Trojan.DownLoader11.12044

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Reporting Policy Volume Internet' = '%APPDATA%\apecugvrq21\ymiosccbcxc0.exe'

Malicious functions:

Creates and executes the following:

'%APPDATA%\apecugvrq21\fz7pmaixdx.exe' "%APPDATA%\apecugvrq21\ymiosccbcxc0.exe"
'%APPDATA%\apecugvrq21\ymiosccbcxc0.exe'

Modifies file system :

Creates the following files:

%APPDATA%\apecugvrq21\ymiosccbcxc0.lsvi
%APPDATA%\apecugvrq21\fz7pmaixdx.exe
%APPDATA%\apecugvrq21\ymiosccbcxc0.exe

Sets the 'hidden' attribute to the following files:

%APPDATA%\apecugvrq21\ymiosccbcxc0.exe

Network activity:

Connects to:

'ra###rpower.net':80
'mo####gfamous.net':80
'ra####country.net':80
'mo####gpower.net':80
'ra####famous.net':80
'tw####country.net':80
'mi####country.net':80
'mo####gcentury.net':80
'ra####century.net':80
'hi####ypower.net':80
'st####epower.net':80
'hi####ycountry.net':80
'st####ecountry.net':80
'hi####yfamous.net':80
'st####ecentury.net':80
'mo####gcountry.net':80
'st####efamous.net':80
'hi####ycentury.net':80
'of###famous.net':80
'al####entury.net':80
'of###power.net':80
'al###famous.net':80
'of####entury.net':80
'co####epower.net':80
'ch###power.net':80
'co####ecountry.net':80
'ch####ountry.net':80
'tw####famous.net':80
'mi####famous.net':80
'tw###epower.net':80
'mi###epower.net':80
'tw####century.net':80
'of####ountry.net':80
'al###power.net':80
'mi####century.net':80
'al####ountry.net':80

TCP:

HTTP GET requests:

ra###rpower.net/index.php?em################################################################
mo####gfamous.net/index.php?em################################################################
ra####country.net/index.php?em################################################################
mo####gpower.net/index.php?em################################################################
ra####famous.net/index.php?em################################################################
tw####country.net/index.php?em################################################################
mi####country.net/index.php?em################################################################
mo####gcentury.net/index.php?em################################################################
ra####century.net/index.php?em################################################################
hi####ypower.net/index.php?em################################################################
st####epower.net/index.php?em################################################################
hi####ycountry.net/index.php?em################################################################
st####ecountry.net/index.php?em################################################################
hi####yfamous.net/index.php?em################################################################
st####ecentury.net/index.php?em################################################################
mo####gcountry.net/index.php?em################################################################
st####efamous.net/index.php?em################################################################
hi####ycentury.net/index.php?em################################################################
of###famous.net/index.php?em################################################################
al####entury.net/index.php?em################################################################
of###power.net/index.php?em################################################################
al###famous.net/index.php?em################################################################
of####entury.net/index.php?em################################################################
co####epower.net/index.php?em################################################################
ch###power.net/index.php?em################################################################
co####ecountry.net/index.php?em################################################################
ch####ountry.net/index.php?em################################################################
tw####famous.net/index.php?em################################################################
mi####famous.net/index.php?em################################################################
tw###epower.net/index.php?em################################################################
mi###epower.net/index.php?em################################################################
tw####century.net/index.php?em################################################################
of####ountry.net/index.php?em################################################################
al###power.net/index.php?em################################################################
mi####century.net/index.php?em################################################################
al####ountry.net/index.php?em################################################################

UDP:

DNS ASK mo####gpower.net
DNS ASK ra###rpower.net
DNS ASK mo####gcountry.net
DNS ASK ra####country.net
DNS ASK mo####gfamous.net
DNS ASK ra####century.net
DNS ASK tw####country.net
DNS ASK ra####famous.net
DNS ASK mo####gcentury.net
DNS ASK st####ecountry.net
DNS ASK hi####ypower.net
DNS ASK am####century.net
DNS ASK hi####ycountry.net
DNS ASK st####epower.net
DNS ASK hi####ycentury.net
DNS ASK st####ecentury.net
DNS ASK hi####yfamous.net
DNS ASK st####efamous.net
DNS ASK mi####country.net
DNS ASK of###famous.net
DNS ASK al####entury.net
DNS ASK of###power.net
DNS ASK al###famous.net
DNS ASK of####entury.net
DNS ASK co####epower.net
DNS ASK ch###power.net
DNS ASK co####ecountry.net
DNS ASK ch####ountry.net
DNS ASK tw####famous.net
DNS ASK mi####famous.net
DNS ASK tw###epower.net
DNS ASK mi###epower.net
DNS ASK tw####century.net
DNS ASK of####ountry.net
DNS ASK al###power.net
DNS ASK mi####century.net
DNS ASK al####ountry.net

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'Indicator' WindowName: '(null)'

技术

术语

教育培训

误区

Technical Information

Curing recommendations

Free trial