Malware Analysis Report

2024-12-07 15:05

Sample ID 241102-lx6sjssaka
Target f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f
SHA256 f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f
Tags
simda discovery persistence stealer trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f

Threat Level: Known bad

The file f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f was found to be: Known bad.

Malicious Activity Summary

simda discovery persistence stealer trojan

Modifies WinLogon for persistence

simda

Simda family

Executes dropped EXE

Loads dropped DLL

Modifies WinLogon

Drops file in Windows directory

System Location Discovery: System Language Discovery

Unsigned PE

Suspicious behavior: EnumeratesProcesses

Suspicious behavior: RenamesItself

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-02 09:58

Signatures

Simda family

simda

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-02 09:55

Reported

2024-11-02 10:01

Platform

win7-20240903-en

Max time kernel

148s

Max time network

149s

Command Line

"C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\76f86a72 = "I\x0fv\x10à\"»(«\bÙ3cwŒ2ã0U‹`ò\x1f¯\x0e\u00a0ÃkÊ[ÚÚg_e\x12ï\x1c\x0fœ¤¤\f\x1bGÇ\u008f\x0f³9õQÿ\\üûëGõe\r\\â;R·\x04bc-iüqSì\x1b©\x1f$IS\x1f\\‹2]Š\x02í\u008fç\aGZÉâB\a¥qgß\x11\x01\x1di\f\x13u%#g/”LÙSW$ô\x1aq\x1f\\ÜÁB„L\x13\u0081\x0f—|3Ü\x1d\x1fŪ¬ä„Ù%ãê-Ó½T¯¢\n\tÓ\x02Ýú\x1f×?\vt|¯\x04—Û5»Oô‡¤)tÉA\x1dJL\x12\u008fd\t)\u00adt{¬ì9ŒŒ\x15Á\v«ysd\x04t7‰w²\x14üò\x11œ2\"\x17,‡4¤ŠD½\x15aù_d’,Œ,ŒÔÄ¢_óÔ›ßT{Äãõ\x1c©/Ó‡¼MÌ©I5¬‚" C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\76f86a72 = "I\x0fv\x10à\"»(«\bÙ3cwŒ2ã0U‹`ò\x1f¯\x0e\u00a0ÃkÊ[ÚÚg_e\x12ï\x1c\x0fœ¤¤\f\x1bGÇ\u008f\x0f³9õQÿ\\üûëGõe\r\\â;R·\x04bc-iüqSì\x1b©\x1f$IS\x1f\\‹2]Š\x02í\u008fç\aGZÉâB\a¥qgß\x11\x01\x1di\f\x13u%#g/”LÙSW$ô\x1aq\x1f\\ÜÁB„L\x13\u0081\x0f—|3Ü\x1d\x1fŪ¬ä„Ù%ãê-Ó½T¯¢\n\tÓ\x02Ýú\x1f×?\vt|¯\x04—Û5»Oô‡¤)tÉA\x1dJL\x12\u008fd\t)\u00adt{¬ì9ŒŒ\x15Á\v«ysd\x04t7‰w²\x14üò\x11œ2\"\x17,‡4¤ŠD½\x15aù_d’,Œ,ŒÔÄ¢_óÔ›ßT{Äãõ\x1c©/Ó‡¼MÌ©I5¬‚" C:\Windows\apppatch\svchost.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe

"C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
GB 92.123.128.142:80 www.bing.com tcp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 puzylyp.com udp
DE 178.162.217.107:80 gatyfus.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 172.234.222.138:80 vojyqem.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 199.191.50.83:80 galyqaz.com tcp
US 69.162.80.60:80 lysyfyj.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 172.234.222.138:80 vojyqem.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 8.8.8.8:53 c.pki.goog udp
GB 142.250.187.227:80 c.pki.goog tcp
NL 5.79.71.225:80 gatyfus.com tcp
HK 154.212.231.82:80 gadyniw.com tcp
US 172.67.173.131:443 qegyhig.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 vofybyf.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 gadydas.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 pupydeq.com udp
US 76.223.54.146:80 pupydeq.com tcp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 pupycag.com udp
US 172.67.136.136:80 lysyvan.com tcp
US 18.208.156.248:80 pupycag.com tcp
US 8.8.8.8:53 lyrysor.com udp
CN 218.92.0.241:80 lyrysor.com tcp
US 104.155.138.21:80 lygynud.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
CN 218.92.0.241:80 lyrysor.com tcp
US 8.8.8.8:53 qedysov.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 pumylel.com udp
US 8.8.8.8:53 lysysod.com udp
US 8.8.8.8:53 vonyket.com udp
US 8.8.8.8:53 qekynuq.com udp
US 8.8.8.8:53 ganykaz.com udp
US 8.8.8.8:53 pupypiv.com udp
US 8.8.8.8:53 vopypif.com udp
US 8.8.8.8:53 lykynyj.com udp
US 8.8.8.8:53 pujybyq.com udp
US 8.8.8.8:53 qebykap.com udp
US 8.8.8.8:53 lyvyjox.com udp
US 8.8.8.8:53 gatypub.com udp
US 8.8.8.8:53 qetytug.com udp
US 8.8.8.8:53 vojybek.com udp
US 8.8.8.8:53 gahyvew.com udp
US 8.8.8.8:53 vocyjic.com udp
US 8.8.8.8:53 puvyjop.com udp
US 8.8.8.8:53 purytyg.com udp
US 8.8.8.8:53 lyrytun.com udp
US 8.8.8.8:53 lygyvar.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 gacyhis.com udp
US 8.8.8.8:53 gaqyreh.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 vowyrym.com udp
US 8.8.8.8:53 pufycol.com udp
US 8.8.8.8:53 puzyguv.com udp
US 8.8.8.8:53 lyxygud.com udp
US 8.8.8.8:53 lymywaj.com udp
US 8.8.8.8:53 qedyxip.com udp
US 8.8.8.8:53 galyfyb.com udp
US 8.8.8.8:53 vonyqok.com udp
US 8.8.8.8:53 pupyxup.com udp
US 8.8.8.8:53 lykyfen.com udp
US 8.8.8.8:53 qebyqil.com udp
US 8.8.8.8:53 gatyzys.com udp
US 8.8.8.8:53 vojydam.com udp
US 8.8.8.8:53 puvymul.com udp
US 8.8.8.8:53 lyryled.com udp
US 8.8.8.8:53 qeqyreq.com udp
US 8.8.8.8:53 qegysoq.com udp
US 8.8.8.8:53 gacynuz.com udp
US 8.8.8.8:53 vowykaf.com udp
US 8.8.8.8:53 pufypiq.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 volygyf.com udp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 pumywaq.com udp
US 8.8.8.8:53 lysyxux.com udp
US 8.8.8.8:53 qekyfeg.com udp
US 8.8.8.8:53 ganyqow.com udp
US 8.8.8.8:53 vopyzuc.com udp
US 8.8.8.8:53 pujydag.com udp
US 8.8.8.8:53 lyvymir.com udp
US 8.8.8.8:53 qetylyv.com udp
US 8.8.8.8:53 gahydoh.com udp
US 8.8.8.8:53 vocymut.com udp
US 8.8.8.8:53 purylev.com udp
US 8.8.8.8:53 lygysij.com udp
US 8.8.8.8:53 qexynyp.com udp
US 8.8.8.8:53 gaqykab.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 galynuh.com udp
US 103.224.212.210:80 lyxynyx.com tcp
US 64.225.91.73:80 galynuh.com tcp
US 76.223.67.189:80 qexyhuv.com tcp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 vofycot.com udp
US 103.224.182.252:80 vofycot.com tcp
US 44.221.84.105:80 gadyciz.com tcp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 ww25.lyxynyx.com udp
US 199.59.243.227:80 ww25.lyxynyx.com tcp
HK 154.85.183.50:80 qegyval.com tcp
US 8.8.8.8:53 ww16.vofycot.com udp
DE 64.190.63.136:80 ww16.vofycot.com tcp
US 76.223.67.189:80 qexyhuv.com tcp
US 8.8.8.8:53 puzybep.com udp
US 8.8.8.8:53 qeqykog.com udp
US 8.8.8.8:53 gadypuw.com udp
US 8.8.8.8:53 pumyjig.com udp
US 8.8.8.8:53 lysytyr.com udp
US 8.8.8.8:53 vofypuk.com udp
US 8.8.8.8:53 qekyvav.com udp
US 8.8.8.8:53 ganyhuh.com udp
US 8.8.8.8:53 vopyret.com udp
US 8.8.8.8:53 pujycov.com udp
US 8.8.8.8:53 lymyjon.com udp
US 8.8.8.8:53 lyvyguj.com udp
US 8.8.8.8:53 qetyrap.com udp
US 8.8.8.8:53 gahycib.com udp
US 8.8.8.8:53 vocygyk.com udp
US 8.8.8.8:53 purywop.com udp
US 8.8.8.8:53 lygyxun.com udp
US 8.8.8.8:53 qexyfel.com udp
US 8.8.8.8:53 qedytul.com udp
US 8.8.8.8:53 gaqyqis.com udp
US 8.8.8.8:53 galyvas.com udp
US 8.8.8.8:53 puzydal.com udp
US 8.8.8.8:53 lymymud.com udp
US 8.8.8.8:53 vonyjim.com udp
US 8.8.8.8:53 qedyleq.com udp
US 8.8.8.8:53 vonymuf.com udp
US 8.8.8.8:53 pupytyl.com udp
US 8.8.8.8:53 pupylaq.com udp
US 8.8.8.8:53 lykysix.com udp
US 8.8.8.8:53 lykyvod.com udp
US 8.8.8.8:53 qebynyg.com udp
US 8.8.8.8:53 gatykow.com udp
US 8.8.8.8:53 qebyhuq.com udp
US 8.8.8.8:53 vojypuc.com udp
US 8.8.8.8:53 gatyrez.com udp
US 8.8.8.8:53 lyryjir.com udp
US 8.8.8.8:53 qegytyv.com udp
US 8.8.8.8:53 gacyvah.com udp
US 8.8.8.8:53 vofyzym.com udp
US 8.8.8.8:53 galydoz.com udp
US 8.8.8.8:53 puvybeg.com udp
US 8.8.8.8:53 volybec.com udp
US 8.8.8.8:53 lyrywax.com udp
US 8.8.8.8:53 vojycif.com udp
US 8.8.8.8:53 puvygyq.com udp
US 8.8.8.8:53 qegyxug.com udp
US 8.8.8.8:53 gacyfew.com udp
US 8.8.8.8:53 vowyqoc.com udp
US 8.8.8.8:53 pufyxug.com udp
US 8.8.8.8:53 lyxyfar.com udp
US 8.8.8.8:53 qeqyqiv.com udp
US 8.8.8.8:53 gadyzyh.com udp
US 8.8.8.8:53 volydot.com udp
US 8.8.8.8:53 lysylej.com udp
US 8.8.8.8:53 pumymuv.com udp
US 8.8.8.8:53 qekysip.com udp
US 8.8.8.8:53 ganynyb.com udp
US 8.8.8.8:53 vopykak.com udp
US 8.8.8.8:53 pujypup.com udp
US 8.8.8.8:53 lyvynen.com udp
US 8.8.8.8:53 qetykol.com udp
US 8.8.8.8:53 gahypus.com udp
US 8.8.8.8:53 vocybam.com udp
US 8.8.8.8:53 puryjil.com udp
US 8.8.8.8:53 lygytyd.com udp
US 8.8.8.8:53 qexyvoq.com udp
US 8.8.8.8:53 gaqyhuz.com udp
US 8.8.8.8:53 vofyref.com udp
US 8.8.8.8:53 puzyciq.com udp
US 8.8.8.8:53 lymygyx.com udp
US 8.8.8.8:53 vowyjut.com udp
US 8.8.8.8:53 qedyrag.com udp
US 8.8.8.8:53 galycuw.com udp
US 8.8.8.8:53 pufytev.com udp
US 8.8.8.8:53 vonygec.com udp
US 8.8.8.8:53 pupywog.com udp
US 8.8.8.8:53 lykyxur.com udp
US 8.8.8.8:53 lyxyvoj.com udp
US 8.8.8.8:53 qebyfav.com udp
US 8.8.8.8:53 gatyqih.com udp
US 8.8.8.8:53 vojyzyt.com udp
US 8.8.8.8:53 puvydov.com udp
US 8.8.8.8:53 qeqyhup.com udp
US 8.8.8.8:53 lyrymuj.com udp
US 8.8.8.8:53 qegylep.com udp
US 8.8.8.8:53 gacydib.com udp
US 8.8.8.8:53 vowymyk.com udp
US 8.8.8.8:53 pufylap.com udp
US 8.8.8.8:53 lyxysun.com udp
US 8.8.8.8:53 qeqynel.com udp
US 8.8.8.8:53 volypum.com udp
US 8.8.8.8:53 pumybal.com udp
US 8.8.8.8:53 qekytyq.com udp
US 8.8.8.8:53 lysyjid.com udp
US 8.8.8.8:53 ganyvoz.com udp
US 8.8.8.8:53 vopyjuf.com udp
US 8.8.8.8:53 pujyteq.com udp
US 8.8.8.8:53 qetyhyg.com udp
US 8.8.8.8:53 lyvyvix.com udp
US 8.8.8.8:53 gadyrab.com udp
US 8.8.8.8:53 volycik.com udp
US 8.8.8.8:53 pumygyp.com udp
US 8.8.8.8:53 lysywon.com udp
US 8.8.8.8:53 qekyxul.com udp
US 8.8.8.8:53 ganyfes.com udp
US 8.8.8.8:53 vopyqim.com udp
US 8.8.8.8:53 pujyxyl.com udp
US 8.8.8.8:53 lyvyfad.com udp
US 8.8.8.8:53 qetyquq.com udp
US 8.8.8.8:53 gahyzez.com udp
US 8.8.8.8:53 vocydof.com udp
US 8.8.8.8:53 purymuq.com udp
US 8.8.8.8:53 lygylax.com udp
US 8.8.8.8:53 gaqynyw.com udp
US 8.8.8.8:53 qexysig.com udp
US 8.8.8.8:53 vofykoc.com udp
US 8.8.8.8:53 lymyner.com udp
US 8.8.8.8:53 puzypug.com udp
US 8.8.8.8:53 qedykiv.com udp
US 8.8.8.8:53 vonybat.com udp
US 8.8.8.8:53 galypyh.com udp
US 8.8.8.8:53 pupyjuv.com udp
US 8.8.8.8:53 lykytej.com udp
US 8.8.8.8:53 gatyhub.com udp
US 8.8.8.8:53 qebyvop.com udp
US 8.8.8.8:53 puvycip.com udp
US 8.8.8.8:53 vojyrak.com udp
US 8.8.8.8:53 qetyhyg.com udp
US 64.225.91.73:80 qetyhyg.com tcp
US 8.8.8.8:53 gatyhub.com udp
US 72.52.179.174:80 gatyhub.com tcp
US 72.52.179.174:80 gatyhub.com tcp
US 8.8.8.8:53 gahyraw.com udp
US 8.8.8.8:53 vocycuc.com udp
US 8.8.8.8:53 purygeg.com udp
US 8.8.8.8:53 lygywor.com udp
US 8.8.8.8:53 gaqyfah.com udp
US 8.8.8.8:53 qexyxuv.com udp
US 8.8.8.8:53 vofyqit.com udp
US 8.8.8.8:53 lymyfoj.com udp
US 8.8.8.8:53 qedyqup.com udp
US 8.8.8.8:53 puzyxyv.com udp
US 8.8.8.8:53 galyzeb.com udp
US 8.8.8.8:53 vonydik.com udp
US 8.8.8.8:53 lykylan.com udp
US 8.8.8.8:53 pupymyp.com udp
US 8.8.8.8:53 qebysul.com udp
US 8.8.8.8:53 gatynes.com udp
US 8.8.8.8:53 vojykom.com udp
US 8.8.8.8:53 lyrynad.com udp
US 8.8.8.8:53 qegykiq.com udp
US 8.8.8.8:53 gacypyz.com udp
US 8.8.8.8:53 puvypul.com udp
US 8.8.8.8:53 vowybof.com udp
US 8.8.8.8:53 lyxytex.com udp
US 8.8.8.8:53 qeqyvig.com udp
US 8.8.8.8:53 gadyhyw.com udp
US 8.8.8.8:53 volyrac.com udp
US 8.8.8.8:53 lysyger.com udp
US 8.8.8.8:53 pumycug.com udp
US 8.8.8.8:53 qekyrov.com udp
US 8.8.8.8:53 pufyjuq.com udp
US 8.8.8.8:53 vopygat.com udp
US 8.8.8.8:53 ganycuh.com udp
US 8.8.8.8:53 lyrygyn.com udp
US 8.8.8.8:53 qegyrol.com udp
US 8.8.8.8:53 gacycus.com udp
US 8.8.8.8:53 vowygem.com udp
US 8.8.8.8:53 lyxyxyd.com udp
US 8.8.8.8:53 pufywil.com udp
US 8.8.8.8:53 gadyquz.com udp
US 8.8.8.8:53 qeqyfaq.com udp
US 8.8.8.8:53 volyzef.com udp
US 8.8.8.8:53 lysymux.com udp
US 8.8.8.8:53 pumydoq.com udp
US 8.8.8.8:53 ganydiw.com udp
US 8.8.8.8:53 qekylag.com udp
US 8.8.8.8:53 vopymyc.com udp
US 8.8.8.8:53 pujylog.com udp
US 8.8.8.8:53 lyvysur.com udp
US 8.8.8.8:53 qetynev.com udp
US 8.8.8.8:53 gahykih.com udp
US 8.8.8.8:53 vocypyt.com udp
US 8.8.8.8:53 purybav.com udp
US 8.8.8.8:53 qexytep.com udp
US 8.8.8.8:53 gaqyvob.com udp
US 8.8.8.8:53 puzytap.com udp
US 8.8.8.8:53 vofyjuk.com udp
US 8.8.8.8:53 galyros.com udp
US 8.8.8.8:53 vonycum.com udp
US 8.8.8.8:53 qedyhyl.com udp
US 8.8.8.8:53 pupygel.com udp
US 8.8.8.8:53 qebyxyq.com udp
US 8.8.8.8:53 lygyjuj.com udp
US 8.8.8.8:53 lykywid.com udp
US 8.8.8.8:53 pujywiv.com udp
US 8.8.8.8:53 lyvyxyj.com udp
US 8.8.8.8:53 gahyqub.com udp
US 8.8.8.8:53 qetyfop.com udp
US 8.8.8.8:53 purydip.com udp
US 8.8.8.8:53 vocyzek.com udp
US 8.8.8.8:53 lygymyn.com udp
US 8.8.8.8:53 qexylal.com udp
US 8.8.8.8:53 gaqydus.com udp
US 8.8.8.8:53 puzylol.com udp
US 8.8.8.8:53 lymysud.com udp
US 8.8.8.8:53 vofymem.com udp
US 8.8.8.8:53 qedynaq.com udp
US 8.8.8.8:53 galykiz.com udp
US 8.8.8.8:53 pupyboq.com udp
US 8.8.8.8:53 lykyjux.com udp
US 8.8.8.8:53 vonypyf.com udp
US 8.8.8.8:53 qebyteg.com udp
US 8.8.8.8:53 gatyviw.com udp
US 8.8.8.8:53 vojyjyc.com udp
US 8.8.8.8:53 puvytag.com udp
US 8.8.8.8:53 lyryvur.com udp
US 8.8.8.8:53 qegyhev.com udp
US 8.8.8.8:53 gacyroh.com udp
US 8.8.8.8:53 vowycut.com udp
US 8.8.8.8:53 pufygav.com udp
US 8.8.8.8:53 gatyfaz.com udp
US 8.8.8.8:53 vojyquf.com udp
US 8.8.8.8:53 puvyxeq.com udp
US 8.8.8.8:53 gadyfob.com udp
US 8.8.8.8:53 qeqyxyp.com udp
US 8.8.8.8:53 volyquk.com udp
US 8.8.8.8:53 qegyqug.com udp
US 8.8.8.8:53 gacyzaw.com udp
US 8.8.8.8:53 pumyxep.com udp
US 8.8.8.8:53 vowydic.com udp
US 8.8.8.8:53 pufymyg.com udp
US 8.8.8.8:53 lysyfin.com udp
US 8.8.8.8:53 lyxylor.com udp
US 8.8.8.8:53 qeqysuv.com udp
US 8.8.8.8:53 pumypyv.com udp
US 8.8.8.8:53 volykit.com udp
US 8.8.8.8:53 qekykup.com udp
US 8.8.8.8:53 lysynaj.com udp
US 8.8.8.8:53 vopybok.com udp
US 8.8.8.8:53 vocyrom.com udp
US 8.8.8.8:53 ganypeb.com udp
US 8.8.8.8:53 pujyjup.com udp
US 8.8.8.8:53 qetyvil.com udp
US 8.8.8.8:53 gahyhys.com udp
US 8.8.8.8:53 lyvytan.com udp
US 8.8.8.8:53 purycul.com udp
US 8.8.8.8:53 lygyged.com udp
US 8.8.8.8:53 qexyriq.com udp
US 8.8.8.8:53 gaqycyz.com udp
US 8.8.8.8:53 vofygaf.com udp
US 8.8.8.8:53 puzywuq.com udp
US 8.8.8.8:53 lymyxex.com udp
US 8.8.8.8:53 galyquw.com udp
US 8.8.8.8:53 vonyzac.com udp
US 8.8.8.8:53 gadyneh.com udp
US 8.8.8.8:53 qedyfog.com udp
US 8.8.8.8:53 qekyqyl.com udp
US 8.8.8.8:53 ganyzas.com udp
US 8.8.8.8:53 vopydum.com udp
US 8.8.8.8:53 pujymel.com udp
US 8.8.8.8:53 lyvylod.com udp
US 8.8.8.8:53 qetysuq.com udp
US 8.8.8.8:53 gahynaz.com udp
US 8.8.8.8:53 vocykif.com udp
US 8.8.8.8:53 lygynox.com udp
US 8.8.8.8:53 qexykug.com udp
US 8.8.8.8:53 gaqypew.com udp
US 8.8.8.8:53 vofybic.com udp
US 8.8.8.8:53 puzyjyg.com udp
US 8.8.8.8:53 lymytar.com udp
US 8.8.8.8:53 qedyvuv.com udp
US 8.8.8.8:53 galyheh.com udp
US 8.8.8.8:53 vonyrot.com udp
US 8.8.8.8:53 pupycuv.com udp
US 8.8.8.8:53 lykygaj.com udp
US 8.8.8.8:53 qebyrip.com udp
US 8.8.8.8:53 gatycyb.com udp
US 8.8.8.8:53 vojygok.com udp
US 8.8.8.8:53 puvywup.com udp
US 8.8.8.8:53 lyryxen.com udp
US 8.8.8.8:53 qegyfil.com udp
US 8.8.8.8:53 gacyqys.com udp
US 8.8.8.8:53 vowyzam.com udp
US 8.8.8.8:53 pufydul.com udp
US 8.8.8.8:53 lyxymed.com udp
US 8.8.8.8:53 qeqyloq.com udp
US 8.8.8.8:53 gadyduz.com udp
US 8.8.8.8:53 pupydig.com udp
US 8.8.8.8:53 lykymyr.com udp
US 8.8.8.8:53 qebylov.com udp
US 8.8.8.8:53 gatyduh.com udp
US 8.8.8.8:53 vojymet.com udp
US 8.8.8.8:53 puvyliv.com udp
US 8.8.8.8:53 lyrysyj.com udp
US 8.8.8.8:53 qegynap.com udp
US 8.8.8.8:53 gacykub.com udp
US 8.8.8.8:53 vowypek.com udp
US 8.8.8.8:53 pufybop.com udp
US 8.8.8.8:53 lyxyjun.com udp
US 8.8.8.8:53 qeqytal.com udp
US 8.8.8.8:53 gadyvis.com udp
US 8.8.8.8:53 volyjym.com udp
US 8.8.8.8:53 pumytol.com udp
US 8.8.8.8:53 lysyvud.com udp
US 8.8.8.8:53 qekyheq.com udp
US 8.8.8.8:53 ganyriz.com udp
US 8.8.8.8:53 vopycyf.com udp
US 8.8.8.8:53 pujygaq.com udp
US 8.8.8.8:53 lyvywux.com udp
US 8.8.8.8:53 qetyxeg.com udp
US 8.8.8.8:53 gahyfow.com udp
US 8.8.8.8:53 puryxag.com udp
US 8.8.8.8:53 lygyfir.com udp
US 8.8.8.8:53 qexyqyv.com udp
US 8.8.8.8:53 gaqyzoh.com udp
US 8.8.8.8:53 vofydut.com udp
US 8.8.8.8:53 puzymev.com udp
US 8.8.8.8:53 lymylij.com udp
US 8.8.8.8:53 qedysyp.com udp
US 8.8.8.8:53 volymaf.com udp
US 8.8.8.8:53 lysysyx.com udp
US 8.8.8.8:53 qekynog.com udp
US 8.8.8.8:53 ganykuw.com udp
US 8.8.8.8:53 vopypec.com udp
US 8.8.8.8:53 pujybig.com udp
US 8.8.8.8:53 lyvyjyr.com udp
US 8.8.8.8:53 qetytav.com udp
US 8.8.8.8:53 pumyliq.com udp
US 8.8.8.8:53 vocyjet.com udp
US 8.8.8.8:53 gahyvuh.com udp
US 8.8.8.8:53 lygyvuj.com udp
US 8.8.8.8:53 qexyhap.com udp
US 8.8.8.8:53 gaqyrib.com udp
US 8.8.8.8:53 purytov.com udp
US 8.8.8.8:53 vofycyk.com udp
US 8.8.8.8:53 lymywun.com udp
US 8.8.8.8:53 galyfis.com udp
US 8.8.8.8:53 puzygop.com udp
US 8.8.8.8:53 vonyqym.com udp
US 8.8.8.8:53 lykyfud.com udp
US 8.8.8.8:53 puvymaq.com udp
US 8.8.8.8:53 lyrylix.com udp
US 8.8.8.8:53 pupyxal.com udp
US 8.8.8.8:53 qebyqeq.com udp
US 8.8.8.8:53 qedyxel.com udp
US 8.8.8.8:53 gatyzoz.com udp
US 8.8.8.8:53 galynab.com udp
US 8.8.8.8:53 vojyduf.com udp
US 8.8.8.8:53 gacynow.com udp
US 8.8.8.8:53 vonykuk.com udp
US 8.8.8.8:53 pufypeg.com udp
US 8.8.8.8:53 vowykuc.com udp
US 8.8.8.8:53 pupypep.com udp
US 8.8.8.8:53 lykynon.com udp
US 8.8.8.8:53 qebykul.com udp
US 8.8.8.8:53 gatypas.com udp
US 8.8.8.8:53 qegysyg.com udp
US 8.8.8.8:53 vojybim.com udp
US 8.8.8.8:53 puvyjyl.com udp
US 8.8.8.8:53 qegyvuq.com udp
US 8.8.8.8:53 gacyhez.com udp
US 8.8.8.8:53 lyrytod.com udp
US 8.8.8.8:53 vowyrif.com udp
US 8.8.8.8:53 lyxygax.com udp
US 8.8.8.8:53 pufycyq.com udp
US 8.8.8.8:53 qeqyrug.com udp
US 8.8.8.8:53 gadycew.com udp
US 8.8.8.8:53 volygoc.com udp
US 8.8.8.8:53 pumywug.com udp
US 8.8.8.8:53 lysyxar.com udp
US 8.8.8.8:53 qekyfiv.com udp
US 8.8.8.8:53 ganyqyh.com udp
US 8.8.8.8:53 vopyzot.com udp
US 8.8.8.8:53 pujyduv.com udp
US 8.8.8.8:53 lyvymej.com udp
US 8.8.8.8:53 gahydyb.com udp
US 8.8.8.8:53 vocymak.com udp
US 8.8.8.8:53 purylup.com udp
US 8.8.8.8:53 lygysen.com udp
US 8.8.8.8:53 qexynol.com udp
US 8.8.8.8:53 gaqykus.com udp
US 8.8.8.8:53 lygyvuj.com udp
US 52.34.198.229:80 lygyvuj.com tcp
US 8.8.8.8:53 lyxynir.com udp
US 8.8.8.8:53 qeqykyv.com udp
US 8.8.8.8:53 pumyjev.com udp
US 8.8.8.8:53 volybut.com udp
US 8.8.8.8:53 lysytoj.com udp
US 8.8.8.8:53 qekyvup.com udp
US 8.8.8.8:53 ganyhab.com udp
US 8.8.8.8:53 vopyrik.com udp
US 8.8.8.8:53 lyvygon.com udp
US 8.8.8.8:53 pujycyp.com udp
US 8.8.8.8:53 qetyrul.com udp
US 8.8.8.8:53 gahyces.com udp
US 8.8.8.8:53 vocygim.com udp
US 8.8.8.8:53 purywyl.com udp
US 8.8.8.8:53 lygyxad.com udp
US 8.8.8.8:53 qexyfuq.com udp
US 8.8.8.8:53 gaqyqez.com udp
US 8.8.8.8:53 vofyzof.com udp
US 8.8.8.8:53 lymymax.com udp
US 8.8.8.8:53 puzyduq.com udp
US 8.8.8.8:53 qedylig.com udp
US 8.8.8.8:53 vonymoc.com udp
US 8.8.8.8:53 vofypam.com udp
US 8.8.8.8:53 qebyniv.com udp
US 8.8.8.8:53 gatykyh.com udp
US 8.8.8.8:53 puzybil.com udp
US 8.8.8.8:53 vojypat.com udp
US 8.8.8.8:53 lymyjyd.com udp
US 8.8.8.8:53 puvybuv.com udp
US 8.8.8.8:53 lyryjej.com udp
US 8.8.8.8:53 qedytoq.com udp
US 8.8.8.8:53 qegytop.com udp
US 8.8.8.8:53 galyvuz.com udp
US 8.8.8.8:53 gadypah.com udp
US 8.8.8.8:53 pupytiq.com udp
US 8.8.8.8:53 vonyjef.com udp
US 8.8.8.8:53 lykyvyx.com udp
US 8.8.8.8:53 qebyhag.com udp
US 8.8.8.8:53 gatyruw.com udp
US 8.8.8.8:53 puvygog.com udp
US 8.8.8.8:53 vojycec.com udp
US 8.8.8.8:53 lyrywur.com udp
US 8.8.8.8:53 qegyxav.com udp
US 8.8.8.8:53 gacyfih.com udp
US 8.8.8.8:53 vowyqyt.com udp
US 8.8.8.8:53 pufyxov.com udp
US 8.8.8.8:53 lyxyfuj.com udp
US 8.8.8.8:53 qeqyqep.com udp
US 8.8.8.8:53 gadyzib.com udp
US 8.8.8.8:53 volydyk.com udp
US 8.8.8.8:53 pumymap.com udp
US 8.8.8.8:53 lysylun.com udp
US 8.8.8.8:53 qekysel.com udp
US 8.8.8.8:53 ganynos.com udp
US 8.8.8.8:53 vopykum.com udp
US 8.8.8.8:53 pujypal.com udp
US 8.8.8.8:53 lyvynid.com udp
US 8.8.8.8:53 gahypoz.com udp
US 8.8.8.8:53 qetykyq.com udp
US 8.8.8.8:53 vocybuf.com udp
US 8.8.8.8:53 puryjeq.com udp
US 8.8.8.8:53 gacyvub.com udp
US 8.8.8.8:53 pufytip.com udp
US 8.8.8.8:53 lyxyvyn.com udp
US 8.8.8.8:53 gadyrus.com udp
US 8.8.8.8:53 qeqyhol.com udp
US 8.8.8.8:53 volycem.com udp
US 8.8.8.8:53 pumygil.com udp
US 8.8.8.8:53 lysywyd.com udp
US 8.8.8.8:53 qekyxaq.com udp
US 8.8.8.8:53 ganyfuz.com udp
US 8.8.8.8:53 vopyqef.com udp
US 8.8.8.8:53 pujyxoq.com udp
US 8.8.8.8:53 lyvyfux.com udp
US 8.8.8.8:53 qetyqag.com udp
US 8.8.8.8:53 gahyziw.com udp
US 8.8.8.8:53 vocydyc.com udp
US 8.8.8.8:53 purymog.com udp
US 8.8.8.8:53 lygylur.com udp
US 8.8.8.8:53 qexysev.com udp
US 8.8.8.8:53 gaqynih.com udp
US 8.8.8.8:53 vofykyt.com udp
US 8.8.8.8:53 puzypav.com udp
US 8.8.8.8:53 lymynuj.com udp
US 8.8.8.8:53 qedykep.com udp
US 8.8.8.8:53 galypob.com udp
US 8.8.8.8:53 vonybuk.com udp
US 8.8.8.8:53 pupyjap.com udp
US 8.8.8.8:53 lykytin.com udp
US 8.8.8.8:53 qebyvyl.com udp
US 8.8.8.8:53 gatyhos.com udp
US 8.8.8.8:53 vojyrum.com udp
US 8.8.8.8:53 lygytix.com udp
US 8.8.8.8:53 qexyvyg.com udp
US 8.8.8.8:53 gaqyhaw.com udp
US 8.8.8.8:53 vofyruc.com udp
US 8.8.8.8:53 puzyceg.com udp
US 8.8.8.8:53 lymygor.com udp
US 8.8.8.8:53 qedyruv.com udp
US 8.8.8.8:53 vonygit.com udp
US 8.8.8.8:53 pupywyv.com udp
US 8.8.8.8:53 lykyxoj.com udp
US 8.8.8.8:53 qebyfup.com udp
US 8.8.8.8:53 gatyqeb.com udp
US 8.8.8.8:53 vojyzik.com udp
US 8.8.8.8:53 puvydyp.com udp
US 8.8.8.8:53 lyryman.com udp
US 8.8.8.8:53 qegylul.com udp
US 8.8.8.8:53 gacydes.com udp
US 8.8.8.8:53 vowymom.com udp
US 8.8.8.8:53 pufylul.com udp
US 8.8.8.8:53 lyxysad.com udp
US 8.8.8.8:53 qeqyniq.com udp
US 8.8.8.8:53 gadykyz.com udp
US 8.8.8.8:53 pumybuq.com udp
US 8.8.8.8:53 lysyjex.com udp
US 8.8.8.8:53 qekytig.com udp
US 8.8.8.8:53 ganyvyw.com udp
US 8.8.8.8:53 vopyjac.com udp
US 8.8.8.8:53 pujytug.com udp
US 8.8.8.8:53 lyvyver.com udp
US 8.8.8.8:53 qetyhov.com udp
US 8.8.8.8:53 gahyruh.com udp
US 8.8.8.8:53 vocycat.com udp
US 8.8.8.8:53 purygiv.com udp
US 8.8.8.8:53 lygywyj.com udp
US 8.8.8.8:53 qexyxop.com udp
US 8.8.8.8:53 puvycel.com udp
US 8.8.8.8:53 gaqyfub.com udp
US 8.8.8.8:53 vofyqek.com udp
US 8.8.8.8:53 puzyxip.com udp
US 8.8.8.8:53 lyrygid.com udp
US 8.8.8.8:53 lymyfyn.com udp
US 8.8.8.8:53 qegyryq.com udp
US 8.8.8.8:53 qedyqal.com udp
US 8.8.8.8:53 gacycaz.com udp
US 8.8.8.8:53 galyzus.com udp
US 8.8.8.8:53 vowyguf.com udp
US 8.8.8.8:53 vonydem.com udp
US 8.8.8.8:53 pupymol.com udp
US 8.8.8.8:53 pufyweq.com udp
US 8.8.8.8:53 lykylud.com udp
US 8.8.8.8:53 qebysaq.com udp
US 8.8.8.8:53 gatyniz.com udp
US 8.8.8.8:53 vojykyf.com udp
US 8.8.8.8:53 puvypoq.com udp
US 8.8.8.8:53 lyrynux.com udp
US 8.8.8.8:53 qegykeg.com udp
US 8.8.8.8:53 vowybyc.com udp
US 8.8.8.8:53 pufyjag.com udp
US 8.8.8.8:53 lyxytur.com udp
US 8.8.8.8:53 qeqyvev.com udp
US 8.8.8.8:53 gadyhoh.com udp
US 8.8.8.8:53 volyrut.com udp
US 8.8.8.8:53 pumycav.com udp
US 8.8.8.8:53 lysygij.com udp
US 8.8.8.8:53 ganycob.com udp
US 8.8.8.8:53 qekyryp.com udp
US 8.8.8.8:53 vopyguk.com udp
US 8.8.8.8:53 lyxyxox.com udp
US 8.8.8.8:53 qeqyfug.com udp
US 8.8.8.8:53 gadyqaw.com udp
US 8.8.8.8:53 volyzic.com udp
US 8.8.8.8:53 pumydyg.com udp
US 8.8.8.8:53 qekyluv.com udp
US 8.8.8.8:53 ganydeh.com udp
US 8.8.8.8:53 vopymit.com udp
US 8.8.8.8:53 pujylyv.com udp
US 8.8.8.8:53 lyvysaj.com udp
US 8.8.8.8:53 qetynup.com udp
US 8.8.8.8:53 vocypok.com udp
US 8.8.8.8:53 gahykeb.com udp
US 8.8.8.8:53 purybup.com udp
US 8.8.8.8:53 lygyjan.com udp
US 8.8.8.8:53 qexytil.com udp
US 8.8.8.8:53 gaqyvys.com udp
US 8.8.8.8:53 vofyjom.com udp
US 8.8.8.8:53 lymyved.com udp
US 8.8.8.8:53 puzytul.com udp
US 8.8.8.8:53 qedyhiq.com udp
US 8.8.8.8:53 galyryz.com udp
US 8.8.8.8:53 vonycaf.com udp
US 8.8.8.8:53 pupyguq.com udp
US 8.8.8.8:53 lykywex.com udp
US 8.8.8.8:53 pujywep.com udp
US 8.8.8.8:53 lyvyxin.com udp
US 8.8.8.8:53 qetyfyl.com udp
US 8.8.8.8:53 gahyqas.com udp
US 8.8.8.8:53 purydel.com udp
US 8.8.8.8:53 qexyluq.com udp
US 8.8.8.8:53 gatyfuw.com udp
US 8.8.8.8:53 gaqydaz.com udp
US 8.8.8.8:53 vojyqac.com udp
US 8.8.8.8:53 vofymif.com udp
US 8.8.8.8:53 puzylyq.com udp
US 8.8.8.8:53 lyryfyr.com udp
US 8.8.8.8:53 qedynug.com udp
US 8.8.8.8:53 lymysox.com udp
US 8.8.8.8:53 qegyqov.com udp
US 8.8.8.8:53 galykew.com udp
US 8.8.8.8:53 gacyzuh.com udp
US 8.8.8.8:53 vowydet.com udp
US 8.8.8.8:53 vonypic.com udp
US 8.8.8.8:53 pupybyg.com udp
US 8.8.8.8:53 lykyjar.com udp
US 8.8.8.8:53 lyxylyj.com udp
US 8.8.8.8:53 pufymiv.com udp
US 8.8.8.8:53 qebytuv.com udp
US 8.8.8.8:53 gatyveh.com udp
US 8.8.8.8:53 qeqysap.com udp
US 8.8.8.8:53 vojyjot.com udp
US 8.8.8.8:53 puvytuv.com udp
US 8.8.8.8:53 gadynub.com udp
US 8.8.8.8:53 lyryvaj.com udp
US 8.8.8.8:53 qegyhip.com udp
US 8.8.8.8:53 pumypop.com udp
US 8.8.8.8:53 volykek.com udp
US 8.8.8.8:53 gacyryb.com udp
US 8.8.8.8:53 vowycok.com udp
US 8.8.8.8:53 qekykal.com udp
US 8.8.8.8:53 pufygup.com udp
US 8.8.8.8:53 lysynun.com udp
US 8.8.8.8:53 lyxywen.com udp
US 8.8.8.8:53 ganypis.com udp
US 8.8.8.8:53 vopybym.com udp
US 8.8.8.8:53 gadyfys.com udp
US 8.8.8.8:53 pujyjol.com udp
US 8.8.8.8:53 lyvytud.com udp
US 8.8.8.8:53 volyqam.com udp
US 8.8.8.8:53 pumyxul.com udp
US 8.8.8.8:53 qeqyxil.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 8.8.8.8:53 lysyfed.com udp
US 8.8.8.8:53 lygygux.com udp
US 8.8.8.8:53 qexyreg.com udp
US 8.8.8.8:53 vocyryf.com udp
US 8.8.8.8:53 purycaq.com udp
US 8.8.8.8:53 puzywag.com udp
US 8.8.8.8:53 lymyxir.com udp
US 8.8.8.8:53 galyqoh.com udp
US 8.8.8.8:53 qedyfyv.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 44.221.84.105:80 gahyhiz.com tcp
US 8.8.8.8:53 qekyqoq.com udp
US 8.8.8.8:53 vopydaf.com udp
US 8.8.8.8:53 pujymiq.com udp
US 8.8.8.8:53 lyvylyx.com udp
US 8.8.8.8:53 qetysog.com udp
US 8.8.8.8:53 gahynuw.com udp
US 8.8.8.8:53 vocykec.com udp
US 8.8.8.8:53 lygynyr.com udp
US 8.8.8.8:53 purypig.com udp
US 8.8.8.8:53 qexykav.com udp
US 8.8.8.8:53 gaqypuh.com udp
US 8.8.8.8:53 vofybet.com udp
US 8.8.8.8:53 lymytuj.com udp
US 8.8.8.8:53 qedyvap.com udp
US 8.8.8.8:53 vonyryk.com udp
US 8.8.8.8:53 puzyjov.com udp
US 8.8.8.8:53 pupycop.com udp
US 8.8.8.8:53 lykygun.com udp
US 8.8.8.8:53 qebyrel.com udp
US 8.8.8.8:53 gatycis.com udp
US 8.8.8.8:53 vojygym.com udp
US 8.8.8.8:53 lyryxud.com udp
US 8.8.8.8:53 qegyfeq.com udp
US 8.8.8.8:53 gacyqoz.com udp
US 8.8.8.8:53 vowyzuf.com udp
US 8.8.8.8:53 pufydaq.com udp
US 8.8.8.8:53 lyxymix.com udp
US 8.8.8.8:53 qeqylyg.com udp
US 8.8.8.8:53 puvywal.com udp
US 8.8.8.8:53 gadydow.com udp
US 8.8.8.8:53 ganyzuz.com udp
US 8.8.8.8:53 vonyzut.com udp
US 8.8.8.8:53 pupydev.com udp
US 8.8.8.8:53 lykymij.com udp
US 8.8.8.8:53 qebylyp.com udp
US 8.8.8.8:53 gatydab.com udp
US 8.8.8.8:53 qekyhug.com udp
US 8.8.8.8:53 vojymuk.com udp
US 8.8.8.8:53 ganyrew.com udp
US 8.8.8.8:53 vopycoc.com udp
US 8.8.8.8:53 puvylep.com udp
US 8.8.8.8:53 lyryson.com udp
US 8.8.8.8:53 pujygug.com udp
US 8.8.8.8:53 qegynul.com udp
US 8.8.8.8:53 vowypim.com udp
US 8.8.8.8:53 gacykas.com udp
US 8.8.8.8:53 lyvywar.com udp
US 8.8.8.8:53 pufybyl.com udp
US 8.8.8.8:53 qetyxiv.com udp
US 8.8.8.8:53 lyxyjod.com udp
US 8.8.8.8:53 qeqytuq.com udp
US 8.8.8.8:53 gahyfyh.com udp
US 8.8.8.8:53 gadyvez.com udp
US 8.8.8.8:53 lysyvax.com udp
US 8.8.8.8:53 volyjif.com udp
US 8.8.8.8:53 vocyqot.com udp
US 8.8.8.8:53 puryxuv.com udp
US 8.8.8.8:53 lygyfej.com udp
US 8.8.8.8:53 qexyqip.com udp
US 8.8.8.8:53 gaqyzyb.com udp
US 8.8.8.8:53 vofydak.com udp
US 8.8.8.8:53 puzymup.com udp
US 8.8.8.8:53 lysysir.com udp
US 8.8.8.8:53 qekynyv.com udp
US 8.8.8.8:53 ganykah.com udp
US 8.8.8.8:53 vopyput.com udp
US 8.8.8.8:53 pujybev.com udp
US 8.8.8.8:53 qetytup.com udp
US 8.8.8.8:53 gahyvab.com udp
US 8.8.8.8:53 vocyjik.com udp
US 8.8.8.8:53 purytyp.com udp
US 8.8.8.8:53 lygyvon.com udp
US 8.8.8.8:53 qexyhul.com udp
US 8.8.8.8:53 gaqyres.com udp
US 8.8.8.8:53 vofycim.com udp
US 8.8.8.8:53 puzygyl.com udp
US 8.8.8.8:53 lymywad.com udp
US 8.8.8.8:53 qedyxuq.com udp
US 8.8.8.8:53 vonyqof.com udp
US 8.8.8.8:53 galyfez.com udp
US 8.8.8.8:53 lykyfax.com udp
US 8.8.8.8:53 pupyxuq.com udp
US 8.8.8.8:53 qebyqig.com udp
US 8.8.8.8:53 gatyzyw.com udp
US 8.8.8.8:53 vojydoc.com udp
US 8.8.8.8:53 lyryler.com udp
US 8.8.8.8:53 puvymug.com udp
US 8.8.8.8:53 qegysiv.com udp
US 8.8.8.8:53 vowykat.com udp
US 8.8.8.8:53 gacynyh.com udp
US 8.8.8.8:53 pufypuv.com udp
US 8.8.8.8:53 lymylen.com udp
US 8.8.8.8:53 qedysol.com udp
US 8.8.8.8:53 galynus.com udp
US 8.8.8.8:53 vonykam.com udp
US 8.8.8.8:53 pupypil.com udp
US 8.8.8.8:53 lykynyd.com udp
US 8.8.8.8:53 qebykoq.com udp
US 8.8.8.8:53 gatypuz.com udp
US 8.8.8.8:53 vojybef.com udp
US 8.8.8.8:53 puvyjiq.com udp
US 8.8.8.8:53 lyrytyx.com udp
US 8.8.8.8:53 qegyvag.com udp
US 8.8.8.8:53 gacyhuw.com udp
US 8.8.8.8:53 vowyrec.com udp
US 8.8.8.8:53 pufycog.com udp
US 8.8.8.8:53 lyxygur.com udp
US 8.8.8.8:53 gadycih.com udp
US 8.8.8.8:53 volygyt.com udp
US 8.8.8.8:53 pumywov.com udp
US 8.8.8.8:53 lysyxuj.com udp
US 8.8.8.8:53 qekyfep.com udp
US 8.8.8.8:53 ganyqib.com udp
US 8.8.8.8:53 vopyzyk.com udp
US 8.8.8.8:53 pujydap.com udp
US 8.8.8.8:53 lyvymun.com udp
US 8.8.8.8:53 qetylel.com udp
US 8.8.8.8:53 gahydos.com udp
US 8.8.8.8:53 vocymum.com udp
US 8.8.8.8:53 purylal.com udp
US 8.8.8.8:53 lygysid.com udp
US 8.8.8.8:53 lyxynej.com udp
US 8.8.8.8:53 gaqykoz.com udp
US 8.8.8.8:53 vofypuf.com udp
US 8.8.8.8:53 qeqykop.com udp
US 8.8.8.8:53 puzybeq.com udp
US 8.8.8.8:53 lymyjix.com udp
US 8.8.8.8:53 gadypub.com udp
US 8.8.8.8:53 qedytyg.com udp
US 8.8.8.8:53 volybak.com udp
US 8.8.8.8:53 vonyjuc.com udp
US 8.8.8.8:53 lysytyn.com udp
US 8.8.8.8:53 qekyvol.com udp
US 8.8.8.8:53 pupyteg.com udp
US 8.8.8.8:53 ganyhus.com udp
US 8.8.8.8:53 lykyvor.com udp
US 8.8.8.8:53 vopyrem.com udp
US 8.8.8.8:53 qebyhuv.com udp
US 8.8.8.8:53 pujycil.com udp
US 8.8.8.8:53 gatyrah.com udp
US 8.8.8.8:53 vojycit.com udp
US 8.8.8.8:53 lyvygyd.com udp
US 8.8.8.8:53 puvygyv.com udp
US 8.8.8.8:53 gahycuz.com udp
US 8.8.8.8:53 lyrywoj.com udp
US 8.8.8.8:53 vocygef.com udp
US 8.8.8.8:53 purywoq.com udp
US 8.8.8.8:53 gacyfeb.com udp
US 8.8.8.8:53 qegyxup.com udp
US 8.8.8.8:53 lygyxux.com udp
US 8.8.8.8:53 gaqyqiw.com udp
US 8.8.8.8:53 pufyxyp.com udp
US 8.8.8.8:53 qexyfag.com udp
US 8.8.8.8:53 lyxyfan.com udp
US 8.8.8.8:53 vofyzyc.com udp
US 8.8.8.8:53 qeqyqul.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 puzydog.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 99.83.170.3:80 puzylyp.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 172.234.222.138:80 vojyqem.com tcp
HK 154.212.231.82:80 gadyniw.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 69.162.80.60:80 lysyfyj.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 199.191.50.83:80 galyqaz.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 18.208.156.248:80 vonypom.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 172.234.222.138:80 vojyqem.com tcp
NL 5.79.71.205:80 gatyfus.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 172.67.173.131:443 qegyhig.com tcp
DE 178.162.203.226:80 gatyfus.com tcp
DE 178.162.203.211:80 gatyfus.com tcp

Files

\Windows\AppPatch\svchost.exe

MD5 7a308f82933594b167101e19321be21d
SHA1 82c326c14ba7826730828557d1dd242003c11ccf
SHA256 2d2ee2392d256841815289bd4af7bebfd5860db2e7d900d05769a59b8625d7be
SHA512 43b69d4236c95d8c192441c79999b4e291f819da6fddffd37b526ff2a66bc5669a91344be9a1228a725281029d52a39d88ab5b8959112b6b9ee2f64173a36007

memory/2596-13-0x0000000000400000-0x000000000045F000-memory.dmp

memory/2304-14-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-20-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-24-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-22-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-18-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-16-0x0000000000330000-0x00000000003D8000-memory.dmp

memory/2304-25-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-27-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-29-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-36-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-41-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-48-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-51-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-31-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-50-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-49-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-47-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-46-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-45-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-44-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-43-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-42-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-40-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-39-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-38-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-37-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-35-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-34-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-33-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-32-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-53-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-76-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-77-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-75-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-74-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-72-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-71-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-70-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-69-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-68-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-67-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-66-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-65-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-64-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-63-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-62-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-61-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-60-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-58-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-57-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-56-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-55-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-54-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-52-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-73-0x0000000002310000-0x00000000023C6000-memory.dmp

memory/2304-59-0x0000000002310000-0x00000000023C6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\B778.tmp

MD5 d476976481b0dac1f051cf2c0981e17e
SHA1 3e91a69d9a02d21a7e2dda4e6de908dbdfb8c48a
SHA256 2cfb1585c2b88410fb2d4f742febd0d666cd72381ed0e00561498df12290dd8a
SHA512 775f2924ae5dc8665232f8d8a85e009fb6160dba38a95275417aeaef20ec81e2ef4cb70d6ff80ec8ebc258331344e269d39cd17b06ed51d7f5f98a880c2c96b1

memory/2304-196-0x0000000002310000-0x00000000023C6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\BEF1.tmp

MD5 926512864979bc27cf187f1de3f57aff
SHA1 acdeb9d6187932613c7fa08eaf28f0cd8116f4b5
SHA256 b3e893a653ec06c05ee90f2f6e98cc052a92f6616d7cca8c416420e178dcc73f
SHA512 f6f9fd3ca9305bec879cfcd38e64111a18e65e30d25c49e9f2cd546cbab9b2dcd03eca81952f6b77c0eaab20192ef7bef0d8d434f6f371811929e75f8620633b

C:\Users\Admin\AppData\Local\Temp\968C.tmp

MD5 0ed0ccb57383fd96c2a909e4d2700eb7
SHA1 f1a0f78b5eb66faae63cbbd74f24a1d1738b9c1c
SHA256 aebb7059603e5f14c38ed4db5cc40e5a1f196d74758684dbdca1e5c89667e802
SHA512 1f69c79ae7db8efd0b67c263dba07933d5283eb0aa4cc4be0d6c58b4e710b1713025e3ef30005d7c1b6ca1c562d3e320dded8bdcac8c4231b44ef30f4230c3a7

C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9UR26M8S\login[2].htm

MD5 d57e3a550060f85d44a175139ea23021
SHA1 2c5cb3428a322c9709a34d04dd86fe7628f8f0a6
SHA256 43edf068d34276e8ade4113d4d7207de19fc98a2ae1c07298e593edae2a8774c
SHA512 0364fe6a010fce7a3f4a6344c84468c64b20fd131f3160fc649db78f1075ba52d8a1c4496e50dbe27c357e01ee52e94cdcda8f7927cba28d5f2f45b9da690063

C:\Users\Admin\AppData\Local\Temp\968D.tmp

MD5 7b969edb141cb84bb366183342c1dd68
SHA1 976e4ca3c059764863fc62a312fcfeb493a6b463
SHA256 ef9702249b5c7060b9691e07e1515f8701e257997a015a1e5e63787069dd9155
SHA512 13fae4e8a26d4d4e4e0d42be29ed4ffa242d5bbee630ceef0f433a5824559a7bf8bf954b75464843a8141ae16b7f65273cc63f2e959b72fe06e9d3fb7a947268

C:\Users\Admin\AppData\Local\Temp\968D.tmp

MD5 76163425badd22b5b30d2ca7e34c5df2
SHA1 8a88d82f3423236aeb2018eaf357b7eb38d43164
SHA256 1a1ccf3275b5bf67ee0a74bd4cd2350d344926e2ff1c5941df89fa40e1a55022
SHA512 037b5db5a20b14ce8e69b846d1ca058118870919d3ff75c3719912603757e5d8ca19257ebb6ef418f0618a4b229363311c067475f8c052a4b8e4437a2b9edd42

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-02 09:55

Reported

2024-11-02 10:01

Platform

win10v2004-20241007-en

Max time kernel

148s

Max time network

150s

Command Line

"C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\8565cd60 = "ýÝ´§)q\x1d\u008f\tÏ\u00a0.ÔD§I\x1adWŒ#©\v¸\x01ï8\x12¼ÏÌäà\x16T®ç\u00a06<)ñ\x18\a!$·àøß™T¸døæéŒœ&É\a¯'\x19p\x18_èÆ!°ø$œFÁ$·D¦wdHè\x18\x01\x1cØÐŸŒ°(V\x11´áðà\a—ç@îŽwf¶Ç~\x10Äx\x14¹hÐ9\u008f\a\x1cðü\u00a04\f\\ Ȩ¨l°¤\x1c×äGÜÔ\u00a0ì\f„èL,€¤\u00a0è߯w\x01´Éï× ŽÀü™ O°¬?&0Ø$V\fÉ8·ü\x18o\x1f¯œ.”`\x19ÿ§\x1c¶\u00a0ÌÞ\u0090·ï\x17H\x7f‡ÆY—ü$IœÜ&lp¹—Àá\x7fdÈ\aÀ—P÷ÄP€ô愦ßv" C:\Windows\apppatch\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\8565cd60 = "ýÝ´§)q\x1d\u008f\tÏ\u00a0.ÔD§I\x1adWŒ#©\v¸\x01ï8\x12¼ÏÌäà\x16T®ç\u00a06<)ñ\x18\a!$·àøß™T¸døæéŒœ&É\a¯'\x19p\x18_èÆ!°ø$œFÁ$·D¦wdHè\x18\x01\x1cØÐŸŒ°(V\x11´áðà\a—ç@îŽwf¶Ç~\x10Äx\x14¹hÐ9\u008f\a\x1cðü\u00a04\f\\ Ȩ¨l°¤\x1c×äGÜÔ\u00a0ì\f„èL,€¤\u00a0è߯w\x01´Éï× ŽÀü™ O°¬?&0Ø$V\fÉ8·ü\x18o\x1f¯œ.”`\x19ÿ§\x1c¶\u00a0ÌÞ\u0090·ï\x17H\x7f‡ÆY—ü$IœÜ&lp¹—Àá\x7fdÈ\aÀ—P÷ÄP€ô愦ßv" C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe

"C:\Users\Admin\AppData\Local\Temp\f9a21f40a2e6ee28bdcc41fcf8a4cf3d509e82948e6898b340f6b70dcdfe0a1f.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
GB 92.123.128.195:80 www.bing.com tcp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 162.255.119.102:80 gahyqah.com tcp
NL 85.17.31.82:80 gatyfus.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 172.234.222.138:80 vojyqem.com tcp
US 44.221.84.105:80 qetyfuv.com tcp
US 199.191.50.83:80 galyqaz.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 44.221.84.105:80 qetyfuv.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 69.162.80.60:80 lysyfyj.com tcp
US 8.8.8.8:53 www.gahyqah.com udp
US 172.234.222.138:80 vojyqem.com tcp
US 172.67.173.131:443 qegyhig.com tcp
US 75.2.71.199:443 puzylyp.com tcp
DE 91.195.240.19:80 www.gahyqah.com tcp
US 8.8.8.8:53 209.205.72.20.in-addr.arpa udp
US 8.8.8.8:53 195.128.123.92.in-addr.arpa udp
US 8.8.8.8:53 172.214.232.199.in-addr.arpa udp
US 8.8.8.8:53 131.173.67.172.in-addr.arpa udp
US 8.8.8.8:53 102.119.255.162.in-addr.arpa udp
US 8.8.8.8:53 199.71.2.75.in-addr.arpa udp
US 8.8.8.8:53 105.84.221.44.in-addr.arpa udp
US 8.8.8.8:53 138.222.234.172.in-addr.arpa udp
US 8.8.8.8:53 248.156.208.18.in-addr.arpa udp
US 8.8.8.8:53 83.50.191.199.in-addr.arpa udp
US 8.8.8.8:53 34.10.94.3.in-addr.arpa udp
US 8.8.8.8:53 245.26.100.208.in-addr.arpa udp
US 8.8.8.8:53 60.80.162.69.in-addr.arpa udp
US 8.8.8.8:53 19.240.195.91.in-addr.arpa udp
US 8.8.8.8:53 gadyniw.com udp
HK 154.212.231.82:80 gadyniw.com tcp
US 8.8.8.8:53 ww6.galyqaz.com udp
US 199.59.243.227:80 ww6.galyqaz.com tcp
US 8.8.8.8:53 g.bing.com udp
US 150.171.28.10:443 g.bing.com tcp
US 8.8.8.8:53 82.231.212.154.in-addr.arpa udp
US 8.8.8.8:53 227.243.59.199.in-addr.arpa udp
NL 5.79.71.205:80 gatyfus.com tcp
US 8.8.8.8:53 10.28.171.150.in-addr.arpa udp
US 8.8.8.8:53 76.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 57.169.31.20.in-addr.arpa udp
US 8.8.8.8:53 23.149.64.172.in-addr.arpa udp
US 8.8.8.8:53 97.17.167.52.in-addr.arpa udp
NL 5.79.71.225:80 gatyfus.com tcp
US 8.8.8.8:53 200.163.202.172.in-addr.arpa udp
US 8.8.8.8:53 241.42.69.40.in-addr.arpa udp
US 8.8.8.8:53 c.pki.goog udp
GB 142.250.187.227:80 c.pki.goog tcp
US 172.67.173.131:443 qegyhig.com tcp
US 8.8.8.8:53 225.71.79.5.in-addr.arpa udp
US 8.8.8.8:53 110.11.19.2.in-addr.arpa udp
US 8.8.8.8:53 227.187.250.142.in-addr.arpa udp
US 172.67.173.131:443 qegyhig.com tcp
US 8.8.8.8:53 88.156.103.20.in-addr.arpa udp
NL 5.79.71.225:80 gatyfus.com tcp
US 8.8.8.8:53 136.11.19.2.in-addr.arpa udp
US 8.8.8.8:53 11.227.111.52.in-addr.arpa udp
US 8.8.8.8:53 55.36.223.20.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 vofybyf.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 gadydas.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 pupycag.com udp
US 172.67.136.136:80 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
US 104.155.138.21:80 lygynud.com tcp
US 8.8.8.8:53 lyrysor.com udp
US 18.208.156.248:80 pupycag.com tcp
US 8.8.8.8:53 21.138.155.104.in-addr.arpa udp
CN 218.92.0.241:80 lyrysor.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 8.8.8.8:53 136.136.67.172.in-addr.arpa udp
US 8.8.8.8:53 146.54.223.76.in-addr.arpa udp
US 172.67.136.136:443 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
CN 218.92.0.241:80 lyrysor.com tcp
US 8.8.8.8:53 qedysov.com udp
US 8.8.8.8:53 pumylel.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 lysysod.com udp
US 8.8.8.8:53 vonyket.com udp
US 8.8.8.8:53 qekynuq.com udp
US 8.8.8.8:53 pupypiv.com udp
US 8.8.8.8:53 ganykaz.com udp
US 8.8.8.8:53 lykynyj.com udp
US 8.8.8.8:53 vopypif.com udp
US 8.8.8.8:53 qebykap.com udp
US 8.8.8.8:53 pujybyq.com udp
US 8.8.8.8:53 gatypub.com udp
US 8.8.8.8:53 lyvyjox.com udp
US 8.8.8.8:53 vojybek.com udp
US 8.8.8.8:53 qetytug.com udp
US 8.8.8.8:53 puvyjop.com udp
US 8.8.8.8:53 gahyvew.com udp
US 8.8.8.8:53 lyrytun.com udp
US 8.8.8.8:53 vocyjic.com udp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 purytyg.com udp
US 8.8.8.8:53 gacyhis.com udp
US 8.8.8.8:53 lygyvar.com udp
US 8.8.8.8:53 vowyrym.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 pufycol.com udp
US 8.8.8.8:53 gaqyreh.com udp
US 8.8.8.8:53 lyxygud.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 qeqyreq.com udp
US 8.8.8.8:53 puzyguv.com udp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 lymywaj.com udp
US 8.8.8.8:53 volygyf.com udp
US 8.8.8.8:53 qedyxip.com udp
US 8.8.8.8:53 pumywaq.com udp
US 8.8.8.8:53 galyfyb.com udp
US 8.8.8.8:53 lysyxux.com udp
US 8.8.8.8:53 vonyqok.com udp
US 8.8.8.8:53 qekyfeg.com udp
US 8.8.8.8:53 pupyxup.com udp
US 8.8.8.8:53 ganyqow.com udp
US 8.8.8.8:53 lykyfen.com udp
US 8.8.8.8:53 qebyqil.com udp
US 8.8.8.8:53 vopyzuc.com udp
US 8.8.8.8:53 gatyzys.com udp
US 8.8.8.8:53 pujydag.com udp
US 8.8.8.8:53 lyvymir.com udp
US 8.8.8.8:53 qetylyv.com udp
US 8.8.8.8:53 puvymul.com udp
US 8.8.8.8:53 gahydoh.com udp
US 8.8.8.8:53 lyryled.com udp
US 8.8.8.8:53 vocymut.com udp
US 8.8.8.8:53 qegysoq.com udp
US 8.8.8.8:53 purylev.com udp
US 8.8.8.8:53 lygysij.com udp
US 8.8.8.8:53 gacynuz.com udp
US 8.8.8.8:53 qexynyp.com udp
US 8.8.8.8:53 vowykaf.com udp
US 8.8.8.8:53 pufypiq.com udp
US 8.8.8.8:53 gaqykab.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 103.224.182.252:80 vofycot.com tcp
US 64.225.91.73:80 galynuh.com tcp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 76.223.67.189:80 qexyhuv.com tcp
US 44.221.84.105:80 gadyciz.com tcp
US 103.224.212.210:80 lyxynyx.com tcp
US 8.8.8.8:53 qegyval.com udp
HK 154.85.183.50:80 qegyval.com tcp
US 8.8.8.8:53 ww16.vofycot.com udp
DE 64.190.63.136:80 ww16.vofycot.com tcp
US 8.8.8.8:53 ww25.lyxynyx.com udp
US 199.59.243.227:80 ww25.lyxynyx.com tcp
US 8.8.8.8:53 73.91.225.64.in-addr.arpa udp
US 8.8.8.8:53 252.182.224.103.in-addr.arpa udp
US 8.8.8.8:53 189.67.223.76.in-addr.arpa udp
US 8.8.8.8:53 210.212.224.103.in-addr.arpa udp
US 8.8.8.8:53 136.63.190.64.in-addr.arpa udp
US 8.8.8.8:53 50.183.85.154.in-addr.arpa udp

Files

C:\Windows\apppatch\svchost.exe

MD5 b1e9533b4483a644ae934914e8284614
SHA1 5719170cfb2b2e3a855fc190afb4aaaadde81290
SHA256 82c3b539aa54df5104a302313612c101e66ec65e690470bdb75e53caadb5033e
SHA512 5eb4d436214cfe32de4803c1c0cebaf18f482372fba526dbf0efbcb01227ca279aadbf20f1edaf1e45e8a25db88822d979a7c3c9faec91c5d324a708f394879c

memory/2432-9-0x0000000000400000-0x000000000045F000-memory.dmp

memory/5068-10-0x0000000002720000-0x00000000027C8000-memory.dmp

memory/5068-11-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-15-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-13-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-21-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-28-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-72-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-71-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-69-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-68-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-67-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-66-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-65-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-64-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-63-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-62-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\B379.tmp

MD5 4115af8eb856ab7b68007554ede012b9
SHA1 ead5aef9284681e47b81a8de7327c44ce5074977
SHA256 a403272831330218ef0756a01c9ce25d3eed01f0072216d60a0666ef4430d120
SHA512 520fbe999b256a57605f02661f368735c0a51a0645ab93a3c448ef26f93a357714e54c5609ac2b68d57cebda2d29cead89934fbe03364d9899054db340d55dc9

memory/5068-61-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-60-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-58-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\B29D.tmp

MD5 fcc6a7a22b545b829eb770cb2c106a42
SHA1 d2137481f54de6b4ed4dfea00d9ec1f1767764bb
SHA256 a8a0cd12309c5ac46623c5fcca4b1e9e59764c32ab744a32bccd337ecc6a5f17
SHA512 888d2f298a40dce7570da8bab7d1ce05adefbd7f83444a4615778f9a56557912f1934bb8a8caf8953a0c9751da2d2a14f2e70d620f00866c9d351783eb1ebdf8

memory/5068-57-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-56-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-55-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-54-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-53-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-52-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-51-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-50-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-49-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-48-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-46-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-43-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-42-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-40-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-41-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-39-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-38-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-37-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-36-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-35-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-34-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-32-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-31-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-30-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-27-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-26-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-25-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-24-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-23-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-22-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-20-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-70-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-59-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-47-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-44-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-45-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-33-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-29-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-19-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-18-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-17-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/5068-16-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\B38C.tmp

MD5 9e611a30615721275401cd3eb2baf114
SHA1 d5bfe86dd3eff549ff0747ede11c85e25d8f4bee
SHA256 d938656f0091bc973b14b07fa3bf4d424154549dfe8637a49a22b724bd52eade
SHA512 7d2eb9e8b15d4a1a2136da40a74d7542ccc09e61357f728e84123413a676bf42b26b6936449dedee5d55b97c39ee4e83f6233f08254d4d1e5859d0bf81dcf560

C:\Users\Admin\AppData\Local\Temp\B269.tmp

MD5 0c09dc4535e3ad82d619e34411d46e24
SHA1 17228f2418167252ae043952577bcaa2605fed9a
SHA256 105b286f1ebda9e39561a9668048e11897fd8348920ccc204e96ea1737d7b53c
SHA512 8908a123d1538979c047e32d7d8e6156d2aba600208878c0cc603aecfdc45ac6ea191c0f0cfa99e158896d1957193293bf6e63cb1777955efab358c276c8550f

memory/5068-176-0x0000000002B40000-0x0000000002BF6000-memory.dmp