Analysis Date2014-12-17 21:19:31
MD502cd313ae0e030fc028781346494426e
SHA1ba8adbeb14ff04395abe17fe2539a17dfb148562

Static Details:

File typePE32 executable for MS Windows (GUI) Intel 80386 32-bit
Section.text md5: 632c13540b7114fe09548bb097ad5294 sha1: e8c2cd2e5f1f09085f7a14daef6c26bcd6cd3a10 size: 3584
Section.rdata md5: 17fe454a6c0d9599d910d62c25078492 sha1: 96b3c65c1d042ed94b69da78e2c5b7767a75b513 size: 44544
Section.rsrc md5: b87c4e3e6a55e5eb7f448b65a7e35e2c sha1: 54bc35c864359a61d724a3a84c07b388796280d4 size: 8704
Timestamp2010-08-18 03:07:09
PEhash57556248a111ef08a071fe4390310f6db5f29393
IMPhashd477960c5f95b9dba28bd87f39c89e7c
AV360 SafeGen:Variant.Kazy.1
AVAd-AwareGen:Variant.Kazy.1
AVAlwil (avast)Malware-gen:Win32:Malware-gen
AVArcabit (arcavir)Gen:Variant.Kazy.1
AVAuthentiumW32/Trojan.WUMD-5818
AVAvira (antivir)TR/Crypt.XPACK.Gen
AVBullGuardGen:Variant.Kazy.1
AVCA (E-Trust Ino)Win32/Vundo.HNP
AVCAT (quickheal)no_virus
AVClamAVWin.Trojan.Agent-102109
AVDr. WebBackDoor.Butirat.6
AVEmsisoftGen:Variant.Kazy.1
AVEset (nod32)Win32/Kryptik.FUB
AVFortinetW32/Zbot.GBP!tr
AVFrisk (f-prot)W32/Trojan2.NDOY
AVF-SecureGen:Variant.Kazy.1
AVGrisoft (avg)Cryptic.AUN
AVIkarusTrojan-Spy.Zbot
AVK7Backdoor ( 04c4d34a1 )
AVKasperskyTrojan.Win32.Generic
AVMalwareBytesSpyware.Passwords.XGen
AVMcafeeRDN/Generic PWS.y!bcc
AVMicrosoft Security EssentialsTrojan:Win32/Vundo.KT
AVMicroWorld (escan)Gen:Variant.Kazy.1
AVRisingno_virus
AVSophosMal/EncPk-YR
AVSymantecTrojan.Zbot!gen10
AVTrend MicroTSPY_ZBOT.SMGS
AVVirusBlokAda (vba32)Malware-Cryptor.Limpopo

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

RegistryHKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable ➝
NULL
RegistryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Netprotocol ➝
C:\Documents and Settings\Administrator\Application Data\netprotocol.exe\\x00
Creates FileC:\Documents and Settings\Administrator\Application Data\netprotocol.exe
Creates FileC:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
Creates FileC:\Documents and Settings\Administrator\Cookies\index.dat
Creates FilePIPE\lsarpc
Creates FileC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Creates ProcessC:\Documents and Settings\Administrator\Application Data\netprotocol.exe
Creates Mutexc:!documents and settings!administrator!local settings!history!history.ie5!
Creates MutexWininetConnectionMutex
Creates Mutexc:!documents and settings!administrator!cookies!
Creates Mutexc:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Winsock URLhttp://sekvend.com/nconfirm.php?rev=272&code=3&param=0&num=13083020691968
Winsock URLhttp://saxoid.com/nconfirm.php?rev=272&code=3&param=0&num=13083020691968
Winsock URLhttp://butirat.com/nconfirm.php?rev=272&code=3&param=0&num=13083020691968
Winsock URLhttp://protwork.net/nconfirm.php?rev=272&code=3&param=0&num=13083020691968

Process
↳ C:\Documents and Settings\Administrator\Application Data\netprotocol.exe

RegistryHKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable ➝
NULL
RegistryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass ➝
1
RegistryHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Netprotocol\UniqueNum ➝
17353789822162766336\\x00
Creates FileC:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
Creates FileC:\Documents and Settings\Administrator\Cookies\index.dat
Creates FilePIPE\lsarpc
Creates File\Device\Afd\Endpoint
Creates FileC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Winsock DNSsekvend.com
Winsock DNSsaxoid.com

Network Details:

DNSsaxoid.com
Type: A
208.73.210.211
DNSsaxoid.com
Type: A
208.73.211.167
DNSsaxoid.com
Type: A
208.73.211.244
DNSsaxoid.com
Type: A
208.73.211.250
DNSbutirat.com
Type: A
204.11.56.45
DNSsekvend.com
Type: A
DNSprotwork.net
Type: A
HTTP GEThttp://saxoid.com/njob.php?num=17353789822162766336&rev=272
User-Agent: Explorer
HTTP GEThttp://saxoid.com/nconfirm.php?rev=272&code=3&param=0&num=13083020691968
User-Agent: Explorer
HTTP GEThttp://butirat.com/nconfirm.php?rev=272&code=3&param=0&num=13083020691968
User-Agent: Explorer
Flows TCP192.168.1.1:1031 ➝ 208.73.210.211:80
Flows TCP192.168.1.1:1032 ➝ 208.73.210.211:80
Flows TCP192.168.1.1:1033 ➝ 204.11.56.45:80

Raw Pcap
0x00000000 (00000)   47455420 2f6e6a6f 622e7068 703f6e75   GET /njob.php?nu
0x00000010 (00016)   6d3d3137 33353337 38393832 32313632   m=17353789822162
0x00000020 (00032)   37363633 33362672 65763d32 37322048   766336&rev=272 H
0x00000030 (00048)   5454502f 312e310d 0a557365 722d4167   TTP/1.1..User-Ag
0x00000040 (00064)   656e743a 20457870 6c6f7265 720d0a48   ent: Explorer..H
0x00000050 (00080)   6f73743a 20736178 6f69642e 636f6d0d   ost: saxoid.com.
0x00000060 (00096)   0a0d0a                                ...

0x00000000 (00000)   47455420 2f6e636f 6e666972 6d2e7068   GET /nconfirm.ph
0x00000010 (00016)   703f7265 763d3237 3226636f 64653d33   p?rev=272&code=3
0x00000020 (00032)   26706172 616d3d30 266e756d 3d313330   &param=0&num=130
0x00000030 (00048)   38333032 30363931 39363820 48545450   83020691968 HTTP
0x00000040 (00064)   2f312e31 0d0a5573 65722d41 67656e74   /1.1..User-Agent
0x00000050 (00080)   3a204578 706c6f72 65720d0a 486f7374   : Explorer..Host
0x00000060 (00096)   3a207361 786f6964 2e636f6d 0d0a0d0a   : saxoid.com....
0x00000070 (00112)                                         

0x00000000 (00000)   47455420 2f6e636f 6e666972 6d2e7068   GET /nconfirm.ph
0x00000010 (00016)   703f7265 763d3237 3226636f 64653d33   p?rev=272&code=3
0x00000020 (00032)   26706172 616d3d30 266e756d 3d313330   &param=0&num=130
0x00000030 (00048)   38333032 30363931 39363820 48545450   83020691968 HTTP
0x00000040 (00064)   2f312e31 0d0a5573 65722d41 67656e74   /1.1..User-Agent
0x00000050 (00080)   3a204578 706c6f72 65720d0a 486f7374   : Explorer..Host
0x00000060 (00096)   3a206275 74697261 742e636f 6d0d0a0d   : butirat.com...
0x00000070 (00112)   0a                                    .


Strings
z
.

33f3
f3fff
@jjj
]#	<_"
|0:I `uMgX!
0R4p_m$$
1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
1-292k2
1<iL`g
1M1\1a1f1k1
1|ut |
2g	>,`
(2G?C$
2plF0S
2tot$x
>3.0D<G
!3`b	mf1P
="=(=.=4=:=@=
4pdvy7
4V|{p.X
696E6_6l6
'	}6lp!|
>6q:%>
7M:d:m:r:y:
8h l!@
8	Uha!
|A$6>I<Ux
ae{ou=
al2Po8
b<,p$K
CloseHandle
CreateObjrefMoniker
.D|^[7
$*@DDK
DispatchMessageA
DP_rM:F
@dT8	M
	)"?DWq
'D^Z|x}>\#
fbeXr:
f#!'	D+
|Fdg.Q,
FreeEnvironmentStringsA
FreeEnvironmentStringsW
GetEnvironmentStrings
GetLastError
GetMessageA
GetModuleHandleA
GetProcAddress
GetThreadLocale
$gh0C.I
gj3ihL
H6`)`d
]HSd%.
-HX,%:
i 8%2Rh
I[L"~|
j18]Yx2
`$ j3N
jgQDpI
JO#Hel
JrXY|`
KERNEL32.dll
 kndwQ
laeptib=wee
le^abYLPm
L,Hu	pB
l(M$Qh\
LoadLibraryA
l+>ZcP|
nhuqho01-goo
n*)%|l
$_\O*}
OD,Y2l
ole32.dll
OLEAUT32.dll
 orh@A
'&peTA
phd1/#*i
@PpP?B
Px0SipCo
Q() Jp
Q`y^tm
^~Ra\<
`.rdata
R$["h$W
r\kfxM
sA	C|.
<)<><S<u<{<
t|6/R	%
@t(C]I:D
  T`gh	'Y
!This program cannot be run in DOS mode.
t(jl<a
tlA<pC
T`QPC\
TranslateMessage
*t@	W8F
tXa$@`
!U;<I<>D
USER32.dll
VirtualAlloc
=V,(L.
,v^PeF
w4,U&V
(W D8\
+-|w%un
X#C2)o	
x;rP-[]
XUqxb4
YXuj;%C