File name:

Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar).zip

Full analysis: https://app.any.run/tasks/63fd2523-6f95-45c6-8c08-c9e3022a62eb
Verdict: Malicious activity
Analysis date: June 19, 2024, 11:08:22
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Tags:
evasion
Indicators:
MIME: application/zip
File info: Zip archive data, at least v6.3 to extract, compression method=AES Encrypted
MD5:

CB9CF7638FB1CCCAC01D09C1FC3C3532

SHA1:

7D89B24FCA94FE51FCBAD947823BA8E80A526BAD

SHA256:

8C7FBB712E9080147F04FAE8BD0EC1D41B72B128BC9DEF4D43A50B135DFAB64F

SSDEEP:

24576:qvdMFmKEXOEle06xZInTDHzM81bRpbkRb:qvdMFmKEXOEld6xZInTDHzM81bRpIRb

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.

  • MALICIOUS

    No malicious indicators.

  • SUSPICIOUS

    • Reads security settings of Internet Explorer

      • WinRAR.exe (PID: 3096)
      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 3992)
      • постановление о производстве.exe (PID: 4048)

    • Reads the Internet Settings

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 3992)
      • постановление о производстве.exe (PID: 4048)

    • Checks for external IP

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 3992)
      • постановление о производстве.exe (PID: 4048)

  • INFO

    • Drops the executable file immediately after the start

      • WinRAR.exe (PID: 3344)
      • WinRAR.exe (PID: 3096)

    • Manual execution by a user

      • WinRAR.exe (PID: 3096)

    • Executable content was dropped or overwritten

      • WinRAR.exe (PID: 3096)

    • Checks supported languages

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 4048)
      • постановление о производстве.exe (PID: 3992)

    • Reads the machine GUID from the registry

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 4048)
      • постановление о производстве.exe (PID: 3992)

    • Reads the computer name

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 4048)
      • постановление о производстве.exe (PID: 3992)

    • Checks proxy server information

      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 3992)
      • постановление о производстве.exe (PID: 4048)

    • Creates files or folders in the user directory

      • постановление о производстве.exe (PID: 3088)
      • постановление о производстве.exe (PID: 996)
      • постановление о производстве.exe (PID: 4048)
      • постановление о производстве.exe (PID: 3992)
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.

TRiD

.zip | ZIP compressed archive (100)

EXIF

ZIP

ZipRequiredVersion: 63
ZipBitFlag: 0x0803
ZipCompression: Unknown (99)
ZipModifyDate: 2024:06:18 12:34:32
ZipCRC: 0xddf9a265
ZipCompressedSize: 14708
ZipUncompressedSize: 14477
ZipFileName: Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar)/.sysinfo
No data.
screenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshotscreenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
53
Monitored processes
6
Malicious processes
1
Suspicious processes
4

Behavior graph

Click at the process to see the details
start winrar.exe no specs winrar.exe постановление о производстве.exe постановление о производстве.exe постановление о производстве.exe постановление о производстве.exe

Process information

PID
CMD
Path
Indicators
Parent process
996"C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.16560\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe" C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.16560\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe
WinRAR.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
Modules
Images
c:\users\admin\appdata\local\temp\rar$exa3096.16560\постановление о производстве выемки гп рф\дополнительные материалы проверки\постановление о производстве.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
3088"C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18070\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe" C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18070\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe
WinRAR.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
Modules
Images
c:\users\admin\appdata\local\temp\rar$exa3096.18070\постановление о производстве выемки гп рф\дополнительные материалы проверки\постановление о производстве.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
3096"C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar)\Постановление о производстве выемки ГП РФ.zip"C:\Program Files\WinRAR\WinRAR.exe
explorer.exe
User:
admin
Company:
Alexander Roshal
Integrity Level:
MEDIUM
Description:
WinRAR archiver
Version:
5.91.0
Modules
Images
c:\program files\winrar\winrar.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\comdlg32.dll
3344"C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar).zip"C:\Program Files\WinRAR\WinRAR.exeexplorer.exe
User:
admin
Company:
Alexander Roshal
Integrity Level:
MEDIUM
Description:
WinRAR archiver
Version:
5.91.0
Modules
Images
c:\program files\winrar\winrar.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\comdlg32.dll
3992"C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18101\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe" C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18101\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe
WinRAR.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
Modules
Images
c:\users\admin\appdata\local\temp\rar$exa3096.18101\постановление о производстве выемки гп рф\дополнительные материалы проверки\постановление о производстве.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
4048"C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18132\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe" C:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18132\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exe
WinRAR.exe
User:
admin
Integrity Level:
MEDIUM
Exit code:
0
Modules
Images
c:\users\admin\appdata\local\temp\rar$exa3096.18132\постановление о производстве выемки гп рф\дополнительные материалы проверки\постановление о производстве.exe
c:\windows\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\ole32.dll
Total events
8 835
Read events
8 674
Write events
134
Delete events
27

Modification events

(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\Interface\Themes
Operation:writeName:ShellExtBMP
Value:
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\Interface\Themes
Operation:writeName:ShellExtIcon
Value:
(PID) Process:(3344) WinRAR.exeKey:HKEY_CLASSES_ROOT\Local Settings\MuiCache\182\52C64B7E
Operation:writeName:LanguageList
Value:
en-US
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
Operation:writeName:3
Value:
C:\Users\admin\Desktop\phacker.zip
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
Operation:writeName:2
Value:
C:\Users\admin\Desktop\Win7-KB3191566-x86.zip
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
Operation:writeName:1
Value:
C:\Users\admin\Desktop\curl-8.5.0_1-win32-mingw.zip
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\ArcHistory
Operation:writeName:0
Value:
C:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar).zip
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:name
Value:
120
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:size
Value:
80
(PID) Process:(3344) WinRAR.exeKey:HKEY_CURRENT_USER\Software\WinRAR\FileList\FileColumnWidths
Operation:writeName:type
Value:
120
Executable files
4
Suspicious files
3
Text files
6
Unknown types
0

Dropped files

PID
Process
Filename
Type
3344WinRAR.exeC:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar)\Пароль 18062024.txttext
MD5:A202D9AE9A81D4B451D46274A248F565
SHA256:37228EF463EB8FE510719CD3ED9EB25A1D5189A87F6ADDD27D6E2A0B819F43AB
3344WinRAR.exeC:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar)\sysinfobinary
MD5:0AE08FE45549CA8B654BA69682ADE9EC
SHA256:836357865265F9C756F26A812BCD1D72D06C26A431BCD99E7FE8245CA7E30BE3
3096WinRAR.exeC:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18101\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exeexecutable
MD5:C72927E6BFEE8E392906C03AA0E4897B
SHA256:E7374B0040E726462271520EC6D7D1A8B50122D5FCD5F3B31A5302332BF7CBE2
996постановление о производстве.exeC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\stats[1].htmtext
MD5:3212F5F463EDB370FF55D3C3A7A15C8F
SHA256:ABECDF3503635C0BE9ECA61CDDF5B25C7F8380D5AAE7D73D0F62E9A38C87B70D
3096WinRAR.exeC:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18070\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exeexecutable
MD5:C72927E6BFEE8E392906C03AA0E4897B
SHA256:E7374B0040E726462271520EC6D7D1A8B50122D5FCD5F3B31A5302332BF7CBE2
3096WinRAR.exeC:\Users\admin\AppData\Local\Temp\Rar$EXa3096.16560\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exeexecutable
MD5:C72927E6BFEE8E392906C03AA0E4897B
SHA256:E7374B0040E726462271520EC6D7D1A8B50122D5FCD5F3B31A5302332BF7CBE2
3344WinRAR.exeC:\Users\admin\Desktop\Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar)\Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtftext
MD5:D97FEAD30D2A8D3825B8DC92BEA82769
SHA256:6AC36DF734E75E78DB111CA23E015DE6A5B6704D4F6E640D30EEE51BB0B18CA5
3096WinRAR.exeC:\Users\admin\AppData\Local\Temp\Rar$EXa3096.18132\Постановление о производстве выемки ГП РФ\Дополнительные материалы проверки\постановление о производстве.exeexecutable
MD5:C72927E6BFEE8E392906C03AA0E4897B
SHA256:E7374B0040E726462271520EC6D7D1A8B50122D5FCD5F3B31A5302332BF7CBE2
3088постановление о производстве.exeC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\stats[1].htmtext
MD5:3212F5F463EDB370FF55D3C3A7A15C8F
SHA256:ABECDF3503635C0BE9ECA61CDDF5B25C7F8380D5AAE7D73D0F62E9A38C87B70D
3992постановление о производстве.exeC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\stats[1].htmtext
MD5:3212F5F463EDB370FF55D3C3A7A15C8F
SHA256:ABECDF3503635C0BE9ECA61CDDF5B25C7F8380D5AAE7D73D0F62E9A38C87B70D
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
16
TCP/UDP connections
20
DNS requests
7
Threats
17

HTTP requests

PID
Process
Method
HTTP Code
IP
URL
CN
Type
Size
Reputation
1372
svchost.exe
GET
304
23.50.131.200:80
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?33775f6043c93e33
unknown
unknown
1060
svchost.exe
GET
304
23.50.131.200:80
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?a9f83325acc8ca75
unknown
unknown
1372
svchost.exe
GET
200
23.48.23.143:80
http://crl.microsoft.com/pki/crl/products/MicRooCerAut2011_2011_03_22.crl
unknown
unknown
1372
svchost.exe
GET
200
95.101.149.131:80
http://www.microsoft.com/pkiops/crl/MicSecSerCA2011_2011-10-18.crl
unknown
unknown
996
постановление о производстве.exe
GET
200
104.26.12.205:80
http://api.ipify.org/
unknown
unknown
3088
постановление о производстве.exe
GET
200
104.26.12.205:80
http://api.ipify.org/
unknown
unknown
3992
постановление о производстве.exe
GET
200
104.26.12.205:80
http://api.ipify.org/
unknown
unknown
4048
постановление о производстве.exe
GET
200
104.26.12.205:80
http://api.ipify.org/
unknown
unknown
996
постановление о производстве.exe
POST
400
188.114.96.3:80
http://updatingservices.net/authorization/
unknown
unknown
3088
постановление о производстве.exe
POST
400
188.114.96.3:80
http://updatingservices.net/authorization/
unknown
unknown
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

PID
Process
IP
Domain
ASN
CN
Reputation
4
System
192.168.100.255:137
whitelisted
4
System
192.168.100.255:138
whitelisted
2564
svchost.exe
239.255.255.250:3702
unknown
1060
svchost.exe
224.0.0.252:5355
unknown
1372
svchost.exe
4.231.128.59:443
MICROSOFT-CORP-MSN-AS-BLOCK
IE
whitelisted
1372
svchost.exe
51.124.78.146:443
settings-win.data.microsoft.com
MICROSOFT-CORP-MSN-AS-BLOCK
NL
whitelisted
1372
svchost.exe
23.50.131.200:80
ctldl.windowsupdate.com
Akamai International B.V.
DE
unknown
1372
svchost.exe
23.48.23.143:80
crl.microsoft.com
Akamai International B.V.
DE
unknown
1372
svchost.exe
95.101.149.131:80
www.microsoft.com
Akamai International B.V.
NL
unknown
1060
svchost.exe
23.50.131.200:80
ctldl.windowsupdate.com
Akamai International B.V.
DE
unknown

DNS requests

Domain
IP
Reputation
settings-win.data.microsoft.com
  • 51.124.78.146
whitelisted
ctldl.windowsupdate.com
  • 23.50.131.200
  • 23.50.131.216
  • 23.50.131.213
  • 23.50.131.196
whitelisted
crl.microsoft.com
  • 23.48.23.143
  • 23.48.23.156
whitelisted
www.microsoft.com
  • 95.101.149.131
whitelisted
api.ipify.org
  • 104.26.12.205
  • 172.67.74.152
  • 104.26.13.205
shared
updatingservices.net
  • 188.114.96.3
  • 188.114.97.3
unknown

Threats

PID
Process
Class
Message
1060
svchost.exe
Misc activity
ET INFO External IP Lookup Domain (ipify .org) in DNS Lookup
996
постановление о производстве.exe
Device Retrieving External IP Address Detected
ET POLICY External IP Lookup api.ipify.org
996
постановление о производстве.exe
Device Retrieving External IP Address Detected
POLICY [ANY.RUN] External IP Lookup by HTTP (api .ipify .org)
3088
постановление о производстве.exe
Device Retrieving External IP Address Detected
POLICY [ANY.RUN] External IP Lookup by HTTP (api .ipify .org)
3088
постановление о производстве.exe
Device Retrieving External IP Address Detected
ET POLICY External IP Lookup api.ipify.org
4048
постановление о производстве.exe
Device Retrieving External IP Address Detected
ET POLICY External IP Lookup api.ipify.org
4048
постановление о производстве.exe
Device Retrieving External IP Address Detected
POLICY [ANY.RUN] External IP Lookup by HTTP (api .ipify .org)
3992
постановление о производстве.exe
Device Retrieving External IP Address Detected
ET POLICY External IP Lookup api.ipify.org
3992
постановление о производстве.exe
Device Retrieving External IP Address Detected
POLICY [ANY.RUN] External IP Lookup by HTTP (api .ipify .org)
3992
постановление о производстве.exe
Device Retrieving External IP Address Detected
SUSPICIOUS [ANY.RUN] Received IP address from server as result of HTTP request
4 ETPRO signatures available at the full report
No debug info
Interactive malware hunting service ANY.RUN
© 2017-2025 ANY.RUN ALL RIGHTS RESERVED
ANY.RUN
Reports
Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar).zip