Malware Analysis Report

2024-12-07 15:06

Sample ID 241105-t56rhsxlal
Target 397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N
SHA256 397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340
Tags
simda discovery persistence stealer trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340

Threat Level: Known bad

The file 397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N was found to be: Known bad.

Malicious Activity Summary

simda discovery persistence stealer trojan

Simda family

simda

Modifies WinLogon for persistence

Executes dropped EXE

Loads dropped DLL

Modifies WinLogon

Drops file in Windows directory

System Location Discovery: System Language Discovery

Unsigned PE

Suspicious behavior: EnumeratesProcesses

Suspicious behavior: RenamesItself

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-05 16:39

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-05 16:39

Reported

2024-11-05 16:41

Platform

win10v2004-20241007-en

Max time kernel

119s

Max time network

121s

Command Line

"C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\9356bc65 = "I˜âùÏ„½•)9«Øao\x02\x10\x1dm˜\rM¦&\u00ad\x0eâyC³‡çú†²-ÝæiÚjîG…\rªHÞÐ\x16ªhàQ`Ÿ\x0e\x0eò\x052\x0fOpöÝŽÊÎ\u009du°Å·ÒnöýÈ×’\x11²U\x0egèù†’ÀŸ‘\x0e`É–]:vV–÷\u0081\u00adªÆ\u008fáe-f\x12¢‰ÊRnúÚ(¿ñjÂÐ\bÅaægV" C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\9356bc65 = "I˜âùÏ„½•)9«Øao\x02\x10\x1dm˜\rM¦&\u00ad\x0eâyC³‡çú†²-ÝæiÚjîG…\rªHÞÐ\x16ªhàQ`Ÿ\x0e\x0eò\x052\x0fOpöÝŽÊÎ\u009du°Å·ÒnöýÈ×’\x11²U\x0egèù†’ÀŸ‘\x0e`É–]:vV–÷\u0081\u00adªÆ\u008fáe-f\x12¢‰ÊRnúÚ(¿ñjÂÐ\bÅaægV" C:\Windows\apppatch\svchost.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe

"C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
GB 92.123.128.133:80 www.bing.com tcp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 149.220.183.52.in-addr.arpa udp
US 8.8.8.8:53 83.210.23.2.in-addr.arpa udp
US 8.8.8.8:53 133.128.123.92.in-addr.arpa udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 vocyzit.com udp
US 208.100.26.245:80 lyvyxor.com tcp
US 23.253.46.64:80 gahyqah.com tcp
NL 5.79.71.225:80 gatyfus.com tcp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 75.159.190.20.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 232.168.11.51.in-addr.arpa udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 172.234.222.143:80 vojyqem.com tcp
US 3.94.10.34:80 lymyxid.com tcp
US 172.67.173.131:80 qegyhig.com tcp
US 44.221.84.105:80 qetyfuv.com tcp
US 199.191.50.83:80 galyqaz.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 69.162.80.61:80 lysyfyj.com tcp
US 44.221.84.105:80 qetyfuv.com tcp
US 75.2.71.199:80 puzylyp.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 172.234.222.143:80 vojyqem.com tcp
US 172.67.173.131:443 qegyhig.com tcp
HK 154.212.231.82:80 gadyniw.com tcp
US 75.2.71.199:443 puzylyp.com tcp
GB 142.250.187.227:80 c.pki.goog tcp
US 8.8.8.8:53 58.99.105.20.in-addr.arpa udp
US 8.8.8.8:53 131.173.67.172.in-addr.arpa udp
US 8.8.8.8:53 64.46.253.23.in-addr.arpa udp
US 8.8.8.8:53 245.26.100.208.in-addr.arpa udp
US 8.8.8.8:53 34.10.94.3.in-addr.arpa udp
US 8.8.8.8:53 143.222.234.172.in-addr.arpa udp
US 8.8.8.8:53 248.156.208.18.in-addr.arpa udp
US 8.8.8.8:53 105.84.221.44.in-addr.arpa udp
US 8.8.8.8:53 199.71.2.75.in-addr.arpa udp
US 8.8.8.8:53 83.50.191.199.in-addr.arpa udp
US 8.8.8.8:53 61.80.162.69.in-addr.arpa udp
US 8.8.8.8:53 227.187.250.142.in-addr.arpa udp
US 8.8.8.8:53 82.231.212.154.in-addr.arpa udp
US 8.8.8.8:53 23.149.64.172.in-addr.arpa udp
US 172.67.173.131:443 qegyhig.com tcp
DE 178.162.217.107:80 gatyfus.com tcp
DE 178.162.203.226:80 gatyfus.com tcp
NL 5.79.71.205:80 gatyfus.com tcp
US 8.8.8.8:53 241.42.69.40.in-addr.arpa udp
US 8.8.8.8:53 197.87.175.4.in-addr.arpa udp
US 8.8.8.8:53 92.12.20.2.in-addr.arpa udp
NL 85.17.31.122:80 gatyfus.com tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 vofybyf.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 gadydas.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lygynud.com udp
US 13.248.169.48:80 pupydeq.com tcp
US 104.155.138.21:80 lygynud.com tcp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 lysyvan.com udp
US 18.208.156.248:80 pupycag.com tcp
US 172.67.136.136:80 lysyvan.com tcp
US 8.8.8.8:53 lyrysor.com udp
US 172.67.136.136:443 lysyvan.com tcp
CN 103.150.10.48:80 lyrysor.com tcp
US 8.8.8.8:53 122.31.17.85.in-addr.arpa udp
US 8.8.8.8:53 21.138.155.104.in-addr.arpa udp
US 8.8.8.8:53 136.136.67.172.in-addr.arpa udp
US 8.8.8.8:53 48.169.248.13.in-addr.arpa udp
US 172.67.136.136:443 lysyvan.com tcp
US 13.248.169.48:80 pupydeq.com tcp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 57.169.31.20.in-addr.arpa udp
CN 103.150.10.48:80 lyrysor.com tcp
US 8.8.8.8:53 qedysov.com udp
US 8.8.8.8:53 pumylel.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 lysysod.com udp
US 8.8.8.8:53 vonyket.com udp
US 8.8.8.8:53 qekynuq.com udp
US 8.8.8.8:53 pupypiv.com udp
US 8.8.8.8:53 ganykaz.com udp
US 8.8.8.8:53 lykynyj.com udp
US 8.8.8.8:53 vopypif.com udp
US 8.8.8.8:53 qebykap.com udp
US 8.8.8.8:53 pujybyq.com udp
US 8.8.8.8:53 gatypub.com udp
US 8.8.8.8:53 lyvyjox.com udp
US 8.8.8.8:53 vojybek.com udp
US 8.8.8.8:53 qetytug.com udp
US 8.8.8.8:53 gahyvew.com udp
US 8.8.8.8:53 lyrytun.com udp
US 8.8.8.8:53 vocyjic.com udp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 purytyg.com udp
US 8.8.8.8:53 gacyhis.com udp
US 8.8.8.8:53 lygyvar.com udp
US 8.8.8.8:53 vowyrym.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 pufycol.com udp
US 8.8.8.8:53 gaqyreh.com udp
US 8.8.8.8:53 lyxygud.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 puzyguv.com udp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 lymywaj.com udp
US 8.8.8.8:53 volygyf.com udp
US 8.8.8.8:53 qedyxip.com udp
US 8.8.8.8:53 pumywaq.com udp
US 8.8.8.8:53 galyfyb.com udp
US 8.8.8.8:53 lysyxux.com udp
US 8.8.8.8:53 pupyxup.com udp
US 8.8.8.8:53 vonyqok.com udp
US 8.8.8.8:53 qekyfeg.com udp
US 8.8.8.8:53 ganyqow.com udp
US 8.8.8.8:53 qebyqil.com udp
US 8.8.8.8:53 vopyzuc.com udp
US 8.8.8.8:53 gatyzys.com udp
US 8.8.8.8:53 lykyfen.com udp
US 8.8.8.8:53 lyvymir.com udp
US 8.8.8.8:53 pujydag.com udp
US 8.8.8.8:53 vojydam.com udp
US 8.8.8.8:53 qetylyv.com udp
US 8.8.8.8:53 lyryled.com udp
US 8.8.8.8:53 puvymul.com udp
US 8.8.8.8:53 gahydoh.com udp
US 8.8.8.8:53 vocymut.com udp
US 8.8.8.8:53 qegysoq.com udp
US 8.8.8.8:53 purylev.com udp
US 8.8.8.8:53 lygysij.com udp
US 8.8.8.8:53 gacynuz.com udp
US 8.8.8.8:53 pufypiq.com udp
US 8.8.8.8:53 vowykaf.com udp
US 8.8.8.8:53 gaqykab.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 qexynyp.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 gadyciz.com udp
US 64.225.91.73:80 galynuh.com tcp
US 13.248.213.45:80 qexyhuv.com tcp
US 44.221.84.105:80 gadyciz.com tcp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 103.224.182.252:80 vofycot.com tcp
US 103.224.212.210:80 lyxynyx.com tcp
HK 154.85.183.50:80 qegyval.com tcp
US 8.8.8.8:53 ww25.lyxynyx.com udp
US 8.8.8.8:53 ww16.vofycot.com udp
US 199.59.243.227:80 ww25.lyxynyx.com tcp
DE 64.190.63.136:80 ww16.vofycot.com tcp
US 8.8.8.8:53 45.213.248.13.in-addr.arpa udp
US 8.8.8.8:53 73.91.225.64.in-addr.arpa udp
US 8.8.8.8:53 252.182.224.103.in-addr.arpa udp
US 8.8.8.8:53 210.212.224.103.in-addr.arpa udp
US 8.8.8.8:53 50.183.85.154.in-addr.arpa udp
US 8.8.8.8:53 136.63.190.64.in-addr.arpa udp
US 8.8.8.8:53 227.243.59.199.in-addr.arpa udp
US 8.8.8.8:53 45.19.74.20.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 150.171.27.10:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 10.27.171.150.in-addr.arpa udp
US 13.248.213.45:80 qexyhuv.com tcp
US 8.8.8.8:53 vofypuk.com udp
US 8.8.8.8:53 qeqykog.com udp
US 8.8.8.8:53 puzybep.com udp
US 8.8.8.8:53 gadypuw.com udp
US 8.8.8.8:53 lymyjon.com udp
US 8.8.8.8:53 volybec.com udp
US 8.8.8.8:53 qedytul.com udp
US 8.8.8.8:53 pumyjig.com udp
US 8.8.8.8:53 galyvas.com udp
US 8.8.8.8:53 vonyjim.com udp
US 8.8.8.8:53 qekyvav.com udp
US 8.8.8.8:53 pupytyl.com udp
US 8.8.8.8:53 ganyhuh.com udp
US 8.8.8.8:53 lykyvod.com udp
US 8.8.8.8:53 vopyret.com udp
US 8.8.8.8:53 qebyhuq.com udp
US 8.8.8.8:53 gatyrez.com udp
US 8.8.8.8:53 lyvyguj.com udp
US 8.8.8.8:53 vojycif.com udp
US 8.8.8.8:53 qetyrap.com udp
US 8.8.8.8:53 puvygyq.com udp
US 8.8.8.8:53 gahycib.com udp
US 8.8.8.8:53 lyrywax.com udp
US 8.8.8.8:53 vocygyk.com udp
US 8.8.8.8:53 qegyxug.com udp
US 8.8.8.8:53 purywop.com udp
US 8.8.8.8:53 vowyqoc.com udp
US 8.8.8.8:53 lygyxun.com udp
US 8.8.8.8:53 qexyfel.com udp
US 8.8.8.8:53 gacyfew.com udp
US 8.8.8.8:53 gaqyqis.com udp
US 8.8.8.8:53 lyxyfar.com udp
US 8.8.8.8:53 qeqyqiv.com udp
US 8.8.8.8:53 vofyzym.com udp
US 8.8.8.8:53 puzydal.com udp
US 8.8.8.8:53 gadyzyh.com udp
US 8.8.8.8:53 volydot.com udp
US 8.8.8.8:53 lymymud.com udp
US 8.8.8.8:53 qedyleq.com udp
US 8.8.8.8:53 pumymuv.com udp
US 8.8.8.8:53 galydoz.com udp
US 8.8.8.8:53 lysylej.com udp
US 8.8.8.8:53 vonymuf.com udp
US 8.8.8.8:53 ganynyb.com udp
US 8.8.8.8:53 lykysix.com udp
US 8.8.8.8:53 vopykak.com udp
US 8.8.8.8:53 qebynyg.com udp
US 8.8.8.8:53 pujypup.com udp
US 8.8.8.8:53 gatykow.com udp
US 8.8.8.8:53 lyvynen.com udp
US 8.8.8.8:53 vojypuc.com udp
US 8.8.8.8:53 qekysip.com udp
US 8.8.8.8:53 qetykol.com udp
US 8.8.8.8:53 puvybeg.com udp
US 8.8.8.8:53 gahypus.com udp
US 8.8.8.8:53 vocybam.com udp
US 8.8.8.8:53 puryjil.com udp
US 8.8.8.8:53 gacyvah.com udp
US 8.8.8.8:53 pupylaq.com udp
US 8.8.8.8:53 lygytyd.com udp
US 8.8.8.8:53 vowyjut.com udp
US 8.8.8.8:53 qexyvoq.com udp
US 8.8.8.8:53 pufytev.com udp
US 8.8.8.8:53 gaqyhuz.com udp
US 8.8.8.8:53 lyxyvoj.com udp
US 8.8.8.8:53 vofyref.com udp
US 8.8.8.8:53 qeqyhup.com udp
US 8.8.8.8:53 puzyciq.com udp
US 8.8.8.8:53 lymygyx.com udp
US 8.8.8.8:53 volycik.com udp
US 8.8.8.8:53 qedyrag.com udp
US 8.8.8.8:53 pumygyp.com udp
US 8.8.8.8:53 galycuw.com udp
US 8.8.8.8:53 lysywon.com udp
US 8.8.8.8:53 vonygec.com udp
US 8.8.8.8:53 qekyxul.com udp
US 8.8.8.8:53 pupywog.com udp
US 8.8.8.8:53 ganyfes.com udp
US 8.8.8.8:53 lykyxur.com udp
US 8.8.8.8:53 vopyqim.com udp
US 8.8.8.8:53 qebyfav.com udp
US 8.8.8.8:53 pujyxyl.com udp
US 8.8.8.8:53 gatyqih.com udp
US 8.8.8.8:53 lyvyfad.com udp
US 8.8.8.8:53 vojyzyt.com udp
US 8.8.8.8:53 qetyquq.com udp
US 8.8.8.8:53 puvydov.com udp
US 8.8.8.8:53 gahyzez.com udp
US 8.8.8.8:53 lyrymuj.com udp
US 8.8.8.8:53 vocydof.com udp
US 8.8.8.8:53 qegylep.com udp
US 8.8.8.8:53 purymuq.com udp
US 8.8.8.8:53 gacydib.com udp
US 8.8.8.8:53 lygylax.com udp
US 8.8.8.8:53 vowymyk.com udp
US 8.8.8.8:53 qexysig.com udp
US 8.8.8.8:53 pufylap.com udp
US 8.8.8.8:53 gaqynyw.com udp
US 8.8.8.8:53 lyxysun.com udp
US 8.8.8.8:53 vofykoc.com udp
US 8.8.8.8:53 puzypug.com udp
US 8.8.8.8:53 gadykos.com udp
US 8.8.8.8:53 lymyner.com udp
US 8.8.8.8:53 volypum.com udp
US 8.8.8.8:53 qedykiv.com udp
US 8.8.8.8:53 galypyh.com udp
US 8.8.8.8:53 lysyjid.com udp
US 8.8.8.8:53 vonybat.com udp
US 8.8.8.8:53 pumybal.com udp
US 8.8.8.8:53 qekytyq.com udp
US 8.8.8.8:53 pupyjuv.com udp
US 8.8.8.8:53 ganyvoz.com udp
US 8.8.8.8:53 lykytej.com udp
US 8.8.8.8:53 vopyjuf.com udp
US 8.8.8.8:53 qebyvop.com udp
US 8.8.8.8:53 pujyteq.com udp
US 8.8.8.8:53 gatyhub.com udp
US 8.8.8.8:53 lyvyvix.com udp
US 8.8.8.8:53 vojyrak.com udp
US 8.8.8.8:53 qetyhyg.com udp
US 8.8.8.8:53 puvycip.com udp
US 8.8.8.8:53 gatyhub.com udp
US 8.8.8.8:53 qetyhyg.com udp
US 72.52.179.174:80 gatyhub.com tcp
US 64.225.91.73:80 qetyhyg.com tcp
US 72.52.179.174:80 gatyhub.com tcp
US 8.8.8.8:53 gahyraw.com udp
US 8.8.8.8:53 lyrygyn.com udp
US 8.8.8.8:53 vocycuc.com udp
US 8.8.8.8:53 purygeg.com udp
US 8.8.8.8:53 gacycus.com udp
US 8.8.8.8:53 lygywor.com udp
US 8.8.8.8:53 vowygem.com udp
US 8.8.8.8:53 qexyxuv.com udp
US 8.8.8.8:53 pufywil.com udp
US 8.8.8.8:53 gaqyfah.com udp
US 8.8.8.8:53 lyxyxyd.com udp
US 8.8.8.8:53 vofyqit.com udp
US 8.8.8.8:53 qeqyfaq.com udp
US 8.8.8.8:53 puzyxyv.com udp
US 8.8.8.8:53 gadyquz.com udp
US 8.8.8.8:53 lymyfoj.com udp
US 8.8.8.8:53 volyzef.com udp
US 8.8.8.8:53 qedyqup.com udp
US 8.8.8.8:53 pumydoq.com udp
US 8.8.8.8:53 galyzeb.com udp
US 8.8.8.8:53 lysymux.com udp
US 8.8.8.8:53 vonydik.com udp
US 8.8.8.8:53 pupymyp.com udp
US 8.8.8.8:53 ganydiw.com udp
US 8.8.8.8:53 lykylan.com udp
US 8.8.8.8:53 qebysul.com udp
US 8.8.8.8:53 vopymyc.com udp
US 8.8.8.8:53 pujylog.com udp
US 8.8.8.8:53 gatynes.com udp
US 8.8.8.8:53 lyvysur.com udp
US 8.8.8.8:53 vojykom.com udp
US 8.8.8.8:53 qetynev.com udp
US 8.8.8.8:53 puvypul.com udp
US 8.8.8.8:53 gahykih.com udp
US 8.8.8.8:53 lyrynad.com udp
US 8.8.8.8:53 vocypyt.com udp
US 8.8.8.8:53 qegykiq.com udp
US 8.8.8.8:53 purybav.com udp
US 8.8.8.8:53 gacypyz.com udp
US 8.8.8.8:53 lygyjuj.com udp
US 8.8.8.8:53 vowybof.com udp
US 8.8.8.8:53 qexytep.com udp
US 8.8.8.8:53 pufyjuq.com udp
US 8.8.8.8:53 gaqyvob.com udp
US 8.8.8.8:53 lyxytex.com udp
US 8.8.8.8:53 qeqyvig.com udp
US 8.8.8.8:53 puzytap.com udp
US 8.8.8.8:53 gadyhyw.com udp
US 8.8.8.8:53 lymyvin.com udp
US 8.8.8.8:53 volyrac.com udp
US 8.8.8.8:53 qedyhyl.com udp
US 8.8.8.8:53 pumycug.com udp
US 8.8.8.8:53 vonycum.com udp
US 8.8.8.8:53 galyros.com udp
US 8.8.8.8:53 pupygel.com udp
US 8.8.8.8:53 lysyger.com udp
US 8.8.8.8:53 ganycuh.com udp
US 8.8.8.8:53 lykywid.com udp
US 8.8.8.8:53 vopygat.com udp
US 8.8.8.8:53 qebyxyq.com udp
US 8.8.8.8:53 pujywiv.com udp
US 8.8.8.8:53 gatyfaz.com udp
US 8.8.8.8:53 lyvyxyj.com udp
US 8.8.8.8:53 vojyquf.com udp
US 8.8.8.8:53 qetyfop.com udp
US 8.8.8.8:53 puvyxeq.com udp
US 8.8.8.8:53 gahyqub.com udp
US 8.8.8.8:53 lyryfox.com udp
US 8.8.8.8:53 vocyzek.com udp
US 8.8.8.8:53 qegyqug.com udp
US 8.8.8.8:53 purydip.com udp
US 8.8.8.8:53 gacyzaw.com udp
US 8.8.8.8:53 lygymyn.com udp
US 8.8.8.8:53 vowydic.com udp
US 8.8.8.8:53 qexylal.com udp
US 8.8.8.8:53 pufymyg.com udp
US 8.8.8.8:53 gaqydus.com udp
US 8.8.8.8:53 lyxylor.com udp
US 8.8.8.8:53 vofymem.com udp
US 8.8.8.8:53 qeqysuv.com udp
US 8.8.8.8:53 puzylol.com udp
US 8.8.8.8:53 lymysud.com udp
US 8.8.8.8:53 volykit.com udp
US 8.8.8.8:53 qedynaq.com udp
US 8.8.8.8:53 pumypyv.com udp
US 8.8.8.8:53 galykiz.com udp
US 8.8.8.8:53 vonypyf.com udp
US 8.8.8.8:53 lysynaj.com udp
US 8.8.8.8:53 pupyboq.com udp
US 8.8.8.8:53 ganypeb.com udp
US 8.8.8.8:53 qekykup.com udp
US 8.8.8.8:53 lykyjux.com udp
US 8.8.8.8:53 vopybok.com udp
US 8.8.8.8:53 qebyteg.com udp
US 8.8.8.8:53 pujyjup.com udp
US 8.8.8.8:53 gatyviw.com udp
US 8.8.8.8:53 lyvytan.com udp
US 8.8.8.8:53 qetyvil.com udp
US 8.8.8.8:53 vojyjyc.com udp
US 8.8.8.8:53 puvytag.com udp
US 8.8.8.8:53 gahyhys.com udp
US 8.8.8.8:53 lyryvur.com udp
US 8.8.8.8:53 vocyrom.com udp
US 8.8.8.8:53 gacyroh.com udp
US 8.8.8.8:53 purycul.com udp
US 8.8.8.8:53 lygyged.com udp
US 8.8.8.8:53 qexyriq.com udp
US 8.8.8.8:53 vowycut.com udp
US 8.8.8.8:53 pufygav.com udp
US 8.8.8.8:53 gaqycyz.com udp
US 8.8.8.8:53 vofygaf.com udp
US 8.8.8.8:53 lyxywij.com udp
US 8.8.8.8:53 qeqyxyp.com udp
US 8.8.8.8:53 puzywuq.com udp
US 8.8.8.8:53 gadyfob.com udp
US 8.8.8.8:53 lymyxex.com udp
US 8.8.8.8:53 qegyhev.com udp
US 8.8.8.8:53 volyquk.com udp
US 8.8.8.8:53 qedyfog.com udp
US 8.8.8.8:53 pumyxep.com udp
US 8.8.8.8:53 galyquw.com udp
US 8.8.8.8:53 lysyfin.com udp
US 8.8.8.8:53 vonyzac.com udp
US 8.8.8.8:53 qekyqyl.com udp
US 8.8.8.8:53 pupydig.com udp
US 8.8.8.8:53 ganyzas.com udp
US 8.8.8.8:53 lykymyr.com udp
US 8.8.8.8:53 vopydum.com udp
US 8.8.8.8:53 qebylov.com udp
US 8.8.8.8:53 pujymel.com udp
US 8.8.8.8:53 gatyduh.com udp
US 8.8.8.8:53 lyvylod.com udp
US 8.8.8.8:53 vojymet.com udp
US 8.8.8.8:53 qetysuq.com udp
US 8.8.8.8:53 puvyliv.com udp
US 8.8.8.8:53 gahynaz.com udp
US 8.8.8.8:53 lyrysyj.com udp
US 8.8.8.8:53 vocykif.com udp
US 8.8.8.8:53 qegynap.com udp
US 8.8.8.8:53 purypyq.com udp
US 8.8.8.8:53 gacykub.com udp
US 8.8.8.8:53 lygynox.com udp
US 8.8.8.8:53 vowypek.com udp
US 8.8.8.8:53 qexykug.com udp
US 8.8.8.8:53 pufybop.com udp
US 8.8.8.8:53 gaqypew.com udp
US 8.8.8.8:53 lyxyjun.com udp
US 8.8.8.8:53 vofybic.com udp
US 8.8.8.8:53 puzyjyg.com udp
US 8.8.8.8:53 gadyvis.com udp
US 8.8.8.8:53 lymytar.com udp
US 8.8.8.8:53 qedyvuv.com udp
US 8.8.8.8:53 volyjym.com udp
US 8.8.8.8:53 pumytol.com udp
US 8.8.8.8:53 galyheh.com udp
US 8.8.8.8:53 lysyvud.com udp
US 8.8.8.8:53 vonyrot.com udp
US 8.8.8.8:53 ganyriz.com udp
US 8.8.8.8:53 qekyheq.com udp
US 8.8.8.8:53 pupycuv.com udp
US 8.8.8.8:53 lykygaj.com udp
US 8.8.8.8:53 vopycyf.com udp
US 8.8.8.8:53 pujygaq.com udp
US 8.8.8.8:53 qebyrip.com udp
US 8.8.8.8:53 gatycyb.com udp
US 8.8.8.8:53 lyvywux.com udp
US 8.8.8.8:53 vojygok.com udp
US 8.8.8.8:53 qetyxeg.com udp
US 8.8.8.8:53 puvywup.com udp
US 8.8.8.8:53 lyryxen.com udp
US 8.8.8.8:53 vocyquc.com udp
US 8.8.8.8:53 qegyfil.com udp
US 8.8.8.8:53 puryxag.com udp
US 8.8.8.8:53 gacyqys.com udp
US 8.8.8.8:53 lygyfir.com udp
US 8.8.8.8:53 vowyzam.com udp
US 8.8.8.8:53 qexyqyv.com udp
US 8.8.8.8:53 pufydul.com udp
US 8.8.8.8:53 gaqyzoh.com udp
US 8.8.8.8:53 lyxymed.com udp
US 8.8.8.8:53 vofydut.com udp
US 8.8.8.8:53 qeqyloq.com udp
US 8.8.8.8:53 puzymev.com udp
US 8.8.8.8:53 gadyduz.com udp
US 8.8.8.8:53 lymylij.com udp
US 8.8.8.8:53 qeqytal.com udp
US 8.8.8.8:53 volymaf.com udp
US 8.8.8.8:53 qedysyp.com udp
US 8.8.8.8:53 pumyliq.com udp
US 8.8.8.8:53 galynab.com udp
US 8.8.8.8:53 lysysyx.com udp
US 8.8.8.8:53 vonykuk.com udp
US 8.8.8.8:53 qekynog.com udp
US 8.8.8.8:53 pupypep.com udp
US 8.8.8.8:53 ganykuw.com udp
US 8.8.8.8:53 lykynon.com udp
US 8.8.8.8:53 vopypec.com udp
US 8.8.8.8:53 qebykul.com udp
US 8.8.8.8:53 pujybig.com udp
US 8.8.8.8:53 gatypas.com udp
US 8.8.8.8:53 lyvyjyr.com udp
US 8.8.8.8:53 vojybim.com udp
US 8.8.8.8:53 qetytav.com udp
US 8.8.8.8:53 puvyjyl.com udp
US 8.8.8.8:53 gahyvuh.com udp
US 8.8.8.8:53 lyrytod.com udp
US 8.8.8.8:53 vocyjet.com udp
US 8.8.8.8:53 qegyvuq.com udp
US 8.8.8.8:53 purytov.com udp
US 8.8.8.8:53 gacyhez.com udp
US 8.8.8.8:53 lygyvuj.com udp
US 8.8.8.8:53 vowyrif.com udp
US 8.8.8.8:53 pufycyq.com udp
US 8.8.8.8:53 qexyhap.com udp
US 8.8.8.8:53 gaqyrib.com udp
US 8.8.8.8:53 lyxygax.com udp
US 8.8.8.8:53 vofycyk.com udp
US 8.8.8.8:53 puzygop.com udp
US 8.8.8.8:53 qeqyrug.com udp
US 8.8.8.8:53 gadycew.com udp
US 8.8.8.8:53 volygoc.com udp
US 8.8.8.8:53 lymywun.com udp
US 8.8.8.8:53 pumywug.com udp
US 8.8.8.8:53 qedyxel.com udp
US 8.8.8.8:53 lysyxar.com udp
US 8.8.8.8:53 vonyqym.com udp
US 8.8.8.8:53 qekyfiv.com udp
US 8.8.8.8:53 ganyqyh.com udp
US 8.8.8.8:53 pupyxal.com udp
US 8.8.8.8:53 vopyzot.com udp
US 8.8.8.8:53 pujyduv.com udp
US 8.8.8.8:53 qebyqeq.com udp
US 8.8.8.8:53 gatyzoz.com udp
US 8.8.8.8:53 lyvymej.com udp
US 8.8.8.8:53 qetylip.com udp
US 8.8.8.8:53 vojyduf.com udp
US 8.8.8.8:53 gahydyb.com udp
US 8.8.8.8:53 puvymaq.com udp
US 8.8.8.8:53 vocymak.com udp
US 8.8.8.8:53 lyrylix.com udp
US 8.8.8.8:53 qegysyg.com udp
US 8.8.8.8:53 purylup.com udp
US 8.8.8.8:53 lygysen.com udp
US 8.8.8.8:53 gacynow.com udp
US 8.8.8.8:53 qexynol.com udp
US 8.8.8.8:53 gaqykus.com udp
US 8.8.8.8:53 pufypeg.com udp
US 8.8.8.8:53 174.179.52.72.in-addr.arpa udp
US 8.8.8.8:53 lygyvuj.com udp
US 52.34.198.229:80 lygyvuj.com tcp
US 8.8.8.8:53 lyxynir.com udp
US 8.8.8.8:53 vofypam.com udp
US 8.8.8.8:53 qeqykyv.com udp
US 8.8.8.8:53 puzybil.com udp
US 8.8.8.8:53 gadypah.com udp
US 8.8.8.8:53 lymyjyd.com udp
US 8.8.8.8:53 volybut.com udp
US 8.8.8.8:53 qedytoq.com udp
US 8.8.8.8:53 pumyjev.com udp
US 8.8.8.8:53 galyvuz.com udp
US 8.8.8.8:53 lysytoj.com udp
US 8.8.8.8:53 vonyjef.com udp
US 8.8.8.8:53 qekyvup.com udp
US 8.8.8.8:53 pupytiq.com udp
US 8.8.8.8:53 ganyhab.com udp
US 8.8.8.8:53 lykyvyx.com udp
US 8.8.8.8:53 vopyrik.com udp
US 8.8.8.8:53 qebyhag.com udp
US 8.8.8.8:53 pujycyp.com udp
US 8.8.8.8:53 gatyruw.com udp
US 8.8.8.8:53 lyvygon.com udp
US 8.8.8.8:53 vojycec.com udp
US 8.8.8.8:53 qetyrul.com udp
US 8.8.8.8:53 puvygog.com udp
US 8.8.8.8:53 lyrywur.com udp
US 8.8.8.8:53 vocygim.com udp
US 8.8.8.8:53 qegyxav.com udp
US 8.8.8.8:53 purywyl.com udp
US 8.8.8.8:53 gahyces.com udp
US 8.8.8.8:53 gacyfih.com udp
US 8.8.8.8:53 lygyxad.com udp
US 8.8.8.8:53 vowyqyt.com udp
US 8.8.8.8:53 qexyfuq.com udp
US 8.8.8.8:53 pufyxov.com udp
US 8.8.8.8:53 gaqyqez.com udp
US 8.8.8.8:53 lyxyfuj.com udp
US 8.8.8.8:53 vofyzof.com udp
US 8.8.8.8:53 puzyduq.com udp
US 8.8.8.8:53 gadyzib.com udp
US 8.8.8.8:53 lymymax.com udp
US 8.8.8.8:53 qedylig.com udp
US 8.8.8.8:53 pumymap.com udp
US 8.8.8.8:53 galydyw.com udp
US 8.8.8.8:53 lysylun.com udp
US 8.8.8.8:53 vonymoc.com udp
US 8.8.8.8:53 qekysel.com udp
US 8.8.8.8:53 ganynos.com udp
US 8.8.8.8:53 vopykum.com udp
US 8.8.8.8:53 lykyser.com udp
US 8.8.8.8:53 qebyniv.com udp
US 8.8.8.8:53 pujypal.com udp
US 8.8.8.8:53 gatykyh.com udp
US 8.8.8.8:53 lyvynid.com udp
US 8.8.8.8:53 qetykyq.com udp
US 8.8.8.8:53 vojypat.com udp
US 8.8.8.8:53 gahypoz.com udp
US 8.8.8.8:53 puvybuv.com udp
US 8.8.8.8:53 vocybuf.com udp
US 8.8.8.8:53 lyryjej.com udp
US 8.8.8.8:53 puryjeq.com udp
US 8.8.8.8:53 qegytop.com udp
US 8.8.8.8:53 qeqyqep.com udp
US 8.8.8.8:53 gacyvub.com udp
US 8.8.8.8:53 lygytix.com udp
US 8.8.8.8:53 vowyjak.com udp
US 8.8.8.8:53 qexyvyg.com udp
US 8.8.8.8:53 pufytip.com udp
US 8.8.8.8:53 gaqyhaw.com udp
US 8.8.8.8:53 lyxyvyn.com udp
US 8.8.8.8:53 vofyruc.com udp
US 8.8.8.8:53 qeqyhol.com udp
US 8.8.8.8:53 puzyceg.com udp
US 8.8.8.8:53 gadyrus.com udp
US 8.8.8.8:53 lymygor.com udp
US 8.8.8.8:53 volycem.com udp
US 8.8.8.8:53 qedyruv.com udp
US 8.8.8.8:53 pumygil.com udp
US 8.8.8.8:53 galycah.com udp
US 8.8.8.8:53 lysywyd.com udp
US 8.8.8.8:53 vonygit.com udp
US 8.8.8.8:53 qekyxaq.com udp
US 8.8.8.8:53 pupywyv.com udp
US 8.8.8.8:53 ganyfuz.com udp
US 8.8.8.8:53 lykyxoj.com udp
US 8.8.8.8:53 vopyqef.com udp
US 8.8.8.8:53 qebyfup.com udp
US 8.8.8.8:53 pujyxoq.com udp
US 8.8.8.8:53 gatyqeb.com udp
US 8.8.8.8:53 lyvyfux.com udp
US 8.8.8.8:53 qetyqag.com udp
US 8.8.8.8:53 vojyzik.com udp
US 8.8.8.8:53 puvydyp.com udp
US 8.8.8.8:53 gahyziw.com udp
US 8.8.8.8:53 lyryman.com udp
US 8.8.8.8:53 vocydyc.com udp
US 8.8.8.8:53 qegylul.com udp
US 8.8.8.8:53 purymog.com udp
US 8.8.8.8:53 lygylur.com udp
US 8.8.8.8:53 gacydes.com udp
US 8.8.8.8:53 vowymom.com udp
US 8.8.8.8:53 qexysev.com udp
US 8.8.8.8:53 pufylul.com udp
US 8.8.8.8:53 gaqynih.com udp
US 8.8.8.8:53 lyxysad.com udp
US 8.8.8.8:53 vofykyt.com udp
US 8.8.8.8:53 qeqyniq.com udp
US 8.8.8.8:53 gadykyz.com udp
US 8.8.8.8:53 lymynuj.com udp
US 8.8.8.8:53 volypof.com udp
US 8.8.8.8:53 qedykep.com udp
US 8.8.8.8:53 pumybuq.com udp
US 8.8.8.8:53 galypob.com udp
US 8.8.8.8:53 lysyjex.com udp
US 8.8.8.8:53 vonybuk.com udp
US 8.8.8.8:53 qekytig.com udp
US 8.8.8.8:53 pupyjap.com udp
US 8.8.8.8:53 ganyvyw.com udp
US 8.8.8.8:53 lykytin.com udp
US 8.8.8.8:53 pujytug.com udp
US 8.8.8.8:53 qebyvyl.com udp
US 8.8.8.8:53 gatyhos.com udp
US 8.8.8.8:53 vojyrum.com udp
US 8.8.8.8:53 lyvyver.com udp
US 8.8.8.8:53 qetyhov.com udp
US 8.8.8.8:53 puvycel.com udp
US 8.8.8.8:53 gahyruh.com udp
US 8.8.8.8:53 lyrygid.com udp
US 8.8.8.8:53 vocycat.com udp
US 8.8.8.8:53 qegyryq.com udp
US 8.8.8.8:53 purygiv.com udp
US 8.8.8.8:53 gacycaz.com udp
US 8.8.8.8:53 lygywyj.com udp
US 8.8.8.8:53 vowyguf.com udp
US 8.8.8.8:53 qexyxop.com udp
US 8.8.8.8:53 pufyweq.com udp
US 8.8.8.8:53 gaqyfub.com udp
US 8.8.8.8:53 lyxyxox.com udp
US 8.8.8.8:53 qeqyfug.com udp
US 8.8.8.8:53 puzyxip.com udp
US 8.8.8.8:53 gadyqaw.com udp
US 8.8.8.8:53 lymyfyn.com udp
US 8.8.8.8:53 volyzic.com udp
US 8.8.8.8:53 qedyqal.com udp
US 8.8.8.8:53 pumydyg.com udp
US 8.8.8.8:53 galyzus.com udp
US 8.8.8.8:53 lysymor.com udp
US 8.8.8.8:53 vonydem.com udp
US 8.8.8.8:53 qekyluv.com udp
US 8.8.8.8:53 pupymol.com udp
US 8.8.8.8:53 qebysaq.com udp
US 8.8.8.8:53 vopymit.com udp
US 8.8.8.8:53 pujylyv.com udp
US 8.8.8.8:53 lykylud.com udp
US 8.8.8.8:53 lyvysaj.com udp
US 8.8.8.8:53 qetynup.com udp
US 8.8.8.8:53 vojykyf.com udp
US 8.8.8.8:53 puvypoq.com udp
US 8.8.8.8:53 gahykeb.com udp
US 8.8.8.8:53 vocypok.com udp
US 8.8.8.8:53 lyrynux.com udp
US 8.8.8.8:53 qegykeg.com udp
US 8.8.8.8:53 lygyjan.com udp
US 8.8.8.8:53 qexytil.com udp
US 8.8.8.8:53 vowybyc.com udp
US 8.8.8.8:53 gaqyvys.com udp
US 8.8.8.8:53 pufyjag.com udp
US 8.8.8.8:53 vofyjom.com udp
US 8.8.8.8:53 lyxytur.com udp
US 8.8.8.8:53 puzytul.com udp
US 8.8.8.8:53 qeqyvev.com udp
US 8.8.8.8:53 lymyved.com udp
US 8.8.8.8:53 gadyhoh.com udp
US 8.8.8.8:53 qedyhiq.com udp
US 8.8.8.8:53 volyrut.com udp
US 8.8.8.8:53 galyryz.com udp
US 8.8.8.8:53 pumycav.com udp
US 8.8.8.8:53 lysygij.com udp
US 8.8.8.8:53 vonycaf.com udp
US 8.8.8.8:53 qekyryp.com udp
US 8.8.8.8:53 ganycob.com udp
US 8.8.8.8:53 lykywex.com udp
US 8.8.8.8:53 vopyguk.com udp
US 8.8.8.8:53 229.198.34.52.in-addr.arpa udp
US 8.8.8.8:53 qebyxog.com udp
US 8.8.8.8:53 pujywep.com udp
US 8.8.8.8:53 gatyfuw.com udp
US 8.8.8.8:53 lyvyxin.com udp
US 8.8.8.8:53 vojyqac.com udp
US 8.8.8.8:53 qetyfyl.com udp
US 8.8.8.8:53 puvyxig.com udp
US 8.8.8.8:53 lyryfyr.com udp
US 8.8.8.8:53 vocyzum.com udp
US 8.8.8.8:53 qegyqov.com udp
US 8.8.8.8:53 purydel.com udp
US 8.8.8.8:53 gacyzuh.com udp
US 8.8.8.8:53 lygymod.com udp
US 8.8.8.8:53 vowydet.com udp
US 8.8.8.8:53 pufymiv.com udp
US 8.8.8.8:53 gaqydaz.com udp
US 8.8.8.8:53 lyxylyj.com udp
US 8.8.8.8:53 vofymif.com udp
US 8.8.8.8:53 qeqysap.com udp
US 8.8.8.8:53 puzylyq.com udp
US 8.8.8.8:53 gadynub.com udp
US 8.8.8.8:53 lymysox.com udp
US 8.8.8.8:53 volykek.com udp
US 8.8.8.8:53 qedynug.com udp
US 8.8.8.8:53 pumypop.com udp
US 8.8.8.8:53 galykew.com udp
US 8.8.8.8:53 lysynun.com udp
US 8.8.8.8:53 vonypic.com udp
US 8.8.8.8:53 qekykal.com udp
US 8.8.8.8:53 pupybyg.com udp
US 8.8.8.8:53 lykyjar.com udp
US 8.8.8.8:53 qebytuv.com udp
US 8.8.8.8:53 vopybym.com udp
US 8.8.8.8:53 gatyveh.com udp
US 8.8.8.8:53 pujyjol.com udp
US 8.8.8.8:53 lyvytud.com udp
US 8.8.8.8:53 vojyjot.com udp
US 8.8.8.8:53 qetyveq.com udp
US 8.8.8.8:53 puvytuv.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 8.8.8.8:53 vocyryf.com udp
US 8.8.8.8:53 lyryvaj.com udp
US 8.8.8.8:53 qegyhip.com udp
US 8.8.8.8:53 purycaq.com udp
US 8.8.8.8:53 lygygux.com udp
US 8.8.8.8:53 gacyryb.com udp
US 8.8.8.8:53 qexyreg.com udp
US 8.8.8.8:53 vowycok.com udp
US 8.8.8.8:53 gaqycow.com udp
US 8.8.8.8:53 lyxywen.com udp
US 8.8.8.8:53 vofyguc.com udp
US 8.8.8.8:53 pufygup.com udp
US 8.8.8.8:53 qeqyxil.com udp
US 8.8.8.8:53 puzywag.com udp
US 8.8.8.8:53 gadyfys.com udp
US 8.8.8.8:53 lymyxir.com udp
US 8.8.8.8:53 volyqam.com udp
US 8.8.8.8:53 qedyfyv.com udp
US 8.8.8.8:53 pumyxul.com udp
US 8.8.8.8:53 galyqoh.com udp
US 8.8.8.8:53 lysyfed.com udp
US 8.8.8.8:53 gahyhiz.com udp
US 44.221.84.105:80 gahyhiz.com tcp
US 8.8.8.8:53 vonyzut.com udp
US 8.8.8.8:53 qekyqoq.com udp
US 8.8.8.8:53 pupydev.com udp
US 8.8.8.8:53 ganyzuz.com udp
US 8.8.8.8:53 lykymij.com udp
US 8.8.8.8:53 vopydaf.com udp
US 8.8.8.8:53 qebylyp.com udp
US 8.8.8.8:53 pujymiq.com udp
US 8.8.8.8:53 gatydab.com udp
US 8.8.8.8:53 lyvylyx.com udp
US 8.8.8.8:53 qetysog.com udp
US 8.8.8.8:53 puvylep.com udp
US 8.8.8.8:53 lyryson.com udp
US 8.8.8.8:53 vocykec.com udp
US 8.8.8.8:53 qegynul.com udp
US 8.8.8.8:53 purypig.com udp
US 8.8.8.8:53 gacykas.com udp
US 8.8.8.8:53 lygynyr.com udp
US 8.8.8.8:53 vowypim.com udp
US 8.8.8.8:53 qexykav.com udp
US 8.8.8.8:53 pufybyl.com udp
US 8.8.8.8:53 gaqypuh.com udp
US 8.8.8.8:53 lyxyjod.com udp
US 8.8.8.8:53 vofybet.com udp
US 8.8.8.8:53 qeqytuq.com udp
US 8.8.8.8:53 puzyjov.com udp
US 8.8.8.8:53 gadyvez.com udp
US 8.8.8.8:53 lymytuj.com udp
US 8.8.8.8:53 qedyvap.com udp
US 8.8.8.8:53 pumytyq.com udp
US 8.8.8.8:53 galyhib.com udp
US 8.8.8.8:53 lysyvax.com udp
US 8.8.8.8:53 vonyryk.com udp
US 8.8.8.8:53 qekyhug.com udp
US 8.8.8.8:53 pupycop.com udp
US 8.8.8.8:53 ganyrew.com udp
US 8.8.8.8:53 lykygun.com udp
US 8.8.8.8:53 vopycoc.com udp
US 8.8.8.8:53 qebyrel.com udp
US 8.8.8.8:53 pujygug.com udp
US 8.8.8.8:53 gatycis.com udp
US 8.8.8.8:53 lyvywar.com udp
US 8.8.8.8:53 vojygym.com udp
US 8.8.8.8:53 qetyxiv.com udp
US 8.8.8.8:53 puvywal.com udp
US 8.8.8.8:53 gahyfyh.com udp
US 8.8.8.8:53 lyryxud.com udp
US 8.8.8.8:53 vocyqot.com udp
US 8.8.8.8:53 qegyfeq.com udp
US 8.8.8.8:53 puryxuv.com udp
US 8.8.8.8:53 gacyqoz.com udp
US 8.8.8.8:53 lygyfej.com udp
US 8.8.8.8:53 vowyzuf.com udp
US 8.8.8.8:53 qexyqip.com udp
US 8.8.8.8:53 pufydaq.com udp
US 8.8.8.8:53 gaqyzyb.com udp
US 8.8.8.8:53 lyxymix.com udp
US 8.8.8.8:53 qeqylyg.com udp
US 8.8.8.8:53 vofydak.com udp
US 8.8.8.8:53 puzymup.com udp
US 8.8.8.8:53 gadydow.com udp
US 8.8.8.8:53 lymylen.com udp
US 8.8.8.8:53 volymuc.com udp
US 8.8.8.8:53 qedysol.com udp
US 8.8.8.8:53 pumyleg.com udp
US 8.8.8.8:53 galynus.com udp
US 8.8.8.8:53 lysysir.com udp
US 8.8.8.8:53 vonykam.com udp
US 8.8.8.8:53 pupypil.com udp
US 8.8.8.8:53 lykynyd.com udp
US 8.8.8.8:53 vopyput.com udp
US 8.8.8.8:53 qebykoq.com udp
US 8.8.8.8:53 pujybev.com udp
US 8.8.8.8:53 gatypuz.com udp
US 8.8.8.8:53 lyvyjoj.com udp
US 8.8.8.8:53 vojybef.com udp
US 8.8.8.8:53 qetytup.com udp
US 8.8.8.8:53 gahyvab.com udp
US 8.8.8.8:53 lyrytyx.com udp
US 8.8.8.8:53 vocyjik.com udp
US 8.8.8.8:53 qegyvag.com udp
US 8.8.8.8:53 purytyp.com udp
US 8.8.8.8:53 gacyhuw.com udp
US 8.8.8.8:53 lygyvon.com udp
US 8.8.8.8:53 vowyrec.com udp
US 8.8.8.8:53 qexyhul.com udp
US 8.8.8.8:53 pufycog.com udp
US 8.8.8.8:53 gaqyres.com udp
US 8.8.8.8:53 lyxygur.com udp
US 8.8.8.8:53 vofycim.com udp
US 8.8.8.8:53 qeqyrav.com udp
US 8.8.8.8:53 puzygyl.com udp
US 8.8.8.8:53 gadycih.com udp
US 8.8.8.8:53 volygyt.com udp
US 8.8.8.8:53 qedyxuq.com udp
US 8.8.8.8:53 galyfez.com udp
US 8.8.8.8:53 lysyxuj.com udp
US 8.8.8.8:53 vonyqof.com udp
US 8.8.8.8:53 pupyxuq.com udp
US 8.8.8.8:53 qekyfep.com udp
US 8.8.8.8:53 ganyqib.com udp
US 8.8.8.8:53 lykyfax.com udp
US 8.8.8.8:53 vopyzyk.com udp
US 8.8.8.8:53 pujydap.com udp
US 8.8.8.8:53 gatyzyw.com udp
US 8.8.8.8:53 lyvymun.com udp
US 8.8.8.8:53 vojydoc.com udp
US 8.8.8.8:53 qetylel.com udp
US 8.8.8.8:53 lyryler.com udp
US 8.8.8.8:53 qegysiv.com udp
US 8.8.8.8:53 vocymum.com udp
US 8.8.8.8:53 purylal.com udp
US 8.8.8.8:53 gacynyh.com udp
US 8.8.8.8:53 vowykat.com udp
US 8.8.8.8:53 lygysid.com udp
US 8.8.8.8:53 qexynyq.com udp
US 8.8.8.8:53 pufypuv.com udp
US 8.8.8.8:53 gaqykoz.com udp
US 8.8.8.8:53 lyxynej.com udp
US 8.8.8.8:53 qeqykop.com udp
US 8.8.8.8:53 puzybeq.com udp
US 8.8.8.8:53 gadypub.com udp
US 8.8.8.8:53 lymyjix.com udp
US 8.8.8.8:53 volybak.com udp
US 8.8.8.8:53 qedytyg.com udp
US 8.8.8.8:53 pumyjip.com udp
US 8.8.8.8:53 galyvaw.com udp
US 8.8.8.8:53 lysytyn.com udp
US 8.8.8.8:53 vonyjuc.com udp
US 8.8.8.8:53 qekyvol.com udp
US 8.8.8.8:53 pupyteg.com udp
US 8.8.8.8:53 ganyhus.com udp
US 8.8.8.8:53 lykyvor.com udp
US 8.8.8.8:53 vopyrem.com udp
US 8.8.8.8:53 qebyhuv.com udp
US 8.8.8.8:53 pujycil.com udp
US 8.8.8.8:53 gatyrah.com udp
US 8.8.8.8:53 lyvygyd.com udp

Files

memory/3996-0-0x0000000000550000-0x0000000000553000-memory.dmp

memory/3996-1-0x0000000000400000-0x000000000045F000-memory.dmp

C:\Windows\apppatch\svchost.exe

MD5 d2f79865cc0e231d2980b4feec547e62
SHA1 411cd1ad6f3fbfac09d24564da3e45c43119b879
SHA256 07ae9750b85279b870e5a064bcf20b5ed1e3733c71d4dfcea72b357abaec197c
SHA512 751eb9a05d5ff6a66d06ae9c6785479e036c2626d874d519cc90141c73f91b8e9945c5189539d4f6e662f59254199a7c96b3a5a071cf2b2da326e248de8cf4eb

memory/3996-10-0x0000000000400000-0x0000000000467000-memory.dmp

memory/3996-12-0x0000000000550000-0x0000000000553000-memory.dmp

memory/3996-13-0x0000000000400000-0x000000000045F000-memory.dmp

memory/372-14-0x0000000000400000-0x0000000000467000-memory.dmp

memory/372-15-0x0000000000400000-0x0000000000467000-memory.dmp

memory/372-16-0x0000000002750000-0x00000000027F8000-memory.dmp

memory/372-17-0x0000000000400000-0x0000000000467000-memory.dmp

memory/372-18-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-22-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-20-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-25-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-79-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-78-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-77-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-76-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-75-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-74-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-73-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-72-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-71-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-70-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-69-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-67-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-66-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-64-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-63-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-61-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-60-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-59-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-58-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-57-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-56-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-55-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-54-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-53-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-52-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-51-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-50-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-48-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-47-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-46-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-45-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-44-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-43-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-42-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-41-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-40-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-39-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-38-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-37-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-36-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-35-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-33-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-32-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-31-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-30-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-29-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-28-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-26-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-68-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-65-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-62-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-49-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-34-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-27-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-24-0x0000000002B40000-0x0000000002BF6000-memory.dmp

memory/372-23-0x0000000002B40000-0x0000000002BF6000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\7E9D.tmp

MD5 2605ddbc93eb031c3e32d3962ccadf74
SHA1 f635c736145f40aa25dfda09b0c6f1c68a931883
SHA256 5c4b5ab852b22e15b8662dbc189c985c0db97c21bbc9c5592c8a388993513dba
SHA512 d2257b6357f487492648ffe859e50dbb294e2e2980d1f448630611dfef35a5107254850e1ceadde0a981db5271b5772728d883fc2b8255276dd4853a903d989f

C:\Users\Admin\AppData\Local\Temp\7EAF.tmp

MD5 577b395c3a48feca9132198ac8fa4377
SHA1 7885b49a2e28503b672c2836bf4cc01272fb9a99
SHA256 0513cfee1f753ef7b44a9b55559ef97dd5838e84ec7c3618447ff0065422df90
SHA512 7209afa3ee4c37a79d444ebb5a4d358ecf04c87f87e1cfd17ac8e3f24b87113dc80b5188cee6342c910dc3a085cf3c9256d4573bbbe6008076eec63e1d9196d9

C:\Users\Admin\AppData\Local\Temp\3C7B.tmp

MD5 926512864979bc27cf187f1de3f57aff
SHA1 acdeb9d6187932613c7fa08eaf28f0cd8116f4b5
SHA256 b3e893a653ec06c05ee90f2f6e98cc052a92f6616d7cca8c416420e178dcc73f
SHA512 f6f9fd3ca9305bec879cfcd38e64111a18e65e30d25c49e9f2cd546cbab9b2dcd03eca81952f6b77c0eaab20192ef7bef0d8d434f6f371811929e75f8620633b

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-05 16:39

Reported

2024-11-05 16:41

Platform

win7-20241023-en

Max time kernel

118s

Max time network

119s

Command Line

"C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe"

Signatures

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\apppatch\\svchost.exe," C:\Windows\apppatch\svchost.exe N/A

Simda family

simda

simda

stealer trojan simda

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Modifies WinLogon

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\1f291d5 = "OÝp\n\u0090´L\u009dÄ¥[«)z\b-\\”XÕÙ\x13 N\x1a\\ŸÃ”ïÿž\x17ê|{V3\x01ê!‰\r:ƒé³XL:›’@Øå¯\x17}\n\":%ŒM´\x1eJ‹\x11û’ð‰,ì\nƒ\u0081M/›÷-CÁõ5\x1b³—@ð÷.#é¶§ÁÈ\x04ÍaZÖ\x1eY\x05±½B£ÿ#n\bO\ríg\x1f›ÂB‘¬’1±Š6Ä¢\x18ŠýUã-É‚¦æ\x1b!ì\x1eîÎr¦ê\\ƒ½S\r\x12]§çwS\x1e|" C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\1f291d5 = "OÝp\n\u0090´L\u009dÄ¥[«)z\b-\\”XÕÙ\x13 N\x1a\\ŸÃ”ïÿž\x17ê|{V3\x01ê!‰\r:ƒé³XL:›’@Øå¯\x17}\n\":%ŒM´\x1eJ‹\x11û’ð‰,ì\nƒ\u0081M/›÷-CÁõ5\x1b³—@ð÷.#é¶§ÁÈ\x04ÍaZÖ\x1eY\x05±½B£ÿ#n\bO\ríg\x1f›ÂB‘¬’1±Š6Ä¢\x18ŠýUã-É‚¦æ\x1b!ì\x1eîÎr¦ê\\ƒ½S\r\x12]§çwS\x1e|" C:\Windows\apppatch\svchost.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
File opened for modification C:\Windows\apppatch\svchost.exe C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A
N/A N/A C:\Windows\apppatch\svchost.exe N/A

Suspicious behavior: RenamesItself

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe

"C:\Users\Admin\AppData\Local\Temp\397527e1590046b533dd6a1080c01d273b5dc6393cec20df1b3d6da2ad8c1340N.exe"

C:\Windows\apppatch\svchost.exe

"C:\Windows\apppatch\svchost.exe"

Network

Country Destination Domain Proto
GB 92.123.128.167:80 www.bing.com tcp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 puvyxil.com udp
US 8.8.8.8:53 lyryfyd.com udp
US 8.8.8.8:53 qegyqaq.com udp
US 8.8.8.8:53 gacyzuz.com udp
US 8.8.8.8:53 lyvytuj.com udp
US 8.8.8.8:53 qetyvep.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 vowydef.com udp
US 8.8.8.8:53 pufymoq.com udp
US 8.8.8.8:53 lyxylux.com udp
US 8.8.8.8:53 qeqysag.com udp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 volykyc.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 pumypog.com udp
US 8.8.8.8:53 lysynur.com udp
US 8.8.8.8:53 qekykev.com udp
US 8.8.8.8:53 gahyhob.com udp
US 8.8.8.8:53 ganypih.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 vopybyt.com udp
US 8.8.8.8:53 pujyjav.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 purydyv.com udp
US 8.8.8.8:53 vocyruk.com udp
US 8.8.8.8:53 purycap.com udp
US 8.8.8.8:53 lygygin.com udp
US 8.8.8.8:53 qexyryl.com udp
US 8.8.8.8:53 gaqycos.com udp
US 8.8.8.8:53 vofygum.com udp
US 8.8.8.8:53 puzywel.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 qedyfyq.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 vonyzuf.com udp
US 8.8.8.8:53 lygymoj.com udp
US 8.8.8.8:53 qexylup.com udp
US 8.8.8.8:53 gaqydeb.com udp
US 8.8.8.8:53 vofymik.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 lymysan.com udp
US 8.8.8.8:53 qedynul.com udp
US 8.8.8.8:53 galykes.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 pupybul.com udp
US 8.8.8.8:53 lykyjad.com udp
US 8.8.8.8:53 qebytiq.com udp
US 8.8.8.8:53 gatyvyz.com udp
US 8.8.8.8:53 vojyjof.com udp
US 8.8.8.8:53 puvytuq.com udp
US 8.8.8.8:53 lyryvex.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 gacyryw.com udp
US 8.8.8.8:53 vowycac.com udp
US 8.8.8.8:53 pufygug.com udp
US 8.8.8.8:53 lyxywer.com udp
US 8.8.8.8:53 qeqyxov.com udp
US 8.8.8.8:53 gadyfuh.com udp
US 8.8.8.8:53 volyqat.com udp
US 8.8.8.8:53 pumyxiv.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 8.8.8.8:53 qekyqop.com udp
US 8.8.8.8:53 vojyqem.com udp
US 8.8.8.8:53 lyvyxor.com udp
US 8.8.8.8:53 gatyfus.com udp
US 8.8.8.8:53 qetyfuv.com udp
US 8.8.8.8:53 lymyxid.com udp
US 8.8.8.8:53 gahyqah.com udp
US 8.8.8.8:53 vocyzit.com udp
US 8.8.8.8:53 qegyhig.com udp
US 8.8.8.8:53 galyqaz.com udp
US 8.8.8.8:53 puzylyp.com udp
US 8.8.8.8:53 vonypom.com udp
US 8.8.8.8:53 lysyfyj.com udp
US 3.94.10.34:80 lymyxid.com tcp
US 199.191.50.83:80 galyqaz.com tcp
DE 178.162.203.211:80 gatyfus.com tcp
US 208.100.26.245:80 lyvyxor.com tcp
US 69.162.80.61:80 lysyfyj.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 104.21.30.183:80 qegyhig.com tcp
US 172.234.222.138:80 vojyqem.com tcp
US 18.208.156.248:80 vonypom.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 44.221.84.105:80 vocyzit.com tcp
US 104.21.30.183:443 qegyhig.com tcp
US 99.83.170.3:80 puzylyp.com tcp
US 23.253.46.64:80 gahyqah.com tcp
US 172.234.222.138:80 vojyqem.com tcp
US 8.8.8.8:53 ww8.galyqaz.com udp
US 8.8.8.8:53 c.pki.goog udp
US 198.58.118.167:80 ww8.galyqaz.com tcp
GB 216.58.212.227:80 c.pki.goog tcp
US 8.8.8.8:53 gadyniw.com udp
US 8.8.8.8:53 ww6.galyqaz.com udp
US 199.59.243.227:80 ww6.galyqaz.com tcp
US 104.21.30.183:443 qegyhig.com tcp
HK 154.212.231.82:80 gadyniw.com tcp
DE 178.162.203.211:80 gatyfus.com tcp
DE 178.162.217.107:80 gatyfus.com tcp
NL 85.17.31.122:80 gatyfus.com tcp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 ganyzub.com udp
US 8.8.8.8:53 vopydek.com udp
US 8.8.8.8:53 pujymip.com udp
US 8.8.8.8:53 lyvylyn.com udp
US 8.8.8.8:53 qetysal.com udp
US 8.8.8.8:53 vocykem.com udp
US 8.8.8.8:53 purypol.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 qexykaq.com udp
US 8.8.8.8:53 lykymox.com udp
US 8.8.8.8:53 gaqypiz.com udp
US 8.8.8.8:53 puzyjoq.com udp
US 8.8.8.8:53 lymytux.com udp
US 8.8.8.8:53 qedyveg.com udp
US 8.8.8.8:53 galyhiw.com udp
US 8.8.8.8:53 vonyryc.com udp
US 8.8.8.8:53 pupycag.com udp
US 8.8.8.8:53 lykygur.com udp
US 8.8.8.8:53 qebyrev.com udp
US 8.8.8.8:53 gahynus.com udp
US 8.8.8.8:53 gatycoh.com udp
US 8.8.8.8:53 vojygut.com udp
US 8.8.8.8:53 puvywav.com udp
US 8.8.8.8:53 lyryxij.com udp
US 8.8.8.8:53 qegyfyp.com udp
US 8.8.8.8:53 gacyqob.com udp
US 8.8.8.8:53 vowyzuk.com udp
US 8.8.8.8:53 pufydep.com udp
US 8.8.8.8:53 lyxymin.com udp
US 8.8.8.8:53 qeqylyl.com udp
US 8.8.8.8:53 gadydas.com udp
US 8.8.8.8:53 volymum.com udp
US 8.8.8.8:53 qebylug.com udp
US 8.8.8.8:53 gatydaw.com udp
US 8.8.8.8:53 vojymic.com udp
US 8.8.8.8:53 puvylyg.com udp
US 8.8.8.8:53 lyrysor.com udp
US 8.8.8.8:53 qegynuv.com udp
US 8.8.8.8:53 gacykeh.com udp
US 8.8.8.8:53 vowypit.com udp
US 8.8.8.8:53 pufybyv.com udp
US 8.8.8.8:53 lyxyjaj.com udp
US 8.8.8.8:53 qeqytup.com udp
US 8.8.8.8:53 gadyveb.com udp
US 8.8.8.8:53 volyjok.com udp
US 8.8.8.8:53 pumytup.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 qekyhil.com udp
US 8.8.8.8:53 ganyrys.com udp
US 8.8.8.8:53 vopycom.com udp
US 8.8.8.8:53 pujygul.com udp
US 8.8.8.8:53 lyvywed.com udp
US 8.8.8.8:53 qetyxiq.com udp
US 8.8.8.8:53 vocyqaf.com udp
US 8.8.8.8:53 gahyfyz.com udp
US 8.8.8.8:53 lygyfex.com udp
US 8.8.8.8:53 puryxuq.com udp
US 8.8.8.8:53 qexyqog.com udp
US 8.8.8.8:53 vofydac.com udp
US 8.8.8.8:53 gaqyzuw.com udp
US 8.8.8.8:53 puzymig.com udp
US 8.8.8.8:53 lymylyr.com udp
US 8.8.8.8:53 pupydeq.com udp
US 8.8.8.8:53 lygynud.com udp
US 8.8.8.8:53 lysyvan.com udp
US 8.8.8.8:53 lyrysor.com udp
US 76.223.54.146:80 pupydeq.com tcp
US 107.178.223.183:80 lygynud.com tcp
US 172.67.136.136:80 lysyvan.com tcp
US 8.8.8.8:53 pupycag.com udp
US 18.208.156.248:80 pupycag.com tcp
CN 103.150.10.48:80 lyrysor.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 172.67.136.136:443 lysyvan.com tcp
US 76.223.54.146:80 pupydeq.com tcp
CN 103.150.10.48:80 lyrysor.com tcp
US 8.8.8.8:53 pumylel.com udp
US 8.8.8.8:53 lysysod.com udp
US 8.8.8.8:53 qekynuq.com udp
US 8.8.8.8:53 ganykaz.com udp
US 8.8.8.8:53 vopypif.com udp
US 8.8.8.8:53 pujybyq.com udp
US 8.8.8.8:53 lyvyjox.com udp
US 8.8.8.8:53 gahyvew.com udp
US 8.8.8.8:53 qetytug.com udp
US 8.8.8.8:53 vocyjic.com udp
US 8.8.8.8:53 qedysov.com udp
US 8.8.8.8:53 purytyg.com udp
US 8.8.8.8:53 lygyvar.com udp
US 8.8.8.8:53 pupyxup.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 8.8.8.8:53 gaqyreh.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 puzyguv.com udp
US 8.8.8.8:53 lymywaj.com udp
US 8.8.8.8:53 qedyxip.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 vonyket.com udp
US 8.8.8.8:53 pupypiv.com udp
US 8.8.8.8:53 lykynyj.com udp
US 8.8.8.8:53 qebykap.com udp
US 8.8.8.8:53 gatypub.com udp
US 8.8.8.8:53 vojybek.com udp
US 8.8.8.8:53 puvyjop.com udp
US 8.8.8.8:53 lyrytun.com udp
US 8.8.8.8:53 qegyval.com udp
US 8.8.8.8:53 gacyhis.com udp
US 8.8.8.8:53 lykyfen.com udp
US 8.8.8.8:53 qebyqil.com udp
US 8.8.8.8:53 vowyrym.com udp
US 8.8.8.8:53 gatyzys.com udp
US 8.8.8.8:53 pufycol.com udp
US 8.8.8.8:53 lyxygud.com udp
US 8.8.8.8:53 galyfyb.com udp
US 8.8.8.8:53 qeqyreq.com udp
US 8.8.8.8:53 vojydam.com udp
US 8.8.8.8:53 gadyciz.com udp
US 8.8.8.8:53 puvymul.com udp
US 8.8.8.8:53 volygyf.com udp
US 8.8.8.8:53 lyryled.com udp
US 8.8.8.8:53 pumywaq.com udp
US 8.8.8.8:53 qegysoq.com udp
US 8.8.8.8:53 lysyxux.com udp
US 8.8.8.8:53 gacynuz.com udp
US 8.8.8.8:53 qekyfeg.com udp
US 8.8.8.8:53 vowykaf.com udp
US 8.8.8.8:53 pufypiq.com udp
US 8.8.8.8:53 ganyqow.com udp
US 8.8.8.8:53 vopyzuc.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 pujydag.com udp
US 8.8.8.8:53 vonyqok.com udp
US 8.8.8.8:53 lyvymir.com udp
US 8.8.8.8:53 qetylyv.com udp
US 8.8.8.8:53 gahydoh.com udp
US 8.8.8.8:53 vocymut.com udp
US 8.8.8.8:53 lygysij.com udp
US 8.8.8.8:53 qexynyp.com udp
US 8.8.8.8:53 purylev.com udp
US 8.8.8.8:53 gaqykab.com udp
US 8.8.8.8:53 lyxynyx.com udp
US 8.8.8.8:53 galynuh.com udp
US 8.8.8.8:53 vofycot.com udp
US 8.8.8.8:53 qexyhuv.com udp
US 103.224.212.210:80 lyxynyx.com tcp
US 64.225.91.73:80 galynuh.com tcp
US 8.8.8.8:53 gadyciz.com udp
US 103.224.182.252:80 vofycot.com tcp
US 13.248.213.45:80 qexyhuv.com tcp
US 8.8.8.8:53 qegyval.com udp
US 44.221.84.105:80 gadyciz.com tcp
HK 154.85.183.50:80 qegyval.com tcp
US 8.8.8.8:53 ww25.lyxynyx.com udp
US 199.59.243.227:80 ww25.lyxynyx.com tcp
US 8.8.8.8:53 ww16.vofycot.com udp
DE 64.190.63.136:80 ww16.vofycot.com tcp
US 13.248.213.45:80 qexyhuv.com tcp
HK 154.85.183.50:80 qegyval.com tcp

Files

memory/2520-0-0x00000000002C0000-0x00000000002C3000-memory.dmp

memory/2520-1-0x0000000000400000-0x000000000045F000-memory.dmp

C:\Windows\AppPatch\svchost.exe

MD5 cd849758df15769e08ff8e6765b8846a
SHA1 0008651a4bca9a96a8de199a1c53fa8acd66f292
SHA256 6728e7e9732bcc88b64e2755292ea0475289f215d30fb08a8f628c2034883cdb
SHA512 ba9e58522a9156ce165a304c4d326d964a185e263136c93920ca10df566498873ae7c0116c0b6ffe4f275a876b15fd29b19eda6e2a49f0955e600760b0b839c0

memory/2520-14-0x0000000000400000-0x000000000045F000-memory.dmp

memory/2520-13-0x00000000002C0000-0x00000000002C3000-memory.dmp

memory/2520-12-0x0000000000400000-0x0000000000467000-memory.dmp

memory/2508-15-0x0000000000400000-0x0000000000467000-memory.dmp

memory/2508-16-0x0000000000400000-0x0000000000467000-memory.dmp

memory/2508-19-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-27-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-23-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-28-0x0000000000400000-0x0000000000467000-memory.dmp

memory/2508-21-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-25-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-17-0x0000000000470000-0x0000000000518000-memory.dmp

memory/2508-29-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-33-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-31-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-39-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-40-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-65-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-81-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-80-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-79-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-78-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-77-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-76-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-75-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-74-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-73-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-72-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-71-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-70-0x00000000023A0000-0x0000000002456000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\7818.tmp

MD5 eda67658795c82947a822ff9c4c2763a
SHA1 d16c3e73d7fa177d60a957ac9ea3f4608ebde4a4
SHA256 f6465f350b53ebd46c7c19a28a8e93922f6bfaaae8f6da414fe0954dd1edd731
SHA512 55feaaf6ed20ca435989a51deca14535687f3c96e7b95a0d7510622b1bf27c977b8a9546e62090f0cc7cddb855d559491bf8bd8667d7d236c1dcdf1f8b43fa9c

memory/2508-69-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-68-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-67-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-66-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-64-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-63-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-62-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-61-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-60-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-59-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-58-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-57-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-56-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-55-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-54-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-53-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-52-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-51-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-50-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-49-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-48-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-47-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-44-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-43-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-42-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-41-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-38-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-37-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-46-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-35-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-45-0x00000000023A0000-0x0000000002456000-memory.dmp

memory/2508-36-0x00000000023A0000-0x0000000002456000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\7807.tmp

MD5 5bfd9314c249bd28ba4392a6a8f0edaf
SHA1 63218296aa49276be56a96abade9364e584fcb34
SHA256 5c711b32d1c11d6b68da7486a12c790f74b4bfa7e1c86a2447d2d1e056e60fb6
SHA512 2f55a3ba1d3aa44b7d656d80f56c503d520bc53810f8baf0664287dd2ee5f68ce5f1750717130db22d8308f892334677b8fc8fd8872e3e8d462497c70ed497e6