Analysis Date | 2016-01-28 12:57:46 |
---|---|
MD5 | 2fee7f9292e148923a3e7a035be2b4ef |
SHA1 | 5f95077b22e7ef0baf2cff94cf735f287c103590 |
Static Details:
File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
---|---|---|
Section | .text md5: 1ebeab1b431f45c181999a126105f5af sha1: ad482fba968c4dd83f4023aad6b8561fbbb838cc size: 74752 | |
Section | .rdata md5: a2655dcf1a49601504a5fb96585905d5 sha1: 8adb0eb9c7327934f19134e592c351f431f28a2f size: 16384 | |
Section | .data md5: 9117be1dd31998b0ae236a2501585926 sha1: 242847d1120e03e75658f17ad59c07d8d0fdcb34 size: 51712 | |
Section | .reloc md5: 443ce7f8483c73031c0b32a11d3a0ad2 sha1: d00bea05d61971d795de02dff7b86dcaf694b4d2 size: 5120 | |
Timestamp | 2016-01-11 16:15:04 | |
Packer | Microsoft Visual C++ ?.? | |
PEhash | 65e817ebd52d4986edf3cd4a07c883a7f2691622 | |
IMPhash | 60902beae54c4b546295641e8914b8e2 | |
AV | CA (E-Trust Ino) | No Virus |
AV | Rising | No Virus |
AV | Mcafee | No Virus |
AV | Avira (antivir) | TR/Crypt.Xpack.422155 |
AV | Twister | No Virus |
AV | Ad-Aware | Gen:Variant.Zusy.176907 |
AV | Alwil (avast) | Dorder-E [Trj] |
AV | Eset (nod32) | Win32/Kryptik.EKGL |
AV | Grisoft (avg) | Crypt5.AAFT |
AV | Symantec | No Virus |
AV | Fortinet | W32/Kryptik.EKGL!tr |
AV | BitDefender | Gen:Variant.Zusy.176907 |
AV | K7 | Trojan ( 004dbe611 ) |
AV | Microsoft Security Essentials | Worm:Win32/Gamarue!rfn |
AV | MicroWorld (escan) | Gen:Variant.Zusy.176907 |
AV | MalwareBytes | Worm.Gamarue |
AV | Authentium | W32/Trojan.XSUB-3764 |
AV | Emsisoft | Gen:Variant.Zusy.176907 |
AV | Frisk (f-prot) | No Virus |
AV | Ikarus | Trojan.Win32.Crypt |
AV | Zillya! | No Virus |
AV | Kaspersky | Trojan.Win32.Generic |
AV | Trend Micro | No Virus |
AV | VirusBlokAda (vba32) | No Virus |
AV | CAT (quickheal) | No Virus |
AV | BullGuard | Gen:Variant.Zusy.176907 |
AV | Arcabit (arcavir) | Gen:Variant.Zusy.176907 |
AV | ClamAV | No Virus |
AV | Dr. Web | Trojan.DownLoader18.50422 |
AV | F-Secure | Gen:Variant.Zusy.176907 |
Runtime Details:
Screenshot | ![]() |
---|
Process
↳ C:\malware.exe
Creates Process | C:\WINDOWS\system32\msiexec.exe |
---|
Process
↳ C:\WINDOWS\system32\msiexec.exe
Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
---|---|
Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\317606753 ➝ C:\Documents and Settings\All Users\msvgqh.exe\\x00 |
Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden ➝ NULL |
Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
Registry | HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\Windows\Load ➝ \\x00 |
Creates File | PIPE\lsarpc |
Creates File | C:\Documents and Settings\All Users\msvgqh.exe |
Creates File | \Device\Afd\Endpoint |
Creates File | C:\Documents and Settings\All Users\118375 |
Deletes File | C:\5F9507~1.EXE |
Winsock DNS | microsoft.com |
Winsock DNS | pool.ntp.org |
Winsock DNS | north-america.pool.ntp.org |
Winsock DNS | africa.pool.ntp.org |
Winsock DNS | oceania.pool.ntp.org |
Winsock DNS | asia.pool.ntp.org |
Winsock DNS | south-america.pool.ntp.org |
Winsock DNS | europe.pool.ntp.org |
Network Details:
Raw Pcap
Strings