Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Upgrade Framework Auto Driver DNS Removal' = '%APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\jjoyzynbnkmnbx\olrzhswoqd.exe' "%APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.exe"
- '%APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.toir
- %APPDATA%\jjoyzynbnkmnbx\olrzhswoqd.exe
- %APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\jjoyzynbnkmnbx\xkzqkmbsts.exe
Network activity:
Connects to:
- 'al###single.net':80
- 'of###charge.net':80
- 'of###single.net':80
- 'ch###every.net':80
- 'co####eevery.net':80
- 'of###every.net':80
- 'al###every.net':80
- 'al####ifference.net':80
- 'al###charge.net':80
- 'of####ifference.net':80
- 'co#####difference.net':80
- 'th###every.net':80
- 'pr####tevery.net':80
- 'pr#####difference.net':80
- 'pr####tcharge.net':80
- 'th####ifference.net':80
- 'co####echarge.net':80
- 'ch####ifference.net':80
- 'ch###charge.net':80
- 'ch###single.net':80
- 'co####esingle.net':80
- 'ra###revery.net':80
- 'mo####gevery.net':80
- 'mo#####difference.net':80
- 'mo####gcharge.net':80
- 'ra#####ifference.net':80
- 'hi####ycharge.net':80
- 'st#####difference.net':80
- 'st####echarge.net':80
- 'st####esingle.net':80
- 'hi####ysingle.net':80
- 'ra####charge.net':80
- 'tw####charge.net':80
- 'mi#####ifference.net':80
- 'mi####charge.net':80
- 'mi####single.net':80
- 'tw####single.net':80
- 'ra####single.net':80
- 'mo####gsingle.net':80
- 'tw###eevery.net':80
- 'tw#####ifference.net':80
- 'mi###eevery.net':80
- 'th###charge.net':80
- 'ra####however.net':80
- 'mo####ghowever.net':80
- 'mo####gperiod.net':80
- 'mo####galthough.net':80
- 'ra####period.net':80
- 'hi####yalthough.net':80
- 'st####eperiod.net':80
- 'st####ealthough.net':80
- 'st####echoose.net':80
- 'hi####ychoose.net':80
- 'ra####although.net':80
- 'tw####although.net':80
- 'mi####period.net':80
- 'mi####although.net':80
- 'mi####choose.net':80
- 'tw####choose.net':80
- 'ra####choose.net':80
- 'mo####gchoose.net':80
- 'tw####however.net':80
- 'tw####period.net':80
- 'mi####however.net':80
- 'cl####lthough.net':80
- 'th###period.net':80
- 'th####lthough.net':80
- 'th###choose.net':80
- 'cl###choose.net':80
- 'th###single.net':80
- 'pr####tsingle.net':80
- 'cl####owever.net':80
- 'cl###period.net':80
- 'th####owever.net':80
- 'we####rhowever.net':80
- 'am####choose.net':80
- 'we####rchoose.net':80
- 'hi####yhowever.net':80
- 'hi####yperiod.net':80
- 'st####ehowever.net':80
- 'we####rperiod.net':80
- 'am####however.net':80
- 'am####period.net':80
- 'am####although.net':80
- 'we####ralthough.net':80
TCP:
HTTP GET requests:
- al###single.net/index.php?em###################################################
- of###charge.net/index.php?em###################################################
- of###single.net/index.php?em###################################################
- ch###every.net/index.php?em###################################################
- co####eevery.net/index.php?em###################################################
- of###every.net/index.php?em###################################################
- al###every.net/index.php?em###################################################
- al####ifference.net/index.php?em###################################################
- al###charge.net/index.php?em###################################################
- of####ifference.net/index.php?em###################################################
- co#####difference.net/index.php?em###################################################
- th###every.net/index.php?em###################################################
- pr####tevery.net/index.php?em###################################################
- pr#####difference.net/index.php?em###################################################
- pr####tcharge.net/index.php?em###################################################
- th####ifference.net/index.php?em###################################################
- co####echarge.net/index.php?em###################################################
- ch####ifference.net/index.php?em###################################################
- ch###charge.net/index.php?em###################################################
- ch###single.net/index.php?em###################################################
- co####esingle.net/index.php?em###################################################
- ra###revery.net/index.php?em###################################################
- mo####gevery.net/index.php?em###################################################
- mo#####difference.net/index.php?em###################################################
- mo####gcharge.net/index.php?em###################################################
- ra#####ifference.net/index.php?em###################################################
- hi####ycharge.net/index.php?em###################################################
- st#####difference.net/index.php?em###################################################
- st####echarge.net/index.php?em###################################################
- st####esingle.net/index.php?em###################################################
- hi####ysingle.net/index.php?em###################################################
- ra####charge.net/index.php?em###################################################
- tw####charge.net/index.php?em###################################################
- mi#####ifference.net/index.php?em###################################################
- mi####charge.net/index.php?em###################################################
- mi####single.net/index.php?em###################################################
- tw####single.net/index.php?em###################################################
- ra####single.net/index.php?em###################################################
- mo####gsingle.net/index.php?em###################################################
- tw###eevery.net/index.php?em###################################################
- tw#####ifference.net/index.php?em###################################################
- mi###eevery.net/index.php?em###################################################
- th###charge.net/index.php?em###################################################
- ra####however.net/index.php?em###################################################
- mo####ghowever.net/index.php?em###################################################
- mo####gperiod.net/index.php?em###################################################
- mo####galthough.net/index.php?em###################################################
- ra####period.net/index.php?em###################################################
- hi####yalthough.net/index.php?em###################################################
- st####eperiod.net/index.php?em###################################################
- st####ealthough.net/index.php?em###################################################
- st####echoose.net/index.php?em###################################################
- hi####ychoose.net/index.php?em###################################################
- ra####although.net/index.php?em###################################################
- tw####although.net/index.php?em###################################################
- mi####period.net/index.php?em###################################################
- mi####although.net/index.php?em###################################################
- mi####choose.net/index.php?em###################################################
- tw####choose.net/index.php?em###################################################
- ra####choose.net/index.php?em###################################################
- mo####gchoose.net/index.php?em###################################################
- tw####however.net/index.php?em###################################################
- tw####period.net/index.php?em###################################################
- mi####however.net/index.php?em###################################################
- cl####lthough.net/index.php?em###################################################
- th###period.net/index.php?em###################################################
- th####lthough.net/index.php?em###################################################
- th###choose.net/index.php?em###################################################
- cl###choose.net/index.php?em###################################################
- th###single.net/index.php?em###################################################
- pr####tsingle.net/index.php?em###################################################
- cl####owever.net/index.php?em###################################################
- cl###period.net/index.php?em###################################################
- th####owever.net/index.php?em###################################################
- we####rhowever.net/index.php?em###################################################
- am####choose.net/index.php?em###################################################
- we####rchoose.net/index.php?em###################################################
- hi####yhowever.net/index.php?em###################################################
- hi####yperiod.net/index.php?em###################################################
- st####ehowever.net/index.php?em###################################################
- we####rperiod.net/index.php?em###################################################
- am####however.net/index.php?em###################################################
- am####period.net/index.php?em###################################################
- am####although.net/index.php?em###################################################
- we####ralthough.net/index.php?em###################################################
UDP:
- DNS ASK al###single.net
- DNS ASK of###charge.net
- DNS ASK of###single.net
- DNS ASK ch###every.net
- DNS ASK co####eevery.net
- DNS ASK of###every.net
- DNS ASK al###every.net
- DNS ASK al####ifference.net
- DNS ASK al###charge.net
- DNS ASK of####ifference.net
- DNS ASK co#####difference.net
- DNS ASK th###every.net
- DNS ASK pr####tevery.net
- DNS ASK pr#####difference.net
- DNS ASK pr####tcharge.net
- DNS ASK th####ifference.net
- DNS ASK co####echarge.net
- DNS ASK ch####ifference.net
- DNS ASK ch###charge.net
- DNS ASK ch###single.net
- DNS ASK co####esingle.net
- DNS ASK ra###revery.net
- DNS ASK mo####gevery.net
- DNS ASK mo#####difference.net
- DNS ASK mo####gcharge.net
- DNS ASK ra#####ifference.net
- DNS ASK hi####ycharge.net
- DNS ASK st#####difference.net
- DNS ASK st####echarge.net
- DNS ASK st####esingle.net
- DNS ASK hi####ysingle.net
- DNS ASK ra####charge.net
- DNS ASK tw####charge.net
- DNS ASK mi#####ifference.net
- DNS ASK mi####charge.net
- DNS ASK mi####single.net
- DNS ASK tw####single.net
- DNS ASK ra####single.net
- DNS ASK mo####gsingle.net
- DNS ASK tw###eevery.net
- DNS ASK tw#####ifference.net
- DNS ASK mi###eevery.net
- DNS ASK th###charge.net
- DNS ASK ra####however.net
- DNS ASK mo####ghowever.net
- DNS ASK mo####gperiod.net
- DNS ASK mo####galthough.net
- DNS ASK ra####period.net
- DNS ASK hi####yalthough.net
- DNS ASK st####eperiod.net
- DNS ASK st####ealthough.net
- DNS ASK st####echoose.net
- DNS ASK hi####ychoose.net
- DNS ASK ra####although.net
- DNS ASK tw####although.net
- DNS ASK mi####period.net
- DNS ASK mi####although.net
- DNS ASK mi####choose.net
- DNS ASK tw####choose.net
- DNS ASK ra####choose.net
- DNS ASK mo####gchoose.net
- DNS ASK tw####however.net
- DNS ASK tw####period.net
- DNS ASK mi####however.net
- DNS ASK cl####lthough.net
- DNS ASK th###period.net
- DNS ASK th####lthough.net
- DNS ASK th###choose.net
- DNS ASK cl###choose.net
- DNS ASK th###single.net
- DNS ASK pr####tsingle.net
- DNS ASK cl####owever.net
- DNS ASK cl###period.net
- DNS ASK th####owever.net
- DNS ASK we####rhowever.net
- DNS ASK am####choose.net
- DNS ASK we####rchoose.net
- DNS ASK hi####yhowever.net
- DNS ASK hi####yperiod.net
- DNS ASK st####ehowever.net
- DNS ASK we####rperiod.net
- DNS ASK am####however.net
- DNS ASK am####period.net
- DNS ASK am####although.net
- DNS ASK we####ralthough.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
