Trojan.DownLoader11.40118

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Tools Program Panel' = '%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\uxvjwjzxyt\vvssjjsthyhl.exe' "%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.exe"
'%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.exe'

Executes the following:

'<SYSTEM32>\wbem\wmiadap.exe' /R /T

Modifies file system :

Creates the following files:

%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.v5ocn
%APPDATA%\uxvjwjzxyt\vvssjjsthyhl.exe
%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\uxvjwjzxyt\nqbptgsbtgdw.exe

Network activity:

Connects to:

'ra####matter.net':80
'tw####control.net':80
'mo####gmatter.net':80
'mo####gspent.net':80
'ra###rspent.net':80
'tw###espent.net':80
'mi###espent.net':80
'mi####together.net':80
'mi####control.net':80
'tw####together.net':80
'ra####together.net':80
'hi####yspent.net':80
'st####espent.net':80
'st####etogether.net':80
'st####econtrol.net':80
'hi####ytogether.net':80
'ra####control.net':80
'mo####gtogether.net':80
'mo####gcontrol.net':80
'hi####ymatter.net':80
'st####ematter.net':80
'co####espent.net':80
'ch###spent.net':80
'ch####ogether.net':80
'ch####ontrol.net':80
'co####etogether.net':80
'th####ontrol.net':80
'pr####ttogether.net':80
'pr####tcontrol.net':80
'co####ematter.net':80
'ch###matter.net':80
'co####econtrol.net':80
'of####ontrol.net':80
'al####ogether.net':80
'al####ontrol.net':80
'tw####matter.net':80
'mi####matter.net':80
'al###matter.net':80
'of###matter.net':80
'of###spent.net':80
'of####ogether.net':80
'al###spent.net':80

TCP:

HTTP GET requests:

ra####matter.net/index.php?em##########################################
tw####control.net/index.php?em##########################################
mo####gmatter.net/index.php?em##########################################
mo####gspent.net/index.php?em##########################################
ra###rspent.net/index.php?em##########################################
tw###espent.net/index.php?em##########################################
mi###espent.net/index.php?em##########################################
mi####together.net/index.php?em##########################################
mi####control.net/index.php?em##########################################
tw####together.net/index.php?em##########################################
ra####together.net/index.php?em##########################################
hi####yspent.net/index.php?em##########################################
st####espent.net/index.php?em##########################################
st####etogether.net/index.php?em##########################################
st####econtrol.net/index.php?em##########################################
hi####ytogether.net/index.php?em##########################################
ra####control.net/index.php?em##########################################
mo####gtogether.net/index.php?em##########################################
mo####gcontrol.net/index.php?em##########################################
hi####ymatter.net/index.php?em##########################################
st####ematter.net/index.php?em##########################################
co####espent.net/index.php?em##########################################
ch###spent.net/index.php?em##########################################
ch####ogether.net/index.php?em##########################################
ch####ontrol.net/index.php?em##########################################
co####etogether.net/index.php?em##########################################
th####ontrol.net/index.php?em##########################################
pr####ttogether.net/index.php?em##########################################
pr####tcontrol.net/index.php?em##########################################
co####ematter.net/index.php?em##########################################
ch###matter.net/index.php?em##########################################
co####econtrol.net/index.php?em##########################################
of####ontrol.net/index.php?em##########################################
al####ogether.net/index.php?em##########################################
al####ontrol.net/index.php?em##########################################
tw####matter.net/index.php?em##########################################
mi####matter.net/index.php?em##########################################
al###matter.net/index.php?em##########################################
of###matter.net/index.php?em##########################################
of###spent.net/index.php?em##########################################
of####ogether.net/index.php?em##########################################
al###spent.net/index.php?em##########################################

UDP:

DNS ASK ra####matter.net
DNS ASK tw####control.net
DNS ASK mo####gmatter.net
DNS ASK mo####gspent.net
DNS ASK ra###rspent.net
DNS ASK tw###espent.net
DNS ASK mi###espent.net
DNS ASK mi####together.net
DNS ASK mi####control.net
DNS ASK tw####together.net
DNS ASK ra####together.net
DNS ASK hi####yspent.net
DNS ASK st####espent.net
DNS ASK st####etogether.net
DNS ASK st####econtrol.net
DNS ASK hi####ytogether.net
DNS ASK ra####control.net
DNS ASK mo####gtogether.net
DNS ASK mo####gcontrol.net
DNS ASK hi####ymatter.net
DNS ASK st####ematter.net
DNS ASK co####espent.net
DNS ASK ch###spent.net
DNS ASK ch####ogether.net
DNS ASK ch####ontrol.net
DNS ASK co####etogether.net
DNS ASK th####ontrol.net
DNS ASK pr####ttogether.net
DNS ASK pr####tcontrol.net
DNS ASK co####ematter.net
DNS ASK ch###matter.net
DNS ASK co####econtrol.net
DNS ASK of####ontrol.net
DNS ASK al####ogether.net
DNS ASK al####ontrol.net
DNS ASK tw####matter.net
DNS ASK mi####matter.net
DNS ASK al###matter.net
DNS ASK of###matter.net
DNS ASK of###spent.net
DNS ASK of####ogether.net
DNS ASK al###spent.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial