f96b03987d5a39f6d1172f022a2e3bf15a31c18f5b38a5ce77c682c36dd791c9

Analysis

max time kernel
148s
max time network
150s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
29/06/2024, 07:02

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

Facturas Pagadas al Vencimiento.PDF______________.exe
Size

306KB
MD5

ccde7391f2d26c2a6a5c3296a76560a4
SHA1

27b5741b476406da1aa71afe0d1868fc3e59e747
SHA256

f96b03987d5a39f6d1172f022a2e3bf15a31c18f5b38a5ce77c682c36dd791c9
SHA512

b6e35010effa9fd777ed5c34be1cbf2842e9753d4c5c82ca797c4baaa1a50f5461aacf67742c14ec4ed18953b18e8feb62e01b7aaa980d815ba5bda34daa31c7
SSDEEP

6144:oyIF6BJI9IPiUVBIMSCymlNrrvFUAP308bEpc2K14W1:DHIhUVKmlpjFfP30kh4W

Score

7^/10

Malware Config

Signatures

Loads dropped DLL 64 IoCs

pid	Process
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
3348	Facturas Pagadas al Vencimiento.PDF______________.exe

Legitimate hosting services abused for malware hosting/C2 1 TTPs 2 IoCs

Web Service

T1102

flow	ioc
37	drive.google.com
38	drive.google.com

Suspicious use of NtSetInformationThreadHideFromDebugger 2 IoCs

pid	Process
3348	Facturas Pagadas al Vencimiento.PDF______________.exe
1064	Facturas Pagadas al Vencimiento.PDF______________.exe

Suspicious use of SetThreadContext 1 IoCs

description	pid	Process	procid_target
PID 3348 set thread context of 1064	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	634

Drops file in Program Files directory 1 IoCs

description	ioc	Process
File opened for modification	C:\Program Files (x86)\ejerslev\Kabinetssekretariatets.ini	Facturas Pagadas al Vencimiento.PDF______________.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	C:\Windows\resources\0409\adjunkt\stiltonosten.fot	Facturas Pagadas al Vencimiento.PDF______________.exe
File opened for modification	C:\Windows\resources\Washingtonians\Tyvendedeles.ini	Facturas Pagadas al Vencimiento.PDF______________.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: MapViewOfSection 1 IoCs

pid	Process
3348	Facturas Pagadas al Vencimiento.PDF______________.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3348 wrote to memory of 3824	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	83
PID 3348 wrote to memory of 3824	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	83
PID 3348 wrote to memory of 3824	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	83
PID 3348 wrote to memory of 4084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	85
PID 3348 wrote to memory of 4084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	85
PID 3348 wrote to memory of 4084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	85
PID 3348 wrote to memory of 2368	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	87
PID 3348 wrote to memory of 2368	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	87
PID 3348 wrote to memory of 2368	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	87
PID 3348 wrote to memory of 436	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	89
PID 3348 wrote to memory of 436	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	89
PID 3348 wrote to memory of 436	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	89
PID 3348 wrote to memory of 4892	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	91
PID 3348 wrote to memory of 4892	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	91
PID 3348 wrote to memory of 4892	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	91
PID 3348 wrote to memory of 4232	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	94
PID 3348 wrote to memory of 4232	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	94
PID 3348 wrote to memory of 4232	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	94
PID 3348 wrote to memory of 3200	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	97
PID 3348 wrote to memory of 3200	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	97
PID 3348 wrote to memory of 3200	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	97
PID 3348 wrote to memory of 1948	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	99
PID 3348 wrote to memory of 1948	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	99
PID 3348 wrote to memory of 1948	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	99
PID 3348 wrote to memory of 5004	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	101
PID 3348 wrote to memory of 5004	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	101
PID 3348 wrote to memory of 5004	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	101
PID 3348 wrote to memory of 2300	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	103
PID 3348 wrote to memory of 2300	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	103
PID 3348 wrote to memory of 2300	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	103
PID 3348 wrote to memory of 4536	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	105
PID 3348 wrote to memory of 4536	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	105
PID 3348 wrote to memory of 4536	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	105
PID 3348 wrote to memory of 2040	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	107
PID 3348 wrote to memory of 2040	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	107
PID 3348 wrote to memory of 2040	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	107
PID 3348 wrote to memory of 3292	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	109
PID 3348 wrote to memory of 3292	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	109
PID 3348 wrote to memory of 3292	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	109
PID 3348 wrote to memory of 3084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	111
PID 3348 wrote to memory of 3084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	111
PID 3348 wrote to memory of 3084	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	111
PID 3348 wrote to memory of 3512	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	113
PID 3348 wrote to memory of 3512	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	113
PID 3348 wrote to memory of 3512	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	113
PID 3348 wrote to memory of 2400	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	115
PID 3348 wrote to memory of 2400	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	115
PID 3348 wrote to memory of 2400	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	115
PID 3348 wrote to memory of 880	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	117
PID 3348 wrote to memory of 880	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	117
PID 3348 wrote to memory of 880	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	117
PID 3348 wrote to memory of 3132	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	119
PID 3348 wrote to memory of 3132	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	119
PID 3348 wrote to memory of 3132	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	119
PID 3348 wrote to memory of 380	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	121
PID 3348 wrote to memory of 380	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	121
PID 3348 wrote to memory of 380	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	121
PID 3348 wrote to memory of 4980	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	123
PID 3348 wrote to memory of 4980	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	123
PID 3348 wrote to memory of 4980	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	123
PID 3348 wrote to memory of 920	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	125
PID 3348 wrote to memory of 920	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	125
PID 3348 wrote to memory of 920	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	125
PID 3348 wrote to memory of 2976	3348	Facturas Pagadas al Vencimiento.PDF______________.exe	127

C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe
"C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe"
1⤵
- Loads dropped DLL
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious use of SetThreadContext
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: MapViewOfSection
- Suspicious use of WriteProcessMemory
PID:3348
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:3824
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:4084
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2368
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:436
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:4892
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:4232
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:3200
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:1948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x75^38"
  2⤵
  PID:5004
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4E^38"
  2⤵
  PID:2300
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:4536
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:2040
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x71^38"
  2⤵
  PID:3292
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:3084
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:3512
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:2400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:880
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:3132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4980
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:920
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:2976
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2124
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4344
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:4688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:1420
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:4944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:3940
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:3824
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:5008
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:3360
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:4624
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:1080
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:1464
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2772
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2932
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2092
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:2316
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:1332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x56^38"
  2⤵
  PID:2980
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:4460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:1912
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:1004
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:4116
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4420
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2860
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:3096
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1684
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3080
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2832
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:3780
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:2544
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:100
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1896
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:752
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4808
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3512
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1560
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2024
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:4284
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:4532
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1004
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:4752
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1988
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:412
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:2368
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:3080
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x6D^38"
  2⤵
  PID:2332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:3948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x74^38"
  2⤵
  PID:5116
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x68^38"
  2⤵
  PID:4624
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:5028
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x6A^38"
  2⤵
  PID:4756
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:3400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:3796
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:4516
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:4336
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x70^38"
  2⤵
  PID:3512
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:432
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:4676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:2024
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:3432
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:4460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:3332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x67^38"
  2⤵
  PID:4448
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1436
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:4752
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:4416
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:4944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x63^38"
  2⤵
  PID:4820
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:1756
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:4568
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4352
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2488
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0B^38"
  2⤵
  PID:4636
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:3264
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4976
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1856
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:3444
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:396
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1864
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4680
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:924
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1560
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:3132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:3732
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:3236
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:4596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:2896
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:2496
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:748
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1952
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1664
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:3488
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:5100
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:4060
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5E^38"
  2⤵
  PID:4784
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:4040
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:3056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:3212
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2500
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1708
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1328
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:5112
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1960
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:440
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:4336
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:628
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x56^38"
  2⤵
  PID:1332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:780
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1484
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:2256
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:4100
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:920
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:4596
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:2496
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:748
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:3272
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:3096
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:976
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:4220
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:2380
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:3340
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:4672
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:1948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4D^38"
  2⤵
  PID:1604
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:4976
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:5072
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3796
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:4424
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:1864
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4216
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1996
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1452
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:1028
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:2696
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1F^38"
  2⤵
  PID:1400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:4924
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:996
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3268
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4656
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:2984
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:2884
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:2644
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:4124
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:3848
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:4692
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4B^38"
  2⤵
  PID:3284
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:1856
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x50^38"
  2⤵
  PID:4964
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:2704
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x52^38"
  2⤵
  PID:1168
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x08^38"
  2⤵
  PID:3512
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:1560
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:4676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:4000
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:812
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:4736
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x79^38"
  2⤵
  PID:2944
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:4448
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:2524
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:1112
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:4260
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:3096
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2368
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:5008
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:3576
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x13^38"
  2⤵
  PID:3340
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:2592
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2500
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1464
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1632
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:1492
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4516
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4184
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4144
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4132
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:4552
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x11^38"
  2⤵
  PID:780
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:4180
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:1000
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:4440
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1E^38"
  2⤵
  PID:1400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x17^38"
  2⤵
  PID:400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x10^38"
  2⤵
  PID:1528
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:2372
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:2056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x53^38"
  2⤵
  PID:4656
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x55^38"
  2⤵
  PID:4140
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x43^38"
  2⤵
  PID:3080
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:4312
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x15^38"
  2⤵
  PID:2724
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x14^38"
  2⤵
  PID:2832
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:836
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x1C^38"
  2⤵
  PID:2252
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x65^38"
  2⤵
  PID:2544
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x47^38"
  2⤵
  PID:516
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:1056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4A^38"
  2⤵
  PID:3400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x71^38"
  2⤵
  PID:4516
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:1872
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x48^38"
  2⤵
  PID:4216
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x42^38"
  2⤵
  PID:432
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:3744
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x51^38"
  2⤵
  PID:2676
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x76^38"
  2⤵
  PID:1688
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:1000
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x49^38"
  2⤵
  PID:1164
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x45^38"
  2⤵
  PID:3332
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x67^38"
  2⤵
  PID:400
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0E^38"
  2⤵
  PID:2496
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4420
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1408
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x54^38"
  2⤵
  PID:2468
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x12^38"
  2⤵
  PID:388
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1176
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:4800
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:2480
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:3056
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1948
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:1260
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:3612
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:1632
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:396
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:3048
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4184
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:5040
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4760
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:1412
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0A^38"
  2⤵
  PID:780
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4180
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x4F^38"
  2⤵
  PID:4576
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x06^38"
  2⤵
  PID:4440
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x16^38"
  2⤵
  PID:3308
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x0F^38"
  2⤵
  PID:3120
- C:\Windows\SysWOW64\cmd.exe
  cmd /c set /a "0x5F^38"
  2⤵
  PID:400
- C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe
  "C:\Users\Admin\AppData\Local\Temp\Facturas Pagadas al Vencimiento.PDF______________.exe"
  2⤵
  - Suspicious use of NtSetInformationThreadHideFromDebugger
  PID:1064

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Web Service

T1102

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\nsl56AC.tmp\System.dll

Filesize
11KB

MD5
3f176d1ee13b0d7d6bd92e1c7a0b9bae

SHA1
fe582246792774c2c9dd15639ffa0aca90d6fd0b

SHA256
fa4ab1d6f79fd677433a31ada7806373a789d34328da46ccb0449bbf347bd73e

SHA512
0a69124819b7568d0dea4e9e85ce8fe61c7ba697c934e3a95e2dcfb9f252b1d9da7faf8774b6e8efd614885507acc94987733eba09a2f5e7098b774dfc8524b6

Download Submit
C:\Users\Admin\AppData\Local\Temp\nsl56AC.tmp\nsExec.dll

Filesize
6KB

MD5
b5a1f9dc73e2944a388a61411bdd8c70

SHA1
dc9b20df3f3810c2e81a0c54dea385704ba8bef7

SHA256
288100583f65a2b7acfc0c7e231c0e268c58d3067675543f627c01e82f6fd884

SHA512
b9c8d71b5da00f2aff7847b9ec3bd8a588afeb525f47a0df235b52f7b2233edb3928a2c8e0b493f287c923cc52a340ad6fee99822595d6591df0e97870de92a8

Download Submit
memory/1064-876-0x00000000007D0000-0x0000000001A24000-memory.dmp

Filesize
18.3MB

Download