Trojan.DownLoader25.2170

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Peer Human Cryptographic Program' = '<SYSTEM32>\sieosofgwq.exe'

Creates the following services:

[<HKLM>\SYSTEM\ControlSet001\Services\Configuration Call Connections Helper] 'ImagePath' = '<SYSTEM32>\sieosofgwq.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\Configuration Call Connections Helper] 'Start' = '00000002'

Malicious functions:

To complicate detection of its presence in the operating system,

blocks the following features:

Windows Security Center

Executes the following:

'<SYSTEM32>\nxxzfdnakfw.exe' "<SYSTEM32>\sieosofgwq.exe"
'%WINDIR%\Temp\pdxxwx2s2frzz.exe' -r 21757 tcp
'%TEMP%\pdxxwx2l97rzzyc3o4h.exe'
'<SYSTEM32>\sieosofgwq.exe'

Modifies file system:

Creates the following files:

<SYSTEM32>\bsophtyj\run
<SYSTEM32>\bsophtyj\rng
%WINDIR%\Temp\pdxxwx2s2frzz.exe
<SYSTEM32>\bsophtyj\cfg
<SYSTEM32>\nxxzfdnakfw.exe
%TEMP%\pdxxwx2l97rzzyc3o4h.exe
<SYSTEM32>\bsophtyj\tst
<SYSTEM32>\sieosofgwq.exe
<SYSTEM32>\bsophtyj\etc

Sets the 'hidden' attribute to the following files:

<SYSTEM32>\nxxzfdnakfw.exe
<SYSTEM32>\sieosofgwq.exe

Deletes the following files:

%WINDIR%\Temp\pdxxwx2s2frzz.exe
<DRIVERS>\etc\hosts
%TEMP%\pdxxwx2l97rzzyc3o4h.exe

Substitutes the HOSTS file.

Network activity:

Connects to:

'ca###ire.net':80
'he###one.net':80
'ca###one.net':80
'he###ire.net':80
'qu###wrote.net':80
'th###old.net':80
'qu###cold.net':80
'si###fire.net':80
'th###fire.net':80
'si###bone.net':80
'ca###old.net':80
'he###rote.net':80
'ca###rote.net':80
'he###old.net':80
'th###rote.net':80
'mo###one.net':80
'su###ybone.net':80
'mo###rote.net':80
'su###yfire.net':80
'si###old.net':80
'me###old.net':80
'mo###ire.net':80
'qu###fire.net':80
'th###one.net':80
'qu###bone.net':80
'th###ire.net':80
'su###ywrote.net':80
'mo###old.net':80
'su###ycold.net':80
'th###bone.net':80
'mi###old.net':80
'ta###hand.net':80
'up###ail.net':80
'tr###cold.net':80
'mi###one.net':80
'tr###wrote.net':80
'mi###rote.net':80
'wi###ruit.net':80
'sa###econd.net':80
'so###blood.net':80
'pi###rave.net':80
'wa###easy.net':80
'ro###tock.net':80
'ab###ead.net':80
'tr###bone.net':80
'du###ire.net':80
'wi###ire.net':80
'du###one.net':80
'th###cold.net':80
'si###wrote.net':80
'th###wrote.net':80
'si###cold.net':80
'wi###old.net':80
'tr###fire.net':80
'mi###ire.net':80
'du###old.net':80
'wi###one.net':80
'du###rote.net':80
'wi###rote.net':80

TCP:

HTTP GET requests:

http://ca###ire.net/index.php?me################################################
http://he###one.net/index.php?me################################################
http://ca###one.net/index.php?me################################################
http://he###ire.net/index.php?me################################################
http://qu###wrote.net/index.php?me################################################
http://th###old.net/index.php?me################################################
http://qu###cold.net/index.php?me################################################
http://si###fire.net/index.php?me################################################
http://th###fire.net/index.php?me################################################
http://si###bone.net/index.php?me################################################
http://ca###old.net/index.php?me################################################
http://he###rote.net/index.php?me################################################
http://ca###rote.net/index.php?me################################################
http://he###old.net/index.php?me################################################
http://th###rote.net/index.php?me################################################
http://mo###one.net/index.php?me################################################
http://su###ybone.net/index.php?me################################################
http://mo###rote.net/index.php?me################################################
http://su###yfire.net/index.php?me################################################
http://si###old.net/index.php?me################################################
http://me###old.net/index.php?me################################################
http://mo###ire.net/index.php?me################################################
http://qu###fire.net/index.php?me################################################
http://th###one.net/index.php?me################################################
http://qu###bone.net/index.php?me################################################
http://th###ire.net/index.php?me################################################
http://su###ywrote.net/index.php?me################################################
http://mo###old.net/index.php?me################################################
http://su###ycold.net/index.php?me################################################
http://th###bone.net/index.php?me################################################
http://mi###old.net/index.php?me################################################
http://ta###hand.net/index.php?me################################################
http://up###ail.net/index.php?me################################################
http://tr###cold.net/index.php?me################################################
http://mi###one.net/index.php?me################################################
http://tr###wrote.net/index.php?me################################################
http://mi###rote.net/index.php?me################################################
http://wi###ruit.net/index.php?me################################################
http://sa###econd.net/index.php?me################################################
http://so###blood.net/index.php?me################################################
http://pi###rave.net/index.php?me################################################
http://wa###easy.net/index.php?me################################################
http://ro###tock.net/index.php?me################################################
http://ab###ead.net/index.php?me################################################
http://tr###bone.net/index.php?me################################################
http://du###ire.net/index.php?me################################################
http://wi###ire.net/index.php?me################################################
http://du###one.net/index.php?me################################################
http://th###cold.net/index.php?me################################################
http://si###wrote.net/index.php?me################################################
http://th###wrote.net/index.php?me################################################
http://si###cold.net/index.php?me################################################
http://wi###old.net/index.php?me################################################
http://tr###fire.net/index.php?me################################################
http://mi###ire.net/index.php?me################################################
http://du###old.net/index.php?me################################################
http://wi###one.net/index.php?me################################################
http://du###rote.net/index.php?me################################################
http://wi###rote.net/index.php?me################################################

UDP:

DNS ASK he###ire.net
DNS ASK ca###ire.net
DNS ASK he###one.net
DNS ASK qu###cold.net
DNS ASK th###rote.net
DNS ASK qu###wrote.net
DNS ASK th###old.net
DNS ASK ca###one.net
DNS ASK si###fire.net
DNS ASK th###fire.net
DNS ASK si###bone.net
DNS ASK ca###old.net
DNS ASK he###rote.net
DNS ASK ca###rote.net
DNS ASK he###old.net
DNS ASK su###yfire.net
DNS ASK mo###one.net
DNS ASK su###ybone.net
DNS ASK mo###ire.net
DNS ASK me###rote.net
DNS ASK si###old.net
DNS ASK me###old.net
DNS ASK mo###rote.net
DNS ASK qu###fire.net
DNS ASK th###one.net
DNS ASK qu###bone.net
DNS ASK th###ire.net
DNS ASK su###ywrote.net
DNS ASK mo###old.net
DNS ASK su###ycold.net
DNS ASK th###bone.net
DNS ASK mi###old.net
DNS ASK ta###hand.net
DNS ASK up###ail.net
DNS ASK tr###cold.net
DNS ASK mi###one.net
DNS ASK tr###wrote.net
DNS ASK mi###rote.net
DNS ASK wi###ruit.net
DNS ASK sa###econd.net
DNS ASK so###blood.net
DNS ASK pi###rave.net
DNS ASK wa###easy.net
DNS ASK ro###tock.net
DNS ASK ab###ead.net
DNS ASK tr###bone.net
DNS ASK du###ire.net
DNS ASK wi###ire.net
DNS ASK du###one.net
DNS ASK th###cold.net
DNS ASK si###wrote.net
DNS ASK th###wrote.net
DNS ASK si###cold.net
DNS ASK wi###old.net
DNS ASK tr###fire.net
DNS ASK mi###ire.net
DNS ASK du###old.net
DNS ASK wi###one.net
DNS ASK du###rote.net
DNS ASK wi###rote.net
'23#.#55.255.250':1900

Технологии

Термины

Обучение и просвещение

Мифы

Technical Information

Рекомендации по лечению

Демо бесплатно на 14 дней