Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VC Authentication Secondary Windows' = '%APPDATA%\dlwqjwsqnzinfj\hsagasagxn.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\dlwqjwsqnzinfj\thmcvgwlph.exe' "%APPDATA%\dlwqjwsqnzinfj\hsagasagxn.exe"
- '%APPDATA%\dlwqjwsqnzinfj\hsagasagxn.exe'
Modifies file system :
Creates the following files:
- %APPDATA%\dlwqjwsqnzinfj\hsagasagxn.gj
- %APPDATA%\dlwqjwsqnzinfj\thmcvgwlph.exe
- %APPDATA%\dlwqjwsqnzinfj\hsagasagxn.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\dlwqjwsqnzinfj\thmcvgwlph.exe
- %APPDATA%\dlwqjwsqnzinfj\hsagasagxn.exe
Network activity:
Connects to:
- 'ev####goclock.net':80
- 'bu####ngoclock.net':80
- 'ev####gwrite.net':80
- 'st###niece.net':80
- 'mi###speak.net':80
- 'st###speak.net':80
- 'bu####ngwrite.net':80
- 'bu####ngspeak.net':80
- 'ou####eoclock.net':80
- 'mo####ntoclock.net':80
- 'ev####gniece.net':80
- 'bu####ngniece.net':80
- 'ev####gspeak.net':80
- 'do###rwrite.net':80
- 'pr###yniece.net':80
- 'do###rniece.net':80
- 'pr####oclock.net':80
- 'do####oclock.net':80
- 'pr###ywrite.net':80
- 'pr###yspeak.net':80
- 'mi###write.net':80
- 'st###write.net':80
- 'mi###niece.net':80
- 'do###rspeak.net':80
- 'mi###oclock.net':80
- 'st###oclock.net':80
- 'ou####ewrite.net':80
- 'pr####edirect.net':80
- 'de####action.net':80
- 'pr####eaction.net':80
- 'de####brought.net':80
- 'pr####ebrought.net':80
- 'de####direct.net':80
- 'de####method.net':80
- 're####direct.net':80
- 'br####direct.net':80
- 're####action.net':80
- 'pr####emethod.net':80
- 're####brought.net':80
- 'br####brought.net':80
- 'ou####espeak.net':80
- 'mo####ntspeak.net':80
- 'st####rought.net':80
- 'mo####ntwrite.net':80
- 'ou####eniece.net':80
- 'mo####ntniece.net':80
- 'st####thbrought.net':80
- 'st####thaction.net':80
- 'st###method.net':80
- 'st####thmethod.net':80
- 'st###direct.net':80
- 'st####thdirect.net':80
- 'st###action.net':80
TCP:
HTTP GET requests:
- ev####goclock.net/index.php?em######################################
- bu####ngoclock.net/index.php?em######################################
- ev####gwrite.net/index.php?em######################################
- st###niece.net/index.php?em######################################
- mi###speak.net/index.php?em######################################
- st###speak.net/index.php?em######################################
- bu####ngwrite.net/index.php?em######################################
- bu####ngspeak.net/index.php?em######################################
- ou####eoclock.net/index.php?em######################################
- mo####ntoclock.net/index.php?em######################################
- ev####gniece.net/index.php?em######################################
- bu####ngniece.net/index.php?em######################################
- ev####gspeak.net/index.php?em######################################
- do###rwrite.net/index.php?em######################################
- pr###yniece.net/index.php?em######################################
- do###rniece.net/index.php?em######################################
- pr####oclock.net/index.php?em######################################
- do####oclock.net/index.php?em######################################
- pr###ywrite.net/index.php?em######################################
- pr###yspeak.net/index.php?em######################################
- mi###write.net/index.php?em######################################
- st###write.net/index.php?em######################################
- mi###niece.net/index.php?em######################################
- do###rspeak.net/index.php?em######################################
- mi###oclock.net/index.php?em######################################
- st###oclock.net/index.php?em######################################
- ou####ewrite.net/index.php?em######################################
- pr####edirect.net/index.php?em######################################
- de####action.net/index.php?em######################################
- pr####eaction.net/index.php?em######################################
- de####brought.net/index.php?em######################################
- pr####ebrought.net/index.php?em######################################
- de####direct.net/index.php?em######################################
- de####method.net/index.php?em######################################
- re####direct.net/index.php?em######################################
- br####direct.net/index.php?em######################################
- re####action.net/index.php?em######################################
- pr####emethod.net/index.php?em######################################
- re####brought.net/index.php?em######################################
- br####brought.net/index.php?em######################################
- ou####espeak.net/index.php?em######################################
- mo####ntspeak.net/index.php?em######################################
- st####rought.net/index.php?em######################################
- mo####ntwrite.net/index.php?em######################################
- ou####eniece.net/index.php?em######################################
- mo####ntniece.net/index.php?em######################################
- st####thbrought.net/index.php?em######################################
- st####thaction.net/index.php?em######################################
- st###method.net/index.php?em######################################
- st####thmethod.net/index.php?em######################################
- st###direct.net/index.php?em######################################
- st####thdirect.net/index.php?em######################################
- st###action.net/index.php?em######################################
UDP:
- DNS ASK ev####goclock.net
- DNS ASK bu####ngoclock.net
- DNS ASK ev####gwrite.net
- DNS ASK st###niece.net
- DNS ASK mi###speak.net
- DNS ASK st###speak.net
- DNS ASK bu####ngwrite.net
- DNS ASK bu####ngspeak.net
- DNS ASK ou####eoclock.net
- DNS ASK mo####ntoclock.net
- DNS ASK ev####gniece.net
- DNS ASK bu####ngniece.net
- DNS ASK ev####gspeak.net
- DNS ASK mi###niece.net
- DNS ASK pr###ywrite.net
- DNS ASK do###rwrite.net
- DNS ASK pr###yniece.net
- DNS ASK fe###wspeak.net
- DNS ASK pr####oclock.net
- DNS ASK do####oclock.net
- DNS ASK do###rniece.net
- DNS ASK st###oclock.net
- DNS ASK mi###write.net
- DNS ASK st###write.net
- DNS ASK pr###yspeak.net
- DNS ASK do###rspeak.net
- DNS ASK mi###oclock.net
- DNS ASK pr####edirect.net
- DNS ASK de####action.net
- DNS ASK pr####eaction.net
- DNS ASK de####brought.net
- DNS ASK pr####ebrought.net
- DNS ASK de####direct.net
- DNS ASK de####method.net
- DNS ASK re####direct.net
- DNS ASK br####direct.net
- DNS ASK re####action.net
- DNS ASK pr####emethod.net
- DNS ASK re####brought.net
- DNS ASK br####brought.net
- DNS ASK st####thmethod.net
- DNS ASK mo####ntniece.net
- DNS ASK ou####espeak.net
- DNS ASK mo####ntspeak.net
- DNS ASK ou####ewrite.net
- DNS ASK mo####ntwrite.net
- DNS ASK ou####eniece.net
- DNS ASK st####rought.net
- DNS ASK st###action.net
- DNS ASK st####thaction.net
- DNS ASK st###method.net
- DNS ASK st####thbrought.net
- DNS ASK st###direct.net
- DNS ASK st####thdirect.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
