| Analysis Date | 2015-08-02 12:25:46 |
|---|---|
| MD5 | c838f09d6d4b4f8ad2394813493e0afb |
| SHA1 | c82c16de4e2318248d8960034b4a41d219c4361f |
Static Details:
| File type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit | |
|---|---|---|
| Section | CODE md5: af679cac3621788065ab9170e2522f42 sha1: 7d8f7f230e0fc7c1c86913634405e4a124e98702 size: 17920 | |
| Section | DATA md5: fdd0f81768b5b0972557e0ce4b7f6d29 sha1: a53511d0a80bc84e6eb5307dae68fa1877fe66ad size: 512 | |
| Section | BSS md5: d41d8cd98f00b204e9800998ecf8427e sha1: da39a3ee5e6b4b0d3255bfef95601890afd80709 size: 0 | |
| Section | .idata md5: 9039606d7fb995205349cffbcbae0b9d sha1: 0d5e6dcacfe6fcc7f18e1e712eb7393f4f959038 size: 2560 | |
| Section | .reloc md5: 7aa21226b35ce8da70cc66c3592be6e3 sha1: 7a41cf4acfec909beead858e403437f8ef6aafce size: 1536 | |
| Section | .rsrc md5: 98d951444286ceb2a7d20f315175074b sha1: c6fccf2ce155e9f7e58ffba5c9020601e21e4564 size: 70656 | |
| Timestamp | 1992-06-19 22:22:17 | |
| Packer | BobSoft Mini Delphi -> BoB / BobSoft | |
| PEhash | 905b0fe228f457e3afa64f5d9210e950c7338b03 | |
| IMPhash | b8bb9545c78c1f8ce5d3ba01b5f41918 | |
| AV | Rising | no_virus |
| AV | Mcafee | no_virus |
| AV | Avira (antivir) | BDS/Bezigate.aouma |
| AV | Twister | Trojan.6FD331929482C658 |
| AV | Ad-Aware | Gen:Variant.Zusy.Elzob.20808 |
| AV | Alwil (avast) | NewPos-B [Trj] |
| AV | Eset (nod32) | Win32/Delf.OIH |
| AV | Grisoft (avg) | BackDoor.Hupigon5.CLZJ |
| AV | Symantec | Trojan.Gen |
| AV | Fortinet | W32/Delf.OIH!tr |
| AV | BitDefender | Gen:Variant.Zusy.Elzob.20808 |
| AV | K7 | Trojan ( 003f0e891 ) |
| AV | Microsoft Security Essentials | Backdoor:Win32/Bezigate.B |
| AV | MicroWorld (escan) | Gen:Variant.Zusy.Elzob.20808 |
| AV | MalwareBytes | Trojan.Passwords |
| AV | Authentium | no_virus |
| AV | Frisk (f-prot) | no_virus |
| AV | Ikarus | Backdoor.Win32.Bezigate |
| AV | Emsisoft | Gen:Variant.Zusy.Elzob.20808 |
| AV | Zillya! | no_virus |
| AV | Kaspersky | Trojan.Win32.Agent.uglc |
| AV | Trend Micro | no_virus |
| AV | CAT (quickheal) | Trojan.Agen.r6 |
| AV | VirusBlokAda (vba32) | Trojan.Agent |
| AV | Padvish | no_virus |
| AV | BullGuard | Gen:Variant.Zusy.Elzob.20808 |
| AV | Arcabit (arcavir) | Gen:Variant.Zusy.Elzob.20808 |
| AV | ClamAV | Win.Trojan.Agent-19444 |
| AV | Dr. Web | Trojan.MulDrop4.7151 |
| AV | F-Secure | Gen:Variant.Zusy.Elzob.20808 |
| AV | CA (E-Trust Ino) | no_virus |
Runtime Details:
| Screenshot |  |
|---|
Process
↳ C:\malware.exe
| Creates File | c:\windows\sweet-girlpiya.exe |
|---|---|
| Creates File | C:\keylog.dat |
| Creates Process | c:\windows\sweet-girlpiya.exe |
| Creates Mutex | y0PUDJq9EosC8 |
Process
↳ c:\windows\sweet-girlpiya.exe
| Registry | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\sweetgirl3334443 ➝ "c:\windows\sweet-girlpiya.exe" |
|---|---|
| Creates File | c:\windows\keylog.dat |
| Creates File | \Device\Afd\Endpoint |
| Creates Mutex | y0PUDJq9EosC8 |
Network Details:
| Flows TCP | 192.168.1.1:1031 ➝ 46.37.173.233:200 |
|---|---|
| Flows TCP | 192.168.1.1:1032 ➝ 46.37.173.233:200 |
| Flows TCP | 192.168.1.1:1033 ➝ 46.37.173.233:200 |
Raw Pcap
0x00000000 (00000) 88 . 0x00000000 (00000) 88 . 0x00000000 (00000) 88 .
Strings