2⤵
  - Delays execution with timeout.exe
  PID:1892
- C:\Windows\system32\PING.EXE
  ping www.google.com
  2⤵
  - Runs ping.exe
  PID:1560
- C:\Windows\system32\timeout.exe
  timeout 2
  2⤵
  - Delays execution with timeout.exe
  PID:3484
- C:\Windows\system32\mode.com
  mode 120, 32
  2⤵
  PID:3372
- C:\Windows\system32\cscript.exe
  cscript.exe //h:cscript
  2⤵
  - Modifies registry class
  PID:2764
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1588
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3580
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:488
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1304
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1700
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3880
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2144
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2708
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2268
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:644
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4708
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2788
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:624
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2564
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3464
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4440
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:888
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2248
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1692
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4168
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4312
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2004
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3620
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3484
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4764
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:976
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5104
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3284
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1400
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3236
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3840
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3792
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4772
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3780
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1876
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4680
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2380
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3184
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1332
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2124
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2936
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4140
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2676
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3504
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:780
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1504
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3404
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:224
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:5112
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1748
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4532
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:772
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1780
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2304
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1320
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1880
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4452
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4444
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1532
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1648
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3812
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2976
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1668
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1396
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4844
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5024
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4048
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4316
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2032
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3476
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1976
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3440
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4928
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4700
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1376
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3824
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2912
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2592
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3372
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4060
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1808
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2548
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4524
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4280
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2432
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4428
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3000
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4896
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3580
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2828
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1304
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3592
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3880
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3616
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2708
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5072
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2988
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2288
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4644
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2044
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3896
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4384
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3924
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1692
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1860
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4312
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4992
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3620
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4448
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4764
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3500
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:5104
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1932
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1084
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3964
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1828
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2320
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:5052
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2516
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:728
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2592
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3996
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3456
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:552
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1808
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4672
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2324
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3332
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3956
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3532
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4880
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3596
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2828
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2712
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3592
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2156
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2892
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2904
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2436
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2304
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4588
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3164
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:912
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4444
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4452
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4440
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:548
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4488
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:640
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1692
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1668
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4268
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4884
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3620
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:568
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3500
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:976
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3268
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2204
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1400
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3012
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2636
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1828
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2620
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4944
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3944
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3348
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2980
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3372
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3468
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3876
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3868
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2108
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1588
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3504
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:60
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1504
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2056
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4704
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3404
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1304
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3588
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3880
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:784
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3796
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1780
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1872
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1904
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2564
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1176
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4220
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2844
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3668
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3696
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3064
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4920
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4992
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4844
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4448
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3852
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1424
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3476
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1356
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3228
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3552
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3940
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4700
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:876
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3824
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3492
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:728
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4664
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3996
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1696
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1808
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:552
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2324
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4672
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3956
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3332
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2808
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2276
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3604
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:224
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4960
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4344
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4500
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2144
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4408
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4480
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4708
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5004
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1880
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1612
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4452
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1176
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1648
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3300
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2976
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:376
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1892
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3296
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3992
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3864
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4148
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3852
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4396
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:180
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2204
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3228
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2452
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4244
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1828
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:876
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1180
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5052
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2912
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2000
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:4472
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4136
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2652
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2568
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2356
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4524
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3504
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:4276
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:1984
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1804
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2680
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3596
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3084
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:1568
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:3880
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:5112
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2708
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:3796
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
  2⤵
  PID:2140
- - C:\Windows\system32\cscript.exe
    cscript //nologo C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs 13
    3⤵
    PID:2544

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --mojo-platform-channel-handle=4416 --field-trial-handle=3060,i,1774866140584649235,8085848018931772189,262144 --variations-seed-version /prefetch:8
1⤵
PID:4976

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Remote System Discovery

T1018

Lateral Movement

Collection

Command and Control

Web Service

T1102

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\GetRandomText.vbs

Filesize
165B

MD5
a2a3ab28fe84840da1b400075a7be911

SHA1
1ae37aafef77d2eedc8f9258929ee2f53b34e4ff

SHA256
6df47039f9a2865445f4e6811361d1f24c0b2ee63de5200ccaf712c8fcc36524

SHA512
9e4da1283460947372ffe3936c5437ba8c30acab9acdc05df79799d8885517f22aa8cb8041d1419694ef9bb8e70a906a5c68e32e904d9fbe5ff9474904ccd962

Download Submit
C:\Users\Admin\AppData\Local\Temp\OUTPUT\GiftCard_Sun

Filesize
4KB

MD5
0c60ea18cca89211767bda670e9173d9

SHA1
155caf159b823eb9975dae46abee2cf89da928bd

SHA256
14b29fa993aaefee8b88a6f83cf95a8a093af78f3540f702f179aa809432a7f0

SHA512
02ba096b1938d1969e6baf4af07670720291d6d88cd4a1c8e6ba2aff9feeaf507494db751398a42a1c7bc86b337b9c761faf961d0cbb33b33778aac275c5b643

Download Submit