Technical Information
To ensure autorun and distribution:
Creates or modifies the following files:
- %WINDIR%\Tasks\Installer_exent.job
- %WINDIR%\Tasks\Installer_cr.job
- %WINDIR%\Tasks\Installer_jd.job
- %WINDIR%\Tasks\Installer_iwebar.job
Malicious functions:
Creates and executes the following:
- '%TEMP%\Install_1688\ytd.exe' /S /aff= /rnd=11058
- '%TEMP%\Install_1688\ytd.exe' (downloaded from the Internet)
Modifies file system :
Creates the following files:
- <LS_APPDATA>\Installer\Install_13448\<Virus name>.exe
- <LS_APPDATA>\Installer\Install_32113\<Virus name>.exe
- <LS_APPDATA>\Installer\Install_31480\<Virus name>.exe
- %TEMP%\Install_1688\ytd.exe
- <LS_APPDATA>\Installer\Install_28570\<Virus name>.exe
Network activity:
Connects to:
- 'yt##########.s3-website-us-east-1.amazonaws.com':80
- 'st##.goobzo.com':80
TCP:
HTTP GET requests:
- st##.goobzo.com/p.aspx?e=################################################################################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=############################################################################################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=################################################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=########################################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=########################################################################################################################
- st##.goobzo.com/p.aspx?e=############################################################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=########################################################################################################################################################################################################################
- yt##########.s3-website-us-east-1.amazonaws.com/YTDownloaderFull.exe
- st##.goobzo.com/p.aspx?e=################################################################################################################################
- st##.goobzo.com/p.aspx?pr#############################################################
- st##.goobzo.com/p.aspx?pr###########################################################
- st##.goobzo.com/p.aspx?e=############################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=################################################################################################################################################################
- st##.goobzo.com/p.aspx?e=############################################################################################################################################
- st##.goobzo.com/p.aspx?e=########################################################################################################################################################
UDP:
- DNS ASK af##########.s3-website-us-east-1.amazonaws.com
- DNS ASK s3.###zonaws.com
- DNS ASK do######.ytdownloader.com
- DNS ASK st##.goobzo.com
- DNS ASK yt##########.s3-website-us-east-1.amazonaws.com
Miscellaneous:
Searches for the following windows:
- ClassName: 'SB_download_btn' WindowName: 'SB Download Button'
- ClassName: '' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'e' WindowName: '(null)'