Trojan.DownLoader11.38955

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Time Agent Resource Input Tools' = '%APPDATA%\fjrmjqi\vtizrshvsxpk.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\fjrmjqi\pycjxshexne.exe' "%APPDATA%\fjrmjqi\vtizrshvsxpk.exe"
'%APPDATA%\fjrmjqi\vtizrshvsxpk.exe'

Executes the following:

'<SYSTEM32>\wbem\wmiadap.exe' /R /T

Modifies file system :

Creates the following files:

%APPDATA%\fjrmjqi\vtizrshvsxpk.dj7av
%APPDATA%\fjrmjqi\pycjxshexne.exe
%APPDATA%\fjrmjqi\vtizrshvsxpk.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\fjrmjqi\vtizrshvsxpk.exe

Deletes the following files:

<SYSTEM32>\PerfStringBackup.TMP
<SYSTEM32>\wbem\Performance\WmiApRpl.ini

Network activity:

Connects to:

'el#####cpresident.net':80
're####president.net':80
'el####ictrouble.net':80
'st####strong.net':80
'el####iccaught.net':80
're####caught.net':80
're####trouble.net':80
'la###caught.net':80
'ca#####president.net':80
'la####resident.net':80
'el####icstrong.net':80
're####strong.net':80
'ca####ncaught.net':80
'tr###strong.net':80
'ga####trouble.net':80
'be####trouble.net':80
'ga####strong.net':80
'be####caught.net':80
'ga####president.net':80
'be####president.net':80
'be####strong.net':80
'st####president.net':80
'tr####rouble.net':80
'st####trouble.net':80
'tr###caught.net':80
'st####caught.net':80
'tr####resident.net':80
'ca####ntrouble.net':80
'do###strong.net':80
'ag####tstrong.net':80
'se####arrive.net':80
'ag#####president.net':80
'do####rouble.net':80
'ag####ttrouble.net':80
'qu###arrive.net':80
'qu####istance.net':80
'se####supply.net':80
'qu###supply.net':80
'se####office.net':80
'qu###office.net':80
'se####distance.net':80
'do####resident.net':80
'de####caught.net':80
'ni###caught.net':80
'de####president.net':80
'la####rouble.net':80
'ca####nstrong.net':80
'la###strong.net':80
'ni####resident.net':80
'ni###strong.net':80
'do###caught.net':80
'ag####tcaught.net':80
'de####trouble.net':80
'ni####rouble.net':80
'de####strong.net':80

TCP:

HTTP GET requests:

el#####cpresident.net/index.php?em#############################################
re####president.net/index.php?em#############################################
el####ictrouble.net/index.php?em#############################################
st####strong.net/index.php?em#############################################
el####iccaught.net/index.php?em#############################################
re####caught.net/index.php?em#############################################
re####trouble.net/index.php?em#############################################
la###caught.net/index.php?em#############################################
ca#####president.net/index.php?em#############################################
la####resident.net/index.php?em#############################################
el####icstrong.net/index.php?em#############################################
re####strong.net/index.php?em#############################################
ca####ncaught.net/index.php?em#############################################
tr###strong.net/index.php?em#############################################
ga####trouble.net/index.php?em#############################################
be####trouble.net/index.php?em#############################################
ga####strong.net/index.php?em#############################################
be####caught.net/index.php?em#############################################
ga####president.net/index.php?em#############################################
be####president.net/index.php?em#############################################
be####strong.net/index.php?em#############################################
st####president.net/index.php?em#############################################
tr####rouble.net/index.php?em#############################################
st####trouble.net/index.php?em#############################################
tr###caught.net/index.php?em#############################################
st####caught.net/index.php?em#############################################
tr####resident.net/index.php?em#############################################
ca####ntrouble.net/index.php?em#############################################
do###strong.net/index.php?em#############################################
ag####tstrong.net/index.php?em#############################################
se####arrive.net/index.php?em#############################################
ag#####president.net/index.php?em#############################################
do####rouble.net/index.php?em#############################################
ag####ttrouble.net/index.php?em#############################################
qu###arrive.net/index.php?em#############################################
qu####istance.net/index.php?em#############################################
se####supply.net/index.php?em#############################################
qu###supply.net/index.php?em#############################################
se####office.net/index.php?em#############################################
qu###office.net/index.php?em#############################################
se####distance.net/index.php?em#############################################
do####resident.net/index.php?em#############################################
de####caught.net/index.php?em#############################################
ni###caught.net/index.php?em#############################################
de####president.net/index.php?em#############################################
la####rouble.net/index.php?em#############################################
ca####nstrong.net/index.php?em#############################################
la###strong.net/index.php?em#############################################
ni####resident.net/index.php?em#############################################
ni###strong.net/index.php?em#############################################
do###caught.net/index.php?em#############################################
ag####tcaught.net/index.php?em#############################################
de####trouble.net/index.php?em#############################################
ni####rouble.net/index.php?em#############################################
de####strong.net/index.php?em#############################################

UDP:

DNS ASK el#####cpresident.net
DNS ASK re####president.net
DNS ASK el####ictrouble.net
DNS ASK re####caught.net
DNS ASK tr###strong.net
DNS ASK st####strong.net
DNS ASK el####iccaught.net
DNS ASK la###caught.net
DNS ASK ca#####president.net
DNS ASK la####resident.net
DNS ASK ca####ncaught.net
DNS ASK re####trouble.net
DNS ASK el####icstrong.net
DNS ASK re####strong.net
DNS ASK ga####trouble.net
DNS ASK be####trouble.net
DNS ASK ga####strong.net
DNS ASK be####president.net
DNS ASK ga####caught.net
DNS ASK be####caught.net
DNS ASK ga####president.net
DNS ASK st####president.net
DNS ASK tr####rouble.net
DNS ASK st####trouble.net
DNS ASK tr####resident.net
DNS ASK be####strong.net
DNS ASK tr###caught.net
DNS ASK st####caught.net
DNS ASK do###strong.net
DNS ASK ag####tstrong.net
DNS ASK se####arrive.net
DNS ASK ag####ttrouble.net
DNS ASK do####resident.net
DNS ASK ag#####president.net
DNS ASK do####rouble.net
DNS ASK qu####istance.net
DNS ASK se####supply.net
DNS ASK qu###supply.net
DNS ASK se####distance.net
DNS ASK qu###arrive.net
DNS ASK se####office.net
DNS ASK qu###office.net
DNS ASK de####caught.net
DNS ASK ni###caught.net
DNS ASK de####president.net
DNS ASK la###strong.net
DNS ASK ca####ntrouble.net
DNS ASK la####rouble.net
DNS ASK ca####nstrong.net
DNS ASK ni###strong.net
DNS ASK do###caught.net
DNS ASK ag####tcaught.net
DNS ASK de####strong.net
DNS ASK ni####resident.net
DNS ASK de####trouble.net
DNS ASK ni####rouble.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial