Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'File Superfetch Parental Builder' = '%APPDATA%\izboaiah\syhytcbr.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\izboaiah\llegwbqrqbk.exe' "%APPDATA%\izboaiah\syhytcbr.exe"
- '%APPDATA%\izboaiah\syhytcbr.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\izboaiah\syhytcbr.hj
- %APPDATA%\izboaiah\llegwbqrqbk.exe
- %APPDATA%\izboaiah\syhytcbr.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\izboaiah\llegwbqrqbk.exe
- %APPDATA%\izboaiah\syhytcbr.exe
Network activity:
Connects to:
- 'wi####continue.net':80
- 'pe####smaster.net':80
- 'pe####scontinue.net':80
- 'mo#####ndiscover.net':80
- 'po#####ediscover.net':80
- 'pe####sdiscover.net':80
- 'wi####discover.net':80
- 'wi####wonder.net':80
- 'wi####master.net':80
- 'pe####swonder.net':80
- 'mo####discover.net':80
- 'mo#####ncontinue.net':80
- 'si####discover.net':80
- 'si####wonder.net':80
- 'mo####wonder.net':80
- 'mo####inwonder.net':80
- 'po####lewonder.net':80
- 'po####lemaster.net':80
- 'po#####econtinue.net':80
- 'mo####inmaster.net':80
- 'pr#####ycontinue.net':80
- 'sw###master.net':80
- 'sw####ontinue.net':80
- 'fi####discover.net':80
- 'le####iscover.net':80
- 'sw####iscover.net':80
- 'pr#####ydiscover.net':80
- 'pr####lywonder.net':80
- 'pr####lymaster.net':80
- 'sw###wonder.net':80
- 'su####tdiscover.net':80
- 'fi####continue.net':80
- 'su####twonder.net':80
- 'su####tcontinue.net':80
- 'su####tmaster.net':80
- 'fi####wonder.net':80
- 'le###wonder.net':80
- 'le###master.net':80
- 'le####ontinue.net':80
- 'fi####master.net':80
- 'mo####master.net':80
- 'sw###strong.net':80
- 'pr####lystrong.net':80
- 'le###caught.net':80
- 'le####resident.net':80
- 'fi####caught.net':80
- 'pr#####ypresident.net':80
- 'sw###caught.net':80
- 'sw####resident.net':80
- 'sw####rouble.net':80
- 'pr####lytrouble.net':80
- 'wi####caught.net':80
- 'su####tcaught.net':80
- 'su#####president.net':80
- 'su####ttrouble.net':80
- 'wi####president.net':80
- 'le####rouble.net':80
- 'fi####president.net':80
- 'fi####trouble.net':80
- 'fi####strong.net':80
- 'le###strong.net':80
- 'se####wonder.net':80
- 'la###wonder.net':80
- 'la###master.net':80
- 'la####ontinue.net':80
- 'se####master.net':80
- 'mo####continue.net':80
- 'si####master.net':80
- 'si####continue.net':80
- 'se####discover.net':80
- 'la####iscover.net':80
- 'se####ltrouble.net':80
- 'ma####altrouble.net':80
- 'ma####alstrong.net':80
- 'pr####lycaught.net':80
- 'se####lstrong.net':80
- 'ma####alcaught.net':80
- 'se####continue.net':80
- 'se####lcaught.net':80
- 'se#####president.net':80
- 'ma#####lpresident.net':80
TCP:
HTTP GET requests:
- wi####continue.net/index.php?em############################################
- pe####smaster.net/index.php?em############################################
- pe####scontinue.net/index.php?em############################################
- mo#####ndiscover.net/index.php?em############################################
- po#####ediscover.net/index.php?em############################################
- pe####sdiscover.net/index.php?em############################################
- wi####discover.net/index.php?em############################################
- wi####wonder.net/index.php?em############################################
- wi####master.net/index.php?em############################################
- pe####swonder.net/index.php?em############################################
- mo####discover.net/index.php?em############################################
- mo#####ncontinue.net/index.php?em############################################
- si####discover.net/index.php?em############################################
- si####wonder.net/index.php?em############################################
- mo####wonder.net/index.php?em############################################
- mo####inwonder.net/index.php?em############################################
- po####lewonder.net/index.php?em############################################
- po####lemaster.net/index.php?em############################################
- po#####econtinue.net/index.php?em############################################
- mo####inmaster.net/index.php?em############################################
- pr#####ycontinue.net/index.php?em############################################
- sw###master.net/index.php?em############################################
- sw####ontinue.net/index.php?em############################################
- fi####discover.net/index.php?em############################################
- le####iscover.net/index.php?em############################################
- sw####iscover.net/index.php?em############################################
- pr#####ydiscover.net/index.php?em############################################
- pr####lywonder.net/index.php?em############################################
- pr####lymaster.net/index.php?em############################################
- sw###wonder.net/index.php?em############################################
- su####tdiscover.net/index.php?em############################################
- fi####continue.net/index.php?em############################################
- su####twonder.net/index.php?em############################################
- su####tcontinue.net/index.php?em############################################
- su####tmaster.net/index.php?em############################################
- fi####wonder.net/index.php?em############################################
- le###wonder.net/index.php?em############################################
- le###master.net/index.php?em############################################
- le####ontinue.net/index.php?em############################################
- fi####master.net/index.php?em############################################
- mo####master.net/index.php?em############################################
- sw###strong.net/index.php?em############################################
- pr####lystrong.net/index.php?em############################################
- le###caught.net/index.php?em############################################
- le####resident.net/index.php?em############################################
- fi####caught.net/index.php?em############################################
- pr#####ypresident.net/index.php?em############################################
- sw###caught.net/index.php?em############################################
- sw####resident.net/index.php?em############################################
- sw####rouble.net/index.php?em############################################
- pr####lytrouble.net/index.php?em############################################
- wi####caught.net/index.php?em############################################
- su####tcaught.net/index.php?em############################################
- su#####president.net/index.php?em############################################
- su####ttrouble.net/index.php?em############################################
- wi####president.net/index.php?em############################################
- le####rouble.net/index.php?em############################################
- fi####president.net/index.php?em############################################
- fi####trouble.net/index.php?em############################################
- fi####strong.net/index.php?em############################################
- le###strong.net/index.php?em############################################
- se####wonder.net/index.php?em############################################
- la###wonder.net/index.php?em############################################
- la###master.net/index.php?em############################################
- la####ontinue.net/index.php?em############################################
- se####master.net/index.php?em############################################
- mo####continue.net/index.php?em############################################
- si####master.net/index.php?em############################################
- si####continue.net/index.php?em############################################
- se####discover.net/index.php?em############################################
- la####iscover.net/index.php?em############################################
- se####ltrouble.net/index.php?em############################################
- ma####altrouble.net/index.php?em############################################
- ma####alstrong.net/index.php?em############################################
- pr####lycaught.net/index.php?em############################################
- se####lstrong.net/index.php?em############################################
- ma####alcaught.net/index.php?em############################################
- se####continue.net/index.php?em############################################
- se####lcaught.net/index.php?em############################################
- se#####president.net/index.php?em############################################
- ma#####lpresident.net/index.php?em############################################
UDP:
- DNS ASK wi####continue.net
- DNS ASK pe####smaster.net
- DNS ASK pe####scontinue.net
- DNS ASK mo#####ndiscover.net
- DNS ASK po#####ediscover.net
- DNS ASK pe####sdiscover.net
- DNS ASK wi####discover.net
- DNS ASK wi####wonder.net
- DNS ASK wi####master.net
- DNS ASK pe####swonder.net
- DNS ASK mo####discover.net
- DNS ASK mo#####ncontinue.net
- DNS ASK si####discover.net
- DNS ASK si####wonder.net
- DNS ASK mo####wonder.net
- DNS ASK mo####inwonder.net
- DNS ASK po####lewonder.net
- DNS ASK po####lemaster.net
- DNS ASK po#####econtinue.net
- DNS ASK mo####inmaster.net
- DNS ASK pr#####ycontinue.net
- DNS ASK sw###master.net
- DNS ASK sw####ontinue.net
- DNS ASK fi####discover.net
- DNS ASK le####iscover.net
- DNS ASK sw####iscover.net
- DNS ASK pr#####ydiscover.net
- DNS ASK pr####lywonder.net
- DNS ASK pr####lymaster.net
- DNS ASK sw###wonder.net
- DNS ASK su####tdiscover.net
- DNS ASK fi####continue.net
- DNS ASK su####twonder.net
- DNS ASK su####tcontinue.net
- DNS ASK su####tmaster.net
- DNS ASK fi####wonder.net
- DNS ASK le###wonder.net
- DNS ASK le###master.net
- DNS ASK le####ontinue.net
- DNS ASK fi####master.net
- DNS ASK mo####master.net
- DNS ASK sw###strong.net
- DNS ASK pr####lystrong.net
- DNS ASK le###caught.net
- DNS ASK le####resident.net
- DNS ASK fi####caught.net
- DNS ASK pr#####ypresident.net
- DNS ASK sw###caught.net
- DNS ASK sw####resident.net
- DNS ASK sw####rouble.net
- DNS ASK pr####lytrouble.net
- DNS ASK wi####caught.net
- DNS ASK su####tcaught.net
- DNS ASK su#####president.net
- DNS ASK su####ttrouble.net
- DNS ASK wi####president.net
- DNS ASK le####rouble.net
- DNS ASK fi####president.net
- DNS ASK fi####trouble.net
- DNS ASK fi####strong.net
- DNS ASK le###strong.net
- DNS ASK se####wonder.net
- DNS ASK la###wonder.net
- DNS ASK la###master.net
- DNS ASK la####ontinue.net
- DNS ASK se####master.net
- DNS ASK mo####continue.net
- DNS ASK si####master.net
- DNS ASK si####continue.net
- DNS ASK se####discover.net
- DNS ASK la####iscover.net
- DNS ASK se####ltrouble.net
- DNS ASK ma####altrouble.net
- DNS ASK ma####alstrong.net
- DNS ASK pr####lycaught.net
- DNS ASK se####lstrong.net
- DNS ASK ma####alcaught.net
- DNS ASK se####continue.net
- DNS ASK se####lcaught.net
- DNS ASK se#####president.net
- DNS ASK ma#####lpresident.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
