Resubmissions
05-12-2024 17:09
241205-vpetjatmdw 1005-12-2024 16:16
241205-tq9vmayjgj 1005-12-2024 16:13
241205-tpazxayjap 305-12-2024 16:09
241205-tlxdqs1rbx 3Analysis
-
max time kernel
77s -
max time network
62s -
platform
windows10-2004_x64 -
resource
win10v2004-20241007-en -
resource tags
arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system -
submitted
05-12-2024 16:13
Static task
static1
1 signatures
Behavioral task
behavioral1
Sample
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.exe
Resource
win10v2004-20241007-en
windows10-2004-x64
6 signatures
150 seconds
General
-
Target
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.exe
-
Size
3.6MB
-
MD5
d5dcd28612f4d6ffca0cfeaefd606bcf
-
SHA1
cf60fa60d2f461dddfdfcebf16368e6b539cd9ba
-
SHA256
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
-
SHA512
dbfcf464c3211b7454c406a9f9532c416910ac24ea862d7061e3503f294d690b4957020dcc703984449e0934c7a595cf9061412fa25383850dd86235648ac23b
-
SSDEEP
98304:whqPoBhz1aRxcSUDk36SAEdhvxWa9P593R8yAVp2g3R:whqPe1Cxcxk3ZAEUadzR8yc4gB
Score
3/10
Malware Config
Signatures
-
System Location Discovery: System Language Discovery 1 TTPs 1 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.exe -
Checks SCSI registry key(s) 3 TTPs 3 IoCs
SCSI information is often read in order to detect sandboxing environments.
description ioc Process Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000 taskmgr.exe Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\Properties\{b725f130-47ef-101a-a5f1-02608c9eebac}\000A taskmgr.exe Key value queried \REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_WDC&Prod_WDS100T2B0A\4&215468a5&0&000000\FriendlyName taskmgr.exe -
Suspicious behavior: EnumeratesProcesses 36 IoCs
pid Process 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe -
Suspicious use of AdjustPrivilegeToken 5 IoCs
description pid Process Token: SeDebugPrivilege 3496 taskmgr.exe Token: SeSystemProfilePrivilege 3496 taskmgr.exe Token: SeCreateGlobalPrivilege 3496 taskmgr.exe Token: 33 3496 taskmgr.exe Token: SeIncBasePriorityPrivilege 3496 taskmgr.exe -
Suspicious use of FindShellTrayWindow 63 IoCs
pid Process 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe -
Suspicious use of SendNotifyMessage 62 IoCs
pid Process 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe 3496 taskmgr.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.exe"C:\Users\Admin\AppData\Local\Temp\32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.exe"1⤵
- System Location Discovery: System Language Discovery
PID:772
-
C:\Windows\system32\taskmgr.exe"C:\Windows\system32\taskmgr.exe" /71⤵
- Checks SCSI registry key(s)
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of FindShellTrayWindow
- Suspicious use of SendNotifyMessage
PID:3496