Trojan.DownLoader11.57192

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Discovery Player Web Interface' = '%APPDATA%\nvnesecqo\ykkozooqkloc.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\nvnesecqo\wratgxrvgt.exe' "%APPDATA%\nvnesecqo\ykkozooqkloc.exe"
'%APPDATA%\nvnesecqo\ykkozooqkloc.exe'

Modifies file system :

Creates the following files:

%APPDATA%\nvnesecqo\ykkozooqkloc.klsi
%APPDATA%\nvnesecqo\wratgxrvgt.exe
%APPDATA%\nvnesecqo\ykkozooqkloc.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\nvnesecqo\ykkozooqkloc.exe

Network activity:

Connects to:

'be###third.net':80
'kn####tation.net':80
'kn###third.net':80
'kn###object.net':80
'be###object.net':80
'me####object.net':80
'fo####object.net':80
'fo####childhood.net':80
'be####tation.net':80
'me####childhood.net':80
'su####object.net':80
'cr###third.net':80
'cr###object.net':80
'cr####hildhood.net':80
'su####childhood.net':80
'kn####hildhood.net':80
'be####hildhood.net':80
'su####station.net':80
'su###rthird.net':80
'cr####tation.net':80
'fr####hildhood.net':80
'ex#####nceobject.net':80
'ex#####ncechildhood.net':80
'al####ystation.net':80
'ge#####anstation.net':80
'ex#####ncestation.net':80
'fr####tation.net':80
'fr###third.net':80
'fr###object.net':80
'ex####encethird.net':80
'fo####station.net':80
'al#####childhood.net':80
'me####station.net':80
'me###rthird.net':80
'fo###wthird.net':80
'al####ythird.net':80
'ge####manthird.net':80
'ge####manobject.net':80
'ge#####anchildhood.net':80
'al####yobject.net':80

TCP:

HTTP GET requests:

be###third.net/index.php?em###############################################
kn####tation.net/index.php?em###############################################
kn###third.net/index.php?em###############################################
kn###object.net/index.php?em###############################################
be###object.net/index.php?em###############################################
me####object.net/index.php?em###############################################
fo####object.net/index.php?em###############################################
fo####childhood.net/index.php?em###############################################
be####tation.net/index.php?em###############################################
me####childhood.net/index.php?em###############################################
su####object.net/index.php?em###############################################
cr###third.net/index.php?em###############################################
cr###object.net/index.php?em###############################################
cr####hildhood.net/index.php?em###############################################
su####childhood.net/index.php?em###############################################
kn####hildhood.net/index.php?em###############################################
be####hildhood.net/index.php?em###############################################
su####station.net/index.php?em###############################################
su###rthird.net/index.php?em###############################################
cr####tation.net/index.php?em###############################################
fr####hildhood.net/index.php?em###############################################
ex#####nceobject.net/index.php?em###############################################
ex#####ncechildhood.net/index.php?em###############################################
al####ystation.net/index.php?em###############################################
ge#####anstation.net/index.php?em###############################################
ex#####ncestation.net/index.php?em###############################################
fr####tation.net/index.php?em###############################################
fr###third.net/index.php?em###############################################
fr###object.net/index.php?em###############################################
ex####encethird.net/index.php?em###############################################
fo####station.net/index.php?em###############################################
al#####childhood.net/index.php?em###############################################
me####station.net/index.php?em###############################################
me###rthird.net/index.php?em###############################################
fo###wthird.net/index.php?em###############################################
al####ythird.net/index.php?em###############################################
ge####manthird.net/index.php?em###############################################
ge####manobject.net/index.php?em###############################################
ge#####anchildhood.net/index.php?em###############################################
al####yobject.net/index.php?em###############################################

UDP:

DNS ASK kn###third.net
DNS ASK be###third.net
DNS ASK be###object.net
DNS ASK be####hildhood.net
DNS ASK kn###object.net
DNS ASK fo####childhood.net
DNS ASK me####object.net
DNS ASK me####childhood.net
DNS ASK kn####tation.net
DNS ASK be####tation.net
DNS ASK cr###object.net
DNS ASK su####object.net
DNS ASK su####childhood.net
DNS ASK th####tstation.net
DNS ASK cr####hildhood.net
DNS ASK su####station.net
DNS ASK kn####hildhood.net
DNS ASK cr####tation.net
DNS ASK cr###third.net
DNS ASK su###rthird.net
DNS ASK fo####object.net
DNS ASK fr####hildhood.net
DNS ASK ex#####nceobject.net
DNS ASK ex#####ncechildhood.net
DNS ASK al####ystation.net
DNS ASK ge#####anstation.net
DNS ASK ex#####ncestation.net
DNS ASK fr####tation.net
DNS ASK fr###third.net
DNS ASK fr###object.net
DNS ASK ex####encethird.net
DNS ASK fo####station.net
DNS ASK al#####childhood.net
DNS ASK me####station.net
DNS ASK me###rthird.net
DNS ASK fo###wthird.net
DNS ASK al####ythird.net
DNS ASK ge####manthird.net
DNS ASK ge####manobject.net
DNS ASK ge#####anchildhood.net
DNS ASK al####yobject.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information

Curing recommendations

Free trial