Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Internet Host Auto-Discovery Source Profile' = '%APPDATA%\jdmadg\frbex7ic.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\jdmadg\vpzrqb7qc.exe' "%APPDATA%\jdmadg\frbex7ic.exe"
- '%APPDATA%\jdmadg\frbex7ic.exe'
Executes the following:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Modifies file system :
Creates the following files:
- %APPDATA%\jdmadg\frbex7ic.osy
- %APPDATA%\jdmadg\vpzrqb7qc.exe
- %APPDATA%\jdmadg\frbex7ic.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\jdmadg\frbex7ic.exe
Deletes the following files:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Network activity:
Connects to:
- 'fl###carry.net':80
- 'br###built.net':80
- 'br###carry.net':80
- 'se####father.net':80
- 'qu###father.net':80
- 'fl###built.net':80
- 'fl###father.net':80
- 'ga###rcarry.net':80
- 'br###father.net':80
- 'br###apple.net':80
- 'fl###apple.net':80
- 'qu###apple.net':80
- 'ag####tdinner.net':80
- 'do####easure.net':80
- 'do###dinner.net':80
- 'do###afraid.net':80
- 'ag####tafraid.net':80
- 'ag####tmeasure.net':80
- 'qu###built.net':80
- 'se###napple.net':80
- 'se###nbuilt.net':80
- 'se###ncarry.net':80
- 'qu###carry.net':80
- 'el####iccarry.net':80
- 're###dcarry.net':80
- 'st####father.net':80
- 'st###tapple.net':80
- 'tr###father.net':80
- 'el####icbuilt.net':80
- 'el####icfather.net':80
- 're####father.net':80
- 're###dapple.net':80
- 're###dbuilt.net':80
- 'el####icapple.net':80
- 'tr###apple.net':80
- 'ga###rapple.net':80
- 'be###rapple.net':80
- 'be###rbuilt.net':80
- 'be###rcarry.net':80
- 'ga###rbuilt.net':80
- 'ga####father.net':80
- 'tr###built.net':80
- 'st###tbuilt.net':80
- 'st###tcarry.net':80
- 'be####father.net':80
- 'tr###carry.net':80
TCP:
HTTP GET requests:
- fl###carry.net/index.php?em##################################################################
- br###built.net/index.php?em##################################################################
- br###carry.net/index.php?em##################################################################
- se####father.net/index.php?em##################################################################
- qu###father.net/index.php?em##################################################################
- fl###built.net/index.php?em##################################################################
- fl###father.net/index.php?em##################################################################
- ga###rcarry.net/index.php?em##################################################################
- br###father.net/index.php?em##################################################################
- br###apple.net/index.php?em##################################################################
- fl###apple.net/index.php?em##################################################################
- qu###apple.net/index.php?em##################################################################
- ag####tdinner.net/index.php?em##################################################################
- do####easure.net/index.php?em##################################################################
- do###dinner.net/index.php?em##################################################################
- do###afraid.net/index.php?em##################################################################
- ag####tafraid.net/index.php?em##################################################################
- ag####tmeasure.net/index.php?em##################################################################
- qu###built.net/index.php?em##################################################################
- se###napple.net/index.php?em##################################################################
- se###nbuilt.net/index.php?em##################################################################
- se###ncarry.net/index.php?em##################################################################
- qu###carry.net/index.php?em##################################################################
- el####iccarry.net/index.php?em##################################################################
- re###dcarry.net/index.php?em##################################################################
- st####father.net/index.php?em##################################################################
- st###tapple.net/index.php?em##################################################################
- tr###father.net/index.php?em##################################################################
- el####icbuilt.net/index.php?em##################################################################
- el####icfather.net/index.php?em##################################################################
- re####father.net/index.php?em##################################################################
- re###dapple.net/index.php?em##################################################################
- re###dbuilt.net/index.php?em##################################################################
- el####icapple.net/index.php?em##################################################################
- tr###apple.net/index.php?em##################################################################
- ga###rapple.net/index.php?em##################################################################
- be###rapple.net/index.php?em##################################################################
- be###rbuilt.net/index.php?em##################################################################
- be###rcarry.net/index.php?em##################################################################
- ga###rbuilt.net/index.php?em##################################################################
- ga####father.net/index.php?em##################################################################
- tr###built.net/index.php?em##################################################################
- st###tbuilt.net/index.php?em##################################################################
- st###tcarry.net/index.php?em##################################################################
- be####father.net/index.php?em##################################################################
- tr###carry.net/index.php?em##################################################################
UDP:
- DNS ASK br###carry.net
- DNS ASK fl###carry.net
- DNS ASK qu###father.net
- DNS ASK qu###apple.net
- DNS ASK se####father.net
- DNS ASK br###built.net
- DNS ASK br###father.net
- DNS ASK fl###father.net
- DNS ASK fl###apple.net
- DNS ASK fl###built.net
- DNS ASK br###apple.net
- DNS ASK se###napple.net
- DNS ASK do###dinner.net
- DNS ASK ag####tdinner.net
- DNS ASK ag####tafraid.net
- DNS ASK ag####tcircle.net
- DNS ASK do###afraid.net
- DNS ASK do####easure.net
- DNS ASK se###nbuilt.net
- DNS ASK qu###built.net
- DNS ASK qu###carry.net
- DNS ASK ag####tmeasure.net
- DNS ASK se###ncarry.net
- DNS ASK ga###rcarry.net
- DNS ASK el####iccarry.net
- DNS ASK re###dcarry.net
- DNS ASK st####father.net
- DNS ASK st###tapple.net
- DNS ASK tr###father.net
- DNS ASK el####icbuilt.net
- DNS ASK el####icfather.net
- DNS ASK re####father.net
- DNS ASK re###dapple.net
- DNS ASK re###dbuilt.net
- DNS ASK el####icapple.net
- DNS ASK tr###apple.net
- DNS ASK ga###rapple.net
- DNS ASK be###rapple.net
- DNS ASK be###rbuilt.net
- DNS ASK be###rcarry.net
- DNS ASK ga###rbuilt.net
- DNS ASK ga####father.net
- DNS ASK tr###built.net
- DNS ASK st###tbuilt.net
- DNS ASK st###tcarry.net
- DNS ASK be####father.net
- DNS ASK tr###carry.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
