Malware Analysis Report

2024-12-07 15:05

Sample ID 241102-llke6sscml
Target 2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N
SHA256 2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177
Tags
simda discovery persistence stealer trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177

Threat Level: Known bad

The file 2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N was found to be: Known bad.

Malicious Activity Summary

simda discovery persistence stealer trojan

Modifies WinLogon for persistence

Simda family

simda

Executes dropped EXE

Loads dropped DLL

Modifies WinLogon

Drops file in Windows directory

System Location Discovery: System Language Discovery

Unsigned PE

Suspicious behavior: EnumeratesProcesses

Suspicious behavior: RenamesItself

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-02 09:41

Signatures

Simda family

simda

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-02 09:37

Reported

2024-11-02 09:43

Platform

win7-20240903-en

Max time kernel

101s

Max time network

116s

Command Line

"C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\bdc0ee1f = "&" C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\bdc0ee1f = "&" C:\Windows\apppatch\svchost.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe

"C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
GB 92.123.128.168:80 www.bing.com tcp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 vocyzit.com udp
US 199.191.50.83:80 galyqaz.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 69.162.80.59:80 lysyfyj.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 162.255.119.102:80 gahyqah.com tcp
DE 178.162.217.107:80 gatyfus.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 8.8.8.8:53 www.gahyqah.com udp
US 172.67.173.131:443 qegyhig.com tcp
DE 91.195.240.19:80 www.gahyqah.com tcp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 c.pki.goog udp
GB 142.250.187.227:80 c.pki.goog tcp
HK 154.212.231.82:80 gadyniw.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 172.67.173.131:443 qegyhig.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 vofybyf.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 lyrysor.com udp
US 104.21.26.151:80 lysyvan.com tcp
US 8.8.8.8:53 lygynud.com udp
US 76.223.54.146:80 pupydeq.com tcp
US 8.8.8.8:53 pupycag.com udp
US 107.178.223.183:80 lygynud.com tcp
US 18.208.156.248:80 pupycag.com tcp
CN 218.92.0.241:80 lyrysor.com tcp
US 104.21.26.151:443 lysyvan.com tcp
US 104.21.26.151:443 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
CN 218.92.0.241:80 lyrysor.com tcp
US 8.8.8.8:53 crl.microsoft.com udp
GB 2.19.252.143:80 crl.microsoft.com tcp
US 8.8.8.8:53 qedysov.com udp
US 8.8.8.8:53 pumylel.com udp
US 8.8.8.8:53 lysysod.com udp
US 8.8.8.8:53 qekynuq.com udp
US 8.8.8.8:53 vopypif.com udp
US 8.8.8.8:53 pujybyq.com udp
US 8.8.8.8:53 ganykaz.com udp
US 8.8.8.8:53 lyvyjox.com udp
US 8.8.8.8:53 qetytug.com udp
US 8.8.8.8:53 gahyvew.com udp
US 8.8.8.8:53 vocyjic.com udp
US 8.8.8.8:53 purytyg.com udp
US 8.8.8.8:53 lygyvar.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 gaqyreh.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 lymywaj.com udp
US 8.8.8.8:53 qedyxip.com udp
US 8.8.8.8:53 puzyguv.com udp
US 8.8.8.8:53 galyfyb.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 vonyqok.com udp
US 8.8.8.8:53 pupyxup.com udp
US 8.8.8.8:53 lykyfen.com udp
US 8.8.8.8:53 qebyqil.com udp
US 8.8.8.8:53 gatyzys.com udp
US 8.8.8.8:53 vojydam.com udp
US 8.8.8.8:53 puvymul.com udp
US 8.8.8.8:53 lyryled.com udp
US 8.8.8.8:53 qegysoq.com udp
US 8.8.8.8:53 gacynuz.com udp
US 8.8.8.8:53 vowykaf.com udp
US 8.8.8.8:53 pufypiq.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 pupypiv.com udp
US 8.8.8.8:53 lykynyj.com udp
US 8.8.8.8:53 qebykap.com udp
US 8.8.8.8:53 vonyket.com udp
US 8.8.8.8:53 vojybek.com udp
US 8.8.8.8:53 puvyjop.com udp
US 8.8.8.8:53 lyrytun.com udp
US 8.8.8.8:53 gacyhis.com udp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 vowyrym.com udp
US 8.8.8.8:53 gatypub.com udp
US 8.8.8.8:53 lyxygud.com udp
US 8.8.8.8:53 pufycol.com udp
US 8.8.8.8:53 qeqyreq.com udp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 volygyf.com udp
US 8.8.8.8:53 pumywaq.com udp
US 8.8.8.8:53 lysyxux.com udp
US 8.8.8.8:53 qekyfeg.com udp
US 8.8.8.8:53 ganyqow.com udp
US 8.8.8.8:53 vopyzuc.com udp
US 8.8.8.8:53 pujydag.com udp
US 8.8.8.8:53 lyvymir.com udp
US 8.8.8.8:53 qetylyv.com udp
US 8.8.8.8:53 gahydoh.com udp
US 8.8.8.8:53 vocymut.com udp
US 8.8.8.8:53 purylev.com udp
US 8.8.8.8:53 lygysij.com udp
US 8.8.8.8:53 qexynyp.com udp
US 8.8.8.8:53 gaqykab.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 galynuh.com udp
US 103.224.182.252:80 vofycot.com tcp
US 64.225.91.73:80 galynuh.com tcp
US 13.248.213.45:80 qexyhuv.com tcp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 103.224.212.210:80 lyxynyx.com tcp
US 44.221.84.105:80 gadyciz.com tcp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 ww16.vofycot.com udp
HK 154.85.183.50:80 qegyval.com tcp
US 8.8.8.8:53 ww25.lyxynyx.com udp
DE 64.190.63.136:80 ww16.vofycot.com tcp
US 199.59.243.227:80 ww25.lyxynyx.com tcp
US 13.248.213.45:80 qexyhuv.com tcp
US 8.8.8.8:53 puzybep.com udp
US 8.8.8.8:53 qeqykog.com udp
US 8.8.8.8:53 gadypuw.com udp
US 8.8.8.8:53 volybec.com udp
US 8.8.8.8:53 qekyvav.com udp
US 8.8.8.8:53 lysytyr.com udp
US 8.8.8.8:53 pumyjig.com udp
US 8.8.8.8:53 ganyhuh.com udp
US 8.8.8.8:53 vopyret.com udp
US 8.8.8.8:53 pujycov.com udp
US 8.8.8.8:53 lyvyguj.com udp
US 8.8.8.8:53 qetyrap.com udp
US 8.8.8.8:53 gahycib.com udp
US 8.8.8.8:53 vocygyk.com udp
US 8.8.8.8:53 purywop.com udp
US 8.8.8.8:53 qexyfel.com udp
US 8.8.8.8:53 lygyxun.com udp
US 8.8.8.8:53 gaqyqis.com udp
US 8.8.8.8:53 vofyzym.com udp
US 8.8.8.8:53 lymymud.com udp
US 8.8.8.8:53 puzydal.com udp
US 8.8.8.8:53 qedyleq.com udp
US 8.8.8.8:53 galydoz.com udp
US 8.8.8.8:53 vonymuf.com udp
US 8.8.8.8:53 pupylaq.com udp
US 8.8.8.8:53 lykysix.com udp
US 8.8.8.8:53 qebynyg.com udp
US 8.8.8.8:53 gatykow.com udp
US 8.8.8.8:53 vojypuc.com udp
US 8.8.8.8:53 puvybeg.com udp
US 8.8.8.8:53 lyryjir.com udp
US 8.8.8.8:53 qegytyv.com udp
US 8.8.8.8:53 galyvas.com udp
US 8.8.8.8:53 gacyvah.com udp
US 8.8.8.8:53 qedytul.com udp
US 8.8.8.8:53 vonyjim.com udp
US 8.8.8.8:53 lymyjon.com udp
US 8.8.8.8:53 lykyvod.com udp
US 8.8.8.8:53 qebyhuq.com udp
US 8.8.8.8:53 gatyrez.com udp
US 8.8.8.8:53 vojycif.com udp
US 8.8.8.8:53 pupytyl.com udp
US 8.8.8.8:53 puvygyq.com udp
US 8.8.8.8:53 qegyxug.com udp
US 8.8.8.8:53 gacyfew.com udp
US 8.8.8.8:53 lyrywax.com udp
US 8.8.8.8:53 pufyxug.com udp
US 8.8.8.8:53 vowyqoc.com udp
US 8.8.8.8:53 qeqyqiv.com udp
US 8.8.8.8:53 gadyzyh.com udp
US 8.8.8.8:53 volydot.com udp
US 8.8.8.8:53 lysylej.com udp
US 8.8.8.8:53 pumymuv.com udp
US 8.8.8.8:53 ganynyb.com udp
US 8.8.8.8:53 qekysip.com udp
US 8.8.8.8:53 vopykak.com udp
US 8.8.8.8:53 pujypup.com udp
US 8.8.8.8:53 lyvynen.com udp
US 8.8.8.8:53 qetykol.com udp
US 8.8.8.8:53 gahypus.com udp
US 8.8.8.8:53 vocybam.com udp
US 8.8.8.8:53 puryjil.com udp
US 8.8.8.8:53 lyxyfar.com udp
US 8.8.8.8:53 vowyjut.com udp
US 8.8.8.8:53 pufytev.com udp
US 8.8.8.8:53 lyxyvoj.com udp
US 8.8.8.8:53 qeqyhup.com udp
US 8.8.8.8:53 gadyrab.com udp
US 8.8.8.8:53 volycik.com udp
US 8.8.8.8:53 pumygyp.com udp
US 8.8.8.8:53 lysywon.com udp
US 8.8.8.8:53 qekyxul.com udp
US 8.8.8.8:53 ganyfes.com udp
US 8.8.8.8:53 vopyqim.com udp
US 8.8.8.8:53 pujyxyl.com udp
US 8.8.8.8:53 lyvyfad.com udp
US 8.8.8.8:53 qetyquq.com udp
US 8.8.8.8:53 gahyzez.com udp
US 8.8.8.8:53 vocydof.com udp
US 8.8.8.8:53 purymuq.com udp
US 8.8.8.8:53 lygylax.com udp
US 8.8.8.8:53 qexysig.com udp
US 8.8.8.8:53 gaqynyw.com udp
US 8.8.8.8:53 vofykoc.com udp
US 8.8.8.8:53 puzypug.com udp
US 8.8.8.8:53 lymyner.com udp
US 8.8.8.8:53 qedykiv.com udp
US 8.8.8.8:53 galypyh.com udp
US 8.8.8.8:53 vonybat.com udp
US 8.8.8.8:53 pupyjuv.com udp
US 8.8.8.8:53 lykytej.com udp
US 8.8.8.8:53 qebyvop.com udp
US 8.8.8.8:53 gatyhub.com udp
US 8.8.8.8:53 vojyrak.com udp
US 8.8.8.8:53 puvycip.com udp
US 8.8.8.8:53 lygytyd.com udp
US 8.8.8.8:53 qexyvoq.com udp
US 8.8.8.8:53 gaqyhuz.com udp
US 8.8.8.8:53 vofyref.com udp
US 8.8.8.8:53 puzyciq.com udp
US 8.8.8.8:53 lymygyx.com udp
US 8.8.8.8:53 qedyrag.com udp
US 8.8.8.8:53 galycuw.com udp
US 8.8.8.8:53 vonygec.com udp
US 8.8.8.8:53 pupywog.com udp
US 8.8.8.8:53 lykyxur.com udp
US 8.8.8.8:53 qebyfav.com udp
US 8.8.8.8:53 gatyqih.com udp
US 8.8.8.8:53 vojyzyt.com udp
US 8.8.8.8:53 puvydov.com udp
US 8.8.8.8:53 lyrymuj.com udp
US 8.8.8.8:53 qegylep.com udp
US 8.8.8.8:53 gacydib.com udp
US 8.8.8.8:53 vowymyk.com udp
US 8.8.8.8:53 pufylap.com udp
US 8.8.8.8:53 lyxysun.com udp
US 8.8.8.8:53 qeqynel.com udp
US 8.8.8.8:53 gadykos.com udp
US 8.8.8.8:53 volypum.com udp
US 8.8.8.8:53 pumybal.com udp
US 8.8.8.8:53 lysyjid.com udp
US 8.8.8.8:53 qekytyq.com udp
US 8.8.8.8:53 ganyvoz.com udp
US 8.8.8.8:53 vopyjuf.com udp
US 8.8.8.8:53 pujyteq.com udp
US 8.8.8.8:53 lyvyvix.com udp
US 8.8.8.8:53 qetyhyg.com udp
US 8.8.8.8:53 gatyhub.com udp
US 72.52.179.174:80 gatyhub.com tcp
US 8.8.8.8:53 qetyhyg.com udp
US 64.225.91.73:80 qetyhyg.com tcp
US 72.52.179.174:80 gatyhub.com tcp
US 8.8.8.8:53 lyrygyn.com udp
US 8.8.8.8:53 qegyrol.com udp
US 8.8.8.8:53 gacycus.com udp
US 8.8.8.8:53 vowygem.com udp
US 8.8.8.8:53 pufywil.com udp
US 8.8.8.8:53 lyxyxyd.com udp
US 8.8.8.8:53 qeqyfaq.com udp
US 8.8.8.8:53 gadyquz.com udp
US 8.8.8.8:53 volyzef.com udp
US 8.8.8.8:53 pumydoq.com udp
US 8.8.8.8:53 qekylag.com udp
US 8.8.8.8:53 lysymux.com udp
US 8.8.8.8:53 ganydiw.com udp
US 8.8.8.8:53 pujylog.com udp
US 8.8.8.8:53 vopymyc.com udp
US 8.8.8.8:53 lyvysur.com udp
US 8.8.8.8:53 gahykih.com udp
US 8.8.8.8:53 qetynev.com udp
US 8.8.8.8:53 vocypyt.com udp
US 8.8.8.8:53 purybav.com udp
US 8.8.8.8:53 lygyjuj.com udp
US 8.8.8.8:53 gaqyvob.com udp
US 8.8.8.8:53 qexytep.com udp
US 8.8.8.8:53 vofyjuk.com udp
US 8.8.8.8:53 puzytap.com udp
US 8.8.8.8:53 lymyvin.com udp
US 8.8.8.8:53 galyros.com udp
US 8.8.8.8:53 qedyhyl.com udp
US 8.8.8.8:53 vonycum.com udp
US 8.8.8.8:53 pupygel.com udp
US 8.8.8.8:53 lykywid.com udp
US 8.8.8.8:53 qebyxyq.com udp
US 8.8.8.8:53 vocycuc.com udp
US 8.8.8.8:53 purygeg.com udp
US 8.8.8.8:53 gahyraw.com udp
US 8.8.8.8:53 lygywor.com udp
US 8.8.8.8:53 qexyxuv.com udp
US 8.8.8.8:53 vofyqit.com udp
US 8.8.8.8:53 lymyfoj.com udp
US 8.8.8.8:53 puzyxyv.com udp
US 8.8.8.8:53 gaqyfah.com udp
US 8.8.8.8:53 qedyqup.com udp
US 8.8.8.8:53 vonydik.com udp
US 8.8.8.8:53 lykylan.com udp
US 8.8.8.8:53 pupymyp.com udp
US 8.8.8.8:53 galyzeb.com udp
US 8.8.8.8:53 gatynes.com udp
US 8.8.8.8:53 vojykom.com udp
US 8.8.8.8:53 puvypul.com udp
US 8.8.8.8:53 qegykiq.com udp
US 8.8.8.8:53 qebysul.com udp
US 8.8.8.8:53 gacypyz.com udp
US 8.8.8.8:53 pufyjuq.com udp
US 8.8.8.8:53 lyxytex.com udp
US 8.8.8.8:53 qeqyvig.com udp
US 8.8.8.8:53 gadyhyw.com udp
US 8.8.8.8:53 volyrac.com udp
US 8.8.8.8:53 pumycug.com udp
US 8.8.8.8:53 lysyger.com udp
US 8.8.8.8:53 qekyrov.com udp
US 8.8.8.8:53 vopygat.com udp
US 8.8.8.8:53 ganycuh.com udp
US 8.8.8.8:53 lyrynad.com udp
US 8.8.8.8:53 gatyfaz.com udp
US 8.8.8.8:53 qegyqug.com udp
US 8.8.8.8:53 vojyquf.com udp
US 8.8.8.8:53 puvyxeq.com udp
US 8.8.8.8:53 lyryfox.com udp
US 8.8.8.8:53 gacyzaw.com udp
US 8.8.8.8:53 vowydic.com udp
US 8.8.8.8:53 pufymyg.com udp
US 8.8.8.8:53 lyxylor.com udp
US 8.8.8.8:53 qeqysuv.com udp
US 8.8.8.8:53 gadyneh.com udp
US 8.8.8.8:53 volykit.com udp
US 8.8.8.8:53 pumypyv.com udp
US 8.8.8.8:53 lysynaj.com udp
US 8.8.8.8:53 qekykup.com udp
US 8.8.8.8:53 ganypeb.com udp
US 8.8.8.8:53 vopybok.com udp
US 8.8.8.8:53 pujyjup.com udp
US 8.8.8.8:53 lyvytan.com udp
US 8.8.8.8:53 qetyvil.com udp
US 8.8.8.8:53 gahyhys.com udp
US 8.8.8.8:53 vocyrom.com udp
US 8.8.8.8:53 purycul.com udp
US 8.8.8.8:53 lygyged.com udp
US 8.8.8.8:53 qexyriq.com udp
US 8.8.8.8:53 gaqycyz.com udp
US 8.8.8.8:53 vofygaf.com udp
US 8.8.8.8:53 puzywuq.com udp
US 8.8.8.8:53 lymyxex.com udp
US 8.8.8.8:53 qedyfog.com udp
US 8.8.8.8:53 galyquw.com udp
US 8.8.8.8:53 vonyzac.com udp
US 8.8.8.8:53 lyvyxyj.com udp
US 8.8.8.8:53 qetyfop.com udp
US 8.8.8.8:53 pujywiv.com udp
US 8.8.8.8:53 gahyqub.com udp
US 8.8.8.8:53 purydip.com udp
US 8.8.8.8:53 vocyzek.com udp
US 8.8.8.8:53 lygymyn.com udp
US 8.8.8.8:53 gaqydus.com udp
US 8.8.8.8:53 vofymem.com udp
US 8.8.8.8:53 qexylal.com udp
US 8.8.8.8:53 lymysud.com udp
US 8.8.8.8:53 qedynaq.com udp
US 8.8.8.8:53 galykiz.com udp
US 8.8.8.8:53 vonypyf.com udp
US 8.8.8.8:53 lykyjux.com udp
US 8.8.8.8:53 pupyboq.com udp
US 8.8.8.8:53 qebyteg.com udp
US 8.8.8.8:53 gatyviw.com udp
US 8.8.8.8:53 vojyjyc.com udp
US 8.8.8.8:53 puvytag.com udp
US 8.8.8.8:53 lyryvur.com udp
US 8.8.8.8:53 qegyhev.com udp
US 8.8.8.8:53 vowycut.com udp
US 8.8.8.8:53 gacyroh.com udp
US 8.8.8.8:53 pufygav.com udp
US 8.8.8.8:53 lyxywij.com udp
US 8.8.8.8:53 qeqyxyp.com udp
US 8.8.8.8:53 gadyfob.com udp
US 8.8.8.8:53 volyquk.com udp
US 8.8.8.8:53 pumyxep.com udp
US 8.8.8.8:53 lysyfin.com udp
US 8.8.8.8:53 pupydig.com udp
US 8.8.8.8:53 lykymyr.com udp
US 8.8.8.8:53 qebylov.com udp
US 8.8.8.8:53 gatyduh.com udp
US 8.8.8.8:53 vojymet.com udp
US 8.8.8.8:53 lyrysyj.com udp
US 8.8.8.8:53 qegynap.com udp
US 8.8.8.8:53 puvyliv.com udp
US 8.8.8.8:53 gacykub.com udp
US 8.8.8.8:53 vowypek.com udp
US 8.8.8.8:53 pufybop.com udp
US 8.8.8.8:53 lyxyjun.com udp
US 8.8.8.8:53 qeqytal.com udp
US 8.8.8.8:53 gadyvis.com udp
US 8.8.8.8:53 volyjym.com udp
US 8.8.8.8:53 lysyvud.com udp
US 8.8.8.8:53 pumytol.com udp
US 8.8.8.8:53 qekyheq.com udp
US 8.8.8.8:53 ganyriz.com udp
US 8.8.8.8:53 vopycyf.com udp
US 8.8.8.8:53 pujygaq.com udp
US 8.8.8.8:53 lyvywux.com udp
US 8.8.8.8:53 qetyxeg.com udp
US 8.8.8.8:53 gahyfow.com udp
US 8.8.8.8:53 vocyquc.com udp
US 8.8.8.8:53 puryxag.com udp
US 8.8.8.8:53 lygyfir.com udp
US 8.8.8.8:53 qexyqyv.com udp
US 8.8.8.8:53 gaqyzoh.com udp
US 8.8.8.8:53 vofydut.com udp
US 8.8.8.8:53 puzymev.com udp
US 8.8.8.8:53 lymylij.com udp
US 8.8.8.8:53 ganyzas.com udp
US 8.8.8.8:53 qekyqyl.com udp
US 8.8.8.8:53 pujymel.com udp
US 8.8.8.8:53 lyvylod.com udp
US 8.8.8.8:53 qetysuq.com udp
US 8.8.8.8:53 gahynaz.com udp
US 8.8.8.8:53 vocykif.com udp
US 8.8.8.8:53 purypyq.com udp
US 8.8.8.8:53 lygynox.com udp
US 8.8.8.8:53 qexykug.com udp
US 8.8.8.8:53 gaqypew.com udp
US 8.8.8.8:53 vofybic.com udp
US 8.8.8.8:53 lymytar.com udp
US 8.8.8.8:53 puzyjyg.com udp
US 8.8.8.8:53 qedyvuv.com udp
US 8.8.8.8:53 galyheh.com udp
US 8.8.8.8:53 pupycuv.com udp
US 8.8.8.8:53 vonyrot.com udp
US 8.8.8.8:53 lykygaj.com udp
US 8.8.8.8:53 qebyrip.com udp
US 8.8.8.8:53 gatycyb.com udp
US 8.8.8.8:53 puvywup.com udp
US 8.8.8.8:53 vojygok.com udp
US 8.8.8.8:53 lyryxen.com udp
US 8.8.8.8:53 qegyfil.com udp
US 8.8.8.8:53 gacyqys.com udp
US 8.8.8.8:53 pufydul.com udp
US 8.8.8.8:53 lyxymed.com udp
US 8.8.8.8:53 vowyzam.com udp
US 8.8.8.8:53 qeqyloq.com udp
US 8.8.8.8:53 gadyduz.com udp
US 8.8.8.8:53 vopydum.com udp
US 8.8.8.8:53 qedysyp.com udp
US 8.8.8.8:53 galynab.com udp
US 8.8.8.8:53 vonykuk.com udp
US 8.8.8.8:53 pupypep.com udp
US 8.8.8.8:53 lykynon.com udp
US 8.8.8.8:53 gatypas.com udp
US 8.8.8.8:53 qebykul.com udp
US 8.8.8.8:53 vojybim.com udp
US 8.8.8.8:53 puvyjyl.com udp
US 8.8.8.8:53 lyrytod.com udp
US 8.8.8.8:53 pumyliq.com udp
US 8.8.8.8:53 volymaf.com udp
US 8.8.8.8:53 lysysyx.com udp
US 8.8.8.8:53 ganykuw.com udp
US 8.8.8.8:53 vopypec.com udp
US 8.8.8.8:53 qekynog.com udp
US 8.8.8.8:53 qegyvuq.com udp
US 8.8.8.8:53 pujybig.com udp
US 8.8.8.8:53 gacyhez.com udp
US 8.8.8.8:53 lyvyjyr.com udp
US 8.8.8.8:53 vowyrif.com udp
US 8.8.8.8:53 pufycyq.com udp
US 8.8.8.8:53 lyxygax.com udp
US 8.8.8.8:53 qetytav.com udp
US 8.8.8.8:53 gahyvuh.com udp
US 8.8.8.8:53 qeqyrug.com udp
US 8.8.8.8:53 gadycew.com udp
US 8.8.8.8:53 volygoc.com udp
US 8.8.8.8:53 vocyjet.com udp
US 8.8.8.8:53 pumywug.com udp
US 8.8.8.8:53 purytov.com udp
US 8.8.8.8:53 vopyzot.com udp
US 8.8.8.8:53 lysyxar.com udp
US 8.8.8.8:53 lygyvuj.com udp
US 8.8.8.8:53 qexyhap.com udp
US 8.8.8.8:53 pujyduv.com udp
US 8.8.8.8:53 gaqyrib.com udp
US 8.8.8.8:53 qetylip.com udp
US 8.8.8.8:53 lyvymej.com udp
US 8.8.8.8:53 vofycyk.com udp
US 8.8.8.8:53 gahydyb.com udp
US 8.8.8.8:53 puzygop.com udp
US 8.8.8.8:53 purylup.com udp
US 8.8.8.8:53 vocymak.com udp
US 8.8.8.8:53 lymywun.com udp
US 8.8.8.8:53 qedyxel.com udp
US 8.8.8.8:53 lygysen.com udp
US 8.8.8.8:53 qexynol.com udp
US 8.8.8.8:53 galyfis.com udp
US 8.8.8.8:53 gaqykus.com udp
US 8.8.8.8:53 vonyqym.com udp
US 8.8.8.8:53 pupyxal.com udp
US 8.8.8.8:53 lykyfud.com udp
US 8.8.8.8:53 qebyqeq.com udp
US 8.8.8.8:53 gatyzoz.com udp
US 8.8.8.8:53 vojyduf.com udp
US 8.8.8.8:53 vowykuc.com udp
US 8.8.8.8:53 puvymaq.com udp
US 8.8.8.8:53 qegysyg.com udp
US 8.8.8.8:53 gacynow.com udp
US 8.8.8.8:53 pufypeg.com udp
US 8.8.8.8:53 lyrylix.com udp
US 8.8.8.8:53 lygyvuj.com udp
US 52.34.198.229:80 lygyvuj.com tcp
US 8.8.8.8:53 vofypam.com udp
US 8.8.8.8:53 puzybil.com udp
US 8.8.8.8:53 lymyjyd.com udp
US 8.8.8.8:53 qedytoq.com udp
US 8.8.8.8:53 galyvuz.com udp
US 8.8.8.8:53 vonyjef.com udp
US 8.8.8.8:53 pupytiq.com udp
US 8.8.8.8:53 lykyvyx.com udp
US 8.8.8.8:53 qebyhag.com udp
US 8.8.8.8:53 vojycec.com udp
US 8.8.8.8:53 puvygog.com udp
US 8.8.8.8:53 lyrywur.com udp
US 8.8.8.8:53 qegyxav.com udp
US 8.8.8.8:53 vowyqyt.com udp
US 8.8.8.8:53 gacyfih.com udp
US 8.8.8.8:53 pufyxov.com udp
US 8.8.8.8:53 lyxyfuj.com udp
US 8.8.8.8:53 qeqyqep.com udp
US 8.8.8.8:53 gadyzib.com udp
US 8.8.8.8:53 volydyk.com udp
US 8.8.8.8:53 pumymap.com udp
US 8.8.8.8:53 lysylun.com udp
US 8.8.8.8:53 qekysel.com udp
US 8.8.8.8:53 ganynos.com udp
US 8.8.8.8:53 vopykum.com udp
US 8.8.8.8:53 pujypal.com udp
US 8.8.8.8:53 lyvynid.com udp
US 8.8.8.8:53 qetykyq.com udp
US 8.8.8.8:53 gahypoz.com udp
US 8.8.8.8:53 vocybuf.com udp
US 8.8.8.8:53 qeqykyv.com udp
US 8.8.8.8:53 puryjeq.com udp
US 8.8.8.8:53 lyxynir.com udp
US 8.8.8.8:53 gadypah.com udp
US 8.8.8.8:53 vopyrik.com udp
US 8.8.8.8:53 volybut.com udp
US 8.8.8.8:53 pumyjev.com udp
US 8.8.8.8:53 lysytoj.com udp
US 8.8.8.8:53 pujycyp.com udp
US 8.8.8.8:53 lyvygon.com udp
US 8.8.8.8:53 qekyvup.com udp
US 8.8.8.8:53 qetyrul.com udp
US 8.8.8.8:53 gahyces.com udp
US 8.8.8.8:53 vocygim.com udp
US 8.8.8.8:53 purywyl.com udp
US 8.8.8.8:53 lygyxad.com udp
US 8.8.8.8:53 qexyfuq.com udp
US 8.8.8.8:53 gaqyqez.com udp
US 8.8.8.8:53 puzyduq.com udp
US 8.8.8.8:53 lymymax.com udp
US 8.8.8.8:53 qedylig.com udp
US 8.8.8.8:53 galydyw.com udp
US 8.8.8.8:53 vonymoc.com udp
US 8.8.8.8:53 pupylug.com udp
US 8.8.8.8:53 qebyniv.com udp
US 8.8.8.8:53 lykyser.com udp
US 8.8.8.8:53 gatykyh.com udp
US 8.8.8.8:53 puvybuv.com udp
US 8.8.8.8:53 vojypat.com udp
US 8.8.8.8:53 lyryjej.com udp
US 8.8.8.8:53 qegytop.com udp
US 8.8.8.8:53 ganyhab.com udp
US 8.8.8.8:53 lygytix.com udp
US 8.8.8.8:53 qexyvyg.com udp
US 8.8.8.8:53 gaqyhaw.com udp
US 8.8.8.8:53 vofyruc.com udp
US 8.8.8.8:53 puzyceg.com udp
US 8.8.8.8:53 lymygor.com udp
US 8.8.8.8:53 qedyruv.com udp
US 8.8.8.8:53 galycah.com udp
US 8.8.8.8:53 vonygit.com udp
US 8.8.8.8:53 pupywyv.com udp
US 8.8.8.8:53 lykyxoj.com udp
US 8.8.8.8:53 qebyfup.com udp
US 8.8.8.8:53 gatyqeb.com udp
US 8.8.8.8:53 vojyzik.com udp
US 8.8.8.8:53 puvydyp.com udp
US 8.8.8.8:53 lyryman.com udp
US 8.8.8.8:53 qegylul.com udp
US 8.8.8.8:53 gacydes.com udp
US 8.8.8.8:53 vowymom.com udp
US 8.8.8.8:53 pufylul.com udp
US 8.8.8.8:53 lyxysad.com udp
US 8.8.8.8:53 qeqyniq.com udp
US 8.8.8.8:53 gadykyz.com udp
US 8.8.8.8:53 volypof.com udp
US 8.8.8.8:53 pumybuq.com udp
US 8.8.8.8:53 lysyjex.com udp
US 8.8.8.8:53 lyvyver.com udp
US 8.8.8.8:53 qekytig.com udp
US 8.8.8.8:53 ganyvyw.com udp
US 8.8.8.8:53 vopyjac.com udp
US 8.8.8.8:53 qetyhov.com udp
US 8.8.8.8:53 pujytug.com udp
US 8.8.8.8:53 vowyjak.com udp
US 8.8.8.8:53 pufytip.com udp
US 8.8.8.8:53 lyxyvyn.com udp
US 8.8.8.8:53 qeqyhol.com udp
US 8.8.8.8:53 gadyrus.com udp
US 8.8.8.8:53 volycem.com udp
US 8.8.8.8:53 pumygil.com udp
US 8.8.8.8:53 lysywyd.com udp
US 8.8.8.8:53 qekyxaq.com udp
US 8.8.8.8:53 ganyfuz.com udp
US 8.8.8.8:53 vopyqef.com udp
US 8.8.8.8:53 pujyxoq.com udp
US 8.8.8.8:53 lyvyfux.com udp
US 8.8.8.8:53 qetyqag.com udp
US 8.8.8.8:53 gahyziw.com udp
US 8.8.8.8:53 vocydyc.com udp
US 8.8.8.8:53 purymog.com udp
US 8.8.8.8:53 lygylur.com udp
US 8.8.8.8:53 qexysev.com udp
US 8.8.8.8:53 gaqynih.com udp
US 8.8.8.8:53 vofykyt.com udp
US 8.8.8.8:53 puzypav.com udp
US 8.8.8.8:53 lymynuj.com udp
US 8.8.8.8:53 qedykep.com udp
US 8.8.8.8:53 galypob.com udp
US 8.8.8.8:53 vonybuk.com udp
US 8.8.8.8:53 pupyjap.com udp
US 8.8.8.8:53 lykytin.com udp
US 8.8.8.8:53 qebyvyl.com udp
US 8.8.8.8:53 gatyhos.com udp
US 8.8.8.8:53 vojyrum.com udp
US 8.8.8.8:53 gahyruh.com udp
US 8.8.8.8:53 vocycat.com udp
US 8.8.8.8:53 qedyqal.com udp
US 8.8.8.8:53 purygiv.com udp
US 8.8.8.8:53 lygywyj.com udp
US 8.8.8.8:53 qexyxop.com udp
US 8.8.8.8:53 gaqyfub.com udp
US 8.8.8.8:53 galyzus.com udp
US 8.8.8.8:53 vofyqek.com udp
US 8.8.8.8:53 puzyxip.com udp
US 8.8.8.8:53 lymyfyn.com udp
US 8.8.8.8:53 vonydem.com udp
US 8.8.8.8:53 pupymol.com udp
US 8.8.8.8:53 lykylud.com udp
US 8.8.8.8:53 qebysaq.com udp
US 8.8.8.8:53 vojykyf.com udp
US 8.8.8.8:53 puvypoq.com udp
US 8.8.8.8:53 lyrynux.com udp
US 8.8.8.8:53 qegykeg.com udp
US 8.8.8.8:53 gacypiw.com udp
US 8.8.8.8:53 pufyjag.com udp
US 8.8.8.8:53 vowybyc.com udp
US 8.8.8.8:53 lyxytur.com udp
US 8.8.8.8:53 gadyhoh.com udp
US 8.8.8.8:53 qeqyvev.com udp
US 8.8.8.8:53 volyrut.com udp
US 8.8.8.8:53 pumycav.com udp
US 8.8.8.8:53 lysygij.com udp
US 8.8.8.8:53 qekyryp.com udp
US 8.8.8.8:53 ganycob.com udp
US 8.8.8.8:53 vopyguk.com udp
US 8.8.8.8:53 lyrygid.com udp
US 8.8.8.8:53 qegyryq.com udp
US 8.8.8.8:53 gacycaz.com udp
US 8.8.8.8:53 puvycel.com udp
US 8.8.8.8:53 volyzic.com udp
US 8.8.8.8:53 vowyguf.com udp
US 8.8.8.8:53 pufyweq.com udp
US 8.8.8.8:53 lyxyxox.com udp
US 8.8.8.8:53 pumydyg.com udp
US 8.8.8.8:53 lysymor.com udp
US 8.8.8.8:53 qekyluv.com udp
US 8.8.8.8:53 ganydeh.com udp
US 8.8.8.8:53 vopymit.com udp
US 8.8.8.8:53 lyvysaj.com udp
US 8.8.8.8:53 pujylyv.com udp
US 8.8.8.8:53 qetynup.com udp
US 8.8.8.8:53 gahykeb.com udp
US 8.8.8.8:53 vocypok.com udp
US 8.8.8.8:53 purybup.com udp
US 8.8.8.8:53 lygyjan.com udp
US 8.8.8.8:53 qeqyfug.com udp
US 8.8.8.8:53 gadyqaw.com udp
US 8.8.8.8:53 qexytil.com udp
US 8.8.8.8:53 gaqyvys.com udp
US 8.8.8.8:53 vofyjom.com udp
US 8.8.8.8:53 puzytul.com udp
US 8.8.8.8:53 qedyhiq.com udp
US 8.8.8.8:53 lymyved.com udp
US 8.8.8.8:53 galyryz.com udp
US 8.8.8.8:53 vonycaf.com udp
US 8.8.8.8:53 lykywex.com udp
US 8.8.8.8:53 pupyguq.com udp
US 8.8.8.8:53 pujywep.com udp
US 8.8.8.8:53 lyvyxin.com udp
US 8.8.8.8:53 qetyfyl.com udp
US 8.8.8.8:53 purydel.com udp
US 8.8.8.8:53 gahyqas.com udp
US 8.8.8.8:53 vocyzum.com udp
US 8.8.8.8:53 lygymod.com udp
US 8.8.8.8:53 qexyluq.com udp
US 8.8.8.8:53 gaqydaz.com udp
US 8.8.8.8:53 vofymif.com udp
US 8.8.8.8:53 lymysox.com udp
US 8.8.8.8:53 puzylyq.com udp
US 8.8.8.8:53 qedynug.com udp
US 8.8.8.8:53 galykew.com udp
US 8.8.8.8:53 vonypic.com udp
US 8.8.8.8:53 pupybyg.com udp
US 8.8.8.8:53 lykyjar.com udp
US 8.8.8.8:53 qebytuv.com udp
US 8.8.8.8:53 gatyveh.com udp
US 8.8.8.8:53 vojyjot.com udp
US 8.8.8.8:53 puvytuv.com udp
US 8.8.8.8:53 gacyryb.com udp
US 8.8.8.8:53 qegyhip.com udp
US 8.8.8.8:53 vowycok.com udp
US 8.8.8.8:53 pufygup.com udp
US 8.8.8.8:53 lyxywen.com udp
US 8.8.8.8:53 qeqyxil.com udp
US 8.8.8.8:53 gadyfys.com udp
US 8.8.8.8:53 volyqam.com udp
US 8.8.8.8:53 pumyxul.com udp
US 8.8.8.8:53 lysyfed.com udp
US 8.8.8.8:53 gatyfuw.com udp
US 8.8.8.8:53 vopybym.com udp
US 8.8.8.8:53 qebyxog.com udp
US 8.8.8.8:53 vojyqac.com udp
US 8.8.8.8:53 puvyxig.com udp
US 8.8.8.8:53 pujyjol.com udp
US 8.8.8.8:53 lyryfyr.com udp
US 8.8.8.8:53 qegyqov.com udp
US 8.8.8.8:53 gacyzuh.com udp
US 8.8.8.8:53 lyvytud.com udp
US 8.8.8.8:53 vowydet.com udp
US 8.8.8.8:53 pufymiv.com udp
US 8.8.8.8:53 qetyveq.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 8.8.8.8:53 vocyryf.com udp
US 8.8.8.8:53 lygygux.com udp
US 8.8.8.8:53 qexyreg.com udp
US 8.8.8.8:53 lyxylyj.com udp
US 8.8.8.8:53 gaqycow.com udp
US 8.8.8.8:53 puzywag.com udp
US 8.8.8.8:53 lymyxir.com udp
US 8.8.8.8:53 galyqoh.com udp
US 8.8.8.8:53 qeqysap.com udp
US 8.8.8.8:53 gadynub.com udp
US 8.8.8.8:53 volykek.com udp
US 8.8.8.8:53 pumypop.com udp
US 8.8.8.8:53 lysynun.com udp
US 8.8.8.8:53 ganypis.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 44.221.84.105:80 gahyhiz.com tcp
US 8.8.8.8:53 vonyzut.com udp
US 8.8.8.8:53 pupydev.com udp
US 8.8.8.8:53 lykymij.com udp
US 8.8.8.8:53 qekyhug.com udp
US 8.8.8.8:53 qebylyp.com udp
US 8.8.8.8:53 gatydab.com udp
US 8.8.8.8:53 vojymuk.com udp
US 8.8.8.8:53 puvylep.com udp
US 8.8.8.8:53 qegynul.com udp
US 8.8.8.8:53 gacykas.com udp
US 8.8.8.8:53 vowypim.com udp
US 8.8.8.8:53 pufybyl.com udp
US 8.8.8.8:53 lyxyjod.com udp
US 8.8.8.8:53 qeqytuq.com udp
US 8.8.8.8:53 gadyvez.com udp
US 8.8.8.8:53 ganyrew.com udp
US 8.8.8.8:53 volyjif.com udp
US 8.8.8.8:53 pumytyq.com udp
US 8.8.8.8:53 lysyvax.com udp
US 8.8.8.8:53 vopycoc.com udp
US 8.8.8.8:53 pujygug.com udp
US 8.8.8.8:53 lyvywar.com udp
US 8.8.8.8:53 qetyxiv.com udp
US 8.8.8.8:53 gahyfyh.com udp
US 8.8.8.8:53 vocyqot.com udp
US 8.8.8.8:53 lygyfej.com udp
US 8.8.8.8:53 puryxuv.com udp
US 8.8.8.8:53 qexyqip.com udp
US 8.8.8.8:53 vofydak.com udp
US 8.8.8.8:53 puzymup.com udp
US 8.8.8.8:53 qekyqoq.com udp
US 8.8.8.8:53 ganyzuz.com udp
US 8.8.8.8:53 vopydaf.com udp
US 8.8.8.8:53 pujymiq.com udp
US 8.8.8.8:53 qetysog.com udp
US 8.8.8.8:53 lyvylyx.com udp
US 8.8.8.8:53 gahynuw.com udp
US 8.8.8.8:53 vocykec.com udp
US 8.8.8.8:53 purypig.com udp
US 8.8.8.8:53 qexykav.com udp
US 8.8.8.8:53 vofybet.com udp
US 8.8.8.8:53 puzyjov.com udp
US 8.8.8.8:53 lymytuj.com udp
US 8.8.8.8:53 qedyvap.com udp
US 8.8.8.8:53 galyhib.com udp
US 8.8.8.8:53 vonyryk.com udp
US 8.8.8.8:53 pupycop.com udp
US 8.8.8.8:53 lykygun.com udp
US 8.8.8.8:53 gatycis.com udp
US 8.8.8.8:53 qebyrel.com udp
US 8.8.8.8:53 puvywal.com udp
US 8.8.8.8:53 lyryxud.com udp
US 8.8.8.8:53 qegyfeq.com udp
US 8.8.8.8:53 vowyzuf.com udp
US 8.8.8.8:53 gacyqoz.com udp
US 8.8.8.8:53 pufydaq.com udp
US 8.8.8.8:53 lyxymix.com udp
US 8.8.8.8:53 qeqylyg.com udp
US 8.8.8.8:53 gadydow.com udp
US 8.8.8.8:53 gaqypuh.com udp
US 8.8.8.8:53 lymylen.com udp
US 8.8.8.8:53 qedysol.com udp
US 8.8.8.8:53 vonykam.com udp
US 8.8.8.8:53 pupypil.com udp
US 8.8.8.8:53 lykynyd.com udp
US 8.8.8.8:53 qebykoq.com udp
US 8.8.8.8:53 gatypuz.com udp
US 8.8.8.8:53 vojybef.com udp
US 8.8.8.8:53 puvyjiq.com udp
US 8.8.8.8:53 lyrytyx.com udp
US 8.8.8.8:53 qegyvag.com udp
US 8.8.8.8:53 gacyhuw.com udp
US 8.8.8.8:53 vowyrec.com udp
US 8.8.8.8:53 pufycog.com udp
US 8.8.8.8:53 lyxygur.com udp
US 8.8.8.8:53 qeqyrav.com udp
US 8.8.8.8:53 gadycih.com udp
US 8.8.8.8:53 volygyt.com udp
US 8.8.8.8:53 pumywov.com udp
US 8.8.8.8:53 lysyxuj.com udp
US 8.8.8.8:53 qekyfep.com udp
US 8.8.8.8:53 ganyqib.com udp
US 8.8.8.8:53 pujydap.com udp
US 8.8.8.8:53 lyvymun.com udp
US 8.8.8.8:53 qetylel.com udp
US 8.8.8.8:53 gahydos.com udp
US 8.8.8.8:53 vocymum.com udp
US 8.8.8.8:53 purylal.com udp
US 8.8.8.8:53 lygysid.com udp
US 8.8.8.8:53 qexynyq.com udp
US 8.8.8.8:53 volymuc.com udp
US 8.8.8.8:53 lysysir.com udp
US 8.8.8.8:53 qekynyv.com udp
US 8.8.8.8:53 ganykah.com udp
US 8.8.8.8:53 vopyput.com udp
US 8.8.8.8:53 pujybev.com udp
US 8.8.8.8:53 lyvyjoj.com udp
US 8.8.8.8:53 qetytup.com udp
US 8.8.8.8:53 gahyvab.com udp
US 8.8.8.8:53 vocyjik.com udp
US 8.8.8.8:53 purytyp.com udp
US 8.8.8.8:53 qexyhul.com udp
US 8.8.8.8:53 gaqyres.com udp
US 8.8.8.8:53 vofycim.com udp
US 8.8.8.8:53 puzygyl.com udp
US 8.8.8.8:53 lymywad.com udp
US 8.8.8.8:53 qedyxuq.com udp
US 8.8.8.8:53 galyfez.com udp
US 8.8.8.8:53 vonyqof.com udp
US 8.8.8.8:53 pupyxuq.com udp
US 8.8.8.8:53 lykyfax.com udp
US 8.8.8.8:53 qebyqig.com udp
US 8.8.8.8:53 gatyzyw.com udp
US 8.8.8.8:53 vojydoc.com udp
US 8.8.8.8:53 puvymug.com udp
US 8.8.8.8:53 lyryler.com udp
US 8.8.8.8:53 qegysiv.com udp
US 8.8.8.8:53 gacynyh.com udp
US 8.8.8.8:53 pufypuv.com udp
US 8.8.8.8:53 gaqykoz.com udp
US 8.8.8.8:53 vofypuf.com udp
US 8.8.8.8:53 puzybeq.com udp
US 8.8.8.8:53 qedytyg.com udp
US 8.8.8.8:53 galyvaw.com udp
US 8.8.8.8:53 vonyjuc.com udp
US 8.8.8.8:53 pupyteg.com udp
US 8.8.8.8:53 lykyvor.com udp
US 8.8.8.8:53 lymyjix.com udp
US 8.8.8.8:53 gatyrah.com udp
US 8.8.8.8:53 qebyhuv.com udp
US 8.8.8.8:53 puvygyv.com udp
US 8.8.8.8:53 lyrywoj.com udp
US 8.8.8.8:53 qegyxup.com udp
US 8.8.8.8:53 gacyfeb.com udp
US 8.8.8.8:53 pufyxyp.com udp
US 8.8.8.8:53 qeqyqul.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qeqykop.com udp
US 8.8.8.8:53 gadypub.com udp
US 8.8.8.8:53 lyxynej.com udp
US 8.8.8.8:53 volybak.com udp
US 8.8.8.8:53 pumyjip.com udp
US 8.8.8.8:53 lysytyn.com udp
US 8.8.8.8:53 qekyvol.com udp
US 8.8.8.8:53 vopyrem.com udp
US 8.8.8.8:53 ganyhus.com udp
US 8.8.8.8:53 pujycil.com udp
US 8.8.8.8:53 lyvygyd.com udp
US 8.8.8.8:53 qetyraq.com udp
US 8.8.8.8:53 gahycuz.com udp
US 8.8.8.8:53 purywoq.com udp
US 8.8.8.8:53 vocygef.com udp
US 8.8.8.8:53 lygyxux.com udp
US 8.8.8.8:53 qexyfag.com udp
US 8.8.8.8:53 vofyzyc.com udp
US 8.8.8.8:53 gaqyqiw.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 puzydog.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 volyqat.com udp
NL 85.17.31.82:80 gatyfus.com tcp
HK 154.212.231.82:80 gadyniw.com tcp
US 199.191.50.83:80 galyqaz.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 162.255.119.102:80 gahyqah.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 69.162.80.59:80 lysyfyj.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 44.221.84.105:80 vocyzit.com tcp
DE 91.195.240.19:80 www.gahyqah.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 172.234.222.143:80 vojyqem.com tcp
NL 85.17.31.122:80 gatyfus.com tcp
US 172.67.173.131:443 qegyhig.com tcp
DE 178.162.203.226:80 gatyfus.com tcp
NL 5.79.71.225:80 gatyfus.com tcp

Files

\Windows\AppPatch\svchost.exe

MD5 19ea57a8e5304e47feb2ad088c3832d8
SHA1 afc898c5557798596153d7fdb30b660dfa26bfb5
SHA256 166a03fd2bee1e7ca40a82aedaf1d6c2f2bd5f9f5a75fd4b2f0d414e05cc1c76
SHA512 25e43e30db10c4956a619bcc66a5bcc31b0c8f1af21cbee7866eec991270da32742a6a49cb602dab0d9620f5629497cba26114f2297c54f71b6428ee527b1458

memory/1928-13-0x0000000000400000-0x000000000046A000-memory.dmp

memory/1384-14-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-24-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-22-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-20-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-18-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-16-0x00000000021B0000-0x0000000002258000-memory.dmp

memory/1384-25-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-29-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-27-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-36-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-35-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-71-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-76-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-75-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-74-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-73-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-72-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-69-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-67-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-66-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-64-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-62-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-60-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-59-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-57-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-56-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-54-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-53-0x0000000002360000-0x0000000002416000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\A33D.tmp

MD5 a7837f15d0b7da00556d058b44bfb205
SHA1 283d23e1af82291fff7aa7c6f5d4854b5fc5a1ab
SHA256 3eeba4fe6fd36506504248c1ae692704f3582ed491f503ad5addacbccc569363
SHA512 748e6c9bf0b62591083917c6e64cd29316d7137186eafa35d91577b5830982d91d7ae18b90f17bd613455af1d63940a80eb237ca41a4c169bf2ae9b7e1b7a2fb

memory/1384-52-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-51-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-49-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-47-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-46-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-44-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-43-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-41-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-40-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-39-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-77-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-38-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-37-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-70-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-68-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-65-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-63-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-61-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-34-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-58-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-55-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-50-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-48-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-45-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-33-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-42-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-32-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-31-0x0000000002360000-0x0000000002416000-memory.dmp

memory/1384-333-0x0000000002360000-0x0000000002416000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\57C9.tmp

MD5 0b69dd41f3cb204789862f46d5718851
SHA1 d1fba6f7f2838627d414c1a672ee17f04941d2ff
SHA256 4c48340019f0031770b35c4833ec8d376d2a8fa47c3ad68a1df7d4b38daedac6
SHA512 b041d1ef3232a65dd948ae86e0d334c31cfe3779cf471ff3d01e835c2d79acf17d77bb65fcce085fe22df324d3eabde56d2a2c245b8288636857ac25d829205d

C:\Users\Admin\AppData\Local\Temp\B2A8.tmp

MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512 cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

C:\Users\Admin\AppData\Local\Temp\B2A8.tmp

MD5 926512864979bc27cf187f1de3f57aff
SHA1 acdeb9d6187932613c7fa08eaf28f0cd8116f4b5
SHA256 b3e893a653ec06c05ee90f2f6e98cc052a92f6616d7cca8c416420e178dcc73f
SHA512 f6f9fd3ca9305bec879cfcd38e64111a18e65e30d25c49e9f2cd546cbab9b2dcd03eca81952f6b77c0eaab20192ef7bef0d8d434f6f371811929e75f8620633b

C:\Users\Admin\AppData\Local\Temp\1BEE.tmp

MD5 34c11464cefc07f3db6137ee4904f424
SHA1 c3879ffc35e9c5409272ceedf8b70c9b3eefba43
SHA256 a7a1391200c90cbc42175bcaba27983d214f7c8a4af928d460c493bf5ae4c05e
SHA512 c29ceec9555ec9495c6bfaa1480cc79fe3f04b476b783daa8596b6cb863ee1e839a5968bcd43202be59be7e3d7452b88f0aeffe444c7cb28af69977cf0d776c8

C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M4TQDAHL\login[2].htm

MD5 4f8e702cc244ec5d4de32740c0ecbd97
SHA1 3adb1f02d5b6054de0046e367c1d687b6cdf7aff
SHA256 9e17cb15dd75bbbd5dbb984eda674863c3b10ab72613cf8a39a00c3e11a8492a
SHA512 21047fea5269fee75a2a187aa09316519e35068cb2f2f76cfaf371e5224445e9d5c98497bd76fb9608d2b73e9dac1a3f5bfadfdc4623c479d53ecf93d81d3c9f

C:\Users\Admin\AppData\Local\Temp\1BDB.tmp

MD5 340236f24eedccc46f843bd019e158c2
SHA1 21a40349e8d73b2d9a8d7933de72617bbcf763fc
SHA256 ffb3b3f7df495bee4644b01049a056146a3c9f308c0d16f0e532e86db9f8009f
SHA512 0583a184a6357929fd1a7ae0d538e91ec74112bb37237bd6e5d7000e280e5690e049450b9303cd3304bfc90bc2647e84d2cbf3666a24c6b99361b7808c8daa14

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-02 09:37

Reported

2024-11-02 09:43

Platform

win10v2004-20241007-en

Max time kernel

105s

Max time network

120s

Command Line

"C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\4949c4c4 = "d@éÁøûOå\x14ä{Ñ<\x19\"\x03\a¼ˆÖ{0A\x1c\x04\x14ÆsÌúÂ\x03ÌÈÏÏ…ìœ\x0eª[f!È®²Ò÷Ú`Äeõ{«gw‰´ØÑÞ\"mlv\x19‘íTÝÄÙ\x0f‚ø7\x19UÅ%‘=kƒòSˆüÄjÝ‚¸\u0081Îc\x1c“\x154\u008dÕ9Wͨ—쳊F\x7fw\x19\x16\u009d±[\x12<OÞl€ô5™„pá)Ê3Žu•S,f\u0090f嵌òinÈO\u008dÌ\u008f\x14OháÝâ«I—-ø¦«@Ò\b”å|r&ÞëŒ5m+JyAôXçâ‘\x16í—\x02ºÑs\n‘º1åR\x1e¬\u009d˜j”É—œDõ8\a\x06\u0081±£ûØ\x7fY[Ô4™¿’M\x17Ùu\tÖy+Wë\x06\u008fõXðÂ%Ï\x02¶\x1eÜçA¥ýP\tË#K" C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\4949c4c4 = "d@éÁøûOå\x14ä{Ñ<\x19\"\x03\a¼ˆÖ{0A\x1c\x04\x14ÆsÌúÂ\x03ÌÈÏÏ…ìœ\x0eª[f!È®²Ò÷Ú`Äeõ{«gw‰´ØÑÞ\"mlv\x19‘íTÝÄÙ\x0f‚ø7\x19UÅ%‘=kƒòSˆüÄjÝ‚¸\u0081Îc\x1c“\x154\u008dÕ9Wͨ—쳊F\x7fw\x19\x16\u009d±[\x12<OÞl€ô5™„pá)Ê3Žu•S,f\u0090f嵌òinÈO\u008dÌ\u008f\x14OháÝâ«I—-ø¦«@Ò\b”å|r&ÞëŒ5m+JyAôXçâ‘\x16í—\x02ºÑs\n‘º1åR\x1e¬\u009d˜j”É—œDõ8\a\x06\u0081±£ûØ\x7fY[Ô4™¿’M\x17Ùu\tÖy+Wë\x06\u008fõXðÂ%Ï\x02¶\x1eÜçA¥ýP\tË#K" C:\Windows\apppatch\svchost.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe

"C:\Users\Admin\AppData\Local\Temp\2a7d37f90ccfc21cfe66906f06276c6c2c3c8cb15f8c15c1e273b7eca4710177N.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
US 8.8.8.8:53 133.211.185.52.in-addr.arpa udp
GB 92.123.128.176:80 www.bing.com tcp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 lymyxid.com udp
US 44.221.84.105:80 qetyfuv.com tcp
DE 178.162.203.211:80 gatyfus.com tcp
US 44.221.84.105:80 qetyfuv.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 puzylyp.com udp
US 172.67.173.131:80 qegyhig.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 69.162.80.57:80 lysyfyj.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 8.8.8.8:53 83.210.23.2.in-addr.arpa udp
US 8.8.8.8:53 176.128.123.92.in-addr.arpa udp
US 199.191.50.83:80 galyqaz.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 8.8.8.8:53 ww1.lysyfyj.com udp
US 99.83.170.3:443 puzylyp.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 8.8.8.8:53 c.pki.goog udp
GB 142.250.187.227:80 c.pki.goog tcp
US 208.91.196.145:80 ww1.lysyfyj.com tcp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 g.bing.com udp
US 150.171.28.10:443 g.bing.com tcp
US 8.8.8.8:53 131.173.67.172.in-addr.arpa udp
US 8.8.8.8:53 3.170.83.99.in-addr.arpa udp
US 8.8.8.8:53 245.26.100.208.in-addr.arpa udp
US 8.8.8.8:53 143.222.234.172.in-addr.arpa udp
US 8.8.8.8:53 105.84.221.44.in-addr.arpa udp
US 8.8.8.8:53 64.46.253.23.in-addr.arpa udp
US 8.8.8.8:53 57.80.162.69.in-addr.arpa udp
US 8.8.8.8:53 248.156.208.18.in-addr.arpa udp
US 8.8.8.8:53 34.10.94.3.in-addr.arpa udp
US 8.8.8.8:53 83.50.191.199.in-addr.arpa udp
US 8.8.8.8:53 72.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 227.187.250.142.in-addr.arpa udp
US 8.8.8.8:53 23.149.64.172.in-addr.arpa udp
US 8.8.8.8:53 145.196.91.208.in-addr.arpa udp
US 8.8.8.8:53 241.150.49.20.in-addr.arpa udp
HK 154.212.231.82:80 gadyniw.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 8.8.8.8:53 57.169.31.20.in-addr.arpa udp
US 8.8.8.8:53 82.231.212.154.in-addr.arpa udp
NL 5.79.71.225:80 gatyfus.com tcp
US 8.8.8.8:53 225.71.79.5.in-addr.arpa udp
US 8.8.8.8:53 212.20.149.52.in-addr.arpa udp
US 8.8.8.8:53 18.31.95.13.in-addr.arpa udp
US 8.8.8.8:53 101.11.19.2.in-addr.arpa udp
NL 5.79.71.225:80 gatyfus.com tcp
US 8.8.8.8:53 240.221.184.93.in-addr.arpa udp
US 8.8.8.8:53 55.36.223.20.in-addr.arpa udp
DE 178.162.217.107:80 gatyfus.com tcp
NL 85.17.31.122:80 gatyfus.com tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 vofybyf.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 gadydas.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 pupydeq.com udp
CN 218.92.0.241:80 lyrysor.com tcp
US 107.178.223.183:80 lygynud.com tcp
US 76.223.54.146:80 pupydeq.com tcp
US 8.8.8.8:53 lysyvan.com udp
US 172.67.136.136:80 lysyvan.com tcp
US 8.8.8.8:53 pupycag.com udp
US 18.208.156.248:80 pupycag.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 8.8.8.8:53 122.31.17.85.in-addr.arpa udp
US 8.8.8.8:53 136.136.67.172.in-addr.arpa udp
US 8.8.8.8:53 183.223.178.107.in-addr.arpa udp
US 8.8.8.8:53 146.54.223.76.in-addr.arpa udp
US 172.67.136.136:443 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
US 8.8.8.8:53 21.236.111.52.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 10.27.171.150.in-addr.arpa udp
CN 218.92.0.241:80 lyrysor.com tcp

Files

C:\Windows\apppatch\svchost.exe

MD5 01dbca307ae85fe0e51b924ea5381c15
SHA1 b79ebc0c9885809392ae0d34e7c217d98e9dbd52
SHA256 ebf098697a31578e2c134f995e108c9fc2a9cccc4dec0989798091f297eba438
SHA512 25dabbe8a2657e5b3d836f6afc79dccf4f85b0ba2e8a0b59d88fb3b78d06f9c7e6c5509adf996cd8ae3243733e3880ab3c8fadfbc503713274c893d750f97815

memory/4740-9-0x0000000000400000-0x000000000046A000-memory.dmp

memory/3712-10-0x0000000002730000-0x00000000027D8000-memory.dmp

memory/3712-15-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-13-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-11-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-24-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-71-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-70-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-69-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-67-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-66-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-64-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-63-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-61-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-60-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-58-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-57-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-55-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-54-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-52-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-51-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-49-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-48-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-46-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-45-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-43-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-42-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-40-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-39-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-37-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-36-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-35-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-34-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-33-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\C54B.tmp

MD5 b9d3fdfbae842b8f958b65c39cf064c1
SHA1 867daafdd19d995f99feb57867b669685f94809a
SHA256 7245342c1ceea7985e383818cc662d9a9cd95d362dddd29f325330fbca9b346a
SHA512 3df16dd3d54499107d6dcf6dc4b93d453ad2c8d6c34b60de352e6e12b773fa7ecb9f9d01971c8d0606dc6888b6562d17b9c7610b7d6f1f04109a23efb2bbcb2e

memory/3712-32-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-30-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-29-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-27-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-25-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-22-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-20-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-19-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-72-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-18-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-68-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-65-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-62-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-59-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-56-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-53-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-50-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-47-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-44-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-41-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-38-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-31-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-28-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-26-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-23-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-21-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-17-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/3712-16-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\C54C.tmp

MD5 f37f458a429167d590a77d9ffbbc4e83
SHA1 2935a881e64d0e7170ed7cac3ecce89795f51fe5
SHA256 0e3ad19e573f0b2f91e2ca749b03ceea0a26d85739e713f93fb9f31b7713b677
SHA512 7b12b5741d3acdaa92b568b03df4e8aee3ad0e4b9dd05569a704e5871dd92a8190ca0509ca25cde608ae5665141d071118de6c5df8b6799e266aeccc815bfc7b

memory/3712-178-0x0000000002B40000-0x0000000002BF6000-memory.dmp