Sample details: 1ff774ef576152cce840c69a6ff0fa60 --

Hashes
MD5: 1ff774ef576152cce840c69a6ff0fa60
SHA1: 88a44876cef9104dfa12a9a7397dde4eb8b46529
SHA256: c57d28108996aa58e15150672f360cd2314349692858cd04fa52b0df1243f637
SSDEEP: 1536:+lU3Q5FaXlIElqB3fbiOUJmGpA+kv+rusJ8S1oiK4IldlMojCNyWJHppK:eU34FaXlRq0O3Ga+S+DJcldlDtSp
Details
File Type: PE32
Yara Hits
YRP/IsPE32 | YRP/IsWindowsGUI | YRP/IsPacked | YRP/HasDebugData | YRP/IsBeyondImageSize | YRP/HasModified_DOS_Message | YRP/domain | YRP/contentis_base64 | YRP/win_registry | YRP/Str_Win32_Winsock2_Library |
Source
http://yaylainvestments.com/dAGsb
http://tsimtsum.eu/3GrPPhY
Strings
		s prog
ram must be run under Win32
`.data
D$ +f`>
D$H0+:
L$8-JE
D$`rFlk-V
\$4f94K
D$l#D$l
#@Hrn@#
WT52@#
hWE#@#2f
nWv#eghw
QE#4@$
@HWRhw
5wwgw45
HRE5J7JWGW
WHWRHW3GWRH4
n[oMUW
5$YyT'P
OxDcmJBjttjgYUVC
RSDSgT
gGEW\\F???/.pdb
CM_Set_DevNode_Registry_PropertyW
CM_Open_DevNode_Key
SETUPAPI.dll
CreateScalableFontResourceA
CreateRectRgn
GDI32.dll
RegCloseKey
RegSetValueExW
ADVAPI32.dll
NdrConformantArrayMarshall
RPCRT4.dll
GetSystemMenu
SetWindowLongW
CharUpperW
DefFrameProcW
USER32.dll
OpenColorProfileW
mscms.dll
WS2_32.dll
GetFileVersionInfoSizeA
VERSION.dll
CertFindRDNAttr
CRYPT32.dll
SetEvent
EnumResourceNamesA
GetProcessHeap
GetCurrentThreadId
CreateSymbolicLinkA
FlsFree
GetConsoleWindow
GetNumaNodeProcessorMask
WTSGetActiveConsoleSessionId
GetCurrentProcessId
GetEnvironmentStrings
KERNEL32.dll
MprAdminServerConnect
MPRAPI.dll
DrawDibStart
DrawDibEnd
MSVFW32.dll
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
8$YyX'P
$[z_(\
nkoMUW
n[oMUW
5$YyT'P
-n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
GGI?e0
g5]CeDL
\q{(R|
lC<t4\E
JRHpnF
J_!r5c
5l(r9$J
r6[y$z
hPWLVc)
s]3y\T
n[6TUW
h}}T'P
urD}s	
K y"tV
#&YXfO
mZ0-XX
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
j	=}q#
MYhPy$
4$YyT'P
;$Yyq|
E$Yy:|
HkrI;V
9g fMz
ZQf}-4
rB*Lqo
:qXheo
blmg{[
V61~qe
+-!1c|A
OLlKK]e.
wP(0CW
:k/""OT
:T,%fG#/
_"2\!dW
l/"aA6
8%kS!x
Az<$Z4
9TS2an=Jas
*3\ta~
o/"a/4%
OY\M%h
jR\|B|
"{nT%:
%!`W/%Qs
fBr&S/
 !)c|@
!`mT%Qs
Fx=/\j
_<_aMd
g0#?ig
*MN%|],
Z#ZQf}-4
$lH7j.
(q0Sy-
)mlZU"
 !)c|@
P^>(zu
V('X3r
V('X3r
$:)GQ6!
?G!"kh`
#-?	N?
_N|A`S{
P#0`'d
=U] L6
90HJmo
NNoK^"
O6>jXMc
)GQ8)bq
m:zN~9
#13HN#
lmg{[$
:$Yy;~
V/qtkUe
^"pt/;
btann=w
$}pzv\M
zT'Pp]
7%NV#j
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
/[oMrW
]Ng[y$Me
K$Yy}'P
M$Yyu'P
C$Yy|'P
]NS[y$
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
~m"uT9\
MFUl;m
RVZ|@} 
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
9k/"anT%Qs
!F;{iJ;VU
\!'Vfm1S
HL/v"i
.ZQf}-4
bldg{[
blmg{[
g%]NyzO
|g"]?y
kdY+gg{[
DBTA#{
ZQf}-P&w
^=XcV1
86Ok@02
3-`lWMp~
HkrI;V
$7)h99]
4Ts<E<E
f!!m%W
(8>ix.
ZQf}-4
ZQf}-4
{tY8ZF
M]7wr4
dbW?e.
;V<dX{
1T;>C24Jwe
Ls$}.b
5mHs ?
A&XlOj
9k/"anT%Qs
9k/-anT1Qs
jFsV3k
Gy=0o|b3_
`<iL)a
@r6)hu[,Xz
\8eH%]
>p4'fsY*Vx
9k/"anT%Qs
}]? .5\N
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
5$YyT'P
n[oMUW
wwwwwwwwww
wwwwwwwwwwwpp
wwwwwpp
wwwwww;
wwwwwwws
wwwwwwwww?
wwwwwwwwww
wwwwwwwwwwwL
wwwwwwwwwwwpt
wwww;0
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!-- Copyright (c) Microsoft Corporation -->
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
    name="Microsoft.Windows.Shell.write"
    processorArchitecture="x86"
    version="5.1.0.0"
    type="win32"/>
<description>Windows Shell</description>
<dependency>
    <dependentAssembly>
        <assemblyIdentity
            type="win32"
            name="Microsoft.Windows.Common-Controls"
            version="6.0.0.0"
            processorArchitecture="*"
            publicKeyToken="6595b64144ccf1df"
            language="*"
        />
    </dependentAssembly>
</dependency>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
        <requestedPrivileges>
            <requestedExecutionLevel level="asInvoker" uiAccess="false"/>
        </requestedPrivileges>
    </security>
</trustInfo>
<application xmlns="urn:schemas-microsoft-com:asm.v3">
    <windowsSettings>
        <dpiAware  xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</dpiAware>
    </windowsSettings>
</application>
</assembly>