Trojan.KillFiles.21231

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Filtering Identity Cryptographic Auto' = '<SYSTEM32>\aeevqubz.exe'

Creates the following services:

[<HKLM>\SYSTEM\ControlSet001\Services\Media Configuration Propagation Client Socket] 'Start' = '00000002'

Malicious functions:

To complicate detection of its presence in the operating system,

blocks the following features:

Windows Security Center

Creates and executes the following:

'<SYSTEM32>\asqgtsybtfbd.exe' "<SYSTEM32>\aeevqubz.exe"
'%WINDIR%\Temp\fsrqsow2mouqp.exe' -r 44834 tcp
'%TEMP%\fsrqsow2jk0qpdiodffl.exe'
'<SYSTEM32>\aeevqubz.exe'

Modifies file system :

Creates the following files:

<SYSTEM32>\vuxalwjblzunus\run
<SYSTEM32>\vuxalwjblzunus\rng
%WINDIR%\Temp\fsrqsow2mouqp.exe
<SYSTEM32>\vuxalwjblzunus\cfg
<SYSTEM32>\asqgtsybtfbd.exe
%TEMP%\fsrqsow2jk0qpdiodffl.exe
<SYSTEM32>\vuxalwjblzunus\tst
<SYSTEM32>\aeevqubz.exe
<SYSTEM32>\vuxalwjblzunus\etc

Sets the 'hidden' attribute to the following files:

<SYSTEM32>\asqgtsybtfbd.exe
<SYSTEM32>\aeevqubz.exe

Deletes the following files:

%WINDIR%\Temp\fsrqsow2mouqp.exe
%TEMP%\fsrqsow2jk0qpdiodffl.exe
<DRIVERS>\etc\hosts

Substitutes the HOSTS file.

Network activity:

Connects to:

'lo###ance.net':80
'so###are.net':80
'lo###are.net':80
'so###ody.net':80
'lo###ody.net':80
'so###ance.net':80
'de####ersuch.net':80
'de####erseven.net':80
'al###seven.net':80
'de####ersome.net':80
'al###such.net':80
'de####ertoday.net':80
'al###today.net':80
'sa###ell.net':80
'wh###tell.net':80
'sa###ody.net':80
'st###dance.net':80
'ba###are.net':80
'st###dare.net':80
'wh###body.net':80
'wh###dare.net':80
'so###ell.net':80
'lo###ell.net':80
'sa###ance.net':80
'wh###dance.net':80
'sa###are.net':80
'al###some.net':80
'sp###ont.net':80
'wa###since.net':80
'ta###hand.net':80
'dr###wide.net':80
'ma###han.net':80
'of###aunt.net':80
'up###ail.net':80
'pi###rave.net':80
'sa###econd.net':80
'so###blood.net':80
'wa###easy.net':80
'ro###tock.net':80
'ab###ead.net':80
'pu###oday.net':80
'fr###yseven.net':80
'pu###even.net':80
'fr###ysuch.net':80
'pu###uch.net':80
'fr###ytoday.net':80
'fr###ysome.net':80
'de###oday.net':80
'wh###ifth.net':80
'pi###ake.net':80
'pu###ome.net':80
'de###uch.net':80
'sh###such.net':80

TCP:

HTTP GET requests:

lo###ance.net/index.php?me################################################
so###are.net/index.php?me################################################
lo###are.net/index.php?me################################################
so###ody.net/index.php?me################################################
lo###ody.net/index.php?me################################################
so###ance.net/index.php?me################################################
de####ersuch.net/index.php?me################################################
de####erseven.net/index.php?me################################################
al###seven.net/index.php?me################################################
de####ersome.net/index.php?me################################################
al###such.net/index.php?me################################################
de####ertoday.net/index.php?me################################################
al###today.net/index.php?me################################################
sa###ell.net/index.php?me################################################
wh###tell.net/index.php?me################################################
sa###ody.net/index.php?me################################################
st###dance.net/index.php?me################################################
ba###are.net/index.php?me################################################
st###dare.net/index.php?me################################################
wh###body.net/index.php?me################################################
wh###dare.net/index.php?me################################################
so###ell.net/index.php?me################################################
lo###ell.net/index.php?me################################################
sa###ance.net/index.php?me################################################
wh###dance.net/index.php?me################################################
sa###are.net/index.php?me################################################
al###some.net/index.php?me################################################
sp###ont.net/index.php?me################################################
wa###since.net/index.php?me################################################
ta###hand.net/index.php?me################################################
dr###wide.net/index.php?me################################################
ma###han.net/index.php?me################################################
of###aunt.net/index.php?me################################################
up###ail.net/index.php?me################################################
pi###rave.net/index.php?me################################################
sa###econd.net/index.php?me################################################
so###blood.net/index.php?me################################################
wa###easy.net/index.php?me################################################
ro###tock.net/index.php?me################################################
ab###ead.net/index.php?me################################################
pu###oday.net/index.php?me################################################
fr###yseven.net/index.php?me################################################
pu###even.net/index.php?me################################################
fr###ysuch.net/index.php?me################################################
pu###uch.net/index.php?me################################################
fr###ytoday.net/index.php?me################################################
fr###ysome.net/index.php?me################################################
de###oday.net/index.php?me################################################
wh###ifth.net/index.php?me################################################
pi###ake.net/index.php?me################################################
pu###ome.net/index.php?me################################################
de###uch.net/index.php?me################################################
sh###such.net/index.php?me################################################

UDP:

DNS ASK lo###ance.net
DNS ASK so###are.net
DNS ASK lo###are.net
DNS ASK so###ody.net
DNS ASK lo###ody.net
DNS ASK so###ance.net
DNS ASK de####ersuch.net
DNS ASK de####erseven.net
DNS ASK al###seven.net
DNS ASK de####ersome.net
DNS ASK al###such.net
DNS ASK de####ertoday.net
DNS ASK al###today.net
DNS ASK lo###ell.net
DNS ASK st###dare.net
DNS ASK sa###ell.net
DNS ASK wh###tell.net
DNS ASK ba###ance.net
DNS ASK st###dance.net
DNS ASK ba###are.net
DNS ASK sa###ody.net
DNS ASK sa###are.net
DNS ASK wh###dare.net
DNS ASK so###ell.net
DNS ASK wh###body.net
DNS ASK sa###ance.net
DNS ASK wh###dance.net
DNS ASK al###some.net
DNS ASK sp###ont.net
DNS ASK wa###since.net
DNS ASK ta###hand.net
DNS ASK dr###wide.net
DNS ASK ma###han.net
DNS ASK of###aunt.net
DNS ASK up###ail.net
DNS ASK pi###rave.net
DNS ASK sa###econd.net
DNS ASK so###blood.net
DNS ASK wa###easy.net
DNS ASK ro###tock.net
DNS ASK ab###ead.net
DNS ASK pu###oday.net
DNS ASK fr###yseven.net
DNS ASK pu###even.net
DNS ASK fr###ysuch.net
DNS ASK pu###uch.net
DNS ASK fr###ytoday.net
DNS ASK fr###ysome.net
DNS ASK de###oday.net
DNS ASK wh###ifth.net
DNS ASK pi###ake.net
DNS ASK pu###ome.net
DNS ASK de###uch.net
DNS ASK sh###such.net
'23#.#55.255.250':1900

Tecnologías

Términos

Formación y educación

Mitos

Technical Information

Curing recommendations

Free trial