<stix:STIX_Package 
	xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
	xmlns:ProcessObj="http://cybox.mitre.org/objects#ProcessObject-2"
	xmlns:VMRayAnalyzer="http://vmray.com/analyzer"
	xmlns:WinRegistryKeyObj="http://cybox.mitre.org/objects#WinRegistryKeyObject-2"
	xmlns:cybox="http://cybox.mitre.org/cybox-2"
	xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
	xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
	xmlns:indicator="http://stix.mitre.org/Indicator-2"
	xmlns:stix="http://stix.mitre.org/stix-1"
	xmlns:stixCommon="http://stix.mitre.org/common-1"
	xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
	xmlns:ttp="http://stix.mitre.org/TTP-1"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="
	http://cybox.mitre.org/common-2 http://cybox.mitre.org/XMLSchema/common/2.1/cybox_common.xsd
	http://cybox.mitre.org/cybox-2 http://cybox.mitre.org/XMLSchema/core/2.1/cybox_core.xsd
	http://cybox.mitre.org/default_vocabularies-2 http://cybox.mitre.org/XMLSchema/default_vocabularies/2.1/cybox_default_vocabularies.xsd
	http://cybox.mitre.org/objects#FileObject-2 http://cybox.mitre.org/XMLSchema/objects/File/2.1/File_Object.xsd
	http://cybox.mitre.org/objects#ProcessObject-2 http://cybox.mitre.org/XMLSchema/objects/Process/2.1/Process_Object.xsd
	http://cybox.mitre.org/objects#WinRegistryKeyObject-2 http://cybox.mitre.org/XMLSchema/objects/Win_Registry_Key/2.1/Win_Registry_Key_Object.xsd
	http://stix.mitre.org/Indicator-2 http://stix.mitre.org/XMLSchema/indicator/2.2/indicator.xsd
	http://stix.mitre.org/TTP-1 http://stix.mitre.org/XMLSchema/ttp/1.2/ttp.xsd
	http://stix.mitre.org/common-1 http://stix.mitre.org/XMLSchema/common/1.2/stix_common.xsd
	http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.2.0/stix_default_vocabularies.xsd
	http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.2/stix_core.xsd" id="VMRayAnalyzer:Package-4994e825-c50c-4576-b149-177364954c33" version="1.2">
    <stix:STIX_Header>
        <stix:Title>VMRay Analyzer Report for Sample #625263</stix:Title>
        <stix:Information_Source>
            <stixCommon:Tools>
                <cyboxCommon:Tool>
                    <cyboxCommon:Name>VMRay Analyzer</cyboxCommon:Name>
                    <cyboxCommon:Version>1.11.0</cyboxCommon:Version>
                </cyboxCommon:Tool>
            </stixCommon:Tools>
        </stix:Information_Source>
    </stix:STIX_Header>
    <stix:Observables cybox_major_version="2" cybox_minor_version="1" cybox_update_version="0">
        <cybox:Observable id="VMRayAnalyzer:Observable-832c70a2-dfbb-4140-91cc-5b17a351bd35">
            <cybox:Title>Process</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:Process-fc5de3a3-0c83-4fc4-a5be-3baebff18fff">
                <cybox:Properties xsi:type="ProcessObj:ProcessObjectType">
                    <ProcessObj:PID>1300</ProcessObj:PID>
                    <ProcessObj:Name>explorer pro.exe</ProcessObj:Name>
                    <ProcessObj:Parent_PID>1136</ProcessObj:Parent_PID>
                    <ProcessObj:Image_Info>
                        <ProcessObj:File_Name>explorer pro.exe</ProcessObj:File_Name>
                        <ProcessObj:Command_Line>"C:\Users\DSsDPMx042\Desktop\Explorer Pro.exe" </ProcessObj:Command_Line>
                        <ProcessObj:Current_Directory>C:\Users\DSsDPMx042\Desktop</ProcessObj:Current_Directory>
                        <ProcessObj:Path>c:\users\dssdpmx042\desktop\explorer pro.exe</ProcessObj:Path>
                    </ProcessObj:Image_Info>
                </cybox:Properties>
                <cybox:Related_Objects>
                    <cybox:Related_Object idref="VMRayAnalyzer:Process-3d771e84-b3b7-4240-9528-2a0e839823a2">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Opened</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:Process-e822ff3f-9e47-432a-8214-c29ab89c063d">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-2f70a891-769e-4168-8d51-c4dc30bca61a">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-ca5963a0-aa18-482a-a692-cac42486333b">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-6f0dbd3d-3536-4863-a7c6-91406936f33d">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-266b3e34-1aff-4236-92a3-76792bdd91f1">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-74623d34-b977-453d-a5a5-a1a1b52d17ba">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:WinRegistryKey-b9dd3e78-3948-4a3e-a926-daeb0a493e48">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-0cf94fc4-acbf-43ef-a89b-4cb1b5332878">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Opened</cybox:Relationship>
                    </cybox:Related_Object>
                </cybox:Related_Objects>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-ea4f3e2e-8286-441c-ba41-e96f87af53f9">
            <cybox:Title>Process</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:Process-3d771e84-b3b7-4240-9528-2a0e839823a2">
                <cybox:Properties xsi:type="ProcessObj:ProcessObjectType">
                    <ProcessObj:PID>1300</ProcessObj:PID>
                    <ProcessObj:Name>explorer pro.exe</ProcessObj:Name>
                    <ProcessObj:Parent_PID>1136</ProcessObj:Parent_PID>
                    <ProcessObj:Image_Info>
                        <ProcessObj:File_Name>explorer pro.exe</ProcessObj:File_Name>
                        <ProcessObj:Command_Line>"C:\Users\DSsDPMx042\Desktop\Explorer Pro.exe" </ProcessObj:Command_Line>
                        <ProcessObj:Current_Directory>C:\Users\DSsDPMx042\Desktop</ProcessObj:Current_Directory>
                        <ProcessObj:Path>c:\users\dssdpmx042\desktop\explorer pro.exe</ProcessObj:Path>
                    </ProcessObj:Image_Info>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-b5284474-9c27-4eb6-a453-66cce32638f8">
            <cybox:Title>Process</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:Process-e822ff3f-9e47-432a-8214-c29ab89c063d">
                <cybox:Properties xsi:type="ProcessObj:ProcessObjectType">
                    <ProcessObj:PID>1400</ProcessObj:PID>
                    <ProcessObj:Name>iexplore.exe</ProcessObj:Name>
                    <ProcessObj:Parent_PID>1300</ProcessObj:Parent_PID>
                    <ProcessObj:Image_Info>
                        <ProcessObj:File_Name>iexplore.exe</ProcessObj:File_Name>
                        <ProcessObj:Command_Line>"C:\program files\internet explorer\IEXPLORE.EXE"</ProcessObj:Command_Line>
                        <ProcessObj:Current_Directory>C:\Users\DSsDPMx042\Desktop</ProcessObj:Current_Directory>
                        <ProcessObj:Path>c:\program files\internet explorer\iexplore.exe</ProcessObj:Path>
                    </ProcessObj:Image_Info>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-752514f2-7a40-4576-afc7-e3984b990608">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-2f70a891-769e-4168-8d51-c4dc30bca61a">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>sice</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-9d3f8386-92a9-484e-a167-d58b19fb34d7">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-ca5963a0-aa18-482a-a692-cac42486333b">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>siwvid</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-68fd5e14-aee1-466f-a647-0e5cf66a4fac">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-6f0dbd3d-3536-4863-a7c6-91406936f33d">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>ntice</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-e69cc53f-768d-4245-a0d9-f82113c66baf">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-266b3e34-1aff-4236-92a3-76792bdd91f1">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:File_Name>program files\common files\microsoft shared\msinfo\fieleway.txt</FileObj:File_Name>
                    <FileObj:File_Path>program files\common files\microsoft shared\msinfo\fieleway.txt</FileObj:File_Path>
                    <FileObj:Device_Path>c:\</FileObj:Device_Path>
                    <FileObj:Full_Path>c:\program files\common files\microsoft shared\msinfo\fieleway.txt</FileObj:Full_Path>
                    <FileObj:File_Extension>txt</FileObj:File_Extension>
                    <FileObj:Hashes>
                        <cyboxCommon:Hash>
                            <cyboxCommon:Type>MD5</cyboxCommon:Type>
                            <cyboxCommon:Simple_Hash_Value>5718f05d3bdebb944ec1c02d56ff3a63</cyboxCommon:Simple_Hash_Value>
                        </cyboxCommon:Hash>
                        <cyboxCommon:Hash>
                            <cyboxCommon:Type>SHA1</cyboxCommon:Type>
                            <cyboxCommon:Simple_Hash_Value>035e87a09dad57fd972df857579fdb65f36a1395</cyboxCommon:Simple_Hash_Value>
                        </cyboxCommon:Hash>
                        <cyboxCommon:Hash>
                            <cyboxCommon:Type>SHA256</cyboxCommon:Type>
                            <cyboxCommon:Simple_Hash_Value>444ea6025185bf690be65b937723cd74ec2cf1030fc42f7a8f191ff6a238a5d6</cyboxCommon:Simple_Hash_Value>
                        </cyboxCommon:Hash>
                    </FileObj:Hashes>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-9d8b6537-9325-439b-800e-70d19b4ab5bd">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-74623d34-b977-453d-a5a5-a1a1b52d17ba">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:File_Name>users\dssdpmx042\desktop\explorer pro.exe</FileObj:File_Name>
                    <FileObj:File_Path>users\dssdpmx042\desktop\explorer pro.exe</FileObj:File_Path>
                    <FileObj:Device_Path>c:\</FileObj:Device_Path>
                    <FileObj:Full_Path>c:\users\dssdpmx042\desktop\explorer pro.exe</FileObj:Full_Path>
                    <FileObj:File_Extension>exe</FileObj:File_Extension>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-925e63c1-5dc2-4855-b3dc-4ccab2f1348b">
            <cybox:Title>WinRegistryKey</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:WinRegistryKey-b9dd3e78-3948-4a3e-a926-daeb0a493e48">
                <cybox:Properties xsi:type="WinRegistryKeyObj:WindowsRegistryKeyObjectType">
                    <WinRegistryKeyObj:Key>Software\WinLicense</WinRegistryKeyObj:Key>
                    <WinRegistryKeyObj:Hive>HKEY_LOCAL_MACHINE</WinRegistryKeyObj:Hive>
                    <WinRegistryKeyObj:Values>
                        <WinRegistryKeyObj:Value>
                            <WinRegistryKeyObj:Name>CheckIN</WinRegistryKeyObj:Name>
                            <WinRegistryKeyObj:Data>1</WinRegistryKeyObj:Data>
                            <WinRegistryKeyObj:Datatype>REG_DWORD_LITTLE_ENDIAN</WinRegistryKeyObj:Datatype>
                        </WinRegistryKeyObj:Value>
                    </WinRegistryKeyObj:Values>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-e4632202-6282-4aa7-a928-036146a72191">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-0cf94fc4-acbf-43ef-a89b-4cb1b5332878">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:File_Name>Users\DSsDPMx042\Desktop\Explorer Pro.exe</FileObj:File_Name>
                    <FileObj:File_Path>Users\DSsDPMx042\Desktop\Explorer Pro.exe</FileObj:File_Path>
                    <FileObj:Device_Path>C:\</FileObj:Device_Path>
                    <FileObj:Full_Path>C:\Users\DSsDPMx042\Desktop\Explorer Pro.exe</FileObj:Full_Path>
                    <FileObj:File_Extension>exe</FileObj:File_Extension>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-c75f37b5-d370-4c96-ab12-0d5e483f252b">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-1dc32981-407f-4d75-9526-247eb491e45d">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>sice</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-b4b6e01b-1ee0-4b2a-8c84-e538a78867cf">
            <cybox:Title>Process</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:Process-609305c4-cc27-469a-8c4b-d3fd3d36f53a">
                <cybox:Properties xsi:type="ProcessObj:ProcessObjectType">
                    <ProcessObj:PID>1400</ProcessObj:PID>
                    <ProcessObj:Name>iexplore.exe</ProcessObj:Name>
                    <ProcessObj:Parent_PID>1300</ProcessObj:Parent_PID>
                    <ProcessObj:Image_Info>
                        <ProcessObj:File_Name>iexplore.exe</ProcessObj:File_Name>
                        <ProcessObj:Command_Line>"C:\program files\internet explorer\IEXPLORE.EXE"</ProcessObj:Command_Line>
                        <ProcessObj:Current_Directory>C:\Users\DSsDPMx042\Desktop</ProcessObj:Current_Directory>
                        <ProcessObj:Path>c:\program files\internet explorer\iexplore.exe</ProcessObj:Path>
                    </ProcessObj:Image_Info>
                </cybox:Properties>
                <cybox:Related_Objects>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-1dc32981-407f-4d75-9526-247eb491e45d">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-80e714c4-4a25-4eec-bebb-c8f7d4de7d1c">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:File-7c02771a-3511-4f79-8056-cda38bc3a1c2">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                    <cybox:Related_Object idref="VMRayAnalyzer:WinRegistryKey-f38bce59-02b5-4a20-bc59-150e95e507a3">
                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Created</cybox:Relationship>
                    </cybox:Related_Object>
                </cybox:Related_Objects>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-cda989c4-ced4-47d8-b48c-f52f6da4c94d">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-80e714c4-4a25-4eec-bebb-c8f7d4de7d1c">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>siwvid</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-8c3e35fb-f3c8-4e47-8622-ff0c5e4f01aa">
            <cybox:Title>File</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:File-7c02771a-3511-4f79-8056-cda38bc3a1c2">
                <cybox:Properties xsi:type="FileObj:FileObjectType">
                    <FileObj:Full_Path>ntice</FileObj:Full_Path>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
        <cybox:Observable id="VMRayAnalyzer:Observable-25eb8b69-c57b-4535-8a97-80f7f38650c3">
            <cybox:Title>WinRegistryKey</cybox:Title>
            <cybox:Object id="VMRayAnalyzer:WinRegistryKey-f38bce59-02b5-4a20-bc59-150e95e507a3">
                <cybox:Properties xsi:type="WinRegistryKeyObj:WindowsRegistryKeyObjectType">
                    <WinRegistryKeyObj:Key>Software\WinLicense</WinRegistryKeyObj:Key>
                    <WinRegistryKeyObj:Hive>HKEY_LOCAL_MACHINE</WinRegistryKeyObj:Hive>
                    <WinRegistryKeyObj:Values>
                        <WinRegistryKeyObj:Value>
                            <WinRegistryKeyObj:Name>CheckIN</WinRegistryKeyObj:Name>
                            <WinRegistryKeyObj:Data>1</WinRegistryKeyObj:Data>
                            <WinRegistryKeyObj:Datatype>REG_DWORD_LITTLE_ENDIAN</WinRegistryKeyObj:Datatype>
                        </WinRegistryKeyObj:Value>
                    </WinRegistryKeyObj:Values>
                </cybox:Properties>
            </cybox:Object>
        </cybox:Observable>
    </stix:Observables>
    <stix:Indicators>
        <stix:Indicator id="VMRayAnalyzer:indicator-7ab0ae9d-5bcc-43ad-80a8-9f750e4822d0" timestamp="2016-10-13T14:45:22.004972+00:00" xsi:type='indicator:IndicatorType'>
            <indicator:Title>Analyzed Sample #625263</indicator:Title>
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">Malware Artifacts</indicator:Type>
            <indicator:Alternative_ID>625263</indicator:Alternative_ID>
            <indicator:Alternative_ID>Sample-ID: #625263</indicator:Alternative_ID>
            <indicator:Alternative_ID>Job-ID: #676568</indicator:Alternative_ID>
            <indicator:Description>Detect Virtualization / Hypervisor</indicator:Description>
            <indicator:Short_Description>This sample was analyzed by VMRay Analyzer 1.11.0 on a Windows 7 system</indicator:Short_Description>
            <indicator:Observable id="VMRayAnalyzer:Observable-047f0d2d-7b18-4371-bf06-963c41d4e1f8">
                <cybox:Observable_Composition operator="AND">
                    <cybox:Observable idref="VMRayAnalyzer:Observable-832c70a2-dfbb-4140-91cc-5b17a351bd35">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-ea4f3e2e-8286-441c-ba41-e96f87af53f9">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-b5284474-9c27-4eb6-a453-66cce32638f8">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-752514f2-7a40-4576-afc7-e3984b990608">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-9d3f8386-92a9-484e-a167-d58b19fb34d7">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-68fd5e14-aee1-466f-a647-0e5cf66a4fac">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-e69cc53f-768d-4245-a0d9-f82113c66baf">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-9d8b6537-9325-439b-800e-70d19b4ab5bd">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-925e63c1-5dc2-4855-b3dc-4ccab2f1348b">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-e4632202-6282-4aa7-a928-036146a72191">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-c75f37b5-d370-4c96-ab12-0d5e483f252b">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-b4b6e01b-1ee0-4b2a-8c84-e538a78867cf">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-cda989c4-ced4-47d8-b48c-f52f6da4c94d">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-8c3e35fb-f3c8-4e47-8622-ff0c5e4f01aa">
                    </cybox:Observable>
                    <cybox:Observable idref="VMRayAnalyzer:Observable-25eb8b69-c57b-4535-8a97-80f7f38650c3">
                    </cybox:Observable>
                </cybox:Observable_Composition>
            </indicator:Observable>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-d4b0c0f3-0cff-4a29-84e4-6656b7c54d12" timestamp="2016-10-13T14:45:22.007696+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-b1f68d8a-cc5c-4aed-8657-5e3c45401c39" timestamp="2016-10-13T14:45:22.008227+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-3612cd7d-f34b-491d-9c84-55efd3758981" timestamp="2016-10-13T14:45:22.008636+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-0d30b242-b24e-4de9-b9c4-f0f73cf0c790" timestamp="2016-10-13T14:45:22.009419+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-29de3d77-1778-4ffc-8cb2-fdcbeabe395a" timestamp="2016-10-13T14:45:22.009837+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-ff2b5478-f0bf-46f8-abdd-139d95a88b25" timestamp="2016-10-13T14:45:22.010238+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-11ee9bc7-8e4b-4cbb-b7f8-e2f09f337f94" timestamp="2016-10-13T14:45:22.010643+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-002e6e20-7a8d-4fb3-9cff-1f39d8d72860" timestamp="2016-10-13T14:45:22.011043+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-c028eb06-da6f-4087-b9f2-d89c27834ef8" timestamp="2016-10-13T14:45:22.011436+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-4ec86ba0-c2ef-409a-a19e-f80db7236eeb" timestamp="2016-10-13T14:45:22.011826+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-2fd99bee-90da-4f4a-bab5-8bf1dbe47806" timestamp="2016-10-13T14:45:22.012213+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-402516d4-de71-4b2e-a29c-cc50f928c45e" timestamp="2016-10-13T14:45:22.012597+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-349d6bd1-e412-4ac3-949c-6cf31cb85cab" timestamp="2016-10-13T14:45:22.013106+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-d3052fc0-7e8c-4ac5-8c7b-c202577d6e0f" timestamp="2016-10-13T14:45:22.013552+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-82b1e968-f3da-4a0a-af77-db741976dcbd" timestamp="2016-10-13T14:45:22.013949+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-539ff3e9-1ad4-4930-ab51-ca80537f3616" timestamp="2016-10-13T14:45:22.014336+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-a9db265f-5725-48f5-89f4-b9990ead057d" timestamp="2016-10-13T14:45:22.014751+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-a55f44c9-1861-471c-b4fc-e3fb688344d3" timestamp="2016-10-13T14:45:22.015150+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-65593d90-2558-41b0-aed2-e6ecf05a55af" timestamp="2016-10-13T14:45:22.015543+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-c5a4e24b-273c-4e6b-98b0-e95bc18aa988" timestamp="2016-10-13T14:45:22.015935+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Indicated_TTP>
                <stixCommon:TTP idref="VMRayAnalyzer:ttp-b38c3565-84f2-475b-b608-fd14a074e457" timestamp="2016-10-13T14:45:22.016325+00:00" xsi:type='ttp:TTPType'/>
            </indicator:Indicated_TTP>
            <indicator:Likely_Impact timestamp="2016-10-13T14:45:22.016651+00:00">
                <stixCommon:Value>91</stixCommon:Value>
                <stixCommon:Description>VTI Score based on VTI Database Version 2.2</stixCommon:Description>
            </indicator:Likely_Impact>
            <indicator:Related_Indicators>
                <indicator:Related_Indicator>
                    <stixCommon:Indicator id="VMRayAnalyzer:indicator-ab7bd020-cbb6-4e41-ba58-7cd3ac442a44" timestamp="2016-10-13T14:45:22.007188+00:00" xsi:type='indicator:IndicatorType'>
                        <indicator:Title>Metadata of Sample File #625263</indicator:Title>
                        <indicator:Alternative_ID>Submission-ID: #625263</indicator:Alternative_ID>
                        <indicator:Observable id="VMRayAnalyzer:Observable-1c288268-7a9e-4741-9776-235b99426d3d">
                            <cybox:Object id="VMRayAnalyzer:File-36422f29-c3c7-429a-ba2c-b445bc1bf3d2">
                                <cybox:Properties xsi:type="FileObj:FileObjectType">
                                    <FileObj:File_Name>C:\Users\DSsDPMx042\Desktop\Explorer Pro.exe</FileObj:File_Name>
                                    <FileObj:File_Extension>exe</FileObj:File_Extension>
                                    <FileObj:Hashes>
                                        <cyboxCommon:Hash>
                                            <cyboxCommon:Type>MD5</cyboxCommon:Type>
                                            <cyboxCommon:Simple_Hash_Value>be66787e9a1933b319e3694b4c348e38</cyboxCommon:Simple_Hash_Value>
                                        </cyboxCommon:Hash>
                                        <cyboxCommon:Hash>
                                            <cyboxCommon:Type>SHA1</cyboxCommon:Type>
                                            <cyboxCommon:Simple_Hash_Value>05ed9e77fc98cfce1bb9e4acad1b95f4167c5129</cyboxCommon:Simple_Hash_Value>
                                        </cyboxCommon:Hash>
                                        <cyboxCommon:Hash>
                                            <cyboxCommon:Type>SHA256</cyboxCommon:Type>
                                            <cyboxCommon:Simple_Hash_Value>ce7ddc6318d4e76ef0ad3d9b1a8f8ad90eb77a0bf53ab49e8440a0fb0b67aa39</cyboxCommon:Simple_Hash_Value>
                                        </cyboxCommon:Hash>
                                    </FileObj:Hashes>
                                </cybox:Properties>
                                <cybox:Related_Objects>
                                    <cybox:Related_Object idref="VMRayAnalyzer:Process-fc5de3a3-0c83-4fc4-a5be-3baebff18fff">
                                        <cybox:Relationship xsi:type="cyboxVocabs:ObjectRelationshipVocab-1.1">Opened_By</cybox:Relationship>
                                    </cybox:Related_Object>
                                </cybox:Related_Objects>
                            </cybox:Object>
                        </indicator:Observable>
                    </stixCommon:Indicator>
                </indicator:Related_Indicator>
            </indicator:Related_Indicators>
            <indicator:Producer>
                <stixCommon:Identity>
                    <stixCommon:Name>VMRay Analyzer</stixCommon:Name>
                </stixCommon:Identity>
            </indicator:Producer>
        </stix:Indicator>
    </stix:Indicators>
    <stix:TTPs>
        <stix:TTP id="VMRayAnalyzer:ttp-d4b0c0f3-0cff-4a29-84e4-6656b7c54d12" timestamp="2016-10-13T14:45:22.007696+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Process</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_allocate_wx_page</ttp:Title>
                        <ttp:Description>Allocate a page with "PAGE_EXECUTE_READWRITE" permissions, often used to dynamically unpack code.</ttp:Description>
                        <ttp:Short_Description>Allocate a page with write and execute permissions</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-b1f68d8a-cc5c-4aed-8657-5e3c45401c39" timestamp="2016-10-13T14:45:22.008227+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 2/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_debugger_by_window</ttp:Title>
                        <ttp:Description>Find window class "OLLYDBG".</ttp:Description>
                        <ttp:Short_Description>Try to detect debugger</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-3612cd7d-f34b-491d-9c84-55efd3758981" timestamp="2016-10-13T14:45:22.008636+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 2/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_debugger_by_window</ttp:Title>
                        <ttp:Description>Find window class "GBDYLLO".</ttp:Description>
                        <ttp:Short_Description>Try to detect debugger</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-0d30b242-b24e-4de9-b9c4-f0f73cf0c790" timestamp="2016-10-13T14:45:22.009419+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 2/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_debugger_by_window</ttp:Title>
                        <ttp:Description>Find window class "pediy06".</ttp:Description>
                        <ttp:Short_Description>Try to detect debugger</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-29de3d77-1778-4ffc-8cb2-fdcbeabe395a" timestamp="2016-10-13T14:45:22.009837+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window class "FilemonClass" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-ff2b5478-f0bf-46f8-abdd-139d95a88b25" timestamp="2016-10-13T14:45:22.010238+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window "File Monitor - Sysinternals: www.sysinternals.com" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-11ee9bc7-8e4b-4cbb-b7f8-e2f09f337f94" timestamp="2016-10-13T14:45:22.010643+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window class "PROCMON_WINDOW_CLASS" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-002e6e20-7a8d-4fb3-9cff-1f39d8d72860" timestamp="2016-10-13T14:45:22.011043+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_debugger_by_api</ttp:Title>
                        <ttp:Description>Check via API "NtQueryInformationProcess".</ttp:Description>
                        <ttp:Short_Description>Try to detect debugger</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-c028eb06-da6f-4087-b9f2-d89c27834ef8" timestamp="2016-10-13T14:45:22.011436+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window class "RegmonClass" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-4ec86ba0-c2ef-409a-a19e-f80db7236eeb" timestamp="2016-10-13T14:45:22.011826+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window "Registry Monitor - Sysinternals: www.sysinternals.com" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-2fd99bee-90da-4f4a-bab5-8bf1dbe47806" timestamp="2016-10-13T14:45:22.012213+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_forensic_tool_by_window</ttp:Title>
                        <ttp:Description>Search for the window class "18467-41" that is related to a forensic tool.</ttp:Description>
                        <ttp:Short_Description>Try to detect forensic tool</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-402516d4-de71-4b2e-a29c-cc50f928c45e" timestamp="2016-10-13T14:45:22.012597+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 2/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_debugger_by_api</ttp:Title>
                        <ttp:Description>Check via API "CheckRemoteDebuggerPresent".</ttp:Description>
                        <ttp:Short_Description>Try to detect debugger</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-349d6bd1-e412-4ac3-949c-6cf31cb85cab" timestamp="2016-10-13T14:45:22.013106+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Process</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_allocate_wx_page</ttp:Title>
                        <ttp:Description>Change the protection of a page from writable ("PAGE_WRITECOPY") to executable ("PAGE_EXECUTE_READWRITE").</ttp:Description>
                        <ttp:Short_Description>Allocate a page with write and execute permissions</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-d3052fc0-7e8c-4ac5-8c7b-c202577d6e0f" timestamp="2016-10-13T14:45:22.013552+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 4/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_illegitimate_api_usage_by_create_process_internal</ttp:Title>
                        <ttp:Description>Internal API "CreateProcessInternalA" was used to start ""C:\program files\internet explorer\IEXPLORE.EXE"".</ttp:Description>
                        <ttp:Short_Description>Illegitimate API usage</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-82b1e968-f3da-4a0a-af77-db741976dcbd" timestamp="2016-10-13T14:45:22.013949+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Process</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_create_process_with_hidden_window</ttp:Title>
                        <ttp:Description>The process ""C:\program files\internet explorer\IEXPLORE.EXE"" starts with hidden window.</ttp:Description>
                        <ttp:Short_Description>Create process with hidden window</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-539ff3e9-1ad4-4930-ab51-ca80537f3616" timestamp="2016-10-13T14:45:22.014336+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Process</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_allocate_wx_page</ttp:Title>
                        <ttp:Description>Allocate a page in a foreign process with "PAGE_EXECUTE_READWRITE" permissions, often used to dynamically unpack code.</ttp:Description>
                        <ttp:Short_Description>Allocate a page with write and execute permissions</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-a9db265f-5725-48f5-89f4-b9990ead057d" timestamp="2016-10-13T14:45:22.014751+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_virtualpc_by_vpcext</ttp:Title>
                        <ttp:Description>Possibly trying to detect VirtualPC via vpcext instruction at "0xb073f0f".</ttp:Description>
                        <ttp:Short_Description>Try to detect virtual machine</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-a55f44c9-1861-471c-b4fc-e3fb688344d3" timestamp="2016-10-13T14:45:22.015150+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Anti Analysis</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_detect_vm_by_rdtsc</ttp:Title>
                        <ttp:Description>Possibly trying to detect VM via rdtsc.</ttp:Description>
                        <ttp:Short_Description>Try to detect virtual machine</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-65593d90-2558-41b0-aed2-e6ecf05a55af" timestamp="2016-10-13T14:45:22.015543+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Injection</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 3/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_modify_control_flow</ttp:Title>
                        <ttp:Description>"c:\users\dssdpmx042\desktop\explorer pro.exe" alters context of "c:\program files\internet explorer\iexplore.exe"</ttp:Description>
                        <ttp:Short_Description>Modify control flow of an other process</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-c5a4e24b-273c-4e6b-98b0-e95bc18aa988" timestamp="2016-10-13T14:45:22.015935+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>PE</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_check_for_packed_pe_file</ttp:Title>
                        <ttp:Description>File "Explorer Pro.exe" is packed with "Themida/WinLicense V1.8.0.2 + -&gt; Oreans Technologies".</ttp:Description>
                        <ttp:Short_Description>PE file is packed</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
        <stix:TTP id="VMRayAnalyzer:ttp-b38c3565-84f2-475b-b608-fd14a074e457" timestamp="2016-10-13T14:45:22.016325+00:00" xsi:type='ttp:TTPType'>
            <ttp:Title>Process</ttp:Title>
            <ttp:Description>VTI rule match with VTI rule score 1/5</ttp:Description>
            <ttp:Behavior>
                <ttp:Attack_Patterns>
                    <ttp:Attack_Pattern>
                        <ttp:Title>vmray_control_flow_obfuscation</ttp:Title>
                        <ttp:Description>Modify exception handler (e.g., the instruction pointer is modified within an exception handler filter).</ttp:Description>
                        <ttp:Short_Description>Obfuscate control flow</ttp:Short_Description>
                    </ttp:Attack_Pattern>
                </ttp:Attack_Patterns>
            </ttp:Behavior>
        </stix:TTP>
    </stix:TTPs>
</stix:STIX_Package>