f96b03987d5a39f6d1172f022a2e3bf15a31c18f5b38a5ce77c682c36dd791c9

Analysis

max time kernel
147s
max time network
147s
platform
windows7_x64
resource
win7-20240508-en
resource tags

arch:x64arch:x86image:win7-20240508-enlocale:en-usos:windows7-x64system
submitted
29-06-2024 07:02

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Facturas Pagadas al Vencimiento.PDF______________.exe
Size

306KB
MD5

ccde7391f2d26c2a6a5c3296a76560a4
SHA1

27b5741b476406da1aa71afe0d1868fc3e59e747
SHA256

f96b03987d5a39f6d1172f022a2e3bf15a31c18f5b38a5ce77c682c36dd791c9
SHA512

b6e35010effa9fd777ed5c34be1cbf2842e9753d4c5c82ca797c4baaa1a50f5461aacf67742c14ec4ed18953b18e8feb62e01b7aaa980d815ba5bda34daa31c7
SSDEEP

6144:oyIF6BJI9IPiUVBIMSCymlNrrvFUAP308bEpc2K14W1:DHIhUVKmlpjFfP30kh4W

Score

7^/10

Malware Config

Signatures

Loads dropped DLL 64 IoCs

pid	Process
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
1612	Facturas Pagadas al Vencimiento.PDF______________.exe

Legitimate hosting services abused for malware hosting/C2 1 TTPs 7 IoCs

Web Service

T1102

flow	ioc
10	drive.google.com
11	drive.google.com
13	drive.google.com
3	drive.google.com
6	drive.google.com
7	drive.google.com
9	drive.google.com

Suspicious use of NtSetInformationThreadHideFromDebugger 2 IoCs

pid	Process
1612	Facturas Pagadas al Vencimiento.PDF______________.exe
2112	Facturas Pagadas al Vencimiento.PDF______________.exe

Suspicious use of SetThreadContext 1 IoCs

description	pid	Process	procid_target
PID 1612 set thread context of 2112	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	574

Drops file in Program Files directory 1 IoCs

description	ioc	Process
File opened for modification	C:\Program Files (x86)\ejerslev\Kabinetssekretariatets.ini	Facturas Pagadas al Vencimiento.PDF______________.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	C:\Windows\resources\Washingtonians\Tyvendedeles.ini	Facturas Pagadas al Vencimiento.PDF______________.exe
File opened for modification	C:\Windows\resources\0409\adjunkt\stiltonosten.fot	Facturas Pagadas al Vencimiento.PDF______________.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: MapViewOfSection 1 IoCs

pid	Process
1612	Facturas Pagadas al Vencimiento.PDF______________.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1612 wrote to memory of 2668	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	28
PID 1612 wrote to memory of 2668	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	28
PID 1612 wrote to memory of 2668	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	28
PID 1612 wrote to memory of 2668	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	28
PID 1612 wrote to memory of 2748	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	30
PID 1612 wrote to memory of 2748	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	30
PID 1612 wrote to memory of 2748	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	30
PID 1612 wrote to memory of 2748	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	30
PID 1612 wrote to memory of 2596	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	32
PID 1612 wrote to memory of 2596	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	32
PID 1612 wrote to memory of 2596	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	32
PID 1612 wrote to memory of 2596	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	32
PID 1612 wrote to memory of 2788	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	34
PID 1612 wrote to memory of 2788	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	34
PID 1612 wrote to memory of 2788	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	34
PID 1612 wrote to memory of 2788	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	34
PID 1612 wrote to memory of 2672	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	36
PID 1612 wrote to memory of 2672	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	36
PID 1612 wrote to memory of 2672	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	36
PID 1612 wrote to memory of 2672	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	36
PID 1612 wrote to memory of 2500	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	38
PID 1612 wrote to memory of 2500	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	38
PID 1612 wrote to memory of 2500	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	38
PID 1612 wrote to memory of 2500	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	38
PID 1612 wrote to memory of 2480	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	40
PID 1612 wrote to memory of 2480	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	40
PID 1612 wrote to memory of 2480	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	40
PID 1612 wrote to memory of 2480	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	40
PID 1612 wrote to memory of 2396	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	42
PID 1612 wrote to memory of 2396	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	42
PID 1612 wrote to memory of 2396	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	42
PID 1612 wrote to memory of 2396	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	42
PID 1612 wrote to memory of 1132	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	44
PID 1612 wrote to memory of 1132	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	44
PID 1612 wrote to memory of 1132	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	44
PID 1612 wrote to memory of 1132	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	44
PID 1612 wrote to memory of 2680	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	46
PID 1612 wrote to memory of 2680	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	46
PID 1612 wrote to memory of 2680	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	46
PID 1612 wrote to memory of 2680	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	46
PID 1612 wrote to memory of 2336	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	48
PID 1612 wrote to memory of 2336	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	48
PID 1612 wrote to memory of 2336	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	48
PID 1612 wrote to memory of 2336	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	48
PID 1612 wrote to memory of 840	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	50
PID 1612 wrote to memory of 840	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	50
PID 1612 wrote to memory of 840	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	50
PID 1612 wrote to memory of 840	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	50
PID 1612 wrote to memory of 1008	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	52
PID 1612 wrote to memory of 1008	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	52
PID 1612 wrote to memory of 1008	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	52
PID 1612 wrote to memory of 1008	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	52
PID 1612 wrote to memory of 2344	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	54
PID 1612 wrote to memory of 2344	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	54
PID 1612 wrote to memory of 2344	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	54
PID 1612 wrote to memory of 2344	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	54
PID 1612 wrote to memory of 2112	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	56
PID 1612 wrote to memory of 2112	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	56
PID 1612 wrote to memory of 2112	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	56
PID 1612 wrote to memory of 2112	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	56
PID 1612 wrote to memory of 1184	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	58
PID 1612 wrote to memory of 1184	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	58
PID 1612 wrote to memory of 1184	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	58
PID 1612 wrote to memory of 1184	1612	Facturas Pagadas al Vencimiento.PDF______________.exe	58

C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe
"C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe"
1⤵
- Loads dropped DLL
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious use of SetThreadContext
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: MapViewOfSection
- Suspicious use of WriteProcessMemory
PID:1612
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:2668
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:2748
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:2672
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:2500
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2396
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x75^38"
  2⤵
  PID:1132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4E^38"
  2⤵
  PID:2680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:2336
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:840
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x71^38"
  2⤵
  PID:1008
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2344
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:2112
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:1184
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:2036
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:2792
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:2912
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1928
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1864
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:664
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1412
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:804
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:772
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:1944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:2404
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:2156
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:1872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:296
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:900
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2924
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:3060
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:2252
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:1464
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1816
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1520
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:3068
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2656
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:2668
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:2748
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x56^38"
  2⤵
  PID:2596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:2672
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:2500
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2396
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:2676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2352
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1540
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1452
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1648
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1768
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1548
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:2780
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2020
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2884
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1920
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2696
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:532
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1408
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:576
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1712
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:852
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:1972
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:844
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2076
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1592
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:928
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:296
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:684
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1968
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:1532
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:1628
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x6D^38"
  2⤵
  PID:1424
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:2820
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x74^38"
  2⤵
  PID:1624
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x68^38"
  2⤵
  PID:2528
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:2592
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x6A^38"
  2⤵
  PID:2656
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:2584
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:2152
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2572
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2072
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x70^38"
  2⤵
  PID:2468
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2564
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:1312
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:2412
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:1132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2684
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x67^38"
  2⤵
  PID:1956
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2120
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:880
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:1008
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:2344
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:2112
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:2244
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:2016
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2020
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2796
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0B^38"
  2⤵
  PID:2832
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:2176
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:264
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1396
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2708
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1280
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:772
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1756
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1092
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2160
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:3028
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:1668
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2136
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:2320
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:2956
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:604
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:1784
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:984
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2364
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1520
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3004
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2640
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:2316
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:2988
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2772
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1636
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2608
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2904
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1720
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1236
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:1116
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:1484
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:3064
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x56^38"
  2⤵
  PID:788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1736
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:2340
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:2096
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:1548
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:2024
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:2056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:2688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2420
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:2768
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2416
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:1400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:804
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:1044
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2184
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:1944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4D^38"
  2⤵
  PID:2404
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:2840
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2328
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:928
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:296
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:684
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2932
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1732
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1252
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:984
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:2364
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:1492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1F^38"
  2⤵
  PID:1520
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2632
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2544
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2668
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2152
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2772
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1636
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2608
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:2904
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1720
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:1468
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1360
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:2536
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:2676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:3064
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:1736
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2340
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:2092
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:2028
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:2040
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1544
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2420
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2768
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:2416
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:1808
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:1688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:1704
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:1940
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:628
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2404
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2840
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:2328
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:928
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:296
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1488
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3060
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1964
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:1464
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2364
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1520
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2632
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:2444
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2280
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:2596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:2788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2672
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:2608
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:2904
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:1720
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:2424
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:2680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:2692
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2356
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:292
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:1692
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:1736
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2340
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x65^38"
  2⤵
  PID:1184
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:2036
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2912
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x71^38"
  2⤵
  PID:1948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1864
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:2768
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:2416
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:1716
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x76^38"
  2⤵
  PID:1688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1704
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:1940
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:628
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x67^38"
  2⤵
  PID:2404
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:1256
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:928
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:296
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:1488
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3060
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1964
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1464
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2364
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2580
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2664
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2632
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2444
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2280
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2788
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2672
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2608
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2068
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1720
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2424
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2692
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:2356
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:292
- C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe
  "C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe"
  2⤵
  - Suspicious use of NtSetInformationThreadHideFromDebugger
  PID:2112

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Web Service

T1102

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Users\Admin\AppData\Local\Temp\nsy1797.tmp\System.dll

Filesize
11KB

MD5
3f176d1ee13b0d7d6bd92e1c7a0b9bae

SHA1
fe582246792774c2c9dd15639ffa0aca90d6fd0b

SHA256
fa4ab1d6f79fd677433a31ada7806373a789d34328da46ccb0449bbf347bd73e

SHA512
0a69124819b7568d0dea4e9e85ce8fe61c7ba697c934e3a95e2dcfb9f252b1d9da7faf8774b6e8efd614885507acc94987733eba09a2f5e7098b774dfc8524b6

Download Submit
\Users\Admin\AppData\Local\Temp\nsy1797.tmp\nsExec.dll

Filesize
6KB

MD5
b5a1f9dc73e2944a388a61411bdd8c70

SHA1
dc9b20df3f3810c2e81a0c54dea385704ba8bef7

SHA256
288100583f65a2b7acfc0c7e231c0e268c58d3067675543f627c01e82f6fd884

SHA512
b9c8d71b5da00f2aff7847b9ec3bd8a588afeb525f47a0df235b52f7b2233edb3928a2c8e0b493f287c923cc52a340ad6fee99822595d6591df0e97870de92a8

Download Submit
memory/2112-901-0x00000000007D0000-0x0000000001832000-memory.dmp

Filesize
16.4MB

Download