Trojan.DownLoader46.36665

Technical Information

To ensure autorun and distribution

Modifies the following registry keys

[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'CSRSS' = '"%ALLUSERSPROFILE%\Drivers\csrss.exe"'

Modifies file system

Creates the following files

%ALLUSERSPROFILE%\drivers\csrss.exe
%TEMP%\4kpv6a~1\state.tmp
%TEMP%\4kpv6a~1\unverified-microdesc-consensus.tmp
%TEMP%\4kpv6a~1\cached-certs.tmp
%TEMP%\4kpv6a~1\cached-microdesc-consensus.tmp
%TEMP%\4kpv6a~1\cached-microdescs.new

Sets the 'hidden' attribute to the following files

%ALLUSERSPROFILE%\drivers\csrss.exe

Deletes the following files

%TEMP%\4kpv6a~1\unverified-microdesc-consensus
%TEMP%\4kpv6a~1\cached-certs
%TEMP%\4kpv6a~1\state

Moves the following files

from %TEMP%\4kpv6a~1\state.tmp to %TEMP%\4kpv6a~1\state
from %TEMP%\4kpv6a~1\unverified-microdesc-consensus.tmp to %TEMP%\4kpv6a~1\unverified-microdesc-consensus
from %TEMP%\4kpv6a~1\cached-certs.tmp to %TEMP%\4kpv6a~1\cached-certs
from %TEMP%\4kpv6a~1\cached-microdesc-consensus.tmp to %TEMP%\4kpv6a~1\cached-microdesc-consensus

Substitutes the following files

%TEMP%\4kpv6a~1\cached-certs.tmp
%TEMP%\4kpv6a~1\cached-certs
%TEMP%\4kpv6a~1\state.tmp
%TEMP%\4kpv6a~1\state

Network activity

Connects to

'localhost':49187
'localhost':49702
'localhost':49745
'localhost':49703
'localhost':49747
'localhost':49715
'localhost':49746
'localhost':49749
'localhost':49734
'localhost':49748
'localhost':49733
'localhost':49750
'localhost':49732
'localhost':49752
'localhost':49937
'localhost':49731
'localhost':49753
'localhost':49754
'localhost':49756
'localhost':49730
'localhost':49729
'localhost':49757
'localhost':49728
'localhost':49727
'localhost':49726
'localhost':49725
'localhost':49724
'localhost':49723
'localhost':49935
'localhost':49751
'localhost':49949
'localhost':49701
'localhost':49695
'localhost':49687
'localhost':49685
'localhost':49718
'localhost':49684
'localhost':49717
'localhost':49688
'localhost':49721
'localhost':49720
'localhost':49694
'localhost':49722
'localhost':49738
'localhost':49691
'localhost':49697
'localhost':49700
'localhost':49744
'localhost':49698
'localhost':49709
'localhost':49742
'localhost':49708
'localhost':49743
'localhost':49739
'localhost':49707
'localhost':49740
'localhost':49741
'localhost':49706
'localhost':49704
'localhost':49705
'localhost':49699
'localhost':49696
'localhost':49938
'localhost':49939
'localhost':49940
'localhost':49771
'localhost':49772
'localhost':49773
'localhost':49774
'localhost':49775
'localhost':49776
'localhost':49786
'localhost':49789
'localhost':49808
'localhost':49799
'localhost':49798
'localhost':49797
'localhost':49769
'localhost':49796
'localhost':49792
'localhost':49790
'localhost':49788
'localhost':49787
'localhost':49785
'localhost':49782
'localhost':49780
'localhost':49779
'localhost':49778
'localhost':49814
'localhost':49676
'localhost':49675
'localhost':49673
'localhost':49795
'localhost':49768
'localhost':49770
'localhost':49815
'localhost':49941
'localhost':49822
'localhost':49942
'localhost':49943
'localhost':49944
'localhost':49954
'localhost':49955
'localhost':49828
'localhost':49829
'localhost':49951
'localhost':49827
'localhost':49819
'localhost':49825
'localhost':49824
'localhost':49826
'localhost':49821
'localhost':49767
'localhost':49818
'localhost':49812
'localhost':49802
'localhost':49801
'localhost':49800
'localhost':49816
'localhost':49763
'localhost':49671
'localhost':49670
'localhost':49674
'localhost':49677
'localhost':49765
'localhost':49766
'localhost':49719
'localhost':49680
'localhost':49679
'localhost':49716
'localhost':49840
'localhost':49836
'localhost':49835
'localhost':49834
'localhost':49833
'localhost':49831
'localhost':49832
'localhost':49823
'localhost':49817
'localhost':50091
'localhost':50090
'localhost':50081
'localhost':50080
'localhost':49838
'localhost':50076
'localhost':50034
'localhost':50031
'localhost':50030
'localhost':50027
'localhost':50028
'localhost':50026
'localhost':49842
'localhost':49982
'localhost':49980
'localhost':49995
'localhost':49994
'localhost':49993
'localhost':49992
'localhost':50074
'localhost':49839
'localhost':49837
'localhost':49841
'localhost':49928
'localhost':49861
'localhost':49860
'localhost':50093
'localhost':49858
'localhost':49736
'localhost':49875
'localhost':49872
'localhost':49870
'localhost':50109
'localhost':50110
'localhost':50112
'localhost':50113
'localhost':50105
'localhost':50025
'localhost':49761
'localhost':49903
'localhost':49910
'localhost':49909
'localhost':49712
'localhost':49862
'localhost':49863
'localhost':49945
'localhost':49946
'localhost':49947
'localhost':49948
'localhost':49952
'localhost':49711
'localhost':49859
'localhost':49983
'localhost':49979
'localhost':49981
'localhost':49978
'localhost':49905
'localhost':49925
'localhost':49924
'localhost':49904
'localhost':49922
'localhost':49902
'localhost':49907
'localhost':49926
'localhost':49920
'localhost':49921
'localhost':49908
'localhost':49927
'localhost':49803
'localhost':49906
'localhost':49950
'localhost':49678
'localhost':49683
'localhost':49686
'localhost':49689
'localhost':49690
'localhost':49692
'localhost':49956
'localhost':49957
'localhost':49693
'localhost':49710
'localhost':49713
'localhost':49714
'localhost':49682
'localhost':49681
'localhost':49758
'localhost':49759
'localhost':49923
'localhost':49977
'localhost':49976
'localhost':49975
'localhost':49974
'localhost':49973
'localhost':50123
'localhost':49972
'localhost':49971
'localhost':49970
'localhost':49953
'localhost':49820
'localhost':49762
'localhost':49735
'localhost':49936
'localhost':49737
'localhost':49969
'localhost':49968
'localhost':49967
'localhost':49966
'localhost':49965
'localhost':49964
'localhost':49959
'localhost':49960
'localhost':49961
'localhost':49962
'localhost':49963
'localhost':49958
'localhost':49830
'localhost':49760
'localhost':49919
'localhost':49672
'localhost':49669
'localhost':49667
'localhost':49373
'localhost':49370
'localhost':49368
'localhost':49362
'localhost':49366
'localhost':49364
'localhost':49360
'localhost':49358
'localhost':49356
'localhost':49354
'localhost':49352
'localhost':49350
'localhost':49348
'localhost':49314
'localhost':49346
'localhost':49342
'localhost':49340
'localhost':49338
'localhost':49336
'localhost':49334
'localhost':49332
'localhost':49330
'localhost':49328
'localhost':49326
'localhost':49324
'localhost':49322
'localhost':49320
'localhost':49318
'localhost':49344
'localhost':49316
'localhost':49375
'localhost':49406
'localhost':49434
'localhost':49432
'localhost':49430
'localhost':49428
'localhost':49426
'localhost':49424
'localhost':49422
'localhost':49420
'localhost':49418
'localhost':49414
'localhost':49415
'localhost':49412
'localhost':49410
'localhost':49379
'localhost':49377
'localhost':49404
'localhost':49402
'localhost':49400
'localhost':49398
'localhost':49396
'localhost':49394
'localhost':49392
'localhost':49390
'localhost':49388
'localhost':49386
'localhost':49384
'localhost':49382
'localhost':49372
'localhost':49408
'localhost':49312
'localhost':49310
'localhost':49308
'localhost':49239
'localhost':49237
'localhost':49235
'localhost':49233
'localhost':49231
'localhost':49229
'localhost':49227
'localhost':49225
'localhost':49223
'localhost':49221
'localhost':49218
'localhost':49216
'localhost':49220
'localhost':49214
'localhost':49210
'localhost':49208
'localhost':49206
'localhost':49204
'localhost':45539
'95.##4.53.216':3443
'13#.#48.27.19':443
'19#.#8.81.140':443
'62.##2.148.68':53
'14#.#6.170.20':443
'18#.#33.252.14':9001
'46.##.207.35':639
'17#.#0.55.16':443
'localhost':49212
'localhost':49244
'localhost':49241
'localhost':49246
'localhost':49306
'localhost':49278
'localhost':49304
'localhost':49302
'localhost':49300
'localhost':49298
'localhost':49296
'localhost':49294
'localhost':49292
'localhost':49290
'localhost':49288
'localhost':49284
'localhost':49285
'localhost':49282
'localhost':49280
'localhost':49276
'localhost':49248
'localhost':49274
'localhost':49270
'localhost':49271
'localhost':49268
'localhost':49266
'localhost':49264
'localhost':49262
'localhost':49260
'localhost':49258
'localhost':49256
'localhost':49254
'localhost':49252
'localhost':49250
'localhost':49437
'localhost':49439
'localhost':49441
'localhost':49443
'localhost':49628
'localhost':49626
'localhost':49624
'localhost':49622
'localhost':49620
'localhost':49618
'localhost':49616
'localhost':49614
'localhost':49612
'localhost':49610
'localhost':49608
'localhost':49606
'localhost':49604
'localhost':49630
'localhost':49602
'localhost':49598
'localhost':49596
'localhost':49594
'localhost':49592
'localhost':49590
'localhost':49588
'localhost':49586
'localhost':49584
'localhost':49582
'localhost':49580
'localhost':49578
'localhost':49576
'localhost':49574
'localhost':49600
'localhost':49632
'localhost':49634
'localhost':49636
'localhost':49783
'localhost':49784
'localhost':49791
'localhost':49804
'localhost':49805
'localhost':49806
'localhost':49807
'localhost':49809
'localhost':49810
'localhost':49811
'localhost':49813
'localhost':49794
'localhost':49777
'localhost':49793
'localhost':49662
'localhost':49665
'localhost':49663
'localhost':49660
'localhost':49658
'localhost':49652
'localhost':49655
'localhost':49653
'localhost':49650
'localhost':49648
'localhost':49646
'localhost':49644
'localhost':49642
'localhost':49640
'localhost':49638
'localhost':49572
'localhost':49568
'localhost':49570
'localhost':49566
'localhost':49500
'localhost':49498
'localhost':49496
'localhost':49494
'localhost':49492
'localhost':49490
'localhost':49488
'localhost':49486
'localhost':49484
'localhost':49480
'localhost':49481
'localhost':49478
'localhost':49476
'localhost':49502
'localhost':49474
'localhost':49470
'localhost':49468
'localhost':49466
'localhost':49464
'localhost':49462
'localhost':49460
'localhost':49458
'localhost':49456
'localhost':49454
'localhost':49452
'localhost':49450
'localhost':49447
'localhost':49445
'localhost':49472
'localhost':49504
'localhost':49436
'localhost':49507
'localhost':49564
'localhost':49562
'localhost':49560
'localhost':49558
'localhost':49556
'localhost':49554
'localhost':49552
'localhost':49550
'localhost':49548
'localhost':49546
'localhost':49544
'localhost':49542
'localhost':49540
'localhost':49538
'localhost':49536
'localhost':49534
'localhost':49532
'localhost':49530
'localhost':49528
'localhost':49526
'localhost':49524
'localhost':49522
'localhost':49520
'localhost':49518
'localhost':49516
'localhost':49514
'localhost':49512
'localhost':49449
'localhost':49509
'localhost':49781
'localhost':50125

TCP

HTTP GET requests

http://x5###############dj2m6eq4amkkpndbqyvmvaz6yl4mmfco6oqxsqd.onion/upd.php?n=#################################################################################################################...
http://x5###############dj2m6eq4amkkpndbqyvmvaz6yl4mmfco6oqxsqd.onion/task.php?n=################################################################################################################...
http://x5###############dj2m6eq4amkkpndbqyvmvaz6yl4mmfco6oqxsqd.onion/reg.php?n=#####################################################
http://x5###############dj2m6eq4amkkpndbqyvmvaz6yl4mmfco6oqxsqd.onion/hb.php?n=##############################

Other

'17#.#0.55.16':443
'19#.#8.81.140':443
'95.##4.53.216':3443
'13#.#48.27.19':443
'localhost':45539
'localhost':49199
'localhost':49200
'localhost':49201
'localhost':49202
'localhost':49203

UDP

DNS ASK lo##xeen.de
DNS ASK la###ayw.com
DNS ASK cy####osting.com.bd
DNS ASK cy######iceassistant.com
DNS ASK ro######tyhumanesociety.com
DNS ASK fg#.#o-netnejp
DNS ASK cy####ateway.ocm
DNS ASK zi###ail.com
DNS ASK to###ail.com
DNS ASK ze####neroranch.com
DNS ASK cy#####ossjunkie.com
DNS ASK sh#####interiorsllc.com
DNS ASK th###attery.com
DNS ASK th###ghlife.net
DNS ASK dr#.org
DNS ASK ca####roperties.com
DNS ASK va#####nturesinc.com
DNS ASK ve##web.de
DNS ASK cu###mcades.com
DNS ASK ti#####theworld.us.com
DNS ASK bu###di.nrc.no
DNS ASK fa#######lleanimalsheltertn.com
DNS ASK cy###wales.com

Miscellaneous

Restarts the analyzed sample

Tecnologie

Termini

Formazione ed informazione

Falsi miti

Technical Information

Curing recommendations

Free trial