Analysis Date | 2015-11-18 23:57:42 |
---|---|
MD5 | 75d2bab935ff8c9118ddc69edfac536b |
SHA1 | 710482ef42669b95815f0e2e9ef4f17d50d6f9eb |
Static Details:
File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
---|---|---|
Section | .text md5: 909f71dd1585f984893ceaa661a6bb1f sha1: 27286dd7cb640d1a836ffaf0fc1da8a79b1514af size: 24576 | |
Section | .rdata md5: 821a48e1631120793c31e8782b09b0f6 sha1: 0a77cda32266084dcf573cd66c5499daa5ce6409 size: 4096 | |
Section | .data md5: d1c4fb5c3eb73fb76988214fd24ab350 sha1: 7267e8189ec97230b5ffbbb3b9d75aee92b831ed size: 12288 | |
Section | .rsrc md5: 1c2b7d69acdc88f3ab03621bb6be1101 sha1: d6e980a95209533f0fc53da7e26d247ddaef62fd size: 36864 | |
Timestamp | 2013-08-30 06:46:14 | |
Version | LegalCopyright: Rebiz InternalName: Zifon FileVersion: 6, 2, 4, 4 CompanyName: Nilem PrivateBuild: Efendir LegalTrademarks: Akamer Comments: Jetar ProductName: Lapor SpecialBuild: Sipes ProductVersion: 3, 2, 5, 6 FileDescription: Baler OriginalFilename: Dabuz | |
Packer | Installer VISE Custom | |
PEhash | e73b81383702b2761a938421bc4d83604f8bbfef | |
IMPhash | 5fe5ebb86d2ac164edc530f21cf2b4e8 | |
AV | Rising | Trojan.DL.Win32.Wauchos.b |
AV | Mcafee | PWSZbot-FEF!75D2BAB935FF |
AV | Avira (antivir) | TR/Spy.ZBot.ppfx.1 |
AV | Twister | Trojan.192297F624E8CB0E |
AV | Ad-Aware | Trojan.Gamarue.CJ |
AV | Alwil (avast) | Downloader-UGC [Trj] |
AV | Eset (nod32) | Win32/TrojanDownloader.Wauchos.L |
AV | Grisoft (avg) | PSW.Generic11.CJKF |
AV | Symantec | Trojan.Gen |
AV | Fortinet | W32/Injector.ALYX!tr |
AV | BitDefender | Trojan.Gamarue.CJ |
AV | K7 | Riskware ( 0040eff71 ) |
AV | Microsoft Security Essentials | Worm:Win32/Gamarue.F |
AV | MicroWorld (escan) | Trojan.Gamarue.CJ |
AV | MalwareBytes | Trojan.Email.Bot |
AV | Authentium | W32/A-29b5cead!Eldorado |
AV | Frisk (f-prot) | no_virus |
AV | Ikarus | Backdoor.Win32.Androm |
AV | Emsisoft | Trojan.Gamarue.CJ |
AV | Zillya! | Trojan.Injector.Win32.211625 |
AV | Kaspersky | Trojan-Downloader.Win32.Injecter.jno |
AV | Trend Micro | WORM_GAMARUE.SMJ |
AV | CAT (quickheal) | Worm.Gamarue.A4 |
AV | VirusBlokAda (vba32) | SScope.Malware-Cryptor.Wauchos.2183 |
AV | Padvish | Worm.Win32.Gamarue.MS11 |
AV | BullGuard | Trojan.Gamarue.CJ |
AV | Arcabit (arcavir) | Trojan.Gamarue.CJ |
AV | ClamAV | Win.Trojan.Gamarue-25 |
AV | Dr. Web | BackDoor.Andromeda.178 |
AV | F-Secure | Trojan.Gamarue.CJ |
AV | CA (E-Trust Ino) | Win32/Gamarue.IJ |
AV | Rising | Trojan.DL.Win32.Wauchos.b |
AV | Mcafee | PWSZbot-FEF!75D2BAB935FF |
AV | Avira (antivir) | TR/Spy.ZBot.ppfx.1 |
AV | Twister | Trojan.192297F624E8CB0E |
AV | Ad-Aware | Trojan.Gamarue.CJ |
AV | Alwil (avast) | Downloader-UGC [Trj] |
AV | Eset (nod32) | Win32/TrojanDownloader.Wauchos.L |
AV | Grisoft (avg) | PSW.Generic11.CJKF |
AV | Symantec | Trojan.Gen |
AV | Fortinet | W32/Injector.ALYX!tr |
AV | BitDefender | Trojan.Gamarue.CJ |
AV | K7 | Riskware ( 0040eff71 ) |
AV | Microsoft Security Essentials | Worm:Win32/Gamarue.F |
AV | MicroWorld (escan) | Trojan.Gamarue.CJ |
AV | MalwareBytes | Trojan.Email.Bot |
AV | Authentium | W32/A-29b5cead!Eldorado |
AV | Frisk (f-prot) | no_virus |
AV | Ikarus | Backdoor.Win32.Androm |
Runtime Details:
Screenshot | ![]() |
---|
Process
↳ C:\malware.exe
Creates Process | C:\malware.exe |
---|
Process
↳ C:\malware.exe
Creates Process | C:\WINDOWS\system32\wupdmgr.exe |
---|
Process
↳ C:\WINDOWS\system32\wupdmgr.exe
Registry | HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run\36874 ➝ C:\Documents and Settings\All Users\Local Settings\Temp\cczyan.com\\x00 |
---|---|
Creates File | PIPE\lsarpc |
Creates File | \Device\Afd\Endpoint |
Creates File | C:\Documents and Settings\All Users\Local Settings\Temp\cczyan.com |
Creates Mutex | 3227095050 |
Network Details:
DNS | www.update.microsoft.com.nsatc.net Type: A 191.232.80.55 |
---|---|
DNS | www.update.microsoft.com.nsatc.net Type: A 65.55.50.189 |
DNS | www.update.microsoft.com Type: A |
DNS | restless.su Type: A |
DNS | pacifista.ru Type: A |
Flows TCP | 192.168.1.1:1031 ➝ 191.232.80.55:80 |
Flows UDP | 192.168.1.1:1032 ➝ 8.8.4.4:53 |
Flows UDP | 192.168.1.1:1033 ➝ 8.8.4.4:53 |
Flows UDP | 192.168.1.1:1034 ➝ 8.8.4.4:53 |
Flows UDP | 192.168.1.1:1035 ➝ 8.8.4.4:53 |
Flows UDP | 192.168.1.1:1036 ➝ 8.8.4.4:53 |
Flows UDP | 192.168.1.1:1037 ➝ 8.8.4.4:53 |
Raw Pcap
Strings