Analysis
-
max time kernel
899s -
max time network
437s -
platform
windows10-2004_x64 -
resource
win10v2004-20250217-en -
resource tags
-
submitted
01/03/2025, 16:34
General
-
Target
The-MALWARE-Repo-master/Banking-Malware/Dridex/Trojan.Dridex.A.dll
-
Size
628KB
-
MD5
97a26d9e3598fea2e1715c6c77b645c2
-
SHA1
c4bf3a00c9223201aa11178d0f0b53c761a551c4
-
SHA256
e5df93c0fedca105218296cbfc083bdc535ca99862f10d21a179213203d6794f
-
SHA512
acfec633714f72bd5c39f16f10e39e88b5c1cf0adab7154891a383912852f92d3415b0b2d874a8f8f3166879e63796a8ed25ee750c6e4be09a4dddd8c849920c
-
SSDEEP
12288:2oXYZawPO7urFw4HLLDOeLSwg4ULeHOuCqA8:2oXYFIuh5HjhSwiJ8
Malware Config
Signatures
-
Adds Run key to start application 2 TTPs 1 IoCs
-
Drops file in System32 directory 2 IoCs
-
Modifies registry class 12 IoCs
-
Scheduled Task/Job: Scheduled Task 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
-
Suspicious use of AdjustPrivilegeToken 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
-
Uses Task Scheduler COM API 1 TTPs
The Task Scheduler COM API can be used to schedule applications to run on boot or at set times.
Processes
-
C:\Windows\system32\rundll32.exerundll32.exe C:\Users\Admin\AppData\Local\Temp\The-MALWARE-Repo-master\Banking-Malware\Dridex\Trojan.Dridex.A.dll,#11⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\system32\FXSCOVER.exeC:\Windows\system32\FXSCOVER.exe1⤵
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c C:\Users\Admin\AppData\Local\Temp\hotRb.cmd1⤵
-
C:\Windows\system32\perfmon.exeC:\Windows\system32\perfmon.exe1⤵
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c C:\Users\Admin\AppData\Local\Temp\2tBW.cmd1⤵
- Drops file in System32 directory
-
C:\Windows\System32\fodhelper.exe"C:\Windows\System32\fodhelper.exe"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\cmd.exe"C:\Windows\system32\cmd.exe" /c C:\Users\Admin\AppData\Local\Temp\yt2n.cmd2⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Create /F /TN "Schedzttkcjfvl" /TR C:\Windows\system32\kT4cvY\perfmon.exe /SC minute /MO 60 /RL highest3⤵
- Scheduled Task/Job: Scheduled Task
-
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
- Suspicious use of WriteProcessMemory
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
-
C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c schtasks.exe /Query /TN "Schedzttkcjfvl"1⤵
-
C:\Windows\system32\schtasks.exeschtasks.exe /Query /TN "Schedzttkcjfvl"2⤵
-
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
1Registry Run Keys / Startup Folder
1Scheduled Task/Job
1Scheduled Task
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
198B
MD5e9142cfb7d9dde8c2bc6239d1e447c32
SHA11f032b558b6504b34e9cc1ff01519d049026378b
SHA2560ab90aca6920728efb642456855c1159b8af9628f8a74c636a0754fa6d867e9b
SHA51229c0bd109bfb26c60999cec27bbae41e6584e0330abab74cb4662826973497ea9534e8d4d5745241e9e1e1a11a2105ac50f539f50aac4944c2023dedec87e220
-
Filesize
656KB
MD5fc2fe85ab140b2cbe3085d70cd13d94f
SHA13d1574d90ba3a4c75cfb6d2e7958ff0574f73f08
SHA25676de5ccb03117e17004906cd142c153fb5313184d53ac50ce0c5646aa189c293
SHA512abaa924ba05b65872c181884b4a4a02cf4dbb459f29a1084c937fc9faa36dc637324eca7f607d7971cab511f827f310e11fc1b43b6dadd1511e16cdcd80f3c14
-
Filesize
226B
MD53639f1bc7c94f3f9430262925f28395e
SHA1facd82cb84885ba31806a61e71f5da57ceb5e33a
SHA2569f0cada6bd06b168660861c663c5e7ee8617a8458e9fa4d71f959278d46b6e62
SHA5122ad2003bb40ac1cb8cf09a408739251513755747ca44e68cde8608d9171f0f2a43904b859cc6cac94928834237c64e50ea5d654e3e3a1c60ae3d1d0f67a6c5d8
-
Filesize
628KB
MD553b70226ae42621f6e7348bf61697024
SHA17af1b76fae44a82b98a00b7a6668b1ab0ff927e0
SHA256b90870df009c323f3b58d103cd93e1f7d7bd7c9bc064263aa2525ec7ede1ed3c
SHA5126c60deaa36ae10af1c19bf3fa47b4ae13b9a87bb3df77fbc1078b5497849075bb40c9ed87140e4edad938e0d6363fec4c70dbdacd31ede071ee502527ab49fec
-
Filesize
132B
MD5ea2c588a20d9f3db2477db736b632dba
SHA114af02dfd020858af59277a5133baf20442b283d
SHA256a69b4bf212bdc7fba269f2e08a7e264c83b83c3110a8786908b8e5e631fbe9f2
SHA5129b379e06139b36b2ab8beeed1421c536305c5e6728623f1a62cf9348d118752d279125fd675c74fdb9fabb7059a4555d92357a150326e14f411692f2c80f0efc
-
Filesize
900B
MD50f36318bcc32959a2a0e3cb54b5bfb4d
SHA103325c86799b6cbc242b1fa3073fabeea285594e
SHA256499b49a8cdeaf3722730756c793e4cfa3b508895d36956580fd5a175b9800156
SHA51288bd467e4dd9e444afeb91fbd2fff797f45a207aa9fea73e0ec128d6a178478f099a25a534dcc623f8d9248b74cfbc6293711a0ec13c556d90226c0fd3813841
-
Filesize
242KB
MD55769f78d00f22f76a4193dc720d0b2bd
SHA1d62b6cab057e88737cba43fe9b0c6d11a28b53e8
SHA25640e8e6dabfa1485b11cdccf220eb86eeaa8256e99e344cf2b2098d4cdb788a31
SHA512b4b3448a2635b21690c71254d964832e89bf947f7a0d32e79dcc84730f11d4afb4149a810a768878e52f88fc8baec45f1a2fec8e22c5301e9f39fe4fc6a57e3f
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
28KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
28KB
-
Filesize
64KB
-
Filesize
628KB
-
Filesize
628KB
-
Filesize
4KB
-
Filesize
4KB