| Analysis Date | 2015-12-30 12:28:32 |
|---|---|
| MD5 | 7e87faed84600bbd4b28cda0a91a54cf |
| SHA1 | 6b3218c96da2fe82aa1d8f46d3f070655bbfe8ef |
Static Details:
| File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
|---|---|---|
| Section | .text md5: e706a207f405f5d7ec330beb0a3b8f1d sha1: d1e70c0c92236b93c3973a19531642ab987321d2 size: 28160 | |
| Section | .rdata md5: 4963847c65e27fd5de15c1a9012d515a sha1: ad4e0d80103d79ae5209822f6621e431d79f4911 size: 14848 | |
| Section | .data md5: 1832a80b0d8f9e70d581324a645d0cc7 sha1: cd57b979fd9975a9c2e076eb8e284de90a65de40 size: 8704 | |
| Section | .trhdtr md5: f538e12bdb83abf6ac0917a3bf5e2498 sha1: a3542b99b2c8855d50d2c9e29f121f3da1f2f390 size: 31232 | |
| Section | .rsrc md5: 5451e0d02f40243772d7013cfbebaac7 sha1: 903f3f6ecc80ed7847bea4eacf9bb9d264a03161 size: 17408 | |
| Section | .reloc md5: 8362179184f5309cf8ce9856b48b1af0 sha1: 4d770dc234534b6edbf0c3d81c1797e37fc9bed9 size: 4096 | |
| Timestamp | 2015-10-31 15:00:09 | |
| Packer | Microsoft Visual C++ ?.? | |
| PEhash | 51799e600a5386fceb1956addc7007ab3e03cd13 | |
| IMPhash | 87dd5c9b4d5a7a0c583ab6a9ee90f872 | |
| AV | ClamAV | no_virus |
| AV | Mcafee | GenericR-EYN!7E87FAED8460 |
| AV | Frisk (f-prot) | no_virus |
| AV | BullGuard | Gen:Variant.Kazy.762151 |
| AV | Microsoft Security Essentials | Worm:Win32/Gamarue!rfn |
| AV | Avira (antivir) | TR/Crypt.Xpack.313767 |
| AV | F-Secure | Gen:Variant.Kazy.762151 |
| AV | MicroWorld (escan) | Gen:Variant.Kazy.762151 |
| AV | Dr. Web | Trojan.DownLoader17.37757 |
| AV | Alwil (avast) | Dorder-E [Trj] |
| AV | Grisoft (avg) | Crypt5.ILA |
| AV | CA (E-Trust Ino) | no_virus |
| AV | Rising | no_virus |
| AV | Emsisoft | Gen:Variant.Kazy.762151 |
| AV | Ikarus | Trojan.Win32.Crypt |
| AV | Authentium | W32/Trojan.RSYX-8830 |
| AV | BitDefender | Gen:Variant.Kazy.762151 |
| AV | Symantec | Trojan.Gen |
| AV | K7 | Trojan ( 004d58e61 ) |
| AV | Eset (nod32) | Win32/Kryptik.ECXX |
| AV | Trend Micro | no_virus |
| AV | CAT (quickheal) | Worm.Gamarue.r6 |
| AV | Kaspersky | Backdoor.Win32.Androm.ioky |
| AV | Twister | no_virus |
| AV | Arcabit (arcavir) | Gen:Variant.Kazy.762151 |
| AV | Fortinet | W32/Kryptik.EEAE!tr |
| AV | VirusBlokAda (vba32) | no_virus |
| AV | MalwareBytes | Trojan.Downloader |
| AV | Ad-Aware | Gen:Variant.Kazy.762151 |
| AV | Zillya! | no_virus |
Runtime Details:
| Screenshot |  |
|---|
Process
↳ C:\malware.exe
| Creates Process | C:\WINDOWS\system32\msiexec.exe |
|---|
Process
↳ C:\WINDOWS\system32\msiexec.exe
| Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
|---|---|
| Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\317606753 ➝ "C:\Documents and Settings\All Users\msvgqh.exe"\\x00 |
| Registry | HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden ➝ NULL |
| Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\Explorer\TaskbarNoNotification ➝ 1 |
| Registry | HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\Windows\Load ➝ \\x00 |
| Creates File | PIPE\lsarpc |
| Creates File | C:\Documents and Settings\All Users\msvgqh.exe |
| Creates File | \Device\Afd\Endpoint |
| Creates File | C:\Documents and Settings\All Users\116265 |
| Deletes File | C:\malware.exe |
| Winsock DNS | microsoft.com |
| Winsock DNS | pool.ntp.org |
| Winsock DNS | north-america.pool.ntp.org |
| Winsock DNS | africa.pool.ntp.org |
| Winsock DNS | oceania.pool.ntp.org |
| Winsock DNS | asia.pool.ntp.org |
| Winsock DNS | south-america.pool.ntp.org |
| Winsock DNS | europe.pool.ntp.org |
Network Details:
Raw Pcap
Strings