Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Diagnostic Isolation NGEN Color' = '<SYSTEM32>\zmiewhqlpnk.exe'
Creates the following services:
- [<HKLM>\SYSTEM\ControlSet001\Services\Web Name Access Transaction Link] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Web Name Access Transaction Link] 'ImagePath' = '<SYSTEM32>\zmiewhqlpnk.exe'
Malicious functions:
To complicate detection of its presence in the operating system,
blocks the following features:
- Windows Security Center
Modifies file system:
Creates the following files:
- <SYSTEM32>\actoaiqrw\tst
- %TEMP%\fnfbco0r2i7ezqlwobo6as.exe
- <SYSTEM32>\actoaiqrw\etc
- <SYSTEM32>\zmiewhqlpnk.exe
- <SYSTEM32>\motwlhhbg.exe
- <SYSTEM32>\actoaiqrw\rng
- <SYSTEM32>\actoaiqrw\run
- <SYSTEM32>\actoaiqrw\cfg
- %WINDIR%\Temp\fnfbco0r2knizql.exe
Sets the 'hidden' attribute to the following files:
- <SYSTEM32>\zmiewhqlpnk.exe
- <SYSTEM32>\motwlhhbg.exe
Deletes the following files:
- <DRIVERS>\etc\hosts
- %TEMP%\fnfbco0r2i7ezqlwobo6as.exe
- %WINDIR%\Temp\fnfbco0r2knizql.exe
Substitutes the HOSTS file.
Network activity:
Connects to:
- 'ab###ead.net':80
- 'le###scene.net':80
- 'fa###cene.net':80
- 'le###great.net':80
- 'fa###reat.net':80
- 'le###dont.net':80
- 'fa###ont.net':80
- 'mo###aunt.net':80
- 'wa###unt.net':80
- 'mo###scene.net':80
- 'wa###cene.net':80
- 'mo###great.net':80
- 'le###aunt.net':80
- 'fa###unt.net':80
- 'wa###reat.net':80
- 'st###aunt.net':80
- 'we###unt.net':80
- 'st###scene.net':80
- 'we###cene.net':80
- 'st###great.net':80
- 'we###reat.net':80
- 'st###dont.net':80
- 'we###ont.net':80
- 'af###aunt.net':80
- 'fo###aunt.net':80
- 'af###scene.net':80
- 'mo###dont.net':80
- 'wa###ont.net':80
- 'ga###ont.net':80
- 'bo###ont.net':80
- 'ga###reat.net':80
- 'fe###tate.net':80
- 'ca###ile.net':80
- 'lo###old.net':80
- 'mo###next.net':80
- 'na###here.net':80
- 'st###ocean.net':80
- 'de####erknew.net':80
- 'mo###gray.net':80
- 'fr###yloss.net':80
- 'bo###lain.net':80
- 'wa###ord.net':80
- 'na###eep.com':80
- 'mu###appy.net':80
- 'eg###aker.com':80
- 'qu###aunt.net':80
- 'fi###scene.net':80
- 'qu###scene.net':80
- 'fi###great.net':80
- 'qu###great.net':80
- 'fi###dont.net':80
- 'qu###dont.net':80
- 'bo###unt.net':80
- 'ga###unt.net':80
- 'bo###cene.net':80
- 'ga###cene.net':80
- 'bo###reat.net':80
- 'fi###aunt.net':80
- 'fo###scene.net':80
- 'af###great.net':80
TCP:
HTTP GET requests:
- http://ab###ead.net/index.php?me################################################
- http://le###scene.net/index.php?me################################################
- http://fa###cene.net/index.php?me################################################
- http://le###great.net/index.php?me################################################
- http://fa###reat.net/index.php?me################################################
- http://le###dont.net/index.php?me################################################
- http://fa###ont.net/index.php?me################################################
- http://mo###aunt.net/index.php?me################################################
- http://wa###unt.net/index.php?me################################################
- http://mo###scene.net/index.php?me################################################
- http://wa###cene.net/index.php?me################################################
- http://mo###great.net/index.php?me################################################
- http://le###aunt.net/index.php?me################################################
- http://fa###unt.net/index.php?me################################################
- http://wa###reat.net/index.php?me################################################
- http://st###aunt.net/index.php?me################################################
- http://we###unt.net/index.php?me################################################
- http://st###scene.net/index.php?me################################################
- http://we###cene.net/index.php?me################################################
- http://st###great.net/index.php?me################################################
- http://we###reat.net/index.php?me################################################
- http://st###dont.net/index.php?me################################################
- http://we###ont.net/index.php?me################################################
- http://af###aunt.net/index.php?me################################################
- http://fo###aunt.net/index.php?me################################################
- http://af###scene.net/index.php?me################################################
- http://mo###dont.net/index.php?me################################################
- http://wa###ont.net/index.php?me################################################
- http://ga###ont.net/index.php?me################################################
- http://bo###ont.net/index.php?me################################################
- http://ga###reat.net/index.php?me################################################
- http://fe###tate.net/index.php?me################################################
- http://ca###ile.net/index.php?me################################################
- http://lo###old.net/index.php?me################################################
- http://mo###next.net/index.php?me################################################
- http://na###here.net/index.php?me################################################
- http://st###ocean.net/index.php?me################################################
- http://de####erknew.net/index.php?me################################################
- http://mo###gray.net/index.php?me################################################
- http://fr###yloss.net/index.php?me################################################
- http://bo###lain.net/index.php?me################################################
- http://wa###ord.net/index.php?me################################################
- http://na###eep.com/index.php?me################################################
- http://mu###appy.net/index.php?me################################################
- http://eg###aker.com/index.php?me################################################
- http://qu###aunt.net/index.php?me################################################
- http://fi###scene.net/index.php?me################################################
- http://qu###scene.net/index.php?me################################################
- http://fi###great.net/index.php?me################################################
- http://qu###great.net/index.php?me################################################
- http://fi###dont.net/index.php?me################################################
- http://qu###dont.net/index.php?me################################################
- http://bo###unt.net/index.php?me################################################
- http://ga###unt.net/index.php?me################################################
- http://bo###cene.net/index.php?me################################################
- http://ga###cene.net/index.php?me################################################
- http://bo###reat.net/index.php?me################################################
- http://fi###aunt.net/index.php?me################################################
- http://fo###scene.net/index.php?me################################################
- http://af###great.net/index.php?me################################################
UDP:
- DNS ASK ab###ead.net
- DNS ASK le###aunt.net
- DNS ASK fa###unt.net
- DNS ASK le###scene.net
- DNS ASK fa###cene.net
- DNS ASK le###great.net
- DNS ASK fa###reat.net
- DNS ASK le###dont.net
- DNS ASK fa###ont.net
- DNS ASK mo###aunt.net
- DNS ASK wa###unt.net
- DNS ASK mo###scene.net
- DNS ASK wa###cene.net
- DNS ASK mo###great.net
- DNS ASK wa###reat.net
- DNS ASK mo###dont.net
- DNS ASK wa###ont.net
- DNS ASK st###aunt.net
- DNS ASK we###unt.net
- DNS ASK st###scene.net
- DNS ASK we###cene.net
- DNS ASK st###great.net
- DNS ASK we###reat.net
- DNS ASK st###dont.net
- DNS ASK we###ont.net
- DNS ASK af###aunt.net
- DNS ASK fo###aunt.net
- DNS ASK af###scene.net
- DNS ASK ga###ont.net
- DNS ASK fo###scene.net
- DNS ASK bo###ont.net
- DNS ASK bo###reat.net
- DNS ASK mu###appy.net
- DNS ASK fe###tate.net
- DNS ASK ca###ile.net
- DNS ASK lo###old.net
- DNS ASK mo###next.net
- DNS ASK na###here.net
- DNS ASK st###ocean.net
- DNS ASK de####erknew.net
- DNS ASK mo###gray.net
- DNS ASK fr###yloss.net
- DNS ASK bo###lain.net
- DNS ASK wa###ord.net
- DNS ASK ga###reat.net
- DNS ASK na###eep.com
- DNS ASK fi###aunt.net
- DNS ASK qu###aunt.net
- DNS ASK fi###scene.net
- DNS ASK qu###scene.net
- DNS ASK fi###great.net
- DNS ASK qu###great.net
- DNS ASK fi###dont.net
- DNS ASK qu###dont.net
- DNS ASK bo###unt.net
- DNS ASK ga###unt.net
- DNS ASK bo###cene.net
- DNS ASK ga###cene.net
- DNS ASK eg###aker.com
- DNS ASK af###great.net
- '23#.#55.255.250':1900
Miscellaneous:
Creates and executes the following:
- '%TEMP%\fnfbco0r2i7ezqlwobo6as.exe'
- '<SYSTEM32>\zmiewhqlpnk.exe'
- '<SYSTEM32>\motwlhhbg.exe' "<SYSTEM32>\zmiewhqlpnk.exe"
- '%WINDIR%\Temp\fnfbco0r2knizql.exe' -r 38521 tcp
