Win32.HLLW.Autoruner1.58258

Technical Information

To ensure autorun and distribution:

Creates or modifies the following files:

%WINDIR%\Tasks\Installer_exent.job
%WINDIR%\Tasks\Installer_cr.job
%WINDIR%\Tasks\Installer_jd.job
%WINDIR%\Tasks\Installer_iwebar.job

Malicious functions:

Creates and executes the following:

'%TEMP%\Install_1688\ytd.exe' /S /aff= /rnd=11058
'%TEMP%\Install_1688\ytd.exe' (downloaded from the Internet)

Modifies file system :

Creates the following files:

<LS_APPDATA>\Installer\Install_13448\<Virus name>.exe
<LS_APPDATA>\Installer\Install_32113\<Virus name>.exe
<LS_APPDATA>\Installer\Install_31480\<Virus name>.exe
%TEMP%\Install_1688\ytd.exe
<LS_APPDATA>\Installer\Install_28570\<Virus name>.exe

Network activity:

Connects to:

'yt##########.s3-website-us-east-1.amazonaws.com':80
'st##.goobzo.com':80

TCP:

HTTP GET requests:

st##.goobzo.com/p.aspx?e=################################################################################################################################################################################################################################
st##.goobzo.com/p.aspx?e=############################################################################################################################################################################################################################################
st##.goobzo.com/p.aspx?e=################################################################################################################################################################################################
st##.goobzo.com/p.aspx?e=########################################################################################################################################################################################
st##.goobzo.com/p.aspx?e=########################################################################################################################
st##.goobzo.com/p.aspx?e=############################################################################################################################################################################################################
st##.goobzo.com/p.aspx?e=########################################################################################################################################################################################################################
yt##########.s3-website-us-east-1.amazonaws.com/YTDownloaderFull.exe
st##.goobzo.com/p.aspx?e=################################################################################################################################
st##.goobzo.com/p.aspx?pr#############################################################
st##.goobzo.com/p.aspx?pr###########################################################
st##.goobzo.com/p.aspx?e=############################################################################################################################################################################
st##.goobzo.com/p.aspx?e=################################################################################################################################################################
st##.goobzo.com/p.aspx?e=############################################################################################################################################
st##.goobzo.com/p.aspx?e=########################################################################################################################################################

UDP:

DNS ASK af##########.s3-website-us-east-1.amazonaws.com
DNS ASK s3.###zonaws.com
DNS ASK do######.ytdownloader.com
DNS ASK st##.goobzo.com
DNS ASK yt##########.s3-website-us-east-1.amazonaws.com

Miscellaneous:

Searches for the following windows:

ClassName: 'SB_download_btn' WindowName: 'SB Download Button'
ClassName: '' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'e' WindowName: '(null)'

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

Technical Information