Trojan.DownLoader11.18101

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Secondary Launcher Extensible' = '%APPDATA%\sxvwld\wzsw8udklwm6.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\sxvwld\ectowvzti.exe' "%APPDATA%\sxvwld\wzsw8udklwm6.exe"
'%APPDATA%\sxvwld\wzsw8udklwm6.exe'

Modifies file system :

Creates the following files:

%APPDATA%\sxvwld\wzsw8udklwm6.ajd
%APPDATA%\sxvwld\ectowvzti.exe
%APPDATA%\sxvwld\wzsw8udklwm6.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\sxvwld\wzsw8udklwm6.exe

Network activity:

Connects to:

'ag####tfather.net':80
'se####control.net':80
'ag####tapple.net':80
'do###father.net':80
'qu####ogether.net':80
'se###nspent.net':80
'qu####ontrol.net':80
'se####together.net':80
'do###apple.net':80
'de####father.net':80
'ni###father.net':80
'de###eapple.net':80
'ni###apple.net':80
'do###built.net':80
'ag####tbuilt.net':80
'do###carry.net':80
'ag####tcarry.net':80
'ga####control.net':80
'be####control.net':80
'br###matter.net':80
'fl###matter.net':80
'ga###rspent.net':80
'be###rspent.net':80
'ga####together.net':80
'be####together.net':80
'fl###spent.net':80
'qu###matter.net':80
'br####ontrol.net':80
'qu###spent.net':80
'se####matter.net':80
'fl####ogether.net':80
'br###spent.net':80
'fl####ontrol.net':80
'br####ogether.net':80

TCP:

HTTP GET requests:

ag####tfather.net/index.php?em############################################################
se####control.net/index.php?em############################################################
ag####tapple.net/index.php?em############################################################
do###father.net/index.php?em############################################################
qu####ogether.net/index.php?em############################################################
se###nspent.net/index.php?em############################################################
qu####ontrol.net/index.php?em############################################################
se####together.net/index.php?em############################################################
do###apple.net/index.php?em############################################################
de####father.net/index.php?em############################################################
ni###father.net/index.php?em############################################################
de###eapple.net/index.php?em############################################################
ni###apple.net/index.php?em############################################################
do###built.net/index.php?em############################################################
ag####tbuilt.net/index.php?em############################################################
do###carry.net/index.php?em############################################################
ag####tcarry.net/index.php?em############################################################
ga####control.net/index.php?em############################################################
be####control.net/index.php?em############################################################
br###matter.net/index.php?em############################################################
fl###matter.net/index.php?em############################################################
ga###rspent.net/index.php?em############################################################
be###rspent.net/index.php?em############################################################
ga####together.net/index.php?em############################################################
be####together.net/index.php?em############################################################
fl###spent.net/index.php?em############################################################
qu###matter.net/index.php?em############################################################
br####ontrol.net/index.php?em############################################################
qu###spent.net/index.php?em############################################################
se####matter.net/index.php?em############################################################
fl####ogether.net/index.php?em############################################################
br###spent.net/index.php?em############################################################
fl####ontrol.net/index.php?em############################################################
br####ogether.net/index.php?em############################################################

UDP:

DNS ASK do###father.net
DNS ASK ag####tfather.net
DNS ASK do###apple.net
DNS ASK ag####tapple.net
DNS ASK se####together.net
DNS ASK qu####ogether.net
DNS ASK se####control.net
DNS ASK qu####ontrol.net
DNS ASK ag####tbuilt.net
DNS ASK ni###apple.net
DNS ASK de####father.net
DNS ASK ni###built.net
DNS ASK de###eapple.net
DNS ASK ag####tcarry.net
DNS ASK do###built.net
DNS ASK ni###father.net
DNS ASK do###carry.net
DNS ASK se###nspent.net
DNS ASK ga####control.net
DNS ASK be####control.net
DNS ASK br###matter.net
DNS ASK fl###matter.net
DNS ASK ga###rspent.net
DNS ASK be###rspent.net
DNS ASK ga####together.net
DNS ASK be####together.net
DNS ASK fl###spent.net
DNS ASK qu###matter.net
DNS ASK br####ontrol.net
DNS ASK qu###spent.net
DNS ASK se####matter.net
DNS ASK fl####ogether.net
DNS ASK br###spent.net
DNS ASK fl####ontrol.net
DNS ASK br####ogether.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'Indicator' WindowName: '(null)'

TECHNOLOGIES

TERMINOLOGIE

COURS ET EDU

MYTHES

Technical Information

Recommandations pour le traitement

Free trial