Malicious
Malicious

2d98445783055f16fa6c4a8975fa859a

PE Executable
|
MD5: 2d98445783055f16fa6c4a8975fa859a
|
Size: 5.24 MB
|
application/x-dosexec

Infection Chain
Summary by MalvaGPT
Characteristics
Hash
 Hash Value
MD5
2d98445783055f16fa6c4a8975fa859a
Sha1
0297f81ad921d5291ca6ae200491b4f0a4b10b27
Sha256
f211c45c2dd508734dbd84d088e08848f116a978c2c3982260b4122c5785e47b
Sha384
9af55c694bab2e5bfc5b347d5fefb45cd5725a9730034180444f9dd61b7bdea06ba774efa8ce0a7fb55c82d3b7033c25
Sha512
b5d4668f9c1d44a30075605f2f9c59f1d05fce99a8b1d9fc91e15298441f842db0cffc5489c0491ae89c67e2c6dd68d2353cbcf23002ccac630040c7eaabafaa
SSDeep
49152:1S6Xv29C6EqOK6BePTbHvaxZP4IFkHo9irX2KPR8YzqU5x:1Sav8O9cKBAvP6G75x
TLSH
19361942EFD48212E3F35B3194BB87619B31FC41B921CF1F2258EA1DAD31B90AD91766

PeID

ASProtect v1.2 -> Alexey Solodovnikov (h1)
Microsoft Visual C++ v6.0 DLL
Pe123 v2006.4.4-4.12
PeStubOEP v1.x
PolyEnE 0.01+ -> Lennart Hedlund
Private EXE Protector V2.30-V2.3X -> SetiSoft Team
File Structure
2d98445783055f16fa6c4a8975fa859a
Malicious
[Base64-Block @0x00112099]
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.xray
Malware Configuration - Vidar Config. Remote Dll Download #1
Config. Field
 Value
C2

https://icam%.cl/wp%-content/%.%.%./%.%.%./x3%.php��������� �I??$>�������https://smartcheckautos%.com/wp%-content/%.%.%./%.%.%./x3%.php��������� �.4)?:�������url:https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$?
Botnet

F����������P�������������?? F���������?ERF����������%�������������� �������������"%? F���������?? F���������A%? F���������RR?F�������������������������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua
UserAgent

:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoint����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C�
[Configuration Offset]

0x0038A883
Malware Configuration - Vidar Config. Remote Dll Download #2
Config. Field
 Value
C2

https://smartcheckautos%.com/wp%-content/%.%.%./%.%.%./x3%.php��������� �.4)?:�������url:https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$? F����������P�������������?? F���������?ERF����������%������
Botnet

��� �������������"%? F���������?? F���������A%? F���������RR?F�������������������������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoin
UserAgent

t����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C����?��������� �?-� �������expiro_bc_count_loop_cp��������� �L??
[Configuration Offset]

0x0038A8CE
Malware Configuration - Vidar Config. Remote Dll Download #3
Config. Field
 Value
C2

https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$? F����������P�������������?? F���������?ERF����������%�������������� �������������"%? F���������?? F���������A%? F���������RR?F��
Botnet

�������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoint����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A
UserAgent

��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C����?��������� �?-� �������expiro_bc_count_loop_cp��������� �L??�������expiro_aw_count_loop_cp��������� �|P??�������Lua:expiro_returns_ep�J ? F���������??
[Configuration Offset]

0x0038A929
Malware Configuration - Vidar Config. Remote Dll Download #4
Config. Field
 Value
C2

https://?.com?.com?.com?�?��????;��e?4?X???????e??#??&#ATTR_00005c43�SCPT:Trojan:O97M/Emotet.RP3103A!EML�TrojanDownloader:O97M/Powdow.QVST!MTB����?;?"??��?9?$I???h?OS|+s/YgF2 = .TextBoxes("TextBox 1").NameSet ntpalLMRN = eHTkn.OpenTextF
Botnet

ile(BZNd + "\QAITB.vbs", 8, True)ogRx = lPNmPg.Open(f5fg0e + "\QAITB.vbs")TrojanDownloader:O97M/Powdow.QVSV!MTB���� ???????��???????? ?< 6??????PLQmvv = Environ$(Cells(2, 1))WVRcFD.Namespace(LQmvv).Self.InvokeVerb "PasteName LQmvv + "\zlVri.txt" As LQmv
UserAgent

v + "\zlVri.jsTrojanDownloader:O97M/Emotet.MDAD!MTB����!???#?)?��?/fE?J*????8?L{*#?formula(rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;ovsrbxf!?&amp;ovsrbxf!?&amp;hthdngc!?&amp;ovsrbxf!?&amp;rhjfk!?&amp?�?AgentTesl
[Configuration Offset]

0x00400A0B
Malware Configuration - Vidar Config. Remote Dll Download #5
Config. Field
 Value
C2

https://contracstructed.com/o365.php"?�Trojan:AndroidOS/AhmythSpy.K����?\??????[��Y?\@?sA"?????AOe??ServicePermGeraisx0000notifcodigosbnksokx0000scrnlkActivityBNK?!Kasidet.GJW!MTB����?\??^??x?��??:???????{??o� B&i?D$?f?D$?e?D$?x?D$?i?D$?s
Botnet

?D$?t?D$?p?D$?1?D$?g?D$?o?D$?t?D$?o?D$jn?D$?f?�%s\flash_%s.exe%�s�\�f�l�a�s�h�_�%�s�.�e�x�e�?Remcos.GJW!MTB����?\?7???x?��mT???r=?:-?kH?? ?+8 o? o? (?o? ?io? ?$+?+?o? +? +??�Trojan:Win64/IcedID.MXM!MTB�
UserAgent

?\??#/?xo��yL?{^???u&??$?????$???3?????H?H??$?????L$`??�??$?9$}???? ??H???���???$?�WgjasbhajRansom:Win32/Basta.PA!MTB����?\?v?t[x?��??rE???%?? ?S?Cr_?;+????????E?+????f??U?3???U??E?????? ??M?�???U?????
[Configuration Offset]

0x00401BAA
Informations
Name
 Value
Info

PE Detect: PeReader OK (file layout)
2d98445783055f16fa6c4a8975fa859a (5.24 MB)
File Structure
2d98445783055f16fa6c4a8975fa859a
Malicious
[Base64-Block @0x00112099]
Structure
DosHeader
PE Header
Optional Header (x86)
Section Headers
.xray
Characteristics
Malware Configuration - Vidar Config. Remote Dll Download #1
Config. Field
 Value
C2

https://icam%.cl/wp%-content/%.%.%./%.%.%./x3%.php��������� �I??$>�������https://smartcheckautos%.com/wp%-content/%.%.%./%.%.%./x3%.php��������� �.4)?:�������url:https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$?
Botnet

F����������P�������������?? F���������?ERF����������%�������������� �������������"%? F���������?? F���������A%? F���������RR?F�������������������������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua
UserAgent

:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoint����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C�
[Configuration Offset]

0x0038A883
Malware Configuration - Vidar Config. Remote Dll Download #2
Config. Field
 Value
C2

https://smartcheckautos%.com/wp%-content/%.%.%./%.%.%./x3%.php��������� �.4)?:�������url:https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$? F����������P�������������?? F���������?ERF����������%������
Botnet

��� �������������"%? F���������?? F���������A%? F���������RR?F�������������������������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoin
UserAgent

t����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C����?��������� �?-� �������expiro_bc_count_loop_cp��������� �L??
[Configuration Offset]

0x0038A8CE
Malware Configuration - Vidar Config. Remote Dll Download #3
Config. Field
 Value
C2

https://calfeutragebprs%.com/wp%-content/image/s3%.php�jDRF���������bERF���������?$? F����������P�������������?? F���������?ERF����������%�������������� �������������"%? F���������?? F���������A%? F���������RR?F��
Botnet

�������?R?F���������?R?F���������?ERF���������?DRF���������1ea2950277fde�!#Lua:expiro_returns_ep����Y???G?Q�Z?????l{?l ??z?v???MpReturnsToEntryPoint����@@����@ ?���?@����@?���?@����@?����A����@?���@A����@??�?A�A
UserAgent

��?�@��???�?A�A@�?�@��@??�?A�A?�?����?�??�?B�A��@�?�@C����?��������� �?-� �������expiro_bc_count_loop_cp��������� �L??�������expiro_aw_count_loop_cp��������� �|P??�������Lua:expiro_returns_ep�J ? F���������??
[Configuration Offset]

0x0038A929
Malware Configuration - Vidar Config. Remote Dll Download #4
Config. Field
 Value
C2

https://?.com?.com?.com?�?��????;��e?4?X???????e??#??&#ATTR_00005c43�SCPT:Trojan:O97M/Emotet.RP3103A!EML�TrojanDownloader:O97M/Powdow.QVST!MTB����?;?"??��?9?$I???h?OS|+s/YgF2 = .TextBoxes("TextBox 1").NameSet ntpalLMRN = eHTkn.OpenTextF
Botnet

ile(BZNd + "\QAITB.vbs", 8, True)ogRx = lPNmPg.Open(f5fg0e + "\QAITB.vbs")TrojanDownloader:O97M/Powdow.QVSV!MTB���� ???????��???????? ?< 6??????PLQmvv = Environ$(Cells(2, 1))WVRcFD.Namespace(LQmvv).Self.InvokeVerb "PasteName LQmvv + "\zlVri.txt" As LQmv
UserAgent

v + "\zlVri.jsTrojanDownloader:O97M/Emotet.MDAD!MTB����!???#?)?��?/fE?J*????8?L{*#?formula(rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;rhjfk!?&amp;ovsrbxf!?&amp;ovsrbxf!?&amp;hthdngc!?&amp;ovsrbxf!?&amp;rhjfk!?&amp?�?AgentTesl
[Configuration Offset]

0x00400A0B
Malware Configuration - Vidar Config. Remote Dll Download #5
Config. Field
 Value
C2

https://contracstructed.com/o365.php"?�Trojan:AndroidOS/AhmythSpy.K����?\??????[��Y?\@?sA"?????AOe??ServicePermGeraisx0000notifcodigosbnksokx0000scrnlkActivityBNK?!Kasidet.GJW!MTB����?\??^??x?��??:???????{??o� B&i?D$?f?D$?e?D$?x?D$?i?D$?s
Botnet

?D$?t?D$?p?D$?1?D$?g?D$?o?D$?t?D$?o?D$jn?D$?f?�%s\flash_%s.exe%�s�\�f�l�a�s�h�_�%�s�.�e�x�e�?Remcos.GJW!MTB����?\?7???x?��mT???r=?:-?kH?? ?+8 o? o? (?o? ?io? ?$+?+?o? +? +??�Trojan:Win64/IcedID.MXM!MTB�
UserAgent

?\??#/?xo��yL?{^???u&??$?????$???3?????H?H??$?????L$`??�??$?9$}???? ??H???���???$?�WgjasbhajRansom:Win32/Basta.PA!MTB����?\?v?t[x?��??rE???%?? ?S?Cr_?;+????????E?+????f??U?3???U??E?????? ??M?�???U?????
[Configuration Offset]

0x00401BAA
You must be signed in to post a comment.
An error has occurred. This application may no longer respond until reloaded. Reload 🗙