Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Mapper Foundation Telephony Session' = '%APPDATA%\lknalddx\mkhiscxwjba.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\lknalddx\qfdzsulzy.exe' "%APPDATA%\lknalddx\mkhiscxwjba.exe"
- '%APPDATA%\lknalddx\mkhiscxwjba.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\lknalddx\mkhiscxwjba.zhrx
- %APPDATA%\lknalddx\qfdzsulzy.exe
- %APPDATA%\lknalddx\mkhiscxwjba.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\lknalddx\mkhiscxwjba.exe
Network activity:
Connects to:
- 'mo####gfinger.net':80
- 'ra####finger.net':80
- 'st####euntil.net':80
- 'st####eabove.net':80
- 'hi####yuntil.net':80
- 'ra###rabove.net':80
- 'mo####guntil.net':80
- 'mo####gabove.net':80
- 'mo####gshoulder.net':80
- 'ra####shoulder.net':80
- 'hi####yabove.net':80
- 'am###tabove.net':80
- 'we####runtil.net':80
- 'we####rabove.net':80
- 'we####rshoulder.net':80
- 'am####shoulder.net':80
- 'hi####yshoulder.net':80
- 'st####eshoulder.net':80
- 'st####efinger.net':80
- 'am###tuntil.net':80
- 'hi####yfinger.net':80
- 'ra###runtil.net':80
- 'al###until.net':80
- 'of###until.net':80
- 'of###above.net':80
- 'of####houlder.net':80
- 'al###above.net':80
- 'ch####houlder.net':80
- 'co####eabove.net':80
- 'co####eshoulder.net':80
- 'co####efinger.net':80
- 'ch###finger.net':80
- 'al####houlder.net':80
- 'mi####shoulder.net':80
- 'tw###eabove.net':80
- 'tw####shoulder.net':80
- 'tw####finger.net':80
- 'mi####finger.net':80
- 'al###finger.net':80
- 'of###finger.net':80
- 'mi###euntil.net':80
- 'mi###eabove.net':80
- 'tw###euntil.net':80
TCP:
HTTP GET requests:
- mo####gfinger.net/index.php?em######################################
- ra####finger.net/index.php?em######################################
- st####euntil.net/index.php?em######################################
- st####eabove.net/index.php?em######################################
- hi####yuntil.net/index.php?em######################################
- ra###rabove.net/index.php?em######################################
- mo####guntil.net/index.php?em######################################
- mo####gabove.net/index.php?em######################################
- mo####gshoulder.net/index.php?em######################################
- ra####shoulder.net/index.php?em######################################
- hi####yabove.net/index.php?em######################################
- am###tabove.net/index.php?em######################################
- we####runtil.net/index.php?em######################################
- we####rabove.net/index.php?em######################################
- we####rshoulder.net/index.php?em######################################
- am####shoulder.net/index.php?em######################################
- hi####yshoulder.net/index.php?em######################################
- st####eshoulder.net/index.php?em######################################
- st####efinger.net/index.php?em######################################
- am###tuntil.net/index.php?em######################################
- hi####yfinger.net/index.php?em######################################
- ra###runtil.net/index.php?em######################################
- al###until.net/index.php?em######################################
- of###until.net/index.php?em######################################
- of###above.net/index.php?em######################################
- of####houlder.net/index.php?em######################################
- al###above.net/index.php?em######################################
- ch####houlder.net/index.php?em######################################
- co####eabove.net/index.php?em######################################
- co####eshoulder.net/index.php?em######################################
- co####efinger.net/index.php?em######################################
- ch###finger.net/index.php?em######################################
- al####houlder.net/index.php?em######################################
- mi####shoulder.net/index.php?em######################################
- tw###eabove.net/index.php?em######################################
- tw####shoulder.net/index.php?em######################################
- tw####finger.net/index.php?em######################################
- mi####finger.net/index.php?em######################################
- al###finger.net/index.php?em######################################
- of###finger.net/index.php?em######################################
- mi###euntil.net/index.php?em######################################
- mi###eabove.net/index.php?em######################################
- tw###euntil.net/index.php?em######################################
UDP:
- DNS ASK mo####gfinger.net
- DNS ASK ra####finger.net
- DNS ASK st####euntil.net
- DNS ASK st####eabove.net
- DNS ASK hi####yuntil.net
- DNS ASK ra###rabove.net
- DNS ASK mo####guntil.net
- DNS ASK mo####gabove.net
- DNS ASK mo####gshoulder.net
- DNS ASK ra####shoulder.net
- DNS ASK hi####yabove.net
- DNS ASK am###tabove.net
- DNS ASK we####runtil.net
- DNS ASK we####rabove.net
- DNS ASK we####rshoulder.net
- DNS ASK am####shoulder.net
- DNS ASK hi####yshoulder.net
- DNS ASK st####eshoulder.net
- DNS ASK st####efinger.net
- DNS ASK am###tuntil.net
- DNS ASK hi####yfinger.net
- DNS ASK ra###runtil.net
- DNS ASK al###until.net
- DNS ASK of###until.net
- DNS ASK of###above.net
- DNS ASK of####houlder.net
- DNS ASK al###above.net
- DNS ASK ch####houlder.net
- DNS ASK co####eabove.net
- DNS ASK co####eshoulder.net
- DNS ASK co####efinger.net
- DNS ASK ch###finger.net
- DNS ASK al####houlder.net
- DNS ASK mi####shoulder.net
- DNS ASK tw###eabove.net
- DNS ASK tw####shoulder.net
- DNS ASK tw####finger.net
- DNS ASK mi####finger.net
- DNS ASK al###finger.net
- DNS ASK of###finger.net
- DNS ASK mi###euntil.net
- DNS ASK mi###eabove.net
- DNS ASK tw###euntil.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''