Analysis Date2014-03-02 22:02:11
MD56a0e2e1488dfaa1e80fc8336d0b0e133
SHA1822e5f104dc20aed8d29bba8c15fd1d49c927e8f

Static Details:

File typePE32 executable for MS Windows (GUI) Intel 80386 32-bit
Section.text md5: 9ea6ffb98bcb0f01a00521ddb9a867ba sha1: f258090b0d7615ae82c6c17525008af0e5939e7d size: 40960
Section.data md5: d41d8cd98f00b204e9800998ecf8427e sha1: da39a3ee5e6b4b0d3255bfef95601890afd80709 size: 0
Section.rsrc md5: 8e20388d47f18dec7a839de4812cdaca sha1: d5f1eaa04dfdfdfe62959077633d244b12cc8d55 size: 4096
Timestamp2000-01-01 12:00:00
Version1:
PackerMicrosoft Visual Basic v5.0
PEhash3dfda1926c5335f0437d7640324ae9031732b8fb
IMPhashdcd32fd1eefc3c1f5bcc67f2c3a0aa86
AVmcafeeDownloader-CJX.gen.g
AVavgWorm/VB.7.BW
AVclamavWorm.VB-1079
AVaviraWORM/VBNA.iwz
AVmsseWorm:Win32/Vobfus.C

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

Creates FileC:\Documents and Settings\Administrator\duedue.exe
Creates File\Device\Afd\AsyncSelectHlp
Creates File\Device\Afd\Endpoint
Creates ProcessC:\Documents and Settings\Administrator\duedue.exe
Creates MutexA

Process
↳ C:\Documents and Settings\Administrator\duedue.exe

RegistryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\duedue ➝
C:\Documents and Settings\Administrator\duedue.exe
RegistryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden ➝
NULL
Creates MutexA

Process
↳ C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Network Details:

DNSns1.theimageparlour.net
Type: A
192.155.89.148
Flows TCP192.168.1.1:1031 ➝ 192.155.89.148:8000

Raw Pcap

Strings

000004E4
CreateShortcut
IconLocation
Save
StringFileInfo
TargetPath
VS_VERSION_INFO
CallWindowProcW
`.data
DllFunctionCall
EF/mg=
eMMzlNjw
eMMzlNjw0
eMMzlNjw1
eMMzlNjw10
eMMzlNjw11
eMMzlNjw12
eMMzlNjw2
eMMzlNjw20
eMMzlNjw3
eMMzlNjw4
eMMzlNjw5
eMMzlNjw6
eMMzlNjw7
eMMzlNjw8
eMMzlNjw9
EVENT_SINK_AddRef
EVENT_SINK_QueryInterface
EVENT_SINK_Release
gethostbyname
GetModuleFileNameW
GetProcAddress
ij(n(0
kernel32
LcOSsTdYqnKgEwtE
LoadLibraryW
MethCallEngine
MSVBVM60.DLL
NsetPs&nPs
Ns$FPs
NvMyCcQNHaXtPouqCFUprAKFiyQlEyoTcebgRKRwJIYcdWvKDnVXs
orm=FoeMMzlNjw
Os\TPs
OxsksH
PALcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtELcOSsTdYqnKgEwtE
ProcCallEngine
Process32Next
{Ps?|Ps
PsZ]Os
Qsj|Ps
RtlMoveMemory
SgTFgDBd
!This program cannot be run in DOS mode.
tON<`g
user32
UZnx=Fo
VB5!6&*
__vbaExceptHandler
wsock32