Analysis Date | 2015-12-30 12:28:32 |
---|---|
MD5 | 7e87faed84600bbd4b28cda0a91a54cf |
SHA1 | 6b3218c96da2fe82aa1d8f46d3f070655bbfe8ef |
Static Details:
File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
---|---|---|
Section | .text md5: e706a207f405f5d7ec330beb0a3b8f1d sha1: d1e70c0c92236b93c3973a19531642ab987321d2 size: 28160 | |
Section | .rdata md5: 4963847c65e27fd5de15c1a9012d515a sha1: ad4e0d80103d79ae5209822f6621e431d79f4911 size: 14848 | |
Section | .data md5: 1832a80b0d8f9e70d581324a645d0cc7 sha1: cd57b979fd9975a9c2e076eb8e284de90a65de40 size: 8704 | |
Section | .trhdtr md5: f538e12bdb83abf6ac0917a3bf5e2498 sha1: a3542b99b2c8855d50d2c9e29f121f3da1f2f390 size: 31232 | |
Section | .rsrc md5: 5451e0d02f40243772d7013cfbebaac7 sha1: 903f3f6ecc80ed7847bea4eacf9bb9d264a03161 size: 17408 | |
Section | .reloc md5: 8362179184f5309cf8ce9856b48b1af0 sha1: 4d770dc234534b6edbf0c3d81c1797e37fc9bed9 size: 4096 | |
Timestamp | 2015-10-31 15:00:09 | |
Packer | Microsoft Visual C++ ?.? | |
PEhash | 51799e600a5386fceb1956addc7007ab3e03cd13 | |
IMPhash | 87dd5c9b4d5a7a0c583ab6a9ee90f872 | |
AV | ClamAV | no_virus |
AV | Mcafee | GenericR-EYN!7E87FAED8460 |
AV | Frisk (f-prot) | no_virus |
AV | BullGuard | Gen:Variant.Kazy.762151 |
AV | Microsoft Security Essentials | Worm:Win32/Gamarue!rfn |
AV | Avira (antivir) | TR/Crypt.Xpack.313767 |
AV | F-Secure | Gen:Variant.Kazy.762151 |
AV | MicroWorld (escan) | Gen:Variant.Kazy.762151 |
AV | Dr. Web | Trojan.DownLoader17.37757 |
AV | Alwil (avast) | Dorder-E [Trj] |
AV | Grisoft (avg) | Crypt5.ILA |
AV | CA (E-Trust Ino) | no_virus |
AV | Rising | no_virus |
AV | Emsisoft | Gen:Variant.Kazy.762151 |
AV | Ikarus | Trojan.Win32.Crypt |
AV | Authentium | W32/Trojan.RSYX-8830 |
AV | BitDefender | Gen:Variant.Kazy.762151 |
AV | Symantec | Trojan.Gen |
AV | K7 | Trojan ( 004d58e61 ) |
AV | Eset (nod32) | Win32/Kryptik.ECXX |
AV | Trend Micro | no_virus |
AV | CAT (quickheal) | Worm.Gamarue.r6 |
AV | Kaspersky | Backdoor.Win32.Androm.ioky |
AV | Twister | no_virus |
AV | Arcabit (arcavir) | Gen:Variant.Kazy.762151 |
AV | Fortinet | W32/Kryptik.EEAE!tr |
AV | VirusBlokAda (vba32) | no_virus |
AV | MalwareBytes | Trojan.Downloader |
AV | Ad-Aware | Gen:Variant.Kazy.762151 |
AV | Zillya! | no_virus |
Runtime Details:
Screenshot | ![]() |
---|
Process
↳ C:\malware.exe
Creates Process | C:\WINDOWS\system32\msiexec.exe |
---|
Process
↳ C:\WINDOWS\system32\msiexec.exe
Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
---|---|
Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\317606753 ➝ "C:\Documents and Settings\All Users\msvgqh.exe"\\x00 |
Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden ➝ NULL |
Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
Registry | HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\Windows\Load ➝ \\x00 |
Creates File | PIPE\lsarpc |
Creates File | C:\Documents and Settings\All Users\msvgqh.exe |
Creates File | \Device\Afd\Endpoint |
Creates File | C:\Documents and Settings\All Users\116265 |
Deletes File | C:\malware.exe |
Winsock DNS | microsoft.com |
Winsock DNS | pool.ntp.org |
Winsock DNS | north-america.pool.ntp.org |
Winsock DNS | africa.pool.ntp.org |
Winsock DNS | oceania.pool.ntp.org |
Winsock DNS | asia.pool.ntp.org |
Winsock DNS | south-america.pool.ntp.org |
Winsock DNS | europe.pool.ntp.org |
Network Details:
Raw Pcap
Strings