Trojan.DownLoader15.31039

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Engine Isolation CardSpace Interface Configuration' = '%APPDATA%\sepvkharecfpk\hbpcszbi.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\sepvkharecfpk\ecpitmqy.exe' "%APPDATA%\sepvkharecfpk\hbpcszbi.exe"
'%APPDATA%\sepvkharecfpk\hbpcszbi.exe'

Modifies file system :

Creates the following files:

%APPDATA%\sepvkharecfpk\hbpcszbi.lhzkn
%APPDATA%\sepvkharecfpk\ecpitmqy.exe
%APPDATA%\sepvkharecfpk\hbpcszbi.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\sepvkharecfpk\hbpcszbi.exe

Network activity:

Connects to:

'br####circle.net':80
're####afraid.net':80
're####circle.net':80
'de####measure.net':80
'pr####emeasure.net':80
're####measure.net':80
'br####measure.net':80
'br####dinner.net':80
'br####afraid.net':80
're####dinner.net':80
'st####thmeasure.net':80
'de####circle.net':80
'st####thdinner.net':80
'st####thcircle.net':80
'st####thafraid.net':80
'de####dinner.net':80
'pr####edinner.net':80
'pr####eafraid.net':80
'pr####ecircle.net':80
'de####afraid.net':80
'fe####circle.net':80
'mi###afraid.net':80
'st###afraid.net':80
'st###circle.net':80
'do####measure.net':80
'mi###circle.net':80
'st####easure.net':80
'ev####gcircle.net':80
'mi####easure.net':80
'mi###dinner.net':80
'st###dinner.net':80
'pr####circle.net':80
'do####circle.net':80
'fe####measure.net':80
'fe####afraid.net':80
'fe####dinner.net':80
'do####dinner.net':80
'pr####measure.net':80
'pr####dinner.net':80
'pr####afraid.net':80
'do####afraid.net':80

TCP:

HTTP GET requests:

http://br####circle.net/index.php?em######################################
http://re####afraid.net/index.php?em######################################
http://re####circle.net/index.php?em######################################
http://de####measure.net/index.php?em######################################
http://pr####emeasure.net/index.php?em######################################
http://re####measure.net/index.php?em######################################
http://br####measure.net/index.php?em######################################
http://br####dinner.net/index.php?em######################################
http://br####afraid.net/index.php?em######################################
http://re####dinner.net/index.php?em######################################
http://st####thmeasure.net/index.php?em######################################
http://de####circle.net/index.php?em######################################
http://st####thdinner.net/index.php?em######################################
http://st####thcircle.net/index.php?em######################################
http://st####thafraid.net/index.php?em######################################
http://de####dinner.net/index.php?em######################################
http://pr####edinner.net/index.php?em######################################
http://pr####eafraid.net/index.php?em######################################
http://pr####ecircle.net/index.php?em######################################
http://de####afraid.net/index.php?em######################################
http://fe####circle.net/index.php?em######################################
http://mi###afraid.net/index.php?em######################################
http://st###afraid.net/index.php?em######################################
http://st###circle.net/index.php?em######################################
http://do####measure.net/index.php?em######################################
http://mi###circle.net/index.php?em######################################
http://st####easure.net/index.php?em######################################
http://ev####gcircle.net/index.php?em######################################
http://mi####easure.net/index.php?em######################################
http://mi###dinner.net/index.php?em######################################
http://st###dinner.net/index.php?em######################################
http://pr####circle.net/index.php?em######################################
http://do####circle.net/index.php?em######################################
http://fe####measure.net/index.php?em######################################
http://fe####afraid.net/index.php?em######################################
http://fe####dinner.net/index.php?em######################################
http://do####dinner.net/index.php?em######################################
http://pr####measure.net/index.php?em######################################
http://pr####dinner.net/index.php?em######################################
http://pr####afraid.net/index.php?em######################################
http://do####afraid.net/index.php?em######################################

UDP:

DNS ASK br####circle.net
DNS ASK re####afraid.net
DNS ASK re####circle.net
DNS ASK de####measure.net
DNS ASK pr####emeasure.net
DNS ASK re####measure.net
DNS ASK br####measure.net
DNS ASK br####dinner.net
DNS ASK br####afraid.net
DNS ASK re####dinner.net
DNS ASK pr####edinner.net
DNS ASK st####thdinner.net
DNS ASK st####thmeasure.net
DNS ASK st####thafraid.net
DNS ASK mo####ntwheat.net
DNS ASK st####thcircle.net
DNS ASK pr####eafraid.net
DNS ASK de####dinner.net
DNS ASK de####afraid.net
DNS ASK de####circle.net
DNS ASK pr####ecircle.net
DNS ASK mi###afraid.net
DNS ASK st###afraid.net
DNS ASK st###circle.net
DNS ASK do####measure.net
DNS ASK mi###circle.net
DNS ASK st####easure.net
DNS ASK ev####gcircle.net
DNS ASK mi####easure.net
DNS ASK mi###dinner.net
DNS ASK st###dinner.net
DNS ASK pr####measure.net
DNS ASK fe####measure.net
DNS ASK pr####circle.net
DNS ASK fe####dinner.net
DNS ASK fe####circle.net
DNS ASK fe####afraid.net
DNS ASK pr####dinner.net
DNS ASK do####dinner.net
DNS ASK do####afraid.net
DNS ASK do####circle.net
DNS ASK pr####afraid.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial