Analysis | #totalhash

Analysis Date	2015-11-18 23:57:42
MD5	75d2bab935ff8c9118ddc69edfac536b
SHA1	710482ef42669b95815f0e2e9ef4f17d50d6f9eb

Static Details:

File type	PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Section	.text md5: 909f71dd1585f984893ceaa661a6bb1f sha1: 27286dd7cb640d1a836ffaf0fc1da8a79b1514af size: 24576
Section	.rdata md5: 821a48e1631120793c31e8782b09b0f6 sha1: 0a77cda32266084dcf573cd66c5499daa5ce6409 size: 4096
Section	.data md5: d1c4fb5c3eb73fb76988214fd24ab350 sha1: 7267e8189ec97230b5ffbbb3b9d75aee92b831ed size: 12288
Section	.rsrc md5: 1c2b7d69acdc88f3ab03621bb6be1101 sha1: d6e980a95209533f0fc53da7e26d247ddaef62fd size: 36864
Timestamp	2013-08-30 06:46:14
Version	LegalCopyright: Rebiz InternalName: Zifon FileVersion: 6, 2, 4, 4 CompanyName: Nilem PrivateBuild: Efendir LegalTrademarks: Akamer Comments: Jetar ProductName: Lapor SpecialBuild: Sipes ProductVersion: 3, 2, 5, 6 FileDescription: Baler OriginalFilename: Dabuz
Packer	Installer VISE Custom
PEhash	e73b81383702b2761a938421bc4d83604f8bbfef
IMPhash	5fe5ebb86d2ac164edc530f21cf2b4e8
AV	Rising	Trojan.DL.Win32.Wauchos.b
AV	Mcafee	PWSZbot-FEF!75D2BAB935FF
AV	Avira (antivir)	TR/Spy.ZBot.ppfx.1
AV	Twister	Trojan.192297F624E8CB0E
AV	Ad-Aware	Trojan.Gamarue.CJ
AV	Alwil (avast)	Downloader-UGC [Trj]
AV	Eset (nod32)	Win32/TrojanDownloader.Wauchos.L
AV	Grisoft (avg)	PSW.Generic11.CJKF
AV	Symantec	Trojan.Gen
AV	Fortinet	W32/Injector.ALYX!tr
AV	BitDefender	Trojan.Gamarue.CJ
AV	K7	Riskware ( 0040eff71 )
AV	Microsoft Security Essentials	Worm:Win32/Gamarue.F
AV	MicroWorld (escan)	Trojan.Gamarue.CJ
AV	MalwareBytes	Trojan.Email.Bot
AV	Authentium	W32/A-29b5cead!Eldorado
AV	Frisk (f-prot)	no_virus
AV	Ikarus	Backdoor.Win32.Androm
AV	Emsisoft	Trojan.Gamarue.CJ
AV	Zillya!	Trojan.Injector.Win32.211625
AV	Kaspersky	Trojan-Downloader.Win32.Injecter.jno
AV	Trend Micro	WORM_GAMARUE.SMJ
AV	CAT (quickheal)	Worm.Gamarue.A4
AV	VirusBlokAda (vba32)	SScope.Malware-Cryptor.Wauchos.2183
AV	Padvish	Worm.Win32.Gamarue.MS11
AV	BullGuard	Trojan.Gamarue.CJ
AV	Arcabit (arcavir)	Trojan.Gamarue.CJ
AV	ClamAV	Win.Trojan.Gamarue-25
AV	Dr. Web	BackDoor.Andromeda.178
AV	F-Secure	Trojan.Gamarue.CJ
AV	CA (E-Trust Ino)	Win32/Gamarue.IJ
AV	Rising	Trojan.DL.Win32.Wauchos.b
AV	Mcafee	PWSZbot-FEF!75D2BAB935FF
AV	Avira (antivir)	TR/Spy.ZBot.ppfx.1
AV	Twister	Trojan.192297F624E8CB0E
AV	Ad-Aware	Trojan.Gamarue.CJ
AV	Alwil (avast)	Downloader-UGC [Trj]
AV	Eset (nod32)	Win32/TrojanDownloader.Wauchos.L
AV	Grisoft (avg)	PSW.Generic11.CJKF
AV	Symantec	Trojan.Gen
AV	Fortinet	W32/Injector.ALYX!tr
AV	BitDefender	Trojan.Gamarue.CJ
AV	K7	Riskware ( 0040eff71 )
AV	Microsoft Security Essentials	Worm:Win32/Gamarue.F
AV	MicroWorld (escan)	Trojan.Gamarue.CJ
AV	MalwareBytes	Trojan.Email.Bot
AV	Authentium	W32/A-29b5cead!Eldorado
AV	Frisk (f-prot)	no_virus
AV	Ikarus	Backdoor.Win32.Androm

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

Creates Process	C:\malware.exe

Process
↳ C:\malware.exe

Creates Process	C:\WINDOWS\system32\wupdmgr.exe

Process
↳ C:\WINDOWS\system32\wupdmgr.exe

Registry	HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\36874 ➝ C:\Documents and Settings\All Users\Local Settings\Temp\cczyan.com\\x00
Creates File	PIPE\lsarpc
Creates File	\Device\Afd\Endpoint
Creates File	C:\Documents and Settings\All Users\Local Settings\Temp\cczyan.com
Creates Mutex	3227095050

Network Details:

DNS	www.update.microsoft.com.nsatc.net Type: A 191.232.80.55
DNS	www.update.microsoft.com.nsatc.net Type: A 65.55.50.189
DNS	www.update.microsoft.com Type: A
DNS	restless.su Type: A
DNS	pacifista.ru Type: A
Flows TCP	192.168.1.1:1031 ➝ 191.232.80.55:80
Flows UDP	192.168.1.1:1032 ➝ 8.8.4.4:53
Flows UDP	192.168.1.1:1033 ➝ 8.8.4.4:53
Flows UDP	192.168.1.1:1034 ➝ 8.8.4.4:53
Flows UDP	192.168.1.1:1035 ➝ 8.8.4.4:53
Flows UDP	192.168.1.1:1036 ➝ 8.8.4.4:53
Flows UDP	192.168.1.1:1037 ➝ 8.8.4.4:53

Raw Pcap

Strings