| Analysis Date | 2016-01-28 12:57:46 |
|---|---|
| MD5 | 2fee7f9292e148923a3e7a035be2b4ef |
| SHA1 | 5f95077b22e7ef0baf2cff94cf735f287c103590 |
Static Details:
| File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
|---|---|---|
| Section | .text md5: 1ebeab1b431f45c181999a126105f5af sha1: ad482fba968c4dd83f4023aad6b8561fbbb838cc size: 74752 | |
| Section | .rdata md5: a2655dcf1a49601504a5fb96585905d5 sha1: 8adb0eb9c7327934f19134e592c351f431f28a2f size: 16384 | |
| Section | .data md5: 9117be1dd31998b0ae236a2501585926 sha1: 242847d1120e03e75658f17ad59c07d8d0fdcb34 size: 51712 | |
| Section | .reloc md5: 443ce7f8483c73031c0b32a11d3a0ad2 sha1: d00bea05d61971d795de02dff7b86dcaf694b4d2 size: 5120 | |
| Timestamp | 2016-01-11 16:15:04 | |
| Packer | Microsoft Visual C++ ?.? | |
| PEhash | 65e817ebd52d4986edf3cd4a07c883a7f2691622 | |
| IMPhash | 60902beae54c4b546295641e8914b8e2 | |
| AV | CA (E-Trust Ino) | No Virus |
| AV | Rising | No Virus |
| AV | Mcafee | No Virus |
| AV | Avira (antivir) | TR/Crypt.Xpack.422155 |
| AV | Twister | No Virus |
| AV | Ad-Aware | Gen:Variant.Zusy.176907 |
| AV | Alwil (avast) | Dorder-E [Trj] |
| AV | Eset (nod32) | Win32/Kryptik.EKGL |
| AV | Grisoft (avg) | Crypt5.AAFT |
| AV | Symantec | No Virus |
| AV | Fortinet | W32/Kryptik.EKGL!tr |
| AV | BitDefender | Gen:Variant.Zusy.176907 |
| AV | K7 | Trojan ( 004dbe611 ) |
| AV | Microsoft Security Essentials | Worm:Win32/Gamarue!rfn |
| AV | MicroWorld (escan) | Gen:Variant.Zusy.176907 |
| AV | MalwareBytes | Worm.Gamarue |
| AV | Authentium | W32/Trojan.XSUB-3764 |
| AV | Emsisoft | Gen:Variant.Zusy.176907 |
| AV | Frisk (f-prot) | No Virus |
| AV | Ikarus | Trojan.Win32.Crypt |
| AV | Zillya! | No Virus |
| AV | Kaspersky | Trojan.Win32.Generic |
| AV | Trend Micro | No Virus |
| AV | VirusBlokAda (vba32) | No Virus |
| AV | CAT (quickheal) | No Virus |
| AV | BullGuard | Gen:Variant.Zusy.176907 |
| AV | Arcabit (arcavir) | Gen:Variant.Zusy.176907 |
| AV | ClamAV | No Virus |
| AV | Dr. Web | Trojan.DownLoader18.50422 |
| AV | F-Secure | Gen:Variant.Zusy.176907 |
Runtime Details:
| Screenshot |  |
|---|
Process
↳ C:\malware.exe
| Creates Process | C:\WINDOWS\system32\msiexec.exe |
|---|
Process
↳ C:\WINDOWS\system32\msiexec.exe
| Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
|---|---|
| Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\317606753 ➝ C:\Documents and Settings\All Users\msvgqh.exe\\x00 |
| Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden ➝ NULL |
| Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
| Registry | HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\Windows\Load ➝ \\x00 |
| Creates File | PIPE\lsarpc |
| Creates File | C:\Documents and Settings\All Users\msvgqh.exe |
| Creates File | \Device\Afd\Endpoint |
| Creates File | C:\Documents and Settings\All Users\118375 |
| Deletes File | C:\5F9507~1.EXE |
| Winsock DNS | microsoft.com |
| Winsock DNS | pool.ntp.org |
| Winsock DNS | north-america.pool.ntp.org |
| Winsock DNS | africa.pool.ntp.org |
| Winsock DNS | oceania.pool.ntp.org |
| Winsock DNS | asia.pool.ntp.org |
| Winsock DNS | south-america.pool.ntp.org |
| Winsock DNS | europe.pool.ntp.org |
Network Details:
Raw Pcap
Strings