General
Structural Analysis
Config.1
Yara Rules46
Sync
Community
Infection Chain
Summary by MalvaGPT
Characteristics
Symbol Obfuscation Score
Low
|
Hash | Hash Value |
|---|---|
| MD5 | 057f2aa175054b47c34d052bf466d6ff
|
| Sha1 | 74009dddca0e11bf8e152c45edc801da1932dc23
|
| Sha256 | 1b72bd4af0ebae9f4939c1a0d3d8f4d95f0a17575d8ef882334018e5b080ab10
|
| Sha384 | 9b09b2d9f3a635ffad45c5f3ffe9b2993e334d5522f892312dcd92a306a9869abca18b693ef028e97cc3e38f0f581b23
|
| Sha512 | 29755bd25d5af348c861c8006cbcc8c9672f89892dc8c6c98f982fc75edcba235d31175d7b7c1ef670e1c635c8287470b3118ed370aaf2cf8be785441daa0e84
|
| SSDeep | 6144:QRbUNURygiHV0LkNjejZd0MMu5yRbUNURy4bSIIozksYPL4KJlsLGW4fz:xUROHVMkydpMupURZbnzWDw+
|
| TLSH | 67E44C44B649DEA5E8064170CC29D1F21914BDAADA50614F39ECFF3FFAB3749100DEAA
|
PeID
.NET executable
Microsoft Visual C# / Basic .NET
Microsoft Visual C# / Basic.NET / MS Visual Basic 2005 - ASL
Microsoft Visual C# v7.0 / Basic .NET
Microsoft Visual Studio .NET
File Structure
057f2aa175054b47c34d052bf466d6ff
Malicious
[Authenticode]_e6284d3d.p7b
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.text
.rsrc
.reloc
Resources
RT_ICON
ID:0001
ID:1033
ID:1033-preview.png
ID:0002
ID:1033
ID:0003
ID:1033
ID:0004
ID:1033
ID:0005
ID:1033
ID:0006
ID:1033
ID:0007
ID:1033
ID:0008
ID:1033
ID:0009
ID:1033
ID:000C
ID:1033
ID:1033-preview.png
ID:000D
ID:1033
ID:000E
ID:1033
ID:000F
ID:1033
ID:0010
ID:1033
ID:0011
ID:1033
ID:0012
ID:1033
ID:0013
ID:1033
ID:0014
ID:1033
ID:0015
ID:1033
ID:0016
ID:1033
ID:0017
ID:1033
ID:1033-preview.png
ID:0018
ID:1033
ID:0019
ID:1033
ID:001A
ID:1033
ID:0022
ID:1033
ID:0023
ID:1033
ID:0024
ID:1033
ID:0025
ID:1033
ID:0026
ID:1033
ID:0027
ID:1033
ID:1033-preview.png
ID:0028
ID:1033
ID:0029
ID:1033
ID:1033-preview.png
ID:002A
ID:1033
ID:002B
ID:1033
ID:002C
ID:1033
ID:002D
ID:1033
ID:002E
ID:1033
ID:002F
ID:1033
ID:0030
ID:1033
ID:0031
ID:1033
ID:1033-preview.png
ID:0032
ID:1033
ID:0033
ID:1033
ID:0034
ID:1033
ID:0035
ID:1033
ID:0036
ID:1033
ID:0037
ID:1033
ID:0038
ID:1033
ID:0041
ID:1033
ID:1033-preview.png
ID:0042
ID:1033
ID:0043
ID:1033
ID:0044
ID:1033
ID:0045
ID:1033
ID:0046
ID:1033
ID:0047
ID:1033
ID:0048
ID:1033
ID:0049
ID:1033
ID:004A
ID:1033
ID:004B
ID:1033
ID:004C
ID:1033
ID:004D
ID:1033
ID:004E
ID:1033
ID:1033-preview.png
ID:004F
ID:1033
ID:0050
ID:1033
ID:0051
ID:1033
ID:0052
ID:1033
ID:0053
ID:1033
ID:1033-preview.png
ID:0054
ID:1033
ID:0055
ID:1033
ID:0056
ID:1033
ID:0057
ID:1033
ID:1033-preview.png
ID:0058
ID:1033
ID:1033-preview.png
ID:0059
ID:1033
ID:005A
ID:1033
ID:005B
ID:1033
ID:005C
ID:1033
ID:005D
ID:1033
ID:005E
ID:1033
ID:005F
ID:1033
ID:0060
ID:1033
ID:1033-preview.png
ID:0061
ID:1033
ID:0062
ID:1033
ID:0063
ID:1033
ID:0064
ID:1033
ID:1033-preview.png
ID:0065
ID:1033
ID:0066
ID:1033
RT_GROUP_CURSOR4
ID:0000
ID:1033
RT_VERSION
ID:0001
ID:1033
RT_MANIFEST
ID:0001
ID:0
Malware Configuration - njRAT config.
|
Config. Field0 | Value |
|---|---|
| victim_name [VN] | |
| version [VR] | 0.7d |
| executable_name [EXE] | server.exe |
| directory [DR] | TEMP |
| reg_key [RG] | 19b66d84454507de29ccf25e3f94af15 |
| cnc_host [H] | detetive.ddns.net |
| cnc_port [P] | 2020 |
| splitter [Y] | |'|'| |
| BD [BD] | False |
| is_dir_defined [Idr] | False |
| is_startup_folder [IsF] | False |
| is_user_reg [Isu] | False |
| reg_path [sf] | Software\Microsoft\Windows\CurrentVersion\Run |
| packet_size [b] | 5121 |
Informations
|
Name0 | Value |
|---|---|
| Info | PE Detect: PeReader OK (file layout) |
| Info | Authenticode present at 0x97400 size 58120 bytes |
| Module Name | j.exe |
| Full Name | j.exe |
| EntryPoint | System.Void j.A::main() |
| Scope Name | j.exe |
| Scope Type | ModuleDef |
| Kind | Windows |
| Runtime Version | v2.0.50727 |
| Tables Header Version | 512 |
| WinMD Version | <null> |
| Assembly Name | j |
| Assembly Version | 0.0.0.0 |
| Assembly Culture | <null> |
| Has PublicKey | False |
| PublicKey Token | <null> |
| Target Framework | <null> |
| Total Strings | 214 |
| Main Method | System.Void j.A::main() |
| Main IL Instruction Count | 2 |
| Main IL | call System.Void j.OK::ko() ret <null> |
| Module Name | j.exe |
| Full Name | j.exe |
| EntryPoint | System.Void j.A::main() |
| Scope Name | j.exe |
| Scope Type | ModuleDef |
| Kind | Windows |
| Runtime Version | v2.0.50727 |
| Tables Header Version | 512 |
| WinMD Version | <null> |
| Assembly Name | j |
| Assembly Version | 0.0.0.0 |
| Assembly Culture | <null> |
| Has PublicKey | False |
| PublicKey Token | <null> |
| Target Framework | <null> |
| Total Strings | 214 |
| Main Method | System.Void j.A::main() |
| Main IL Instruction Count | 2 |
| Main IL | call System.Void j.OK::ko() ret <null> |
Artefacts
|
Name0 | Value |
|---|---|
| CnC | detetive.ddns.net |
| Port | 2020 |
057f2aa175054b47c34d052bf466d6ff (677.64 KB)
File Structure
057f2aa175054b47c34d052bf466d6ff
Malicious
[Authenticode]_e6284d3d.p7b
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.text
.rsrc
.reloc
Resources
RT_ICON
ID:0001
ID:1033
ID:1033-preview.png
ID:0002
ID:1033
ID:0003
ID:1033
ID:0004
ID:1033
ID:0005
ID:1033
ID:0006
ID:1033
ID:0007
ID:1033
ID:0008
ID:1033
ID:0009
ID:1033
ID:000C
ID:1033
ID:1033-preview.png
ID:000D
ID:1033
ID:000E
ID:1033
ID:000F
ID:1033
ID:0010
ID:1033
ID:0011
ID:1033
ID:0012
ID:1033
ID:0013
ID:1033
ID:0014
ID:1033
ID:0015
ID:1033
ID:0016
ID:1033
ID:0017
ID:1033
ID:1033-preview.png
ID:0018
ID:1033
ID:0019
ID:1033
ID:001A
ID:1033
ID:0022
ID:1033
ID:0023
ID:1033
ID:0024
ID:1033
ID:0025
ID:1033
ID:0026
ID:1033
ID:0027
ID:1033
ID:1033-preview.png
ID:0028
ID:1033
ID:0029
ID:1033
ID:1033-preview.png
ID:002A
ID:1033
ID:002B
ID:1033
ID:002C
ID:1033
ID:002D
ID:1033
ID:002E
ID:1033
ID:002F
ID:1033
ID:0030
ID:1033
ID:0031
ID:1033
ID:1033-preview.png
ID:0032
ID:1033
ID:0033
ID:1033
ID:0034
ID:1033
ID:0035
ID:1033
ID:0036
ID:1033
ID:0037
ID:1033
ID:0038
ID:1033
ID:0041
ID:1033
ID:1033-preview.png
ID:0042
ID:1033
ID:0043
ID:1033
ID:0044
ID:1033
ID:0045
ID:1033
ID:0046
ID:1033
ID:0047
ID:1033
ID:0048
ID:1033
ID:0049
ID:1033
ID:004A
ID:1033
ID:004B
ID:1033
ID:004C
ID:1033
ID:004D
ID:1033
ID:004E
ID:1033
ID:1033-preview.png
ID:004F
ID:1033
ID:0050
ID:1033
ID:0051
ID:1033
ID:0052
ID:1033
ID:0053
ID:1033
ID:1033-preview.png
ID:0054
ID:1033
ID:0055
ID:1033
ID:0056
ID:1033
ID:0057
ID:1033
ID:1033-preview.png
ID:0058
ID:1033
ID:1033-preview.png
ID:0059
ID:1033
ID:005A
ID:1033
ID:005B
ID:1033
ID:005C
ID:1033
ID:005D
ID:1033
ID:005E
ID:1033
ID:005F
ID:1033
ID:0060
ID:1033
ID:1033-preview.png
ID:0061
ID:1033
ID:0062
ID:1033
ID:0063
ID:1033
ID:0064
ID:1033
ID:1033-preview.png
ID:0065
ID:1033
ID:0066
ID:1033
RT_GROUP_CURSOR4
ID:0000
ID:1033
RT_VERSION
ID:0001
ID:1033
RT_MANIFEST
ID:0001
ID:0
Characteristics
Malware Configuration - njRAT config.
|
Config. Field0 | Value |
|---|---|
| victim_name [VN] | |
| version [VR] | 0.7d |
| executable_name [EXE] | server.exe |
| directory [DR] | TEMP |
| reg_key [RG] | 19b66d84454507de29ccf25e3f94af15 |
| cnc_host [H] | detetive.ddns.net |
| cnc_port [P] | 2020 |
| splitter [Y] | |'|'| |
| BD [BD] | False |
| is_dir_defined [Idr] | False |
| is_startup_folder [IsF] | False |
| is_user_reg [Isu] | False |
| reg_path [sf] | Software\Microsoft\Windows\CurrentVersion\Run |
| packet_size [b] | 5121 |
Artefacts
|
Name0 | Value | Location |
|---|---|---|
| CnC | detetive.ddns.net Malicious |
057f2aa175054b47c34d052bf466d6ff |
| Port | 2020 Malicious |
057f2aa175054b47c34d052bf466d6ff |
You must be signed in to post a comment.
You need a premium account to access this feature.
You must be signed in to post a comment.