Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Shell Discovery Bus Session Topology' = '%APPDATA%\maacofdsieeg\wwwsdnb.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\maacofdsieeg\kiwwhyx.exe' "%APPDATA%\maacofdsieeg\wwwsdnb.exe"
- '%APPDATA%\maacofdsieeg\wwwsdnb.exe'
Executes the following:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Modifies file system :
Creates the following files:
- %APPDATA%\maacofdsieeg\wwwsdnb.rctor
- %APPDATA%\maacofdsieeg\kiwwhyx.exe
- %APPDATA%\maacofdsieeg\wwwsdnb.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\maacofdsieeg\wwwsdnb.exe
Deletes the following files:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Network activity:
Connects to:
- 'su####opinion.net':80
- 'fo####nshort.net':80
- 'fo####nopinion.net':80
- 'fo####npromise.net':80
- 'su####promise.net':80
- 'su###nshort.net':80
- 'pe####promise.net':80
- 'ma####eopinion.net':80
- 'ma####epromise.net':80
- 'fo####nshould.net':80
- 'su####should.net':80
- 'ri####romise.net':80
- 'wh####rpromise.net':80
- 'fi####should.net':80
- 'fi###eshort.net':80
- 'th####should.net':80
- 'ri####pinion.net':80
- 'ri###should.net':80
- 'wh####rshould.net':80
- 'wh####rshort.net':80
- 'wh####ropinion.net':80
- 'ri###short.net':80
- 'pe####opinion.net':80
- 'st###guard.net':80
- 'st####thguard.net':80
- 'st####thfence.net':80
- 'ex####should.net':80
- 'st###fence.net':80
- 'st####traight.net':80
- 'de###efence.net':80
- 'pr####efence.net':80
- 'st#####hairplane.net':80
- 'st#####hstraight.net':80
- 'st####irplane.net':80
- 'pe####should.net':80
- 'be####epromise.net':80
- 'ma####eshould.net':80
- 'ma####eshort.net':80
- 'pe###nshort.net':80
- 'ex####promise.net':80
- 'ex###tshort.net':80
- 'be####eshould.net':80
- 'be####eshort.net':80
- 'be####eopinion.net':80
- 'ex####opinion.net':80
TCP:
HTTP GET requests:
- su####opinion.net/index.php?em########################################
- fo####nshort.net/index.php?em########################################
- fo####nopinion.net/index.php?em########################################
- fo####npromise.net/index.php?em########################################
- su####promise.net/index.php?em########################################
- su###nshort.net/index.php?em########################################
- pe####promise.net/index.php?em########################################
- ma####eopinion.net/index.php?em########################################
- ma####epromise.net/index.php?em########################################
- fo####nshould.net/index.php?em########################################
- su####should.net/index.php?em########################################
- ri####romise.net/index.php?em########################################
- wh####rpromise.net/index.php?em########################################
- fi####should.net/index.php?em########################################
- fi###eshort.net/index.php?em########################################
- th####should.net/index.php?em########################################
- ri####pinion.net/index.php?em########################################
- ri###should.net/index.php?em########################################
- wh####rshould.net/index.php?em########################################
- wh####rshort.net/index.php?em########################################
- wh####ropinion.net/index.php?em########################################
- ri###short.net/index.php?em########################################
- pe####opinion.net/index.php?em########################################
- st###guard.net/index.php?em########################################
- st####thguard.net/index.php?em########################################
- st####thfence.net/index.php?em########################################
- ex####should.net/index.php?em########################################
- st###fence.net/index.php?em########################################
- st####traight.net/index.php?em########################################
- de###efence.net/index.php?em########################################
- pr####efence.net/index.php?em########################################
- st#####hairplane.net/index.php?em########################################
- st#####hstraight.net/index.php?em########################################
- st####irplane.net/index.php?em########################################
- pe####should.net/index.php?em########################################
- be####epromise.net/index.php?em########################################
- ma####eshould.net/index.php?em########################################
- ma####eshort.net/index.php?em########################################
- pe###nshort.net/index.php?em########################################
- ex####promise.net/index.php?em########################################
- ex###tshort.net/index.php?em########################################
- be####eshould.net/index.php?em########################################
- be####eshort.net/index.php?em########################################
- be####eopinion.net/index.php?em########################################
- ex####opinion.net/index.php?em########################################
UDP:
- DNS ASK su####opinion.net
- DNS ASK fo####nshort.net
- DNS ASK fo####nopinion.net
- DNS ASK fo####npromise.net
- DNS ASK su####promise.net
- DNS ASK su###nshort.net
- DNS ASK pe####promise.net
- DNS ASK ma####eopinion.net
- DNS ASK ma####epromise.net
- DNS ASK fo####nshould.net
- DNS ASK su####should.net
- DNS ASK ri####romise.net
- DNS ASK wh####rpromise.net
- DNS ASK fi####should.net
- DNS ASK fi###eshort.net
- DNS ASK th####should.net
- DNS ASK ri####pinion.net
- DNS ASK ri###should.net
- DNS ASK wh####rshould.net
- DNS ASK wh####rshort.net
- DNS ASK wh####ropinion.net
- DNS ASK ri###short.net
- DNS ASK pe####opinion.net
- DNS ASK st###guard.net
- DNS ASK st####thguard.net
- DNS ASK st####thfence.net
- DNS ASK ex####should.net
- DNS ASK st###fence.net
- DNS ASK st####traight.net
- DNS ASK de###efence.net
- DNS ASK pr####efence.net
- DNS ASK st#####hairplane.net
- DNS ASK st#####hstraight.net
- DNS ASK st####irplane.net
- DNS ASK pe####should.net
- DNS ASK be####epromise.net
- DNS ASK ma####eshould.net
- DNS ASK ma####eshort.net
- DNS ASK pe###nshort.net
- DNS ASK ex####promise.net
- DNS ASK ex###tshort.net
- DNS ASK be####eshould.net
- DNS ASK be####eshort.net
- DNS ASK be####eopinion.net
- DNS ASK ex####opinion.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''