Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Agent Secondary Link-Layer' = '%APPDATA%\xnoypcqxb\ksixbvya.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\xnoypcqxb\shwjeeowy.exe' "%APPDATA%\xnoypcqxb\ksixbvya.exe"
- '%APPDATA%\xnoypcqxb\ksixbvya.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\xnoypcqxb\ksixbvya.rg
- %APPDATA%\xnoypcqxb\shwjeeowy.exe
- %APPDATA%\xnoypcqxb\ksixbvya.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\xnoypcqxb\ksixbvya.exe
Network activity:
Connects to:
- 'me###rpaint.net':80
- 'fo###wpaint.net':80
- 'me###rclean.net':80
- 'fo###wwomen.net':80
- 'me####course.net':80
- 'fo####course.net':80
- 'fo###wclean.net':80
- 'ge####mancourse.net':80
- 'al####ypaint.net':80
- 'ge####manpaint.net':80
- 'al####ywomen.net':80
- 'ge####manwomen.net':80
- 'al####ycourse.net':80
- 'su###rclean.net':80
- 'kn###women.net':80
- 'be###women.net':80
- 'cr###paint.net':80
- 'su###rpaint.net':80
- 'cr###clean.net':80
- 'kn###course.net':80
- 'kn###clean.net':80
- 'be###clean.net':80
- 'me###rwomen.net':80
- 'be###course.net':80
- 'kn###paint.net':80
- 'be###paint.net':80
- 'ma####alcatch.net':80
- 'se####lcatch.net':80
- 'pr####lydress.net':80
- 'se####lpublic.net':80
- 'ma####aleearly.net':80
- 'se####leearly.net':80
- 'sw###dress.net':80
- 'sw###eearly.net':80
- 'pr####lycatch.net':80
- 'sw###catch.net':80
- 'pr####lypublic.net':80
- 'sw###public.net':80
- 'pr####lyeearly.net':80
- 'fr###women.net':80
- 'ex#####ncecourse.net':80
- 'fr###course.net':80
- 'al####yclean.net':80
- 'ge####manclean.net':80
- 'ex####encewomen.net':80
- 'ex####encepaint.net':80
- 'ma####aldress.net':80
- 'se####ldress.net':80
- 'ma####alpublic.net':80
- 'fr###paint.net':80
- 'ex####enceclean.net':80
- 'fr###clean.net':80
TCP:
HTTP GET requests:
- me###rpaint.net/index.php?em#############################################
- fo###wpaint.net/index.php?em#############################################
- me###rclean.net/index.php?em#############################################
- fo###wwomen.net/index.php?em#############################################
- me####course.net/index.php?em#############################################
- fo####course.net/index.php?em#############################################
- fo###wclean.net/index.php?em#############################################
- ge####mancourse.net/index.php?em#############################################
- al####ypaint.net/index.php?em#############################################
- ge####manpaint.net/index.php?em#############################################
- al####ywomen.net/index.php?em#############################################
- ge####manwomen.net/index.php?em#############################################
- al####ycourse.net/index.php?em#############################################
- su###rclean.net/index.php?em#############################################
- kn###women.net/index.php?em#############################################
- be###women.net/index.php?em#############################################
- cr###paint.net/index.php?em#############################################
- su###rpaint.net/index.php?em#############################################
- cr###clean.net/index.php?em#############################################
- kn###course.net/index.php?em#############################################
- kn###clean.net/index.php?em#############################################
- be###clean.net/index.php?em#############################################
- me###rwomen.net/index.php?em#############################################
- be###course.net/index.php?em#############################################
- kn###paint.net/index.php?em#############################################
- be###paint.net/index.php?em#############################################
- ma####alcatch.net/index.php?em#############################################
- se####lcatch.net/index.php?em#############################################
- pr####lydress.net/index.php?em#############################################
- se####lpublic.net/index.php?em#############################################
- ma####aleearly.net/index.php?em#############################################
- se####leearly.net/index.php?em#############################################
- sw###dress.net/index.php?em#############################################
- sw###eearly.net/index.php?em#############################################
- pr####lycatch.net/index.php?em#############################################
- sw###catch.net/index.php?em#############################################
- pr####lypublic.net/index.php?em#############################################
- sw###public.net/index.php?em#############################################
- pr####lyeearly.net/index.php?em#############################################
- fr###women.net/index.php?em#############################################
- ex#####ncecourse.net/index.php?em#############################################
- fr###course.net/index.php?em#############################################
- al####yclean.net/index.php?em#############################################
- ge####manclean.net/index.php?em#############################################
- ex####encewomen.net/index.php?em#############################################
- ex####encepaint.net/index.php?em#############################################
- ma####aldress.net/index.php?em#############################################
- se####ldress.net/index.php?em#############################################
- ma####alpublic.net/index.php?em#############################################
- fr###paint.net/index.php?em#############################################
- ex####enceclean.net/index.php?em#############################################
- fr###clean.net/index.php?em#############################################
UDP:
- DNS ASK fo####course.net
- DNS ASK me###rpaint.net
- DNS ASK fo###wpaint.net
- DNS ASK me###rwomen.net
- DNS ASK fo###wwomen.net
- DNS ASK me####course.net
- DNS ASK me###rclean.net
- DNS ASK al####ycourse.net
- DNS ASK ge####mancourse.net
- DNS ASK al####ypaint.net
- DNS ASK fo###wclean.net
- DNS ASK al####ywomen.net
- DNS ASK ge####manwomen.net
- DNS ASK cr###clean.net
- DNS ASK su###rclean.net
- DNS ASK kn###women.net
- DNS ASK su####course.net
- DNS ASK cr###paint.net
- DNS ASK su###rpaint.net
- DNS ASK be###women.net
- DNS ASK be###paint.net
- DNS ASK kn###clean.net
- DNS ASK be###clean.net
- DNS ASK kn###course.net
- DNS ASK be###course.net
- DNS ASK kn###paint.net
- DNS ASK ge####manpaint.net
- DNS ASK ma####alcatch.net
- DNS ASK se####lcatch.net
- DNS ASK pr####lydress.net
- DNS ASK se####lpublic.net
- DNS ASK ma####aleearly.net
- DNS ASK se####leearly.net
- DNS ASK sw###dress.net
- DNS ASK sw###eearly.net
- DNS ASK pr####lycatch.net
- DNS ASK sw###catch.net
- DNS ASK pr####lypublic.net
- DNS ASK sw###public.net
- DNS ASK pr####lyeearly.net
- DNS ASK fr###women.net
- DNS ASK ex#####ncecourse.net
- DNS ASK fr###course.net
- DNS ASK al####yclean.net
- DNS ASK ge####manclean.net
- DNS ASK ex####encewomen.net
- DNS ASK ex####encepaint.net
- DNS ASK ma####aldress.net
- DNS ASK se####ldress.net
- DNS ASK ma####alpublic.net
- DNS ASK fr###paint.net
- DNS ASK ex####enceclean.net
- DNS ASK fr###clean.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
