Trojan.DownLoader12.13050

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'DLL Window List Store Encrypting Log' = '%APPDATA%\feucbmqqhdnlnnz\wekznqpti.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\feucbmqqhdnlnnz\fsapsqhqab.exe' "%APPDATA%\feucbmqqhdnlnnz\wekznqpti.exe"
'%APPDATA%\feucbmqqhdnlnnz\wekznqpti.exe'

Executes the following:

'<SYSTEM32>\wbem\wmiadap.exe' /R /T

Modifies file system :

Creates the following files:

%APPDATA%\feucbmqqhdnlnnz\wekznqpti.qvl9w
%APPDATA%\feucbmqqhdnlnnz\fsapsqhqab.exe
%APPDATA%\feucbmqqhdnlnnz\wekznqpti.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\feucbmqqhdnlnnz\wekznqpti.exe

Network activity:

Connects to:

'wh####rdiscover.net':80
'ri###wonder.net':80
'ri####iscover.net':80
'th####continue.net':80
'fi####continue.net':80
'ri####ontinue.net':80
'wh####rcontinue.net':80
'wh####rmaster.net':80
'wh####rwonder.net':80
'ri###master.net':80
'fi####master.net':80
'ci#####tecontinue.net':80
'pi####econtinue.net':80
'pi####emaster.net':80
'pi####ewonder.net':80
'ci####ttemaster.net':80
'fi####wonder.net':80
'th####master.net':80
'th####wonder.net':80
'th####discover.net':80
'fi####discover.net':80
'fo####ndiscover.net':80
'pe####continue.net':80
'be####ediscover.net':80
'ma####econtinue.net':80
'ma####emaster.net':80
'pe####master.net':80
'be####emaster.net':80
'ex####master.net':80
'ex####wonder.net':80
'ex####discover.net':80
'be####ewonder.net':80
'pe####wonder.net':80
'fo####nmaster.net':80
'su####master.net':80
'su####wonder.net':80
'su####discover.net':80
'fo####nwonder.net':80
'pe####discover.net':80
'ma####ewonder.net':80
'ma####ediscover.net':80
'fo####ncontinue.net':80
'su####continue.net':80

TCP:

HTTP GET requests:

wh####rdiscover.net/index.php?em############################################
ri###wonder.net/index.php?em############################################
ri####iscover.net/index.php?em############################################
th####continue.net/index.php?em############################################
fi####continue.net/index.php?em############################################
ri####ontinue.net/index.php?em############################################
wh####rcontinue.net/index.php?em############################################
wh####rmaster.net/index.php?em############################################
wh####rwonder.net/index.php?em############################################
ri###master.net/index.php?em############################################
fi####master.net/index.php?em############################################
ci#####tecontinue.net/index.php?em############################################
pi####econtinue.net/index.php?em############################################
pi####emaster.net/index.php?em############################################
pi####ewonder.net/index.php?em############################################
ci####ttemaster.net/index.php?em############################################
fi####wonder.net/index.php?em############################################
th####master.net/index.php?em############################################
th####wonder.net/index.php?em############################################
th####discover.net/index.php?em############################################
fi####discover.net/index.php?em############################################
fo####ndiscover.net/index.php?em############################################
pe####continue.net/index.php?em############################################
be####ediscover.net/index.php?em############################################
ma####econtinue.net/index.php?em############################################
ma####emaster.net/index.php?em############################################
pe####master.net/index.php?em############################################
be####emaster.net/index.php?em############################################
ex####master.net/index.php?em############################################
ex####wonder.net/index.php?em############################################
ex####discover.net/index.php?em############################################
be####ewonder.net/index.php?em############################################
pe####wonder.net/index.php?em############################################
fo####nmaster.net/index.php?em############################################
su####master.net/index.php?em############################################
su####wonder.net/index.php?em############################################
su####discover.net/index.php?em############################################
fo####nwonder.net/index.php?em############################################
pe####discover.net/index.php?em############################################
ma####ewonder.net/index.php?em############################################
ma####ediscover.net/index.php?em############################################
fo####ncontinue.net/index.php?em############################################
su####continue.net/index.php?em############################################

UDP:

DNS ASK ri####iscover.net
DNS ASK wh####rdiscover.net
DNS ASK fi####continue.net
DNS ASK fi####master.net
DNS ASK th####continue.net
DNS ASK ri###wonder.net
DNS ASK ri####ontinue.net
DNS ASK wh####rcontinue.net
DNS ASK wh####rmaster.net
DNS ASK wh####rwonder.net
DNS ASK ri###master.net
DNS ASK pi####emaster.net
DNS ASK ci#####tecontinue.net
DNS ASK ci####ttemaster.net
DNS ASK ci####ttewonder.net
DNS ASK pi####ewonder.net
DNS ASK pi####econtinue.net
DNS ASK fi####wonder.net
DNS ASK th####master.net
DNS ASK th####wonder.net
DNS ASK th####discover.net
DNS ASK fi####discover.net
DNS ASK ma####econtinue.net
DNS ASK pe####continue.net
DNS ASK pe####master.net
DNS ASK pe####wonder.net
DNS ASK ma####emaster.net
DNS ASK be####ediscover.net
DNS ASK be####emaster.net
DNS ASK ex####master.net
DNS ASK ex####wonder.net
DNS ASK ex####discover.net
DNS ASK be####ewonder.net
DNS ASK su####wonder.net
DNS ASK fo####nmaster.net
DNS ASK fo####nwonder.net
DNS ASK fo####ndiscover.net
DNS ASK su####discover.net
DNS ASK su####master.net
DNS ASK pe####discover.net
DNS ASK ma####ewonder.net
DNS ASK ma####ediscover.net
DNS ASK fo####ncontinue.net
DNS ASK su####continue.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial