Analysis
-
max time kernel
130s -
max time network
147s -
platform
windows7_x64 -
resource
win7 -
submitted
30/06/2020, 06:53
Static task
static1
Behavioral task
behavioral1
Sample
รูปภาพที่ต้องลบ.exe
Resource
win7
windows7_x64
0 signatures
0 seconds
Behavioral task
behavioral2
Sample
รูปภาพที่ต้องลบ.exe
Resource
win10v200430
windows10_x64
0 signatures
0 seconds
General
-
Target
รูปภาพที่ต้องลบ.exe
-
Size
24.4MB
-
MD5
60e8c8216af0a6c159364a3cfebc1f1b
-
SHA1
ffd81aa28975dfd4f8e09aa55863c569f6c37037
-
SHA256
12d14cc1f1d29e131b94659bd8830ce0afe855973f36648929f6bdc7dab4b87f
-
SHA512
8852553899c83a5d922ca78048b8a37f0a014501796044f1c826b68599365cde0f9046351bffe1f09d07707b2f5049c12dd0dc5a949da076160d7ef44562f403
Score
7/10
Malware Config
Signatures
-
description ioc Process Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\GPU iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom\ZoomFactor = "100000" IEXPLORE.EXE Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive\{6913E4E1-BA9E-11EA-8FEB-E6D7DBB31841} = "0" iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch iexplore.exe Set value (data) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\Window_Placement = 2c0000000200000003000000ffffffffffffffffffffffffffffffff2400000024000000aa04000089020000 iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\IntelliForms iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\LowRegistry iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Toolbar iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing\NTPFirstRun = "1" iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom\ZoomFactor = "50000" IEXPLORE.EXE Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\DomainSuggestion iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "0" iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch IEXPLORE.EXE Set value (str) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version = "WS not running" IEXPLORE.EXE Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom IEXPLORE.EXE Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main IEXPLORE.EXE Set value (data) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage\DecayDateQueue = 01000000d08c9ddf0115d1118c7a00c04fc297eb010000001b0829a874ca164698fa08cb019bbab8000000000200000000001066000000010000200000001b4dc6452e9969cd72a9b8ffc7bacd8c0dacb773fae5d00d6b41ab6f61660484000000000e8000000002000020000000003b4c1cc4fffc1e92f91b72a82db6ca98679553b373e3e5383f9cbc39fbe00e200000009b040c93ed43971faae5e1ddb6194724020b9d207afefd523b898bb5bc5d499040000000d6ffc1a10aafdff1e4ba344fc4cbfbdd54a47e7ea445f84aa3b2c23c072a72d2c5e85fb358adbec6fe76903a46652a9867fcfbd38db313c69e1da92eb6aa1f87 iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\InternetRegistry iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\CompatibilityFlags = "0" iexplore.exe Set value (str) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version = "WS not running" iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames\ iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\NextUpdateDate = "300264987" iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\BrowserEmulation\LowMic iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\PageSetup iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\IETld\LowMic iexplore.exe Set value (data) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage\LastProcessed = 60ce5040ab4ed601 iexplore.exe Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom\ZoomFactor = "25000" IEXPLORE.EXE Set value (str) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\DomainSuggestion\FileNames\en-US = "en-US.1" iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom iexplore.exe Set value (str) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Main\FullScreen = "no" iexplore.exe Set value (data) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage\MFV = 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 iexplore.exe Key created \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Toolbar IEXPLORE.EXE Set value (int) \REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Software\Microsoft\Internet Explorer\Zoom\ZoomFactor = "75000" IEXPLORE.EXE -
Suspicious use of WriteProcessMemory 12 IoCs
description pid Process procid_target PID 112 wrote to memory of 596 112 รูปภาพที่ต้องลบ.exe 24 PID 112 wrote to memory of 596 112 รูปภาพที่ต้องลบ.exe 24 PID 112 wrote to memory of 596 112 รูปภาพที่ต้องลบ.exe 24 PID 112 wrote to memory of 596 112 รูปภาพที่ต้องลบ.exe 24 PID 596 wrote to memory of 1644 596 รูปภาพที่ต้องลบ.exe 25 PID 596 wrote to memory of 1644 596 รูปภาพที่ต้องลบ.exe 25 PID 596 wrote to memory of 1644 596 รูปภาพที่ต้องลบ.exe 25 PID 596 wrote to memory of 1644 596 รูปภาพที่ต้องลบ.exe 25 PID 1644 wrote to memory of 528 1644 iexplore.exe 28 PID 1644 wrote to memory of 528 1644 iexplore.exe 28 PID 1644 wrote to memory of 528 1644 iexplore.exe 28 PID 1644 wrote to memory of 528 1644 iexplore.exe 28 -
Loads dropped DLL 37 IoCs
pid Process 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe 596 รูปภาพที่ต้องลบ.exe -
Suspicious use of SetWindowsHookEx 7 IoCs
pid Process 1644 iexplore.exe 1644 iexplore.exe 528 IEXPLORE.EXE 528 IEXPLORE.EXE 528 IEXPLORE.EXE 528 IEXPLORE.EXE 528 IEXPLORE.EXE -
Suspicious use of FindShellTrayWindow 2 IoCs
pid Process 1644 iexplore.exe 1644 iexplore.exe -
Looks up external IP address via web service 2 IoCs
Uses a legitimate IP lookup service to find the infected system's external IP.
flow ioc 25 checkip.amazonaws.com 26 checkip.amazonaws.com -
Legitimate hosting services abused for malware hosting/C2 1 TTPs
-
Checks whether UAC is enabled 2 IoCs
description ioc Process Key value queried \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA iexplore.exe Key value queried \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA IEXPLORE.EXE
Processes
-
C:\Users\Admin\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe"C:\Users\Admin\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe"1⤵
- Suspicious use of WriteProcessMemory
PID:112 -
C:\Users\Admin\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe"C:\Users\Admin\AppData\Local\Temp\รูปภาพที่ต้องลบ.exe"2⤵
- Suspicious use of WriteProcessMemory
- Loads dropped DLL
PID:596 -
C:\Program Files\Internet Explorer\iexplore.exe"C:\Program Files\Internet Explorer\iexplore.exe" https://pastebin.com/raw/K9DwMHWa3⤵
- Modifies Internet Explorer settings
- Suspicious use of WriteProcessMemory
- Suspicious use of SetWindowsHookEx
- Suspicious use of FindShellTrayWindow
- Checks whether UAC is enabled
PID:1644 -
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1644 CREDAT:275457 /prefetch:24⤵
- Modifies Internet Explorer settings
- Suspicious use of SetWindowsHookEx
- Checks whether UAC is enabled
PID:528
-
-
-
-
C:\Windows\system32\NOTEPAD.EXE"C:\Windows\system32\NOTEPAD.EXE" C:\Users\Admin\Desktop\อ่านวิธีแก้ไฟล์โดนล๊อค.txt1⤵PID:1072
-
C:\Windows\explorer.exe"C:\Windows\explorer.exe"1⤵PID:1512