Analysis Date | 2016-04-17 09:48:02 |
---|---|
MD5 | 087f244f754b8596cc08505fef660bff |
SHA1 | 16e2c2ecaee3e6ecc016e3204588409fe01543ad |
Static Details:
File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
---|---|---|
Section | .text md5: fcb5b5ac2b5c7443c2c641c66cc88e5b sha1: 8c8ad59621e81b0e725c47eda2d3d68e9368dd48 size: 182272 | |
Section | .rdata md5: 96b95e1966ea7232697241bf4f4e7cb5 sha1: ebebb9cfced0307e318fcfe6f064a5b68029e02f size: 2560 | |
Section | .data md5: 1915874d337e9a38a7bdbb4ebf701a1e sha1: f4332d5f2e627e9d8353335d3fec04441a2fe01e size: 14848 | |
Section | .reloc md5: a5e450e77f062d16ea806cc7255bfe44 sha1: 11e4a4578e96afb399ed79adca898658eccd241f size: 30208 | |
Timestamp | 2014-09-12 21:37:20 | |
PEhash | 4f004977dddf61c5326329bb46f3257998be0f53 | |
IMPhash | a5e26dcd801ea923ca4f0a39f16ddbc5 | |
AV | CA (E-Trust Ino) | Gen:Variant.Razy.18137 |
AV | F-Secure | Gen:Variant.Razy.18137 |
AV | Dr. Web | No Virus |
AV | ClamAV | No Virus |
AV | Arcabit (arcavir) | Gen:Variant.Razy.18137 |
AV | BullGuard | Gen:Variant.Razy.18137 |
AV | VirusBlokAda (vba32) | No Virus |
AV | CAT (quickheal) | TrojanSpy.Nivdort.WR4 |
AV | Trend Micro | No Virus |
AV | Kaspersky | Trojan.Win32.Generic |
AV | Zillya! | No Virus |
AV | Emsisoft | Gen:Variant.Razy.18137 |
AV | Ikarus | Trojan.Win32.Bayrob |
AV | Frisk (f-prot) | W32/Nivdort.G.gen!Eldorado |
AV | Authentium | W32/Nivdort.G.gen!Eldorado |
AV | MalwareBytes | No Virus |
AV | MicroWorld (escan) | Gen:Variant.Razy.18137 |
AV | Microsoft Security Essentials | TrojanSpy:Win32/Nivdort.DO |
AV | K7 | Trojan ( 004dc2a31 ) |
AV | BitDefender | Gen:Variant.Razy.18137 |
AV | Fortinet | W32/Bayrob.AQ!tr |
AV | Symantec | Trojan.Bayrob!gen6 |
AV | Grisoft (avg) | Generic_r.GTB |
AV | Eset (nod32) | Win32/Bayrob.BA |
AV | Alwil (avast) | Vupa [Cryp] |
AV | Ad-Aware | Gen:Variant.Razy.18137 |
AV | Twister | No Virus |
AV | Avira (antivir) | No Virus |
AV | Mcafee | Trojan-FHQT!087F244F754B |
AV | Rising | No Virus |
Runtime Details:
Screenshot | ![]() |
---|
Process
↳ C:\malware.exe
Creates File | C:\rzyxebfwgij\u8a1leusoakqrkbquc.exe |
---|---|
Creates File | C:\rzyxebfwgij\gevvocfq |
Creates File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Deletes File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Creates Process | C:\rzyxebfwgij\u8a1leusoakqrkbquc.exe |
Process
↳ C:\rzyxebfwgij\u8a1leusoakqrkbquc.exe
Registry | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\User Client Proxy Upgrade DLL Manager ➝ C:\rzyxebfwgij\lbeptlgtsulv.exe |
---|---|
Creates File | C:\rzyxebfwgij\gevvocfq |
Creates File | PIPE\lsarpc |
Creates File | C:\rzyxebfwgij\nvzegdyl8v |
Creates File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Creates File | C:\rzyxebfwgij\lbeptlgtsulv.exe |
Deletes File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Creates Process | C:\rzyxebfwgij\lbeptlgtsulv.exe |
Creates Service | Windows Launcher Color Shadow Support - C:\rzyxebfwgij\lbeptlgtsulv.exe |
Process
↳ C:\WINDOWS\system32\svchost.exe
Process
↳ Pid 812
Process
↳ Pid 860
Process
↳ C:\WINDOWS\System32\svchost.exe
Creates File | C:\WINDOWS\system32\WBEM\Logs\wbemess.log |
---|
Process
↳ Pid 1216
Process
↳ C:\WINDOWS\system32\spoolsv.exe
Process
↳ Pid 1848
Process
↳ Pid 1136
Process
↳ C:\rzyxebfwgij\lbeptlgtsulv.exe
Creates File | C:\rzyxebfwgij\na2kvmdlbrb |
---|---|
Creates File | pipe\net\NtControlPipe10 |
Creates File | C:\rzyxebfwgij\gevvocfq |
Creates File | C:\rzyxebfwgij\aacqqumyttk.exe |
Creates File | C:\rzyxebfwgij\nvzegdyl8v |
Creates File | \Device\Afd\Endpoint |
Creates File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Deletes File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Creates Process | oqyagqdjmrhn "c:\rzyxebfwgij\lbeptlgtsulv.exe" |
Process
↳ C:\rzyxebfwgij\lbeptlgtsulv.exe
Creates File | C:\rzyxebfwgij\gevvocfq |
---|---|
Creates File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Deletes File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Process
↳ oqyagqdjmrhn "c:\rzyxebfwgij\lbeptlgtsulv.exe"
Creates File | C:\rzyxebfwgij\gevvocfq |
---|---|
Creates File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Deletes File | C:\WINDOWS\rzyxebfwgij\gevvocfq |
Network Details:
Raw Pcap
Strings