Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'IPsec List Collector Management Tablet' = '%APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\bhgpsawoffqrmp\xsohjpmshczs.exe' "%APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.exe"
- '%APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.exe'
Executes the following:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Modifies file system :
Creates the following files:
- %APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.gx
- %APPDATA%\bhgpsawoffqrmp\xsohjpmshczs.exe
- %APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\bhgpsawoffqrmp\hvfjcmgzuzb.exe
Deletes the following files:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Network activity:
Connects to:
- 'st###tevery.net':80
- 'tr####ifference.net':80
- 'st#####ifference.net':80
- 'ga####single.net':80
- 'be####single.net':80
- 'tr###every.net':80
- 'st####single.net':80
- 'el####icevery.net':80
- 're###devery.net':80
- 'tr###charge.net':80
- 'st####charge.net':80
- 'tr###single.net':80
- 'fl###charge.net':80
- 'br###single.net':80
- 'fl###single.net':80
- 'br####ifference.net':80
- 'fl####ifference.net':80
- 'br###charge.net':80
- 'be#####ifference.net':80
- 'ga####charge.net':80
- 'be####charge.net':80
- 'ga###revery.net':80
- 'be###revery.net':80
- 'ga#####ifference.net':80
- 'ni###every.net':80
- 'de#####ifference.net':80
- 'ni####ifference.net':80
- 'ca####nsingle.net':80
- 'la###single.net':80
- 'de###eevery.net':80
- 'ni###single.net':80
- 'do###every.net':80
- 'ag####tevery.net':80
- 'de####charge.net':80
- 'ni###charge.net':80
- 'de####single.net':80
- 're####charge.net':80
- 'el####icsingle.net':80
- 're####single.net':80
- 'el#####cdifference.net':80
- 're#####ifference.net':80
- 'el####iccharge.net':80
- 'la####ifference.net':80
- 'ca####ncharge.net':80
- 'la###charge.net':80
- 'ca####nevery.net':80
- 'la###every.net':80
- 'ca#####difference.net':80
TCP:
HTTP GET requests:
- st###tevery.net/index.php?em###########################################
- tr####ifference.net/index.php?em###########################################
- st#####ifference.net/index.php?em###########################################
- ga####single.net/index.php?em###########################################
- be####single.net/index.php?em###########################################
- tr###every.net/index.php?em###########################################
- st####single.net/index.php?em###########################################
- el####icevery.net/index.php?em###########################################
- re###devery.net/index.php?em###########################################
- tr###charge.net/index.php?em###########################################
- st####charge.net/index.php?em###########################################
- tr###single.net/index.php?em###########################################
- fl###charge.net/index.php?em###########################################
- br###single.net/index.php?em###########################################
- fl###single.net/index.php?em###########################################
- br####ifference.net/index.php?em###########################################
- fl####ifference.net/index.php?em###########################################
- br###charge.net/index.php?em###########################################
- be#####ifference.net/index.php?em###########################################
- ga####charge.net/index.php?em###########################################
- be####charge.net/index.php?em###########################################
- ga###revery.net/index.php?em###########################################
- be###revery.net/index.php?em###########################################
- ga#####ifference.net/index.php?em###########################################
- ni###every.net/index.php?em###########################################
- de#####ifference.net/index.php?em###########################################
- ni####ifference.net/index.php?em###########################################
- ca####nsingle.net/index.php?em###########################################
- la###single.net/index.php?em###########################################
- de###eevery.net/index.php?em###########################################
- ni###single.net/index.php?em###########################################
- do###every.net/index.php?em###########################################
- ag####tevery.net/index.php?em###########################################
- de####charge.net/index.php?em###########################################
- ni###charge.net/index.php?em###########################################
- de####single.net/index.php?em###########################################
- re####charge.net/index.php?em###########################################
- el####icsingle.net/index.php?em###########################################
- re####single.net/index.php?em###########################################
- el#####cdifference.net/index.php?em###########################################
- re#####ifference.net/index.php?em###########################################
- el####iccharge.net/index.php?em###########################################
- la####ifference.net/index.php?em###########################################
- ca####ncharge.net/index.php?em###########################################
- la###charge.net/index.php?em###########################################
- ca####nevery.net/index.php?em###########################################
- la###every.net/index.php?em###########################################
- ca#####difference.net/index.php?em###########################################
UDP:
- DNS ASK tr###every.net
- DNS ASK st###tevery.net
- DNS ASK tr####ifference.net
- DNS ASK be####charge.net
- DNS ASK ga####single.net
- DNS ASK be####single.net
- DNS ASK tr###single.net
- DNS ASK st####single.net
- DNS ASK el####icevery.net
- DNS ASK st#####ifference.net
- DNS ASK tr###charge.net
- DNS ASK st####charge.net
- DNS ASK br###charge.net
- DNS ASK fl###charge.net
- DNS ASK br###single.net
- DNS ASK fl###every.net
- DNS ASK br####ifference.net
- DNS ASK fl####ifference.net
- DNS ASK ga#####ifference.net
- DNS ASK be#####ifference.net
- DNS ASK ga####charge.net
- DNS ASK fl###single.net
- DNS ASK ga###revery.net
- DNS ASK be###revery.net
- DNS ASK re###devery.net
- DNS ASK ni###every.net
- DNS ASK de#####ifference.net
- DNS ASK ni####ifference.net
- DNS ASK ca####nsingle.net
- DNS ASK la###single.net
- DNS ASK de###eevery.net
- DNS ASK ni###single.net
- DNS ASK do###every.net
- DNS ASK ag####tevery.net
- DNS ASK de####charge.net
- DNS ASK ni###charge.net
- DNS ASK de####single.net
- DNS ASK re####charge.net
- DNS ASK el####icsingle.net
- DNS ASK re####single.net
- DNS ASK el#####cdifference.net
- DNS ASK re#####ifference.net
- DNS ASK el####iccharge.net
- DNS ASK la####ifference.net
- DNS ASK ca####ncharge.net
- DNS ASK la###charge.net
- DNS ASK ca####nevery.net
- DNS ASK la###every.net
- DNS ASK ca#####difference.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''