Trojan.DownLoader15.19603

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Detection Image Extender' = '<SYSTEM32>\sdnvqbixc.exe'

Creates the following services:

[<HKLM>\SYSTEM\ControlSet001\Services\SNMP Store TPM Group Foundation WWAN Virtual] 'Start' = '00000002'

Malicious functions:

To complicate detection of its presence in the operating system,

blocks the following features:

Windows Security Center

Creates and executes the following:

'<SYSTEM32>\huvgeksembso.exe' "<SYSTEM32>\sdnvqbixc.exe"
'%WINDIR%\Temp\yqijg4di3djfqnu.exe' -r 26703 tcp
'%TEMP%\yqijg4di3a9dqnuzmn7okq.exe'
'<SYSTEM32>\sdnvqbixc.exe'

Modifies file system :

Creates the following files:

<SYSTEM32>\lyclqplczvkzjsc\run
<SYSTEM32>\lyclqplczvkzjsc\rng
%WINDIR%\Temp\yqijg4di3djfqnu.exe
<SYSTEM32>\lyclqplczvkzjsc\cfg
<SYSTEM32>\huvgeksembso.exe
%TEMP%\yqijg4di3a9dqnuzmn7okq.exe
<SYSTEM32>\lyclqplczvkzjsc\tst
<SYSTEM32>\sdnvqbixc.exe
<SYSTEM32>\lyclqplczvkzjsc\etc

Sets the 'hidden' attribute to the following files:

<SYSTEM32>\huvgeksembso.exe
<SYSTEM32>\sdnvqbixc.exe

Deletes the following files:

%WINDIR%\Temp\yqijg4di3djfqnu.exe
%TEMP%\yqijg4di3a9dqnuzmn7okq.exe
<DRIVERS>\etc\hosts

Substitutes the HOSTS file.

Network activity:

Connects to:

'se###ure.net':80
'fo###july.net':80
'af###july.net':80
'we####daypure.net':80
'se###ish.net':80
'we####daymarch.net':80
'se###arch.net':80
'fo###pure.net':80
'af###pure.net':80
'we###uly.net':80
'af###march.net':80
'fo###dish.net':80
'af###dish.net':80
'fo###march.net':80
'we####daydish.net':80
'na###uly.net':80
'dr###july.net':80
'na###ish.net':80
'fi###compe.net':80
'qu###hour.net':80
'fi###hour.net':80
'qu###compe.net':80
'dr###pure.net':80
'we####dayjuly.net':80
'se###uly.net':80
'na###ure.net':80
'dr###dish.net':80
'na###arch.net':80
'dr###march.net':80
'st###july.net':80
'le###march.net':80
'fa###ure.net':80
'le###pure.net':80
'fa###arch.net':80
'le###july.net':80
'fa###ish.net':80
'le###dish.net':80
'en###dont.net':80
'sa###econd.net':80
'so###blood.net':80
'se###mall.net':80
'ga###uly.net':80
'bo###uly.net':80
'wh###reply.net':80
'fa###uly.net':80
'we###ure.net':80
'st###pure.net':80
'wa###uly.net':80
'st###march.net':80
'we###ish.net':80
'st###dish.net':80
'we###arch.net':80
'mo###march.net':80
'wa###ure.net':80
'mo###pure.net':80
'wa###arch.net':80
'mo###july.net':80
'wa###ish.net':80
'mo###dish.net':80

TCP:

HTTP GET requests:

http://se###ure.net/index.php?me################################################
http://fo###july.net/index.php?me################################################
http://af###july.net/index.php?me################################################
http://we####daypure.net/index.php?me################################################
http://se###ish.net/index.php?me################################################
http://we####daymarch.net/index.php?me################################################
http://se###arch.net/index.php?me################################################
http://fo###pure.net/index.php?me################################################
http://af###pure.net/index.php?me################################################
http://we###uly.net/index.php?me################################################
http://af###march.net/index.php?me################################################
http://fo###dish.net/index.php?me################################################
http://af###dish.net/index.php?me################################################
http://fo###march.net/index.php?me################################################
http://we####daydish.net/index.php?me################################################
http://na###uly.net/index.php?me################################################
http://dr###july.net/index.php?me################################################
http://na###ish.net/index.php?me################################################
http://fi###compe.net/index.php?me################################################
http://qu###hour.net/index.php?me################################################
http://fi###hour.net/index.php?me################################################
http://qu###compe.net/index.php?me################################################
http://dr###pure.net/index.php?me################################################
http://we####dayjuly.net/index.php?me################################################
http://se###uly.net/index.php?me################################################
http://na###ure.net/index.php?me################################################
http://dr###dish.net/index.php?me################################################
http://na###arch.net/index.php?me################################################
http://dr###march.net/index.php?me################################################
http://st###july.net/index.php?me################################################
http://le###march.net/index.php?me################################################
http://fa###ure.net/index.php?me################################################
http://le###pure.net/index.php?me################################################
http://fa###arch.net/index.php?me################################################
http://le###july.net/index.php?me################################################
http://fa###ish.net/index.php?me################################################
http://le###dish.net/index.php?me################################################
http://en###dont.net/index.php?me################################################
http://sa###econd.net/index.php?me################################################
http://so###blood.net/index.php?me################################################
http://se###mall.net/index.php?me################################################
http://ga###uly.net/index.php?me################################################
http://bo###uly.net/index.php?me################################################
http://wh###reply.net/index.php?me################################################
http://fa###uly.net/index.php?me################################################
http://we###ure.net/index.php?me################################################
http://st###pure.net/index.php?me################################################
http://wa###uly.net/index.php?me################################################
http://st###march.net/index.php?me################################################
http://we###ish.net/index.php?me################################################
http://st###dish.net/index.php?me################################################
http://we###arch.net/index.php?me################################################
http://mo###march.net/index.php?me################################################
http://wa###ure.net/index.php?me################################################
http://mo###pure.net/index.php?me################################################
http://wa###arch.net/index.php?me################################################
http://mo###july.net/index.php?me################################################
http://wa###ish.net/index.php?me################################################
http://mo###dish.net/index.php?me################################################

UDP:

DNS ASK we####daypure.net
DNS ASK se###ure.net
DNS ASK fo###july.net
DNS ASK se###arch.net
DNS ASK we####daydish.net
DNS ASK se###ish.net
DNS ASK we####daymarch.net
DNS ASK af###july.net
DNS ASK fo###pure.net
DNS ASK af###pure.net
DNS ASK we###uly.net
DNS ASK af###march.net
DNS ASK fo###dish.net
DNS ASK af###dish.net
DNS ASK fo###march.net
DNS ASK fi###compe.net
DNS ASK na###uly.net
DNS ASK dr###july.net
DNS ASK qu###compe.net
DNS ASK fi###fell.net
DNS ASK qu###hour.net
DNS ASK fi###hour.net
DNS ASK na###ish.net
DNS ASK dr###pure.net
DNS ASK we####dayjuly.net
DNS ASK se###uly.net
DNS ASK na###ure.net
DNS ASK dr###dish.net
DNS ASK na###arch.net
DNS ASK dr###march.net
DNS ASK st###july.net
DNS ASK le###march.net
DNS ASK fa###ure.net
DNS ASK le###pure.net
DNS ASK fa###arch.net
DNS ASK le###july.net
DNS ASK fa###ish.net
DNS ASK le###dish.net
DNS ASK en###dont.net
DNS ASK sa###econd.net
DNS ASK so###blood.net
DNS ASK se###mall.net
DNS ASK ga###uly.net
DNS ASK bo###uly.net
DNS ASK wh###reply.net
DNS ASK fa###uly.net
DNS ASK we###ure.net
DNS ASK st###pure.net
DNS ASK wa###uly.net
DNS ASK st###march.net
DNS ASK we###ish.net
DNS ASK st###dish.net
DNS ASK we###arch.net
DNS ASK mo###march.net
DNS ASK wa###ure.net
DNS ASK mo###pure.net
DNS ASK wa###arch.net
DNS ASK mo###july.net
DNS ASK wa###ish.net
DNS ASK mo###dish.net
'23#.#55.255.250':1900

Технологии

Термины

Обучение и просвещение

Мифы

Technical Information

Рекомендации по лечению

Демо бесплатно на 14 дней