Analysis Date2014-04-23 16:06:41
MD58020ce9cbce899678d6c021fc46cdaa2
SHA16803529ff0fff9ce3cda5a995e64aa8fd03fb1f0

Static Details:

File typePE32 executable for MS Windows (GUI) Intel 80386 32-bit
Section.text md5: 4fe2695e8347a446fb299a854d2e43b3 sha1: d21bf5d609269a7e19e29d8a21c3566bf82ddd43 size: 970752
Section.data md5: 620f0b67a91f7f74151bc5be745b7110 sha1: 1ceaf73df40e531df3bfb26b4fb7cd95fb7bff1d size: 4096
Section.rsrc md5: 2ac262087f47d40ca1681c5fa7da1b1c sha1: 543ab7e706ecd717ea791c969952f84efb9948ad size: 69632
Timestamp2013-12-03 05:42:52
VersionInternalName: RichStart
FileVersion: 2.01.0009
CompanyName: RichTech Corporation
ProductName: RichTech GameUp Tool
ProductVersion: 2.01.0009
FileDescription: RichTech Game Open Procedure
OriginalFilename: RichStart.exe
PackerAHTeam EP Protector 0.3 (fake PCGuard 4.03-4.15) -> FEUERRADER
PEhashe15901070d1496d8fb340d0f8769078cd9fe183b
IMPhasha09e2291daf87343476483ca4f390bb6
AVavgWin32/Alman
AVmcafeeW32/Almanahe.c
AVmsseVirus:Win32/Almanahe.B
AVclamavW32.Alman-4

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

RegistryHKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable ➝
NULL
RegistryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass ➝
1
Creates FileC:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
Creates FileC:\Documents and Settings\Administrator\Local Settings\Temp\~DFD79F.tmp
Creates FileC:\WINDOWS\system32\drivers\IsDrv118.sys
Creates File\Device\Afd\AsyncConnectHlp
Creates FileC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Creates FileC:\WINDOWS\linkinfo.dll
Creates FileC:\Documents and Settings\Administrator\Cookies\index.dat
Creates FilePIPE\lsarpc
Creates File\Device\Afd\Endpoint
Deletes FileC:\WINDOWS\system32\drivers\IsDrv118.sys
Creates Mutexc:!documents and settings!administrator!local settings!history!history.ie5!
Creates MutexWininetConnectionMutex
Creates Mutexc:!documents and settings!administrator!cookies!
Creates Mutexc:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Winsock DNSad.much8.com

Process
↳ C:\WINDOWS\Explorer.EXE

RegistryHKEY_CURRENT_USER\SessionInformation\ProgramCount ➝
1
Creates FileC:\temp\files\monitor.exe
Creates FilePIPE\SfcApi
Creates FileC:\temp\monitor.exe
Creates FileC:\WINDOWS\system32\drivers\nvmini.sys
Creates FileDL5CProc
Creates Mutex__CORE_DL5__
Creates MutexPNP#DMUTEX#1#DL5
Creates Mutex__DL5_INF__
Creates Servicenvmini - system32\drivers\nvmini.sys

Process
↳ C:\WINDOWS\system32\svchost.exe

Creates FileWMIDataDevice

Process
↳ C:\WINDOWS\system32\svchost.exe

Process
↳ C:\WINDOWS\system32\svchost.exe

Process
↳ Pid 812

Process
↳ C:\WINDOWS\System32\svchost.exe

Process
↳ C:\WINDOWS\system32\spoolsv.exe

RegistryHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\BeepEnabled ➝
NULL
RegistryHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System\Print\TypesSupported ➝
7
RegistryHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Printers\SymbolicLinkValue ➝
NULL
RegistryHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory ➝
C:\WINDOWS\System32\spool\PRINTERS\\x00
RegistryHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LogonTime ➝
NULL
Creates FileWMIDataDevice
Creates FilePIPE\lsarpc

Process
↳ C:\WINDOWS\System32\alg.exe

Process
↳ C:\WINDOWS\system32\svchost.exe

Network Details:

DNS1st.ecoma.glb0.lxdns.com
Type: A
209.170.78.72
DNS1st.ecoma.glb0.lxdns.com
Type: A
209.170.78.77
DNS1st.ecoma.glb0.lxdns.com
Type: A
209.170.78.73
DNSad.much8.com
Type: A
HTTP GEThttp://ad.much8.com/ad1/ad1.html
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Flows TCP192.168.1.1:1032 ➝ 209.170.78.72:80

Raw Pcap
0x00000000 (00000)   47455420 2f616431 2f616431 2e68746d   GET /ad1/ad1.htm
0x00000010 (00016)   6c204854 54502f31 2e310d0a 41636365   l HTTP/1.1..Acce
0x00000020 (00032)   70743a20 2a2f2a0d 0a416363 6570742d   pt: */*..Accept-
0x00000030 (00048)   4c616e67 75616765 3a20656e 2d75730d   Language: en-us.
0x00000040 (00064)   0a416363 6570742d 456e636f 64696e67   .Accept-Encoding
0x00000050 (00080)   3a20677a 69702c20 6465666c 6174650d   : gzip, deflate.
0x00000060 (00096)   0a557365 722d4167 656e743a 204d6f7a   .User-Agent: Moz
0x00000070 (00112)   696c6c61 2f342e30 2028636f 6d706174   illa/4.0 (compat
0x00000080 (00128)   69626c65 3b204d53 49452036 2e303b20   ible; MSIE 6.0; 
0x00000090 (00144)   57696e64 6f777320 4e542035 2e313b20   Windows NT 5.1; 
0x000000a0 (00160)   5356313b 202e4e45 5420434c 5220322e   SV1; .NET CLR 2.
0x000000b0 (00176)   302e3530 37323729 0d0a486f 73743a20   0.50727)..Host: 
0x000000c0 (00192)   61642e6d 75636838 2e636f6d 0d0a436f   ad.much8.com..Co
0x000000d0 (00208)   6e6e6563 74696f6e 3a204b65 65702d41   nnection: Keep-A
0x000000e0 (00224)   6c697665 0d0a0d0a                     live....


Strings
.........................................................................................................................................................................
.
.
A.L..

0000
0001
0010
0011
0100
0101
0110
0111
080404B0
1000
1001
1010
1011
1100
1101
1110
1111
/1363247666520.j?
2.01.0009
ADUrl
B00002
Bulletin
CNZZ
CompanyName
C:\Program Files\Richtech\OctopusClt\TopTen\rtBulletin.dat
C:\WINDOWS\system32\mswsock.rs
Error in Skipjack EncryptFile procedure (Source file does not exist).
_extentx
_extenty
FileDescription
FileVersion
gname=
Gname
&gtype=
Gtype
HHHHHHHHHHHH
HTTP/1.1
http://ad.much8.com/ad1/ad1.html
http://netbar.coolog.com/much8/get_game.html?
http Rich
http://www.richtech.net.cn
Incorrect size descriptor in Blowfish decryption
Inno Setup: App Path
InternalName
Jisual Studio\VB98\C2.EXE
Jisual Studio\VB98\C2.EXE.Manifes
jjjj
Jt(v2.1.4
open
&op=open
OriginalFilename
&partner=richtech
picture
Picture
picturedown
PictureDown
picturehover
PictureHover
ProductName
ProductVersion
ProgramFiles
RichStart
RichStart.exe
\RichStart.ini
RichTech Corporation
RichTech Game Open Procedure
RichTech GameUp Tool
\Richtech\OctopusClt\TopTen\RtSessionID.dll
\rtBulletin.tmp
RTHide
SeBackupPrivilege
SeRestorePrivilege
servergame001
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1A6312D5-D82B-4175-921A-F032F245AF8E}_is1
StartName
StringFileInfo
\system32\RtSessionID.dll
TEMP
tongji.rtmedia.cn
TopTen\RtSessionID.dll
Translation
VarFileInfo
VS_VERSION_INFO
windir
          
                                                 
 """"""""""""""""""""""""""""" 
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
$$$$" 
																																					
																																																																																										
																																																																																																																																																																		
#0Y ^;g
-1"<16!
"#$123CdAQa
2@|%9s
$2ACads
3-$4i{!
4dZ(T$
%527427/8
59stLGs
/6G8/Ap5
7p}@6CB
9'*1'B)'P!'^
	:*\<a
AC 40D
/ACg*F
_adj_fdiv_m16i
_adj_fdiv_m32
_adj_fdiv_m32i
_adj_fdiv_m64
_adj_fdiv_r
_adj_fdivr_m16i
_adj_fdivr_m32
_adj_fdivr_m32i
_adj_fdivr_m64
_adj_fpatan
_adj_fprem
_adj_fprem1
_adj_fptan
AdjustTokenPrivileges
advapi32.dll
_allmul
*AQ"qA
B3JJJJJ
basEnDecrypt
{~,,bB
,bfN^HE
 bK	 |
B<Ph4yJ
Bulletin
Button
}^$bwEX
ByteArray
	%bZ*N
'&C3s<(
c85-]`
cHJJJJJJ
_CIatan
_CIcos
_CIexp
_CIlog
_CIsin
_CIsqrt
_CItan
[CK0lK@
clsBlowfish
C:\Program Files\Microsoft Visual Studio\VB98\VB6.OLB
,C"ut6N
C:\WINDOWS\system32\ieframe.oca
C:\WINDOWS\system32\msvbvm60.dll\3
C:\WINDOWS\system32\stdole2.tlb
;CX4nj
<DAreG
DblClick
DecryptByte
DecryptFile
DecryptString
DestFile
+DlI;V
DllFunctionCall
dNT	y~f5#Q
DN-tz_
DW"~"W
EAF"L[@
EncryptByte
EncryptFile
EncryptString
EndButton
>e_R-P
Es1hIs
Es];Fs
EVENT_SINK_AddRef
EVENT_SINK_QueryInterface
EVENT_SINK_Release
-FPpIC
Fs0jGs
Fs@9IsJ
FsDRFsk
FsE`Fs
FsetGs
?Fs?|Gs
@Fs\TGs'
,fWlTx
 *gAZ$
GetCurrentProcess
GetCursorPos
GetMacSerialA
GetOctu4BarID
GetPrivateProfileStringA
getSessionID
GetWindowLongA
>;Gi)@4
Gs$FGs
GsfzGs
Gs^iGsD
GsOoGsbrIs
]=h7$r7
hGskbHs)uGs
HsEtGs?
Hs&nGssnGs*aHs
HsXLGse
HttpAddRequestHeadersA
HttpOpenRequestA
HttpSendRequestA
	.ID4Tk
ieframe.dll
I-iN6+
I	jjLFD
?ImY6\
InternetCloseHandle
InternetConnectA
InternetOpenA
InternetOpenUrlA
InternetSetOptionA
`i)QFZ
]IstjGsh
i]UcvC`m
}#jdh\
\JF,	)BiFM
jGsEjGsZ]Fs
}#j,h`
}#j\h,
}#j|hd{J
JJJJJJ
JJJJJW3
}#jlh<
}#jph8yJ
}#jPh\~J
JQJJJJ
}#jthd{J
}#jxh8yJ
jXh8yJ
} jXh8yJ
} jXhd{J
jXhd{J
K<5FX=I
kernel32
kGspuIs
Label1
-]lia!
LookupPrivilegeValueA
"L)w"L
M1702b.h
m_New_Picture
m_New_PictureDown
m_New_PictureHover
MouseDown
MouseEnter
MouseLeave
MouseMove
MouseUp
MSVBVM60.DLL
New_Value
 !N\HjQ
NL(abP
 np+ P
o2N< ;#
o$6OM7
o"	j 	h
OpenProcessToken
}OrH,c
Percent
Picture
Picture1
PictureButton
PictureButton1
PictureButton2
PictureButton3
PictureDown
PictureHover
,PJ)b0
PJJJLJJOO
=P~]PC@
Progress
p,^U,D
Q8Rh4yJ
raE:)L
ReadyState
RegCloseKey
RegCreateKeyExA
RegDeleteKeyA
RegDeleteValueA
RegEnumKeyExA
RegEnumValueA
RegOpenKeyExA
RegQueryInfoKeyA
RegQueryValueExA
RegRestoreKeyA
RegSaveKeyA
RegSetValueExA
ReleaseCapture
RfJ+!r
RichStart
RichStart.PictureButton
RichTJ
?|@`	rq
RtlMoveMemory
RtSessionID
S8&[on6*
+^Sa.%
`S (b@
SendMessageA
SetLayeredWindowAttributes
SetWindowLongA
SetWindowPos
SHDocVwCtl
SHDocVwCtl.WebBrowser
shell32.dll
ShellExecuteA
SourceFile
StartButton
stdole
!This program cannot be run in DOS mode.
Timer1
"tRN.G
T{%\{u
ucf9FHu]
user32
UserControl
uX>F# _
.V4)oR
VB5!6&vb6chs.dll
VBA6.DLL
__vbaAryConstruct2
__vbaAryCopy
__vbaAryDestruct
__vbaAryLock
__vbaAryMove
__vbaAryUnlock
__vbaAryVar
__vbaCastObj
__vbaCastObjVar
__vbaChkstk
__vbaCopyBytes
__vbaEnd
__vbaErrorOverflow
__vbaExceptHandler
__vbaExitProc
__vbaFileClose
__vbaFileOpen
__vbaFixstrConstruct
__vbaFPException
__vbaFpI4
__vbaFPInt
__vbaFreeObj
__vbaFreeObjList
__vbaFreeStr
__vbaFreeStrList
__vbaFreeVar
__vbaFreeVarList
__vbaGenerateBoundsError
__vbaGetOwner3
__vbaHresultCheckObj
__vbaI2I4
__vbaI4Var
__vbaInStrVar
__vbaLateIdCall
__vbaLateIdSt
__vbaLenBstr
__vbaLenVar
__vbaLenVarB
__vbaLsetFixstr
__vbaMidStmtBstr
__vbaNew2
__vbaObjSet
__vbaObjSetAddref
__vbaOnError
__vbaPowerR8
__vbaPutOwner3
__vbaR8ErrVar
__vbaR8IntI4
__vbaR8Str
__vbaR8Var
__vbaRaiseEvent
__vbaRedim
__vbaRedimPreserve
__vbaRefVarAry
__vbaSetSystemError
__vbaStrCat
__vbaStrCmp
__vbaStrCopy
__vbaStrErrVarCopy
__vbaStrI4
__vbaStrMove
__vbaStrR8
__vbaStrTextCmp
__vbaStrToAnsi
__vbaStrToUnicode
__vbaStrVarMove
__vbaStrVarVal
__vbaUbound
__vbaUI1I2
__vbaUI1I4
__vbaUI1Var
__vbaVar2Vec
__vbaVarAdd
__vbaVarCat
__vbaVarDup
__vbaVarForInit
__vbaVarForNext
__vbaVarIndexLoad
__vbaVarMove
__vbaVarSub
__vbaVarTstEq
__vbaVarVargNofree
VT i3=Z
WebBrowser
WebBrowser1
WindowFromPoint
wininet
wininet.dll
y&IJJJ
'\y'Pq'Hi'<a
YR&/*R~
z3aF 84