Trojan.DownLoader15.2733

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Certificate Bus Accounts AutoConfig' = '%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\cporrlccdzsadsg\jydbayq.exe' "%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.exe"
'%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.exe'

Modifies file system :

Creates the following files:

%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.c4
%APPDATA%\cporrlccdzsadsg\jydbayq.exe
%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\cporrlccdzsadsg\pxeaftjebzbn.exe

Network activity:

Connects to:

'ci#####teinstead.net':80
'pi####eexplain.net':80
'th####inside.net':80
'pi####einstead.net':80
'ci#####teexplain.net':80
'pi####einside.net':80
'ci####tteinside.net':80
'pi####ebright.net':80
'ci####ttebright.net':80
'fi####inside.net':80
'ri###inside.net':80
'fi####instead.net':80
'ri###bright.net':80
'wh####rinside.net':80
'th####instead.net':80
'fi####bright.net':80
'th####bright.net':80
'fi####explain.net':80
'th####explain.net':80
'ch####eninstead.net':80
'en####hbright.net':80
'ei####inside.net':80
'en####hexplain.net':80
'ei####bright.net':80
'en####hinside.net':80
'ex###tbrown.net':80
'be####ebrown.net':80
'ex###tready.net':80
'be####eready.net':80
'ei####explain.net':80
'fa####explain.net':80
'ch####enbright.net':80
'fa####instead.net':80
'ch####enexplain.net':80
'fa####bright.net':80
'ei####instead.net':80
'en####hinstead.net':80
'ch####eninside.net':80
'fa####inside.net':80
'ex####explain.net':80
'be####eexplain.net':80
'ex####instead.net':80
'be####einstead.net':80
'ex####bright.net':80
'be####einside.net':80
'pe####instead.net':80
'be####ebright.net':80
'ex####inside.net':80
'en####happear.net':80
'ei####manner.net':80
'en####hmanner.net':80
'ch####enappear.net':80
'fa####appear.net':80
'ei####another.net':80
'en####hbusiness.net':80
'ei####appear.net':80
'en####hanother.net':80
'ei####business.net':80
'ma####einstead.net':80
'su####inside.net':80
'fo####ninside.net':80
'su####bright.net':80
'fo####nbright.net':80
'wh####rinstead.net':80
'ri####xplain.net':80
'wh####rbright.net':80
'ri####nstead.net':80
'wh####rexplain.net':80
'fo####nexplain.net':80
'pe####bright.net':80
'ma####ebright.net':80
'pe####explain.net':80
'ma####eexplain.net':80
'pe####inside.net':80
'fo####ninstead.net':80
'su####explain.net':80
'ma####einside.net':80
'su####instead.net':80

TCP:

HTTP GET requests:

http://ci#####teinstead.net/index.php?em##########################################
http://pi####eexplain.net/index.php?em##########################################
http://th####inside.net/index.php?em##########################################
http://pi####einstead.net/index.php?em##########################################
http://ci#####teexplain.net/index.php?em##########################################
http://pi####einside.net/index.php?em##########################################
http://ci####tteinside.net/index.php?em##########################################
http://pi####ebright.net/index.php?em##########################################
http://ci####ttebright.net/index.php?em##########################################
http://fi####inside.net/index.php?em##########################################
http://ri###inside.net/index.php?em##########################################
http://fi####instead.net/index.php?em##########################################
http://ri###bright.net/index.php?em##########################################
http://wh####rinside.net/index.php?em##########################################
http://th####instead.net/index.php?em##########################################
http://fi####bright.net/index.php?em##########################################
http://th####bright.net/index.php?em##########################################
http://fi####explain.net/index.php?em##########################################
http://th####explain.net/index.php?em##########################################
http://ch####eninstead.net/index.php?em##########################################
http://en####hbright.net/index.php?em##########################################
http://ei####inside.net/index.php?em##########################################
http://en####hexplain.net/index.php?em##########################################
http://ei####bright.net/index.php?em##########################################
http://en####hinside.net/index.php?em##########################################
http://ex###tbrown.net/index.php?em##########################################
http://be####ebrown.net/index.php?em##########################################
http://ex###tready.net/index.php?em##########################################
http://be####eready.net/index.php?em##########################################
http://ei####explain.net/index.php?em##########################################
http://fa####explain.net/index.php?em##########################################
http://ch####enbright.net/index.php?em##########################################
http://fa####instead.net/index.php?em##########################################
http://ch####enexplain.net/index.php?em##########################################
http://fa####bright.net/index.php?em##########################################
http://ei####instead.net/index.php?em##########################################
http://en####hinstead.net/index.php?em##########################################
http://ch####eninside.net/index.php?em##########################################
http://fa####inside.net/index.php?em##########################################
http://ex####explain.net/index.php?em##########################################
http://be####eexplain.net/index.php?em##########################################
http://ex####instead.net/index.php?em##########################################
http://be####einstead.net/index.php?em##########################################
http://ex####bright.net/index.php?em##########################################
http://be####einside.net/index.php?em##########################################
http://pe####instead.net/index.php?em##########################################
http://be####ebright.net/index.php?em##########################################
http://ex####inside.net/index.php?em##########################################
http://en####happear.net/index.php?em##########################################
http://ei####manner.net/index.php?em##########################################
http://en####hmanner.net/index.php?em##########################################
http://ch####enappear.net/index.php?em##########################################
http://fa####appear.net/index.php?em##########################################
http://ei####another.net/index.php?em##########################################
http://en####hbusiness.net/index.php?em##########################################
http://ei####appear.net/index.php?em##########################################
http://en####hanother.net/index.php?em##########################################
http://ei####business.net/index.php?em##########################################
http://ma####einstead.net/index.php?em##########################################
http://su####inside.net/index.php?em##########################################
http://fo####ninside.net/index.php?em##########################################
http://su####bright.net/index.php?em##########################################
http://fo####nbright.net/index.php?em##########################################
http://wh####rinstead.net/index.php?em##########################################
http://ri####xplain.net/index.php?em##########################################
http://wh####rbright.net/index.php?em##########################################
http://ri####nstead.net/index.php?em##########################################
http://wh####rexplain.net/index.php?em##########################################
http://fo####nexplain.net/index.php?em##########################################
http://pe####bright.net/index.php?em##########################################
http://ma####ebright.net/index.php?em##########################################
http://pe####explain.net/index.php?em##########################################
http://ma####eexplain.net/index.php?em##########################################
http://pe####inside.net/index.php?em##########################################
http://fo####ninstead.net/index.php?em##########################################
http://su####explain.net/index.php?em##########################################
http://ma####einside.net/index.php?em##########################################
http://su####instead.net/index.php?em##########################################

UDP:

DNS ASK pi####eexplain.net
DNS ASK ci#####teexplain.net
DNS ASK pi####einstead.net
DNS ASK ci#####teinstead.net
DNS ASK pi####ebright.net
DNS ASK ci####tteinside.net
DNS ASK ch####eninstead.net
DNS ASK ci####ttebright.net
DNS ASK pi####einside.net
DNS ASK th####inside.net
DNS ASK fi####instead.net
DNS ASK th####instead.net
DNS ASK wh####rinside.net
DNS ASK ri###inside.net
DNS ASK fi####explain.net
DNS ASK th####bright.net
DNS ASK fi####inside.net
DNS ASK th####explain.net
DNS ASK fi####bright.net
DNS ASK fa####instead.net
DNS ASK ei####inside.net
DNS ASK en####hinside.net
DNS ASK ei####bright.net
DNS ASK en####hbright.net
DNS ASK ex###tready.net
DNS ASK be####ebrown.net
DNS ASK ex####people.net
DNS ASK be####eready.net
DNS ASK ex###tbrown.net
DNS ASK en####hexplain.net
DNS ASK ch####enbright.net
DNS ASK fa####bright.net
DNS ASK ch####enexplain.net
DNS ASK fa####explain.net
DNS ASK ch####eninside.net
DNS ASK en####hinstead.net
DNS ASK ei####explain.net
DNS ASK fa####inside.net
DNS ASK ei####instead.net
DNS ASK ri###bright.net
DNS ASK ex####explain.net
DNS ASK be####eexplain.net
DNS ASK ex####instead.net
DNS ASK be####einstead.net
DNS ASK ex####bright.net
DNS ASK be####einside.net
DNS ASK pe####instead.net
DNS ASK be####ebright.net
DNS ASK ex####inside.net
DNS ASK en####happear.net
DNS ASK ei####manner.net
DNS ASK en####hmanner.net
DNS ASK ch####enappear.net
DNS ASK fa####appear.net
DNS ASK ei####another.net
DNS ASK en####hbusiness.net
DNS ASK ei####appear.net
DNS ASK en####hanother.net
DNS ASK ei####business.net
DNS ASK ma####einstead.net
DNS ASK su####inside.net
DNS ASK fo####ninside.net
DNS ASK su####bright.net
DNS ASK fo####nbright.net
DNS ASK wh####rinstead.net
DNS ASK ri####xplain.net
DNS ASK wh####rbright.net
DNS ASK ri####nstead.net
DNS ASK wh####rexplain.net
DNS ASK fo####nexplain.net
DNS ASK pe####bright.net
DNS ASK ma####ebright.net
DNS ASK pe####explain.net
DNS ASK ma####eexplain.net
DNS ASK pe####inside.net
DNS ASK fo####ninstead.net
DNS ASK su####explain.net
DNS ASK ma####einside.net
DNS ASK su####instead.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

TECHNOLOGIES

TERMINOLOGIE

COURS ET EDU

MYTHES

Technical Information

Recommandations pour le traitement

Free trial