Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'a3a1aaa9bea9a7e0abb6ab' = '%APPDATA%\gpgi.exe'
Modifies file system :
Moves itself:
- from <Full path to virus> to %APPDATA%\gpgi.exe
Network activity:
Connects to:
- 'ap##.#oreasys12.com':80
- 'ap##.#oreasys13.com':80
- 'ap##.#oreasys10.com':80
- 'ap##.#oreasys11.com':80
- 'ap##.#oreasys16.com':80
- 'ap##.#oreasys17.com':80
- 'ap##.#oreasys14.com':80
- 'ap##.#oreasys15.com':80
- 'ap##.#oreasys9.com':80
- 'ap##.#oreasys3.com':80
- 'ap##.#oreasys4.com':80
- 'ap##.#oreasys1.com':80
- 'ap##.#oreasys2.com':80
- 'ap##.#oreasys7.com':80
- 'ap##.#oreasys8.com':80
- 'ap##.#oreasys5.com':80
- 'ap##.#oreasys6.com':80
TCP:
HTTP GET requests:
- ap##.#oreasys12.comhttp://appx.koreasys12.com/app.asp?pr################################################################
- ap##.#oreasys13.comhttp://appx.koreasys13.com/app.asp?pr################################################################
- ap##.#oreasys10.comhttp://appx.koreasys10.com/app.asp?pr################################################################
- ap##.#oreasys11.comhttp://appx.koreasys11.com/app.asp?pr################################################################
- ap##.#oreasys16.comhttp://appx.koreasys16.com/app.asp?pr################################################################
- ap##.#oreasys17.comhttp://appx.koreasys17.com/app.asp?pr################################################################
- ap##.#oreasys14.comhttp://appx.koreasys14.com/app.asp?pr################################################################
- ap##.#oreasys15.comhttp://appx.koreasys15.com/app.asp?pr################################################################
- ap##.#oreasys9.comhttp://appx.koreasys9.com/app.asp?pr################################################################
- ap##.#oreasys3.comhttp://appx.koreasys3.com/app.asp?pr################################################################
- ap##.#oreasys4.comhttp://appx.koreasys4.com/app.asp?pr################################################################
- ap##.#oreasys1.comhttp://appx.koreasys1.com/app.asp?pr################################################################
- ap##.#oreasys2.comhttp://appx.koreasys2.com/app.asp?pr################################################################
- ap##.#oreasys7.comhttp://appx.koreasys7.com/app.asp?pr################################################################
- ap##.#oreasys8.comhttp://appx.koreasys8.com/app.asp?pr################################################################
- ap##.#oreasys5.comhttp://appx.koreasys5.com/app.asp?pr################################################################
- ap##.#oreasys6.comhttp://appx.koreasys6.com/app.asp?pr################################################################
UDP:
- DNS ASK ap##.#oreasys67.com
- DNS ASK ap##.#oreasys68.com
- DNS ASK ap##.#oreasys69.com
- DNS ASK ap##.#oreasys63.com
- DNS ASK ap##.#oreasys65.com
- DNS ASK ap##.#oreasys66.com
- DNS ASK ap##.#oreasys73.com
- DNS ASK ap##.#oreasys74.com
- DNS ASK ap##.#oreasys75.com
- DNS ASK ap##.#oreasys70.com
- DNS ASK ap##.#oreasys71.com
- DNS ASK ap##.#oreasys72.com
- DNS ASK ap##.#oreasys54.com
- DNS ASK ap##.#oreasys55.com
- DNS ASK ap##.#oreasys56.com
- DNS ASK ap##.#oreasys50.com
- DNS ASK ap##.#oreasys51.com
- DNS ASK ap##.#oreasys52.com
- DNS ASK ap##.#oreasys60.com
- DNS ASK ap##.#oreasys61.com
- DNS ASK ap##.#oreasys62.com
- DNS ASK ap##.#oreasys57.com
- DNS ASK ap##.#oreasys58.com
- DNS ASK ap##.#oreasys59.com
- DNS ASK ap##.#oreasys94.com
- DNS ASK ap##.#oreasys95.com
- DNS ASK ap##.#oreasys96.com
- DNS ASK ap##.#oreasys91.com
- DNS ASK ap##.#oreasys92.com
- DNS ASK ap##.#oreasys93.com
- DNS ASK ap##.##reasys100.com
- DNS ASK ap##.#oreasys0.com
- DNS ASK px.###easys3.com
- DNS ASK ap##.#oreasys97.com
- DNS ASK ap##.#oreasys98.com
- DNS ASK ap##.#oreasys99.com
- DNS ASK ap##.#oreasys82.com
- DNS ASK ap##.#oreasys83.com
- DNS ASK ap##.#oreasys84.com
- DNS ASK ap##.#oreasys76.com
- DNS ASK ap##.#oreasys77.com
- DNS ASK ap##.#oreasys81.com
- DNS ASK ap##.#oreasys88.com
- DNS ASK ap##.#oreasys89.com
- DNS ASK ap##.#oreasys90.com
- DNS ASK ap##.#oreasys85.com
- DNS ASK ap##.#oreasys86.com
- DNS ASK ap##.#oreasys87.com
- DNS ASK ap##.#oreasys49.com
- DNS ASK ap##.#oreasys16.com
- DNS ASK ap##.#oreasys17.com
- DNS ASK ap##.#oreasys18.com
- DNS ASK ap##.#oreasys13.com
- DNS ASK ap##.#oreasys14.com
- DNS ASK ap##.#oreasys15.com
- DNS ASK ap##.#oreasys22.com
- DNS ASK ap##.#oreasys23.com
- DNS ASK ap##.#oreasys24.com
- DNS ASK ap##.#oreasys19.com
- DNS ASK ap##.#oreasys20.com
- DNS ASK ap##.#oreasys21.com
- DNS ASK ap##.#oreasys4.com
- DNS ASK ap##.#oreasys5.com
- DNS ASK ap##.#oreasys6.com
- DNS ASK ap##.#oreasys1.com
- DNS ASK ap##.#oreasys2.com
- DNS ASK ap##.#oreasys3.com
- DNS ASK ap##.#oreasys10.com
- DNS ASK ap##.#oreasys11.com
- DNS ASK ap##.#oreasys12.com
- DNS ASK ap##.#oreasys7.com
- DNS ASK ap##.#oreasys8.com
- DNS ASK ap##.#oreasys9.com
- DNS ASK ap##.#oreasys40.com
- DNS ASK ap##.#oreasys41.com
- DNS ASK ap##.#oreasys42.com
- DNS ASK ap##.#oreasys37.com
- DNS ASK ap##.#oreasys38.com
- DNS ASK ap##.#oreasys39.com
- DNS ASK ap##.#oreasys46.com
- DNS ASK ap##.#oreasys47.com
- DNS ASK ap##.#oreasys48.com
- DNS ASK ap##.#oreasys43.com
- DNS ASK ap##.#oreasys44.com
- DNS ASK ap##.#oreasys45.com
- DNS ASK ap##.#oreasys28.com
- DNS ASK ap##.#oreasys29.com
- DNS ASK ap##.#oreasys30.com
- DNS ASK ap##.#oreasys25.com
- DNS ASK ap##.#oreasys26.com
- DNS ASK ap##.#oreasys27.com
- DNS ASK ap##.#oreasys34.com
- DNS ASK ap##.#oreasys35.com
- DNS ASK ap##.#oreasys36.com
- DNS ASK ap##.#oreasys31.com
- DNS ASK ap##.#oreasys32.com
- DNS ASK ap##.#oreasys33.com
Miscellaneous:
Searches for the following windows:
- ClassName: 'Indicator' WindowName: ''