Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Themes Service Configuration Control Office' = '<SYSTEM32>\rxhlqzrk.exe'
Creates the following services:
- [<HKLM>\SYSTEM\ControlSet001\Services\Controls User-mode Framework Image Protection] 'ImagePath' = '<SYSTEM32>\rxhlqzrk.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Controls User-mode Framework Image Protection] 'Start' = '00000002'
Malicious functions:
To complicate detection of its presence in the operating system,
blocks the following features:
- Windows Security Center
Executes the following:
- '<SYSTEM32>\isloovd.exe' "<SYSTEM32>\rxhlqzrk.exe"
- '%WINDIR%\Temp\adhbv02n36nt.exe' -r 33492 tcp
- '%TEMP%\adhbv02jn1ntt9qlub.exe'
- '<SYSTEM32>\rxhlqzrk.exe'
Modifies file system:
Creates the following files:
- <SYSTEM32>\ccmekdennk\run
- <SYSTEM32>\ccmekdennk\rng
- %WINDIR%\Temp\adhbv02n36nt.exe
- <SYSTEM32>\ccmekdennk\cfg
- <SYSTEM32>\isloovd.exe
- %TEMP%\adhbv02jn1ntt9qlub.exe
- <SYSTEM32>\ccmekdennk\tst
- <SYSTEM32>\rxhlqzrk.exe
- <SYSTEM32>\ccmekdennk\etc
Sets the 'hidden' attribute to the following files:
- <SYSTEM32>\isloovd.exe
- <SYSTEM32>\rxhlqzrk.exe
Deletes the following files:
- %WINDIR%\Temp\adhbv02n36nt.exe
- %TEMP%\adhbv02jn1ntt9qlub.exe
- <DRIVERS>\etc\hosts
Substitutes the HOSTS file.
Network activity:
Connects to:
- 'mo###slow.net':80
- 'fa####vember.net':80
- 'wa###low.net':80
- 'wa####bruary.net':80
- 'mo####ebruary.net':80
- 'le####ovember.net':80
- 'le####ebruary.net':80
- 'fa###low.net':80
- 'fa####bruary.net':80
- 'fa###elp.net':80
- 'le###help.net':80
- 'mo###help.net':80
- 'st###help.net':80
- 'we####bruary.net':80
- 'we###elp.net':80
- 'we####vember.net':80
- 'st####ovember.net':80
- 'st####ebruary.net':80
- 'mo####ovember.net':80
- 'wa###elp.net':80
- 'wa####vember.net':80
- 'we###low.net':80
- 'st###slow.net':80
- 'mu###appy.net':80
- 'fa###oat.net':80
- 'fe###tate.net':80
- 'fi###help.net':80
- 'ca###ile.net':80
- 'dr####hirteen.net':80
- 'so###nder.net':80
- 'ab###ead.net':80
- 'qu###tell.net':80
- 'mo###rest.net':80
- 'we####dayhalf.net':80
- 'qu###help.net':80
- 'ga###elp.net':80
- 'bo###elp.net':80
- 'bo####vember.net':80
- 'le###slow.net':80
- 'ga####vember.net':80
- 'ga####bruary.net':80
- 'qu####ovember.net':80
- 'fi####ovember.net':80
- 'bo###low.net':80
- 'bo####bruary.net':80
- 'ga###low.net':80
TCP:
HTTP GET requests:
- http://mo###slow.net/index.php?me################################################
- http://fa####vember.net/index.php?me################################################
- http://wa###low.net/index.php?me################################################
- http://wa####bruary.net/index.php?me################################################
- http://mo####ebruary.net/index.php?me################################################
- http://le####ovember.net/index.php?me################################################
- http://le####ebruary.net/index.php?me################################################
- http://fa###low.net/index.php?me################################################
- http://fa####bruary.net/index.php?me################################################
- http://fa###elp.net/index.php?me################################################
- http://le###help.net/index.php?me################################################
- http://mo###help.net/index.php?me################################################
- http://st###help.net/index.php?me################################################
- http://we####bruary.net/index.php?me################################################
- http://we###elp.net/index.php?me################################################
- http://we####vember.net/index.php?me################################################
- http://st####ovember.net/index.php?me################################################
- http://st####ebruary.net/index.php?me################################################
- http://mo####ovember.net/index.php?me################################################
- http://wa###elp.net/index.php?me################################################
- http://wa####vember.net/index.php?me################################################
- http://we###low.net/index.php?me################################################
- http://st###slow.net/index.php?me################################################
- http://mu###appy.net/index.php?me################################################
- http://fa###oat.net/index.php?me################################################
- http://fe###tate.net/index.php?me################################################
- http://fi###help.net/index.php?me################################################
- http://ca###ile.net/index.php?me################################################
- http://dr####hirteen.net/index.php?me################################################
- http://so###nder.net/index.php?me################################################
- http://ab###ead.net/index.php?me################################################
- http://qu###tell.net/index.php?me################################################
- http://mo###rest.net/index.php?me################################################
- http://we####dayhalf.net/index.php?me################################################
- http://qu###help.net/index.php?me################################################
- http://ga###elp.net/index.php?me################################################
- http://bo###elp.net/index.php?me################################################
- http://bo####vember.net/index.php?me################################################
- http://le###slow.net/index.php?me################################################
- http://ga####vember.net/index.php?me################################################
- http://ga####bruary.net/index.php?me################################################
- http://qu####ovember.net/index.php?me################################################
- http://fi####ovember.net/index.php?me################################################
- http://bo###low.net/index.php?me################################################
- http://bo####bruary.net/index.php?me################################################
- http://ga###low.net/index.php?me################################################
UDP:
- DNS ASK wa###low.net
- DNS ASK mo###slow.net
- DNS ASK fa####vember.net
- DNS ASK mo###help.net
- DNS ASK wa####bruary.net
- DNS ASK mo####ebruary.net
- DNS ASK fa####bruary.net
- DNS ASK le####ebruary.net
- DNS ASK fa###low.net
- DNS ASK le####ovember.net
- DNS ASK fa###elp.net
- DNS ASK le###help.net
- DNS ASK we###elp.net
- DNS ASK st###help.net
- DNS ASK we####bruary.net
- DNS ASK af###slow.net
- DNS ASK we####vember.net
- DNS ASK st####ovember.net
- DNS ASK wa####vember.net
- DNS ASK mo####ovember.net
- DNS ASK wa###elp.net
- DNS ASK st####ebruary.net
- DNS ASK we###low.net
- DNS ASK st###slow.net
- DNS ASK mu###appy.net
- DNS ASK fa###oat.net
- DNS ASK fe###tate.net
- DNS ASK fi###help.net
- DNS ASK ca###ile.net
- DNS ASK dr####hirteen.net
- DNS ASK so###nder.net
- DNS ASK ab###ead.net
- DNS ASK qu###tell.net
- DNS ASK mo###rest.net
- DNS ASK we####dayhalf.net
- DNS ASK qu###help.net
- DNS ASK ga###elp.net
- DNS ASK bo###elp.net
- DNS ASK bo####vember.net
- DNS ASK le###slow.net
- DNS ASK ga####vember.net
- DNS ASK ga####bruary.net
- DNS ASK qu####ovember.net
- DNS ASK fi####ovember.net
- DNS ASK bo###low.net
- DNS ASK bo####bruary.net
- DNS ASK ga###low.net
- '23#.#55.255.250':1900