Analysis
-
max time kernel
150s -
max time network
151s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
-
submitted
17/08/2024, 01:56
General
-
Target
a0c7f6dc2181a03822d80b89e3eb23b6_JaffaCakes118.exe
-
Size
708KB
-
MD5
a0c7f6dc2181a03822d80b89e3eb23b6
-
SHA1
24d32b7cf785f015f042e7e2775b685aa05e44bd
-
SHA256
db85071114c8a9d9f3955ed94fa0e23dc7f80b6db815180f0de613cb3651e449
-
SHA512
1e2782e13b0563a34c9dcf40146061642665c8ea9d2c90cc10969e7bb4ed2f6929c216719f76a649f927e4a8fc9b69c122591494fd09d9e1071fa13040a76d30
-
SSDEEP
12288:LwKQPwAuox7TnLPBG/qoHXwIAKP7r9r/+ppppppppppppppppppppppppppppp0G:GwAuox7TU/F3TP1q
Score
7/10
Malware Config
Signatures
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Executes dropped EXE 3 IoCs
-
UPX packed file 6 IoCs
Detects executables packed with UPX/modified UPX open source packer.
-
Adds Run key to start application 2 TTPs 1 IoCs
-
Suspicious use of SetThreadContext 3 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Program crash 64 IoCs
-
System Location Discovery: System Language Discovery 1 TTPs 4 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
Suspicious use of AdjustPrivilegeToken 64 IoCs
-
Suspicious use of SetWindowsHookEx 4 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\a0c7f6dc2181a03822d80b89e3eb23b6_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\a0c7f6dc2181a03822d80b89e3eb23b6_JaffaCakes118.exe"1⤵
- Suspicious use of SetThreadContext
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\a0c7f6dc2181a03822d80b89e3eb23b6_JaffaCakes118.exe"C:\Users\Admin\AppData\Local\Temp\a0c7f6dc2181a03822d80b89e3eb23b6_JaffaCakes118.exe"2⤵
- Checks computer location settings
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"3⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- System Location Discovery: System Language Discovery
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"4⤵
- Executes dropped EXE
- System Location Discovery: System Language Discovery
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1224 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 512 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 440 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2372 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4456 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4224 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 800 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1340 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2632 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3204 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3760 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2628 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3780 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3188 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1208 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 208 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3732 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3440 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3208 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4780 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4356 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1544 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4308 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2360 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1996 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3908 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2648 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1644 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1936 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3736 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2792 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2996 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4916 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4444 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4828 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1836 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 996 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1048 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3528 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4352 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4216 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2872 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4872 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2152 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1564 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3728 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 408 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3176 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2308 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4108 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4784 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3752 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4776 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1956 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4844 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4848 -s 3406⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4232 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4136 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1608 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4940 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2316 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4440 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2472 -s 3366⤵
- Program crash
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4048 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4852 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1888 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3868 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5052 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4416 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2232 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4900 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3800 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1820 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2692 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 880 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4504 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1152 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 960 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4576 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1780 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 3152 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4832 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 1160 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 4476 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 5104 -s 3366⤵
-
-
-
C:\Windows\SysWOW64\bitsadmin.exe"C:\Windows\system32\bitsadmin.exe"5⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -u -p 2512 -s 3366⤵
-
-
-
-
C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"C:\Users\Admin\AppData\Roaming\@OFF\qqzone.exe"4⤵
- Executes dropped EXE
- Adds Run key to start application
-
-
-
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 376 -p 1224 -ip 12241⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 512 -ip 5121⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 440 -ip 4401⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2372 -ip 23721⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4456 -ip 44561⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 4224 -ip 42241⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 800 -ip 8001⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1340 -ip 13401⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2632 -ip 26321⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3204 -ip 32041⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3760 -ip 37601⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2628 -ip 26281⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 3780 -ip 37801⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 196 -p 3188 -ip 31881⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1208 -ip 12081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 208 -ip 2081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 3732 -ip 37321⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3440 -ip 34401⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3208 -ip 32081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4780 -ip 47801⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4356 -ip 43561⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4348 -ip 43481⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1544 -ip 15441⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 4308 -ip 43081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2360 -ip 23601⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1996 -ip 19961⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3908 -ip 39081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2648 -ip 26481⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1644 -ip 16441⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 1936 -ip 19361⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 3736 -ip 37361⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 2792 -ip 27921⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 2996 -ip 29961⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 4916 -ip 49161⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4444 -ip 44441⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 4828 -ip 48281⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1836 -ip 18361⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 996 -ip 9961⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 1048 -ip 10481⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 3528 -ip 35281⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4352 -ip 43521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 724 -p 4216 -ip 42161⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 716 -p 2872 -ip 28721⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 744 -p 4872 -ip 48721⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 748 -p 2152 -ip 21521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 752 -p 1564 -ip 15641⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 796 -p 3728 -ip 37281⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 812 -p 408 -ip 4081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 820 -p 3176 -ip 31761⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 832 -p 2308 -ip 23081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 816 -p 4108 -ip 41081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 832 -p 4784 -ip 47841⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 860 -p 3752 -ip 37521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 856 -p 4776 -ip 47761⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 872 -p 1956 -ip 19561⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 888 -p 4844 -ip 48441⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 904 -p 4848 -ip 48481⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 908 -p 4232 -ip 42321⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 928 -p 4136 -ip 41361⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 912 -p 1608 -ip 16081⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 952 -p 4940 -ip 49401⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 968 -p 2316 -ip 23161⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 976 -p 4440 -ip 44401⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 984 -p 2472 -ip 24721⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1000 -p 4048 -ip 40481⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1016 -p 4852 -ip 48521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 992 -p 1888 -ip 18881⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 996 -p 3868 -ip 38681⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 972 -p 5052 -ip 50521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1008 -p 4416 -ip 44161⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 960 -p 2232 -ip 22321⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1012 -p 4900 -ip 49001⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 996 -p 3800 -ip 38001⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1020 -p 1820 -ip 18201⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1020 -p 2692 -ip 26921⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 992 -p 880 -ip 8801⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1012 -p 4504 -ip 45041⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 980 -p 1152 -ip 11521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 980 -p 960 -ip 9601⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 960 -p 4576 -ip 45761⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1016 -p 1780 -ip 17801⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 996 -p 3152 -ip 31521⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1012 -p 4832 -ip 48321⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 992 -p 4256 -ip 42561⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 988 -p 1160 -ip 11601⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 980 -p 4476 -ip 44761⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1008 -p 5104 -ip 51041⤵
-
C:\Windows\SysWOW64\WerFault.exeC:\Windows\SysWOW64\WerFault.exe -pss -s 1020 -p 2512 -ip 25121⤵
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
142B
MD59ab34ce633d5269f04e58ab1877c008c
SHA1df4356195278c3249072de4d3e3fbcbe2ac3d21f
SHA2568aa118775d1829cc57a6177404d0967357a22adc48025ecc66e5eb6993901f25
SHA5122d09626fc054d5c8db177467ae27d9c4e41d387c34955091db094752aede48aceb72e6939c3ff9072b30a4a546a1a41bbf1e5cb135380db789d22cf4d269e070
-
Filesize
708KB
MD5462a8c0017ce7513eb319cfd1575724c
SHA19aa863df95cf175f37bc30f378ae0d81644a9010
SHA256ad17f3f3e0120d4469d5b2ff40eb0d35e7dfc5397f1f57ba1064477040519e22
SHA512930c7bf0fdcfa4ae3a1cc6c77ff3d5e83bfcc6606ed74b0b91c7b91bdbcea6893c304fb8b24de8989e97a113cd95161458af4962139df4ead96a5a579bb2bdfb
-
Filesize
712KB
-
Filesize
712KB
-
Filesize
80KB
-
Filesize
92KB
-
Filesize
92KB
-
Filesize
92KB
-
Filesize
92KB
-
Filesize
92KB
-
Filesize
92KB
-
Filesize
80KB
-
Filesize
80KB
-
Filesize
80KB
-
Filesize
80KB
-
Filesize
80KB
-
Filesize
4KB
-
Filesize
712KB
-
Filesize
712KB
-
Filesize
712KB