2fb2896b5a0e16eec7a63e6a80fd1795c3601fb82e84573e05f199b6360310f2

Analysis

max time kernel
13s
max time network
65s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
21/07/2024, 04:13

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

63ad50cb5da16312f73dd1015c728170N.exe
Size

1.3MB
MD5

63ad50cb5da16312f73dd1015c728170
SHA1

5195aabb9be7537c95c3429bfb1000303192086a
SHA256

2fb2896b5a0e16eec7a63e6a80fd1795c3601fb82e84573e05f199b6360310f2
SHA512

fd7042f3ff4c3f44e379d75c96bb400e2e166287d0db6e3e2a82a40c7f82678d95caa6187d865a735ba8ba1b02fc5b51dba2817cfc0b795ea191943a5464a965
SSDEEP

24576:CMY2A87aWIulVZTuCtWuy5S4Gew6JKf/WRp289uS3iOoJCBV:Cx8auzZ7td4Gl6gf/WRp9uKWIV

Score

7^/10

persistence spyware stealer

Malware Config

Signatures

Checks computer location settings 2 TTPs 16 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe
Key value queried	\REGISTRY\USER\S-1-5-21-464762018-485119342-1613148473-1000\Control Panel\International\Geo\Nation	63ad50cb5da16312f73dd1015c728170N.exe

Reads user/profile data of web browsers 2 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
spyware stealer

Data from Local System
T1005

Credentials In Files
T1552.001

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\mssrv32 = "C:\\Windows\\mssrv.exe"	63ad50cb5da16312f73dd1015c728170N.exe

Enumerates connected drives 3 TTPs 23 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\R:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\S:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\W:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\B:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\H:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\I:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\L:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\T:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\U:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\Y:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\Z:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\E:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\N:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\P:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\Q:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\J:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\M:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\O:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\X:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\A:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\G:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\K:	63ad50cb5da16312f73dd1015c728170N.exe
File opened (read-only)	\??\V:	63ad50cb5da16312f73dd1015c728170N.exe

Drops file in System32 directory 12 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\malaysia lingerie horse licking .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\black bukkake cumshot lesbian boots .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\config\systemprofile\italian animal masturbation boobs (Jade,Tatjana).mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\FxsTmp\spanish porn masturbation 50+ (Liz).rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\swedish handjob gang bang big latex .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\IME\SHARED\french cumshot voyeur (Samantha).rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\System32\DriverStore\Temp\spanish sperm hidden hole (Sarah,Sylvia).avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\FxsTmp\danish gay handjob [milf] 50+ .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\System32\LogFiles\Fax\Incoming\cum lesbian big bedroom .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\PSDesiredStateConfiguration\WebDownloadManager\danish action girls glans (Jenna).mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\WindowsPowerShell\v1.0\Modules\SmbShare\xxx animal hidden swallow .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SysWOW64\config\systemprofile\american beastiality hidden .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe

Drops file in Program Files directory 18 IoCs

description	ioc	Process
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\indian kicking lesbian public glans traffic (Christine,Karin).rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Windows Sidebar\Shared Gadgets\spanish cum animal girls sweet .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\IDTemplates\tyrkish horse blowjob girls traffic .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\WebResources\Resource0\static\js\plugins\unified-share\xxx public .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Microsoft\EdgeUpdate_bk\Download\black cum gang bang full movie bedroom (Melissa,Samantha).mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Microsoft\Temp\asian lingerie kicking public lady .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX86\Microsoft SQL Server\130\Shared\tyrkish animal gang bang catfight hairy (Ashley,Sarah).avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Microsoft Office\Updates\Download\blowjob lesbian [milf] shower .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\WindowsApps\Microsoft.WindowsMaps_5.1906.1972.0_x64__8wekyb3d8bbwe\Assets\Images\PrintAndShare\fucking kicking [bangbus] legs .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Common Files\Microsoft Shared\african cumshot lingerie full movie titts sweet (Sonja).avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Google\Update\Download\swedish fucking trambling lesbian gorgeoushorny .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\dotnet\shared\canadian horse several models feet fishy .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Microsoft Office\root\Templates\asian xxx catfight hairy .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX86\Microsoft Shared\lingerie voyeur ash .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Google\Temp\swedish cum lesbian [bangbus] .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Common Files\microsoft shared\fucking nude girls boots .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files\Microsoft Office\root\vfs\ProgramFilesX64\Microsoft SQL Server\130\Shared\cum masturbation young .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Program Files (x86)\Windows Sidebar\Shared Gadgets\danish lesbian trambling sleeping .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe

Drops file in Windows directory 64 IoCs

description	ioc	Process
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_d38ece58f77171b4\canadian horse [bangbus] boobs mature .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost_31bf3856ad364e35_10.0.19041.1202_none_621728fcd3c9d5f6\danish gay lesbian .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost_31bf3856ad364e35_10.0.19041.264_none_cb389cf57d74d691\malaysia xxx hot (!) mistress .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\assembly\NativeImages_v2.0.50727_64\Temp\malaysia kicking big wifey .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_32\Microsoft.GroupPolicy.AdmTmplEditor.Resources\porn voyeur (Tatjana).zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.GroupPolicy.AdmTmplEditor.Resources\italian cumshot masturbation .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Templates\italian nude full movie ash .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SystemResources\Windows.UI.ShellCommon\SharePickerUI\beast cum big ash .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ces-ime-eashared-lm_31bf3856ad364e35_10.0.19041.1_none_3d0229d17c310f10\nude masturbation shoes (Sonja).zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-eashared-coretip_31bf3856ad364e35_10.0.19041.1_none_2fe79eae2833b9b1\brasilian gay trambling public .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-eashared-coretip_31bf3856ad364e35_10.0.19041.844_none_57eddd48e7a74274\action hot (!) YEâPSè& .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..olicy-admin-admtmpl_31bf3856ad364e35_10.0.19041.572_none_cf90e12518baac85\norwegian bukkake lingerie voyeur boots .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\Downloads\tyrkish fetish cum big .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\templates\indian animal kicking hot (!) vagina mistress (Samantha,Liz).mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..me-jkshared-roaming_31bf3856ad364e35_10.0.19041.1_none_fa09f84703cb02c5\black handjob uncut latex (Janette,Sandy).zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_ee7ea14f7d8a3ee3\horse catfight .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..nearshareexperience_31bf3856ad364e35_10.0.19041.1288_none_ca3007304990b2ea\canadian cumshot fucking [bangbus] traffic .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..ore-shareexperience_31bf3856ad364e35_10.0.19041.1_none_f42978969c79336a\japanese lingerie hidden legs ejaculation .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\InputMethod\SHARED\french kicking catfight mistress .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\ServiceProfiles\LocalService\Downloads\canadian bukkake horse girls .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-candidateui_31bf3856ad364e35_10.0.19041.1_none_833abdc06c68d338\xxx hot (!) young .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..se-shared-datafiles_31bf3856ad364e35_10.0.19041.1_none_2f5f00d280dce9f6\xxx hidden shoes .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_es-es_bf79b5fcc06b3128\fucking girls ash beautyfull .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_ja-jp_5fdc43acc1be690d\fucking fetish sleeping .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-b..-bcdtemplate-client_31bf3856ad364e35_10.0.19041.1_none_de1581e9a275faf8\spanish fucking girls (Liz,Sonja).rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-devdispitemprovider_31bf3856ad364e35_10.0.19041.1_none_9aa486d790131d4e\fucking hidden pregnant .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_en-us_bfae5918c0443f83\french handjob nude hidden bondage (Anniston).mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_it-it_4c5922428a6f2d08\danish hardcore kicking girls glans pregnant .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_en-us_215194e2327a46ac\horse bukkake catfight .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_es-es_211cf1c632a13851\spanish lesbian gang bang uncut 50+ .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_c3d467c525734eb3\blowjob full movie cock .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\assembly\NativeImages_v4.0.30319_32\Temp\russian hardcore [milf] gorgeoushorny .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.789_en-us_58ebf9ecc407e3c0\kicking full movie ash bondage .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ime-eashared-imepad_31bf3856ad364e35_10.0.19041.1_none_f07d4fae3e8e883f\swedish gang bang hot (!) cock shoes .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-h..public-utils-shared_31bf3856ad364e35_10.0.19041.1202_none_d8a1416ab7cccdcf\fetish voyeur boobs .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.844_none_67b5915b5651dd8a\indian xxx sleeping .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_fr-fr_62312bfbb33d478a\swedish xxx uncut 50+ .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\mssrv.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\Downloaded Program Files\brasilian fetish handjob [milf] vagina leather .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\hardcore beastiality public shower .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_en-us_310bfb76047869ad\nude kicking licking .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-onecore-sharehost.resources_31bf3856ad364e35_10.0.19041.1_it-it_bdb6c49fcea35732\malaysia nude lingerie voyeur .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\assembly\tmp\malaysia hardcore full movie stockings .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SoftwareDistribution\Download\SharedFileCache\black beast lesbian full movie upskirt (Sylvia,Curtney).mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_hyperv-compute-cont..ce-shared.resources_31bf3856ad364e35_10.0.19041.1_de-de_7860bee9439c3ae7\cum fetish voyeur hairy .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-composable-sharepicker_31bf3856ad364e35_10.0.19041.1_none_c87e96327faffd0e\tyrkish beast xxx sleeping hole .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-a..gement-uevtemplates_31bf3856ad364e35_10.0.19041.1_none_0d66b54875835a49\tyrkish lesbian lingerie hidden granny .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-ime-eashared-proxy_31bf3856ad364e35_10.0.19041.1_none_4c786ae2f508e6d5\american action uncut .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-filemanager_31bf3856ad364e35_10.0.19041.844_none_855aff45853749ef\african porn beast voyeur beautyfull .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-hvsi-manager-shared_31bf3856ad364e35_10.0.19041.1266_none_7916f7558927ae23\handjob trambling [milf] hole sweet (Tatjana,Sylvia).mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-i..ore-shareexperience_31bf3856ad364e35_10.0.19041.964_none_1c1a193f5bfcf136\american nude bukkake masturbation fishy .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\assembly\temp\norwegian kicking animal several models cock .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\CbsTemp\canadian xxx public high heels .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\PLA\Templates\malaysia action beast catfight glans 40+ .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-candidateui_31bf3856ad364e35_10.0.19041.746_none_ab42fb092bda9182\malaysia lingerie big nipples shower (Sylvia).mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..n-admtmpl.resources_31bf3856ad364e35_10.0.19041.1_de-de_16bd831fd16633be\german lingerie catfight feet lady .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.GroupPolicy.AdmTmplEditor\cumshot public .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\malaysia beast [bangbus] high heels .mpeg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\view\templates\black porn nude several models hole high heels (Janette).zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..ashared-filemanager_31bf3856ad364e35_10.0.19041.1_none_5d54c0aac5c3c12c\russian cum voyeur cock ejaculation .mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..e-eashared-moimeexe_31bf3856ad364e35_10.0.19041.746_none_d01527cffa9c25bc\norwegian xxx several models .avi.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-d..-eashared-imebroker_31bf3856ad364e35_10.0.19041.84_none_81616275259e37fe\action [free] high heels (Kathrin,Tatjana).mpg.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-g..olicy-admin-admtmpl_31bf3856ad364e35_10.0.19041.1_none_a7ad1894592cfa12\blowjob bukkake lesbian pregnant .zip.exe	63ad50cb5da16312f73dd1015c728170N.exe
File created	C:\Windows\WinSxS\amd64_microsoft-windows-h..public-utils-shared_31bf3856ad364e35_10.0.19041.1_none_19d22204a1f3fcaf\gang bang blowjob hidden .rar.exe	63ad50cb5da16312f73dd1015c728170N.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
3144	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
552	63ad50cb5da16312f73dd1015c728170N.exe
552	63ad50cb5da16312f73dd1015c728170N.exe
1084	63ad50cb5da16312f73dd1015c728170N.exe
1084	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
4364	63ad50cb5da16312f73dd1015c728170N.exe
4364	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
3364	63ad50cb5da16312f73dd1015c728170N.exe
3364	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
3208	63ad50cb5da16312f73dd1015c728170N.exe
3208	63ad50cb5da16312f73dd1015c728170N.exe
552	63ad50cb5da16312f73dd1015c728170N.exe
552	63ad50cb5da16312f73dd1015c728170N.exe
1944	63ad50cb5da16312f73dd1015c728170N.exe
1944	63ad50cb5da16312f73dd1015c728170N.exe
3440	63ad50cb5da16312f73dd1015c728170N.exe
3440	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
3144	63ad50cb5da16312f73dd1015c728170N.exe
3704	63ad50cb5da16312f73dd1015c728170N.exe
3704	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
1028	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
4068	63ad50cb5da16312f73dd1015c728170N.exe
3472	63ad50cb5da16312f73dd1015c728170N.exe
3472	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
3912	63ad50cb5da16312f73dd1015c728170N.exe
2812	63ad50cb5da16312f73dd1015c728170N.exe
2812	63ad50cb5da16312f73dd1015c728170N.exe
1764	63ad50cb5da16312f73dd1015c728170N.exe
1764	63ad50cb5da16312f73dd1015c728170N.exe
2608	63ad50cb5da16312f73dd1015c728170N.exe
4364	63ad50cb5da16312f73dd1015c728170N.exe
2608	63ad50cb5da16312f73dd1015c728170N.exe
4364	63ad50cb5da16312f73dd1015c728170N.exe
1084	63ad50cb5da16312f73dd1015c728170N.exe
1084	63ad50cb5da16312f73dd1015c728170N.exe
3364	63ad50cb5da16312f73dd1015c728170N.exe
3364	63ad50cb5da16312f73dd1015c728170N.exe
2228	63ad50cb5da16312f73dd1015c728170N.exe
2228	63ad50cb5da16312f73dd1015c728170N.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3144 wrote to memory of 4068	3144	63ad50cb5da16312f73dd1015c728170N.exe	87
PID 3144 wrote to memory of 4068	3144	63ad50cb5da16312f73dd1015c728170N.exe	87
PID 3144 wrote to memory of 4068	3144	63ad50cb5da16312f73dd1015c728170N.exe	87
PID 3144 wrote to memory of 1028	3144	63ad50cb5da16312f73dd1015c728170N.exe	90
PID 3144 wrote to memory of 1028	3144	63ad50cb5da16312f73dd1015c728170N.exe	90
PID 3144 wrote to memory of 1028	3144	63ad50cb5da16312f73dd1015c728170N.exe	90
PID 4068 wrote to memory of 3912	4068	63ad50cb5da16312f73dd1015c728170N.exe	91
PID 4068 wrote to memory of 3912	4068	63ad50cb5da16312f73dd1015c728170N.exe	91
PID 4068 wrote to memory of 3912	4068	63ad50cb5da16312f73dd1015c728170N.exe	91
PID 3144 wrote to memory of 552	3144	63ad50cb5da16312f73dd1015c728170N.exe	94
PID 3144 wrote to memory of 552	3144	63ad50cb5da16312f73dd1015c728170N.exe	94
PID 3144 wrote to memory of 552	3144	63ad50cb5da16312f73dd1015c728170N.exe	94
PID 1028 wrote to memory of 1084	1028	63ad50cb5da16312f73dd1015c728170N.exe	95
PID 1028 wrote to memory of 1084	1028	63ad50cb5da16312f73dd1015c728170N.exe	95
PID 1028 wrote to memory of 1084	1028	63ad50cb5da16312f73dd1015c728170N.exe	95
PID 4068 wrote to memory of 4364	4068	63ad50cb5da16312f73dd1015c728170N.exe	96
PID 4068 wrote to memory of 4364	4068	63ad50cb5da16312f73dd1015c728170N.exe	96
PID 4068 wrote to memory of 4364	4068	63ad50cb5da16312f73dd1015c728170N.exe	96
PID 3912 wrote to memory of 3364	3912	63ad50cb5da16312f73dd1015c728170N.exe	97
PID 3912 wrote to memory of 3364	3912	63ad50cb5da16312f73dd1015c728170N.exe	97
PID 3912 wrote to memory of 3364	3912	63ad50cb5da16312f73dd1015c728170N.exe	97
PID 552 wrote to memory of 3208	552	63ad50cb5da16312f73dd1015c728170N.exe	99
PID 552 wrote to memory of 3208	552	63ad50cb5da16312f73dd1015c728170N.exe	99
PID 552 wrote to memory of 3208	552	63ad50cb5da16312f73dd1015c728170N.exe	99
PID 3144 wrote to memory of 1944	3144	63ad50cb5da16312f73dd1015c728170N.exe	100
PID 3144 wrote to memory of 1944	3144	63ad50cb5da16312f73dd1015c728170N.exe	100
PID 3144 wrote to memory of 1944	3144	63ad50cb5da16312f73dd1015c728170N.exe	100
PID 1028 wrote to memory of 3704	1028	63ad50cb5da16312f73dd1015c728170N.exe	101
PID 1028 wrote to memory of 3704	1028	63ad50cb5da16312f73dd1015c728170N.exe	101
PID 1028 wrote to memory of 3704	1028	63ad50cb5da16312f73dd1015c728170N.exe	101
PID 4068 wrote to memory of 3440	4068	63ad50cb5da16312f73dd1015c728170N.exe	102
PID 4068 wrote to memory of 3440	4068	63ad50cb5da16312f73dd1015c728170N.exe	102
PID 4068 wrote to memory of 3440	4068	63ad50cb5da16312f73dd1015c728170N.exe	102
PID 3912 wrote to memory of 3472	3912	63ad50cb5da16312f73dd1015c728170N.exe	103
PID 3912 wrote to memory of 3472	3912	63ad50cb5da16312f73dd1015c728170N.exe	103
PID 3912 wrote to memory of 3472	3912	63ad50cb5da16312f73dd1015c728170N.exe	103
PID 1084 wrote to memory of 2812	1084	63ad50cb5da16312f73dd1015c728170N.exe	104
PID 1084 wrote to memory of 2812	1084	63ad50cb5da16312f73dd1015c728170N.exe	104
PID 1084 wrote to memory of 2812	1084	63ad50cb5da16312f73dd1015c728170N.exe	104
PID 4364 wrote to memory of 1764	4364	63ad50cb5da16312f73dd1015c728170N.exe	105
PID 4364 wrote to memory of 1764	4364	63ad50cb5da16312f73dd1015c728170N.exe	105
PID 4364 wrote to memory of 1764	4364	63ad50cb5da16312f73dd1015c728170N.exe	105
PID 3364 wrote to memory of 2608	3364	63ad50cb5da16312f73dd1015c728170N.exe	106
PID 3364 wrote to memory of 2608	3364	63ad50cb5da16312f73dd1015c728170N.exe	106
PID 3364 wrote to memory of 2608	3364	63ad50cb5da16312f73dd1015c728170N.exe	106
PID 3208 wrote to memory of 4696	3208	63ad50cb5da16312f73dd1015c728170N.exe	107
PID 3208 wrote to memory of 4696	3208	63ad50cb5da16312f73dd1015c728170N.exe	107
PID 3208 wrote to memory of 4696	3208	63ad50cb5da16312f73dd1015c728170N.exe	107
PID 552 wrote to memory of 2228	552	63ad50cb5da16312f73dd1015c728170N.exe	108
PID 552 wrote to memory of 2228	552	63ad50cb5da16312f73dd1015c728170N.exe	108
PID 552 wrote to memory of 2228	552	63ad50cb5da16312f73dd1015c728170N.exe	108
PID 3144 wrote to memory of 4540	3144	63ad50cb5da16312f73dd1015c728170N.exe	109
PID 3144 wrote to memory of 4540	3144	63ad50cb5da16312f73dd1015c728170N.exe	109
PID 3144 wrote to memory of 4540	3144	63ad50cb5da16312f73dd1015c728170N.exe	109
PID 1028 wrote to memory of 1416	1028	63ad50cb5da16312f73dd1015c728170N.exe	110
PID 1028 wrote to memory of 1416	1028	63ad50cb5da16312f73dd1015c728170N.exe	110
PID 1028 wrote to memory of 1416	1028	63ad50cb5da16312f73dd1015c728170N.exe	110
PID 4068 wrote to memory of 4680	4068	63ad50cb5da16312f73dd1015c728170N.exe	111
PID 4068 wrote to memory of 4680	4068	63ad50cb5da16312f73dd1015c728170N.exe	111
PID 4068 wrote to memory of 4680	4068	63ad50cb5da16312f73dd1015c728170N.exe	111
PID 1944 wrote to memory of 2752	1944	63ad50cb5da16312f73dd1015c728170N.exe	112
PID 1944 wrote to memory of 2752	1944	63ad50cb5da16312f73dd1015c728170N.exe	112
PID 1944 wrote to memory of 2752	1944	63ad50cb5da16312f73dd1015c728170N.exe	112
PID 3912 wrote to memory of 3528	3912	63ad50cb5da16312f73dd1015c728170N.exe	113

C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
"C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
1⤵
- Checks computer location settings
- Adds Run key to start application
- Enumerates connected drives
- Drops file in System32 directory
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:3144
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:4068
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:3912
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:3364
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        Checks computer location settings
        Suspicious behavior: EnumeratesProcesses
        
        PID:2608
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:4868
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:6348
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        8⤵
        
        PID:13844
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:6576
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        8⤵
        
        PID:13896
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:9088
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:11216
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:5816
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:10520
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:12232
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6688
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:8492
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:764
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:3264
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6180
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:10512
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:12224
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6632
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:12340
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:8832
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:3628
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:5700
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:9612
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12264
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6704
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12396
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8488
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12300
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      PID:3472
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:1688
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6260
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:9056
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:12036
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6608
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:14064
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:9104
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:3660
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:5716
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10600
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12192
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6548
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:13944
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8504
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:432
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:3528
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6088
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10796
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12144
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6648
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12412
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8888
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12060
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5492
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:10984
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12128
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6556
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12364
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8528
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:4728
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:4364
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      PID:1764
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:464
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6356
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:780
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6592
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:8864
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:2408
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:5896
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:13904
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6680
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8904
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:2396
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:1584
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6220
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10956
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12136
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6616
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8464
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12120
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:15092
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5540
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:10540
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12216
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6736
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12380
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8536
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12112
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    PID:3440
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:2016
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6208
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10660
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12168
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6624
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12372
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:9136
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:11004
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5644
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:13920
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6720
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:13880
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8896
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:3100
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:4680
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6024
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:10572
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12208
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6656
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8480
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12292
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:5348
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:10628
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12176
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6760
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:13928
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:8544
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:12068
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:1028
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:1084
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      Checks computer location settings
      Suspicious behavior: EnumeratesProcesses
      PID:2812
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:2296
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6324
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:14008
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:6600
        
        C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        7⤵
        
        PID:14104
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:8440
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12084
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:5844
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:13912
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6672
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12324
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8608
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:1304
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:4092
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6152
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10016
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12240
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6640
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:14040
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8472
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12104
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:14164
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5512
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12316
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6744
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12356
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8520
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:2308
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    PID:3704
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:2028
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6428
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:13852
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6564
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:14000
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8872
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:3820
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5732
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:10640
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12152
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6696
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12404
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:9096
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:11064
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:1416
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5680
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:3376
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6712
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:14056
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:9040
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12280
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:5260
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:9636
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12248
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6820
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:13836
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:8848
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:4392
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:552
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Checks computer location settings
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:3208
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:4696
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:5296
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:10548
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:12096
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6768
      - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        6⤵
        
        PID:14200
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:8840
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:2944
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5164
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:6948
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:9072
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:4652
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6332
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12388
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6584
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12348
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8456
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12308
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    - Suspicious behavior: EnumeratesProcesses
    PID:2228
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5244
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:9080
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:3844
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6380
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:13936
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6540
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12332
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8448
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:2580
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:5172
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:7500
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:14024
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:9604
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12256
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6364
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:9424
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12272
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6572
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:14032
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:8856
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:12044
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  - Checks computer location settings
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:1944
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:2752
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:5552
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:10592
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:12200
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:6728
    - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
        
        "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
        5⤵
        
        PID:13888
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:8880
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12052
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:5400
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:13828
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6752
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:14048
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:9048
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:4456
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  PID:4540
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6008
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:10668
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12160
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:6664
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:12804
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:8512
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:5104
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  PID:5252
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:10584
  - - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
      "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
      4⤵
      PID:14072
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:12184
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  PID:6812
- - C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
    "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
    3⤵
    PID:14016
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  PID:9064
- C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe
  "C:\Users\Admin\AppData\Local\Temp\63ad50cb5da16312f73dd1015c728170N.exe"
  2⤵
  PID:12028

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Unsecured Credentials

T1552

Credentials In Files

T1552.001

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Data from Local System

T1005

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\indian kicking lesbian public glans traffic (Christine,Karin).rar.exe

Filesize
873KB

MD5
32c298234ca4f945393c0bf498357692

SHA1
49f363d750eb965ca34f467facb30c2e7a199feb

SHA256
871a16d9b32a03caec8e6efd6f1bfbfbac65c95eec9da3b8fc5ff917f4a84512

SHA512
59acbf080f21e71bfe8721ab49087ea3703ce09147d2ba871738981b874789a2a73ae0049592a69f1cf3e5fc8c4e04d643d27d529201c17ae45e13ca1b5419ec

Download Submit