Trojan.KillFiles.14700

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Device Layer Distributed Mapper User Driver' = '<SYSTEM32>\fobyxckmb.exe'

Creates the following services:

[<HKLM>\SYSTEM\ControlSet001\Services\Input Locator Policy Trap Base Distributed] 'Start' = '00000002'

Malicious functions:

To complicate detection of its presence in the operating system,

blocks the following features:

Windows Security Center

Creates and executes the following:

'<SYSTEM32>\ulooeoedbim.exe' "<SYSTEM32>\fobyxckmb.exe"
'%WINDIR%\Temp\vflswne13y9ygl2y.exe' -r 47274 tcp
'%TEMP%\vflswne13r82gl2ypgcekro.exe'
'<SYSTEM32>\fobyxckmb.exe'

Executes the following:

'<SYSTEM32>\wbem\wmiadap.exe' /R /T

Modifies file system :

Creates the following files:

<SYSTEM32>\iwlvdtjenxxnz\run
<SYSTEM32>\iwlvdtjenxxnz\rng
%WINDIR%\Temp\vflswne13y9ygl2y.exe
<SYSTEM32>\iwlvdtjenxxnz\cfg
<SYSTEM32>\ulooeoedbim.exe
%TEMP%\vflswne13r82gl2ypgcekro.exe
<SYSTEM32>\iwlvdtjenxxnz\tst
<SYSTEM32>\fobyxckmb.exe
<SYSTEM32>\iwlvdtjenxxnz\etc

Sets the 'hidden' attribute to the following files:

<SYSTEM32>\ulooeoedbim.exe
<SYSTEM32>\fobyxckmb.exe

Deletes the following files:

<SYSTEM32>\wbem\Performance\WmiApRpl.ini
<SYSTEM32>\PerfStringBackup.TMP
%WINDIR%\Temp\vflswne13y9ygl2y.exe
%TEMP%\vflswne13r82gl2ypgcekro.exe
<DRIVERS>\etc\hosts

Substitutes the HOSTS file.

Network activity:

Connects to:

'vi###wrote.net':80
'sp###wrote.net':80
'vi###cold.net':80
'sp###bone.net':80
'vi###fire.net':80
'sp###fire.net':80
'vi###bone.net':80
'eq###bone.net':80
'gr###wrote.net':80
'eq###wrote.net':80
'gr###bone.net':80
'sp###cold.net':80
'gr###fire.net':80
'eq###fire.net':80
'th###old.net':80
'dr###cold.net':80
'fa###ire.net':80
'dr###wrote.net':80
'th###one.net':80
'dr###bone.net':80
'th###rote.net':80
'wa###wrote.net':80
'fa###old.net':80
'wa###cold.net':80
'fa###rote.net':80
'wa###fire.net':80
'fa###one.net':80
'wa###bone.net':80
'wh###fire.net':80
'ta###hand.net':80
'up###ail.net':80
'sp###old.net':80
'sa###rote.net':80
'sp###rote.net':80
'sa###old.net':80
'wi###ruit.net':80
'sa###econd.net':80
'so###blood.net':80
'pi###rave.net':80
'wa###easy.net':80
'ro###tock.net':80
'ab###ead.net':80
'ta###bone.net':80
'gl###one.net':80
'ta###wrote.net':80
'gl###ire.net':80
'gr###cold.net':80
'eq###cold.net':80
'ta###fire.net':80
'sp###ire.net':80
'sa###one.net':80
'sp###one.net':80
'sa###ire.net':80
'gl###rote.net':80
'ta###cold.net':80
'gl###old.net':80

TCP:

HTTP GET requests:

vi###wrote.net/index.php?me################################################
sp###wrote.net/index.php?me################################################
vi###cold.net/index.php?me################################################
sp###bone.net/index.php?me################################################
vi###fire.net/index.php?me################################################
sp###fire.net/index.php?me################################################
vi###bone.net/index.php?me################################################
eq###bone.net/index.php?me################################################
gr###wrote.net/index.php?me################################################
eq###wrote.net/index.php?me################################################
gr###bone.net/index.php?me################################################
sp###cold.net/index.php?me################################################
gr###fire.net/index.php?me################################################
eq###fire.net/index.php?me################################################
th###old.net/index.php?me################################################
dr###cold.net/index.php?me################################################
fa###ire.net/index.php?me################################################
dr###wrote.net/index.php?me################################################
th###one.net/index.php?me################################################
dr###bone.net/index.php?me################################################
th###rote.net/index.php?me################################################
wa###wrote.net/index.php?me################################################
fa###old.net/index.php?me################################################
wa###cold.net/index.php?me################################################
fa###rote.net/index.php?me################################################
wa###fire.net/index.php?me################################################
fa###one.net/index.php?me################################################
wa###bone.net/index.php?me################################################
wh###fire.net/index.php?me################################################
ta###hand.net/index.php?me################################################
up###ail.net/index.php?me################################################
sp###old.net/index.php?me################################################
sa###rote.net/index.php?me################################################
sp###rote.net/index.php?me################################################
sa###old.net/index.php?me################################################
wi###ruit.net/index.php?me################################################
sa###econd.net/index.php?me################################################
so###blood.net/index.php?me################################################
pi###rave.net/index.php?me################################################
wa###easy.net/index.php?me################################################
ro###tock.net/index.php?me################################################
ab###ead.net/index.php?me################################################
ta###bone.net/index.php?me################################################
gl###one.net/index.php?me################################################
ta###wrote.net/index.php?me################################################
gl###ire.net/index.php?me################################################
gr###cold.net/index.php?me################################################
eq###cold.net/index.php?me################################################
ta###fire.net/index.php?me################################################
sp###ire.net/index.php?me################################################
sa###one.net/index.php?me################################################
sp###one.net/index.php?me################################################
sa###ire.net/index.php?me################################################
gl###rote.net/index.php?me################################################
ta###cold.net/index.php?me################################################
gl###old.net/index.php?me################################################

UDP:

DNS ASK vi###wrote.net
DNS ASK sp###wrote.net
DNS ASK vi###cold.net
DNS ASK sp###bone.net
DNS ASK vi###fire.net
DNS ASK sp###fire.net
DNS ASK vi###bone.net
DNS ASK eq###bone.net
DNS ASK gr###wrote.net
DNS ASK eq###wrote.net
DNS ASK gr###bone.net
DNS ASK sp###cold.net
DNS ASK gr###fire.net
DNS ASK eq###fire.net
DNS ASK th###old.net
DNS ASK dr###cold.net
DNS ASK fa###ire.net
DNS ASK dr###wrote.net
DNS ASK th###one.net
DNS ASK dr###bone.net
DNS ASK th###rote.net
DNS ASK wa###wrote.net
DNS ASK fa###old.net
DNS ASK wa###cold.net
DNS ASK fa###rote.net
DNS ASK wa###fire.net
DNS ASK fa###one.net
DNS ASK wa###bone.net
DNS ASK gr###cold.net
DNS ASK wh###fire.net
DNS ASK ta###hand.net
DNS ASK up###ail.net
DNS ASK sp###rote.net
DNS ASK sa###old.net
DNS ASK sp###old.net
DNS ASK wa###easy.net
DNS ASK wi###ruit.net
DNS ASK sa###econd.net
DNS ASK so###blood.net
DNS ASK ro###tock.net
DNS ASK ab###ead.net
DNS ASK pi###rave.net
DNS ASK sa###rote.net
DNS ASK ta###bone.net
DNS ASK gl###one.net
DNS ASK ta###wrote.net
DNS ASK eq###cold.net
DNS ASK ta###fire.net
DNS ASK gl###ire.net
DNS ASK gl###rote.net
DNS ASK sp###ire.net
DNS ASK sa###one.net
DNS ASK sp###one.net
DNS ASK ta###cold.net
DNS ASK gl###old.net
DNS ASK sa###ire.net
'23#.#55.255.250':1900

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial