Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'User-mode Helper Defender Management' = '%APPDATA%\kkxhwzodtvtouu\qvybyxjk.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\kkxhwzodtvtouu\mekxxmenofi.exe' "%APPDATA%\kkxhwzodtvtouu\qvybyxjk.exe"
- '%APPDATA%\kkxhwzodtvtouu\qvybyxjk.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\kkxhwzodtvtouu\qvybyxjk.ksoem
- %APPDATA%\kkxhwzodtvtouu\mekxxmenofi.exe
- %APPDATA%\kkxhwzodtvtouu\qvybyxjk.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\kkxhwzodtvtouu\qvybyxjk.exe
Network activity:
Connects to:
- 'ef####beside.net':80
- 'th####hbeside.net':80
- 'ef####surprise.net':80
- 'th####hsurprise.net':80
- 'ef####letter.net':80
- 'th#####different.net':80
- 'fo####surprise.net':80
- 'th####hletter.net':80
- 'ef####different.net':80
- 'su####different.net':80
- 'wi####surprise.net':80
- 'su####surprise.net':80
- 'ch####ifferent.net':80
- 'th####ifferent.net':80
- 'wi####beside.net':80
- 'su####letter.net':80
- 'wi####different.net':80
- 'su####beside.net':80
- 'wi####letter.net':80
- 'in#####esurprise.net':80
- 'wo####ifferent.net':80
- 're#####rdifferent.net':80
- 'wo###letter.net':80
- 're####erletter.net':80
- 'de###eclean.net':80
- 'fo####dpaint.net':80
- 'de####course.net':80
- 'fo####dclean.net':80
- 'de###epaint.net':80
- 're####erbeside.net':80
- 'fo####letter.net':80
- 'in####seletter.net':80
- 'fo####beside.net':80
- 'in####sebeside.net':80
- 'fo####different.net':80
- 're#####rsurprise.net':80
- 'wo###beside.net':80
- 'in#####edifferent.net':80
- 'wo####urprise.net':80
- 'th###letter.net':80
- 'jo####ybeside.net':80
- 'hu####dbeside.net':80
- 'jo####ysurprise.net':80
- 'hu####dsurprise.net':80
- 'jo####yletter.net':80
- 'hu#####different.net':80
- 'de####ysurprise.net':80
- 'hu####dletter.net':80
- 'jo#####different.net':80
- 're####ercountry.net':80
- 'wo####entury.net':80
- 're####ercentury.net':80
- 'fo####country.net':80
- 'in####secountry.net':80
- 'wo###famous.net':80
- 're####erpower.net':80
- 'wo####ountry.net':80
- 're####erfamous.net':80
- 'wo###power.net':80
- 'li####surprise.net':80
- 'ri####different.net':80
- 'be####different.net':80
- 'ri####letter.net':80
- 'be####letter.net':80
- 'ch####urprise.net':80
- 'th###beside.net':80
- 'ch###letter.net':80
- 'th####urprise.net':80
- 'ch###beside.net':80
- 'be####beside.net':80
- 'de####yletter.net':80
- 'li####letter.net':80
- 'de####ybeside.net':80
- 'li####beside.net':80
- 'de#####different.net':80
- 'be####surprise.net':80
- 'ri####beside.net':80
- 'li####different.net':80
- 'ri####surprise.net':80
TCP:
HTTP GET requests:
- ef####beside.net/index.php?em##########################################
- th####hbeside.net/index.php?em##########################################
- ef####surprise.net/index.php?em##########################################
- th####hsurprise.net/index.php?em##########################################
- ef####letter.net/index.php?em##########################################
- th#####different.net/index.php?em##########################################
- fo####surprise.net/index.php?em##########################################
- th####hletter.net/index.php?em##########################################
- ef####different.net/index.php?em##########################################
- su####different.net/index.php?em##########################################
- wi####surprise.net/index.php?em##########################################
- su####surprise.net/index.php?em##########################################
- ch####ifferent.net/index.php?em##########################################
- th####ifferent.net/index.php?em##########################################
- wi####beside.net/index.php?em##########################################
- su####letter.net/index.php?em##########################################
- wi####different.net/index.php?em##########################################
- su####beside.net/index.php?em##########################################
- wi####letter.net/index.php?em##########################################
- in#####esurprise.net/index.php?em##########################################
- wo####ifferent.net/index.php?em##########################################
- re#####rdifferent.net/index.php?em##########################################
- wo###letter.net/index.php?em##########################################
- re####erletter.net/index.php?em##########################################
- de###eclean.net/index.php?em##########################################
- fo####dpaint.net/index.php?em##########################################
- de####course.net/index.php?em##########################################
- fo####dclean.net/index.php?em##########################################
- de###epaint.net/index.php?em##########################################
- re####erbeside.net/index.php?em##########################################
- fo####letter.net/index.php?em##########################################
- in####seletter.net/index.php?em##########################################
- fo####beside.net/index.php?em##########################################
- in####sebeside.net/index.php?em##########################################
- fo####different.net/index.php?em##########################################
- re#####rsurprise.net/index.php?em##########################################
- wo###beside.net/index.php?em##########################################
- in#####edifferent.net/index.php?em##########################################
- wo####urprise.net/index.php?em##########################################
- th###letter.net/index.php?em##########################################
- jo####ybeside.net/index.php?em##########################################
- hu####dbeside.net/index.php?em##########################################
- jo####ysurprise.net/index.php?em##########################################
- hu####dsurprise.net/index.php?em##########################################
- jo####yletter.net/index.php?em##########################################
- hu#####different.net/index.php?em##########################################
- de####ysurprise.net/index.php?em##########################################
- hu####dletter.net/index.php?em##########################################
- jo#####different.net/index.php?em##########################################
- re####ercountry.net/index.php?em##########################################
- wo####entury.net/index.php?em##########################################
- re####ercentury.net/index.php?em##########################################
- fo####country.net/index.php?em##########################################
- in####secountry.net/index.php?em##########################################
- wo###famous.net/index.php?em##########################################
- re####erpower.net/index.php?em##########################################
- wo####ountry.net/index.php?em##########################################
- re####erfamous.net/index.php?em##########################################
- wo###power.net/index.php?em##########################################
- li####surprise.net/index.php?em##########################################
- ri####different.net/index.php?em##########################################
- be####different.net/index.php?em##########################################
- ri####letter.net/index.php?em##########################################
- be####letter.net/index.php?em##########################################
- ch####urprise.net/index.php?em##########################################
- th###beside.net/index.php?em##########################################
- ch###letter.net/index.php?em##########################################
- th####urprise.net/index.php?em##########################################
- ch###beside.net/index.php?em##########################################
- be####beside.net/index.php?em##########################################
- de####yletter.net/index.php?em##########################################
- li####letter.net/index.php?em##########################################
- de####ybeside.net/index.php?em##########################################
- li####beside.net/index.php?em##########################################
- de#####different.net/index.php?em##########################################
- be####surprise.net/index.php?em##########################################
- ri####beside.net/index.php?em##########################################
- li####different.net/index.php?em##########################################
- ri####surprise.net/index.php?em##########################################
UDP:
- DNS ASK th####hbeside.net
- DNS ASK ef####letter.net
- DNS ASK ef####beside.net
- DNS ASK ef####surprise.net
- DNS ASK th####hsurprise.net
- DNS ASK fo####surprise.net
- DNS ASK in#####esurprise.net
- DNS ASK th#####different.net
- DNS ASK th####hletter.net
- DNS ASK ef####different.net
- DNS ASK su####surprise.net
- DNS ASK wi####beside.net
- DNS ASK wi####surprise.net
- DNS ASK ch####ifferent.net
- DNS ASK th####ifferent.net
- DNS ASK wi####different.net
- DNS ASK su####different.net
- DNS ASK su####letter.net
- DNS ASK su####beside.net
- DNS ASK wi####letter.net
- DNS ASK re#####rdifferent.net
- DNS ASK de###eclean.net
- DNS ASK wo####ifferent.net
- DNS ASK wo###letter.net
- DNS ASK re####erletter.net
- DNS ASK de####course.net
- DNS ASK fo####dcourse.net
- DNS ASK fo####dpaint.net
- DNS ASK fo####dclean.net
- DNS ASK de###epaint.net
- DNS ASK in####seletter.net
- DNS ASK fo####different.net
- DNS ASK fo####letter.net
- DNS ASK fo####beside.net
- DNS ASK in####sebeside.net
- DNS ASK wo###beside.net
- DNS ASK re####erbeside.net
- DNS ASK re#####rsurprise.net
- DNS ASK in#####edifferent.net
- DNS ASK wo####urprise.net
- DNS ASK hu####dbeside.net
- DNS ASK jo####yletter.net
- DNS ASK jo####ybeside.net
- DNS ASK jo####ysurprise.net
- DNS ASK hu####dsurprise.net
- DNS ASK de####ysurprise.net
- DNS ASK li####surprise.net
- DNS ASK hu#####different.net
- DNS ASK hu####dletter.net
- DNS ASK jo#####different.net
- DNS ASK re####ercentury.net
- DNS ASK wo###famous.net
- DNS ASK wo####entury.net
- DNS ASK fo####country.net
- DNS ASK in####secountry.net
- DNS ASK wo####ountry.net
- DNS ASK re####ercountry.net
- DNS ASK re####erpower.net
- DNS ASK re####erfamous.net
- DNS ASK wo###power.net
- DNS ASK be####different.net
- DNS ASK ch####urprise.net
- DNS ASK ri####different.net
- DNS ASK ri####letter.net
- DNS ASK be####letter.net
- DNS ASK ch###letter.net
- DNS ASK th###letter.net
- DNS ASK th###beside.net
- DNS ASK th####urprise.net
- DNS ASK ch###beside.net
- DNS ASK li####letter.net
- DNS ASK de#####different.net
- DNS ASK de####yletter.net
- DNS ASK de####ybeside.net
- DNS ASK li####beside.net
- DNS ASK ri####beside.net
- DNS ASK be####beside.net
- DNS ASK be####surprise.net
- DNS ASK li####different.net
- DNS ASK ri####surprise.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''