Trojan.DownLoader9.41084

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows' = '%APPDATA%\Windows\svchost.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\Windows\ctfmon.exe' /pid=4560
'%APPDATA%\Windows\ctfmon.exe' /pid=6648
'%APPDATA%\Windows\ctfmon.exe' /pid=6264
'%APPDATA%\Windows\ctfmon.exe' /pid=6164
'%APPDATA%\Windows\ctfmon.exe' /pid=5220
'%APPDATA%\Windows\ctfmon.exe' /pid=6268
'%APPDATA%\Windows\ctfmon.exe' /pid=6388
'%APPDATA%\Windows\ctfmon.exe' /pid=6512
'%APPDATA%\Windows\ctfmon.exe' /pid=6904
'%APPDATA%\Windows\ctfmon.exe' /pid=7212
'%APPDATA%\Windows\ctfmon.exe' /pid=7384
'%APPDATA%\Windows\ctfmon.exe' /pid=7184
'%APPDATA%\Windows\ctfmon.exe' /pid=6508
'%APPDATA%\Windows\ctfmon.exe' /pid=7388
'%APPDATA%\Windows\ctfmon.exe' /pid=6944
'%APPDATA%\Windows\ctfmon.exe' /pid=5844
'%APPDATA%\Windows\ctfmon.exe' /pid=8028
'%APPDATA%\Windows\ctfmon.exe' /pid=8004
'%APPDATA%\Windows\ctfmon.exe' /pid=3320
'%APPDATA%\Windows\ctfmon.exe' /pid=5364
'%APPDATA%\Windows\ctfmon.exe' /pid=8144
'%APPDATA%\Windows\ctfmon.exe' /pid=7988
'%APPDATA%\Windows\ctfmon.exe' /pid=8164
'%APPDATA%\Windows\ctfmon.exe' /pid=3080
'%APPDATA%\Windows\ctfmon.exe' /pid=6096
'%APPDATA%\Windows\ctfmon.exe' /pid=1496
'%APPDATA%\Windows\ctfmon.exe' /pid=6076
'%APPDATA%\Windows\ctfmon.exe' /pid=5132
'%APPDATA%\Windows\ctfmon.exe' /pid=4712
'%APPDATA%\Windows\ctfmon.exe' /pid=2700
'%APPDATA%\Windows\ctfmon.exe' /pid=3480
'%APPDATA%\Windows\ctfmon.exe' /pid=7772
'%APPDATA%\Windows\ctfmon.exe' /pid=2492
'%APPDATA%\Windows\ctfmon.exe' /pid=4112
'%APPDATA%\Windows\ctfmon.exe' /pid=3608
'%APPDATA%\Windows\ctfmon.exe' /pid=7504
'%APPDATA%\Windows\ctfmon.exe' /pid=7312
'%APPDATA%\Windows\ctfmon.exe' /pid=7604
'%APPDATA%\Windows\ctfmon.exe' /pid=7428
'%APPDATA%\Windows\ctfmon.exe' /pid=5916
'%APPDATA%\Windows\ctfmon.exe' /pid=7892
'%APPDATA%\Windows\ctfmon.exe' /pid=5824
'%APPDATA%\Windows\ctfmon.exe' /pid=7328
'%APPDATA%\Windows\ctfmon.exe' /pid=7188
'%APPDATA%\Windows\ctfmon.exe' /pid=6692
'%APPDATA%\Windows\ctfmon.exe' /pid=7652
'%APPDATA%\Windows\ctfmon.exe' /pid=6644
'%APPDATA%\Windows\ctfmon.exe' /pid=6748
'%APPDATA%\Windows\ctfmon.exe' /pid=3420
'%APPDATA%\Windows\ctfmon.exe' /pid=4492
'%APPDATA%\Windows\ctfmon.exe' /pid=4640
'%APPDATA%\Windows\ctfmon.exe' /pid=2900
'%APPDATA%\Windows\ctfmon.exe' /pid=8032
'%APPDATA%\Windows\ctfmon.exe' /pid=7904
'%APPDATA%\Windows\ctfmon.exe' /pid=3620
'%APPDATA%\Windows\ctfmon.exe' /pid=5232
'%APPDATA%\Windows\ctfmon.exe' /pid=6712
'%APPDATA%\Windows\ctfmon.exe' /pid=6892
'%APPDATA%\Windows\ctfmon.exe' /pid=7324
'%APPDATA%\Windows\ctfmon.exe' /pid=2792
'%APPDATA%\Windows\ctfmon.exe' /pid=4240
'%APPDATA%\Windows\ctfmon.exe' /pid=5724
'%APPDATA%\Windows\ctfmon.exe' /pid=5976
'%APPDATA%\Windows\ctfmon.exe' /pid=7744
'%APPDATA%\Windows\ctfmon.exe' /pid=6808
'%APPDATA%\Windows\ctfmon.exe' /pid=6868
'%APPDATA%\Windows\ctfmon.exe' /pid=7068
'%APPDATA%\Windows\ctfmon.exe' /pid=6728
'%APPDATA%\Windows\ctfmon.exe' /pid=6408
'%APPDATA%\Windows\ctfmon.exe' /pid=6504
'%APPDATA%\Windows\ctfmon.exe' /pid=6564
'%APPDATA%\Windows\ctfmon.exe' /pid=7228
'%APPDATA%\Windows\ctfmon.exe' /pid=7844
'%APPDATA%\Windows\ctfmon.exe' /pid=7888
'%APPDATA%\Windows\ctfmon.exe' /pid=8068
'%APPDATA%\Windows\ctfmon.exe' /pid=7708
'%APPDATA%\Windows\ctfmon.exe' /pid=7304
'%APPDATA%\Windows\ctfmon.exe' /pid=7488
'%APPDATA%\Windows\ctfmon.exe' /pid=7628
'%APPDATA%\Windows\ctfmon.exe' /pid=6344
'%APPDATA%\Windows\ctfmon.exe' /pid=2608
'%APPDATA%\Windows\ctfmon.exe' /pid=124
'%APPDATA%\Windows\ctfmon.exe' /pid=4760
'%APPDATA%\Windows\ctfmon.exe' /pid=4260
'%APPDATA%\Windows\ctfmon.exe' -a sha256 -o http://sa####.#####r1:4GmPz8BM@api.bitcoin.cz:8332 -T 83 -l yes -t 1
'%APPDATA%\Windows\ctfmon.exe' /pid=4780
'%APPDATA%\Windows\ctfmon.exe' /pid=500
'%APPDATA%\Windows\ctfmon.exe' /pid=4160
'%APPDATA%\Windows\ctfmon.exe' /pid=276
'%APPDATA%\Windows\ctfmon.exe' /pid=5764
'%APPDATA%\Windows\ctfmon.exe' /pid=5140
'%APPDATA%\Windows\ctfmon.exe' /pid=6148
'%APPDATA%\Windows\ctfmon.exe' /pid=6188
'%APPDATA%\Windows\ctfmon.exe' /pid=6168
'%APPDATA%\Windows\ctfmon.exe' /pid=6328
'%APPDATA%\Windows\ctfmon.exe' /pid=6592
'%APPDATA%\Windows\ctfmon.exe' /pid=6672
'%APPDATA%\Windows\ctfmon.exe' /pid=6852
'%APPDATA%\Windows\ctfmon.exe' /pid=2772
'%APPDATA%\Windows\ctfmon.exe' /pid=5744
'%APPDATA%\Windows\ctfmon.exe' /pid=2488
'%APPDATA%\Windows\ctfmon.exe' /pid=6128
'%APPDATA%\Windows\ctfmon.exe' /pid=7108
'%APPDATA%\Windows\ctfmon.exe' /pid=7932
'%APPDATA%\Windows\ctfmon.exe' /pid=8152
'%APPDATA%\Windows\ctfmon.exe' /pid=7912
'%APPDATA%\Windows\ctfmon.exe' /pid=7792
'%APPDATA%\Windows\ctfmon.exe' /pid=6988
'%APPDATA%\Windows\ctfmon.exe' /pid=7204
'%APPDATA%\Windows\ctfmon.exe' /pid=7572
'%APPDATA%\Windows\ctfmon.exe' /pid=5324
'%APPDATA%\Windows\ctfmon.exe' /pid=3800
'%APPDATA%\Windows\ctfmon.exe' /pid=4080
'%APPDATA%\Windows\ctfmon.exe' /pid=3168
'%APPDATA%\Windows\ctfmon.exe' /pid=3300
'%APPDATA%\Windows\ctfmon.exe' /pid=8124
'%APPDATA%\Windows\ctfmon.exe' /pid=8148
'%APPDATA%\Windows\ctfmon.exe' /pid=4960
'%APPDATA%\Windows\ctfmon.exe' /pid=4512
'%APPDATA%\Windows\ctfmon.exe' /pid=6308
'%APPDATA%\Windows\ctfmon.exe' /pid=6288
'%APPDATA%\Windows\ctfmon.exe' /pid=5544
'%APPDATA%\Windows\ctfmon.exe' /pid=5896
'%APPDATA%\Windows\ctfmon.exe' /pid=5012
'%APPDATA%\Windows\ctfmon.exe' /pid=5696
'%APPDATA%\Windows\ctfmon.exe' /pid=4140
'%APPDATA%\Windows\ctfmon.exe' (downloaded from the Internet)

Modifies file system :

Creates the following files:

%APPDATA%\Windows\ctfmon.exe

Moves itself:

from <Full path to virus> to %APPDATA%\Windows\svchost.exe

Network activity:

Connects to:

'ge.tt':80
'wp#d':80

TCP:

HTTP GET requests:

ge.tt/api/1/files/83tO0eh/0/blob?do######
wp#d/wpad.dat

UDP:

DNS ASK ge.tt
DNS ASK wp#d

Miscellaneous:

Searches for the following windows:

ClassName: 'Indicator' WindowName: '(null)'

技术

术语

教育培训

误区

Technical Information

Curing recommendations

Free trial