| Analysis Date | 2014-02-24 06:06:16 |
|---|---|
| MD5 | e0c0c711fee013f86e9b2026dfb9dc05 |
| SHA1 | 65621fb1018228dc6903074ebced6634b17261a3 |
Static Details:
| File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
|---|---|---|
| Section | .text md5: 1f25d220d5bbdcb3cece0b560dbef5b6 sha1: 7dc5154e1faf3fce37ea90015fb85f9134ae6ab0 size: 5120 | |
| Section | .rdata md5: d5ce33a1d73e555cfc3b7083735de21e sha1: d8c3b04c302b4cb27f716da272817d4174bce0f2 size: 1024 | |
| Section | .data md5: 8bfdd6ac628004bfe3d25b792fe5025c sha1: 4ace4f3e971f16563d8192caaf594ab2101b778c size: 1024 | |
| Section | r23av72y md5: 892b016e9d56d3d8aed183a0320678f4 sha1: 8de5311f195bd1db2ba71649cf117544a71a42b1 size: 18555 | |
| Section | 4w5glcri md5: 418f3a0b1be91826dd575e8202dc3b10 sha1: 3d4b0267e8f3e0f0799dbdac55fafbc12d917e71 size: 23552 | |
| Timestamp | 2009-04-14 16:49:38 | |
| PEhash | 084e565b5b87d186cb7a3449c8a8eb9bbfb08b6f | |
| IMPhash | d0ce82ba00d2f51a0aca2713ffe33076 | |
| AV | avg | Win32/Virut |
| AV | mcafee | W32/Hamweq.worm.s |
| AV | msse | Trojan:Win32/Lethic.F |
| AV | clamav | Trojan.Agent-118875 |
| AV | avira | W32/Virut.Gen |
Runtime Details:
| Screenshot |  |
|---|
Process
↳ C:\malware.exe
| Registry | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-24SF-N85P ➝ C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\vsofat.exe |
|---|---|
| Creates File | C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini |
| Creates File | C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\vsofat.exe |
| Creates Mutex | ZAOP |
Process
↳ C:\WINDOWS\Explorer.EXE
| Creates File | \Device\Afd\Endpoint |
|---|---|
| Creates Mutex | aarontest |
Network Details:
| DNS | ofat.hmarhelo.com Type: A 208.73.211.241 |
|---|---|
| DNS | ofat.hmarhelo.com Type: A 208.73.211.242 |
| DNS | ofat.hmarhelo.com Type: A 208.73.211.243 |
| DNS | ofat.hmarhelo.com Type: A 208.73.211.192 |
| DNS | ofat.hmarhelo.com Type: A 208.73.211.244 |
| Flows TCP | 192.168.1.1:1031 ➝ 208.73.211.241:1199 |
Raw Pcap
Strings
.
d....ll.
0%00060
11}>:BL
12CFG214-K641-24SF-N85P
2F3M3_3y3
2I2P2d2
40L0x0
4+5e5}5
4B$Dg?Z_?
4$^RPh/j@
4w5glcri
6!717N7
7O8S8c8
9):5:e:
9gKi^F
_a2a2a2
aarontest
ADh$A@
ADVAPI32.dll
AHh0A@
ALh@A@
APhHA@
?_bccc
bcccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccb
bccc!Gc
=BTSOZ
c4c`cK
ca:dW ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccd
ca>_W W
cccaccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccdcccdccacccaccc]ccciccc
cccaccccccccdcccdcccdcccdccdccc
]cccBE@
'ccccb
ccccccc
cccccccccccccccccccccc
ccccccccccccccccccccccccccccccccc
cccccccccccccccccccccccccccdcccdcccdcccdcccdcccdcccdcccdccc
cccccccccccccccccccdccc
ccccccccccccdcccdcccdcccdccdccc
ccccCccdcccccccccccccccccccacccccccacccacccccccccccc
cccccccsccccdcccdcccdcccdccdccc
ccccdccccccccccccccccccccccccccdccccaccdcccdcccdcccdcccccccccccccccccccccccccccccccccccccccdccccccccsccdcccdcccdcccdcccdcccdcccdcccdcccdccccccccccccccccccccccccccccccdcccdcccdcccdcccdcccccccdccccccccdcccdcccdcccdcccdcccdcccdcccdcccccccccccccccccccccccccccdcccdcccccccccccccccccccccccccccccccccccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdccddccddccddccddcccdcccdcccdcccccccdcccdcccdcccdcccdcccdcccdcccdcc
ccccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccccccccccccccdccddcccdcccdcccdcccccccccccccccdccddcccdcccckccdcccdcccdcccdcccdcccdcccdcccdcccdccccccccccddcccdcccdcccdcccdcccdcccdcccdccddcccdccddccddccddcccdcccccccccccccccccccccccccccccccccccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccccc
cccddccddccCc_ccc_ccdcccdccddcc
_c_c$cp
cccR#"TQNESESETC
cccW`f
cccW]f
(C?cIc
ccSScs
cc*xccdccccccccccc
c_czddcDddc@ddc
"cdab]^`
c_dccjd
c@dccTd
cDcMcOc
c*dSc&d
CECECY@
cHdTdjd
_cic`d
clahagdsa`c
CloseHandle
closesocket
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
connect
CopyFileA
CreateDirectoryA
CreateFileA
CreateMutexA
CreateRemoteThread
CreateToolhelp32Snapshot
C:\RECYCLER
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\
cszcb4
cszcd_?J
d@6666X
@.data
dccDcccccccCc_ccc_cccccdccccccccc_ccdcccdcccdcccdccdcccdccccccccccccdcccdcccdcccdcccdcccdcccdcccdccdcccdcccdcccdcccdcccdcccdcccdccc
dccdcccddccccccccccccccccccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccddcc
dccddccddcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdcccdccccccccccccccccccccccccccccccccccccccccccc
dccicgc
dccucW
ddc&ddc6ddccc
DeleteFileA
Desktop.ini
dfcpc^c
dKcGcOcScOcVcZcVcuc
dLcmclc
e{ (j`
EVad}1
\E#w<OR u-
ExitThread
explorer.exe
fclcKdz
g?cdcc
gethostbyname
GetModuleFileNameA
GetModuleHandleA
GetProcAddress
GetTickCount
hCCCCXD~
hckc|c
hckcfd
hclcTd
H,s=]"
&Hzccf
icjcDc
iclcnd+
inet_addr
ioctlsocket
I[[zc"
!_J3b+
jccb5}
jc_cdd
|!kbeX
kernel32.dll
KERNEL32.dll
lc^c+d
lcgc]c
LoadLibraryA
LocalAlloc
LocalFree
lstrcatA
lstrcmpiA
lstrlenA
mc_c6d.
mcCccf
mc^cqc
MessageBoxA
;,;M;w;
mzc"XscIc
==>N>~>
nckcCd
nzcJ3b
ocgcYd
odc`c`c
ofat.hmarhelo.com
OpenProcess
pcgc~c
pcszcZ-
Process32First
Process32Next
qcc}df
qXbccc
=<=]=r=
r23av72y
r<c:cbc
rc^c;c
.rdata
RegCloseKey
RegCreateKeyExA
RegSetValueExA
sccc!?c
select
SetFileAttributesA
[.ShellClassInfo]
socket
Software\Microsoft\Windows\CurrentVersion\Run
tcrcGc
!This program cannot be run in DOS mode.
ucic6c
user32.dll
,uzcR1
(uzcR1
VirtualAllocEx
vsofat.exe
WaitForSingleObject
wccc@EM
?Wcdcc
w,mLTq
WriteFile
WriteProcessMemory
ws2_32.dll
WSAStartup
XA=BTSSZ
xcac c
xccc!Cc
Xzcacccf
Xzc_ccc
Xzc_cccf
Xzcdcccf
Xzckcccf
:";y;8<
ycsc&dA
zccb+b
zc__cc
zc=ccc
zc_cccJ,
zcc"cdcccdcccdcccdccdccc
zccdcc
@zc?cIc
zcc"M]ccc~
^@zcR,
zc"R1}Z
zcR,b"
zcR,R#f
zcSm$)k