Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Protection HomeGroup Trap Shadow' = '%APPDATA%\beozbxzgkfearz\xpmvwlsx.exe'
Malicious functions:
Creates and executes the following:
- '%APPDATA%\beozbxzgkfearz\yuppzgehcti.exe' "%APPDATA%\beozbxzgkfearz\xpmvwlsx.exe"
- '%APPDATA%\beozbxzgkfearz\xpmvwlsx.exe'
Executes the following:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Modifies file system :
Creates the following files:
- %APPDATA%\beozbxzgkfearz\xpmvwlsx.xh
- %APPDATA%\beozbxzgkfearz\yuppzgehcti.exe
- %APPDATA%\beozbxzgkfearz\xpmvwlsx.exe
Sets the 'hidden' attribute to the following files:
- %APPDATA%\beozbxzgkfearz\yuppzgehcti.exe
- %APPDATA%\beozbxzgkfearz\xpmvwlsx.exe
Network activity:
Connects to:
- 'pr####lywonder.net':80
- 'sw###wonder.net':80
- 'sw####iscover.net':80
- 'se####lcontinue.net':80
- 'pr#####ydiscover.net':80
- 'sw####ontinue.net':80
- 'le####iscover.net':80
- 'pr#####ycontinue.net':80
- 'pr####lymaster.net':80
- 'sw###master.net':80
- 'ma#####lcontinue.net':80
- 'se####industry.net':80
- 'ma#####ldiscover.net':80
- 'la####ndustry.net':80
- 'la###became.net':80
- 'se####became.net':80
- 'ma####almaster.net':80
- 'se####lmaster.net':80
- 'se####lwonder.net':80
- 'se####ldiscover.net':80
- 'ma####alwonder.net':80
- 'fi####discover.net':80
- 'wi####master.net':80
- 'pe####smaster.net':80
- 'pe####swonder.net':80
- 'pe####sdiscover.net':80
- 'wi####wonder.net':80
- 'mo#####ndiscover.net':80
- 'po####lewonder.net':80
- 'po#####ediscover.net':80
- 'wi####continue.net':80
- 'pe####scontinue.net':80
- 'wi####discover.net':80
- 'fi####master.net':80
- 'le####ontinue.net':80
- 'le###master.net':80
- 'le###wonder.net':80
- 'fi####wonder.net':80
- 'su####tmaster.net':80
- 'su####tcontinue.net':80
- 'su####twonder.net':80
- 'fi####continue.net':80
- 'su####tdiscover.net':80
TCP:
HTTP GET requests:
- pr####lywonder.net/index.php?em####################################################
- sw###wonder.net/index.php?em####################################################
- sw####iscover.net/index.php?em####################################################
- se####lcontinue.net/index.php?em####################################################
- pr#####ydiscover.net/index.php?em####################################################
- sw####ontinue.net/index.php?em####################################################
- le####iscover.net/index.php?em####################################################
- pr#####ycontinue.net/index.php?em####################################################
- pr####lymaster.net/index.php?em####################################################
- sw###master.net/index.php?em####################################################
- ma#####lcontinue.net/index.php?em####################################################
- se####industry.net/index.php?em####################################################
- ma#####ldiscover.net/index.php?em####################################################
- la####ndustry.net/index.php?em####################################################
- la###became.net/index.php?em####################################################
- se####became.net/index.php?em####################################################
- ma####almaster.net/index.php?em####################################################
- se####lmaster.net/index.php?em####################################################
- se####lwonder.net/index.php?em####################################################
- se####ldiscover.net/index.php?em####################################################
- ma####alwonder.net/index.php?em####################################################
- fi####discover.net/index.php?em####################################################
- wi####master.net/index.php?em####################################################
- pe####smaster.net/index.php?em####################################################
- pe####swonder.net/index.php?em####################################################
- pe####sdiscover.net/index.php?em####################################################
- wi####wonder.net/index.php?em####################################################
- mo#####ndiscover.net/index.php?em####################################################
- po####lewonder.net/index.php?em####################################################
- po#####ediscover.net/index.php?em####################################################
- wi####continue.net/index.php?em####################################################
- pe####scontinue.net/index.php?em####################################################
- wi####discover.net/index.php?em####################################################
- fi####master.net/index.php?em####################################################
- le####ontinue.net/index.php?em####################################################
- le###master.net/index.php?em####################################################
- le###wonder.net/index.php?em####################################################
- fi####wonder.net/index.php?em####################################################
- su####tmaster.net/index.php?em####################################################
- su####tcontinue.net/index.php?em####################################################
- su####twonder.net/index.php?em####################################################
- fi####continue.net/index.php?em####################################################
- su####tdiscover.net/index.php?em####################################################
UDP:
- DNS ASK pr####lywonder.net
- DNS ASK sw###wonder.net
- DNS ASK sw####iscover.net
- DNS ASK se####lcontinue.net
- DNS ASK pr#####ydiscover.net
- DNS ASK sw####ontinue.net
- DNS ASK le####iscover.net
- DNS ASK pr#####ycontinue.net
- DNS ASK pr####lymaster.net
- DNS ASK sw###master.net
- DNS ASK ma#####lcontinue.net
- DNS ASK se####industry.net
- DNS ASK ma#####ldiscover.net
- DNS ASK la####ndustry.net
- DNS ASK la###became.net
- DNS ASK se####became.net
- DNS ASK ma####almaster.net
- DNS ASK se####lmaster.net
- DNS ASK se####lwonder.net
- DNS ASK se####ldiscover.net
- DNS ASK ma####alwonder.net
- DNS ASK fi####discover.net
- DNS ASK wi####master.net
- DNS ASK pe####smaster.net
- DNS ASK pe####swonder.net
- DNS ASK pe####sdiscover.net
- DNS ASK wi####wonder.net
- DNS ASK mo#####ndiscover.net
- DNS ASK po####lewonder.net
- DNS ASK po#####ediscover.net
- DNS ASK wi####continue.net
- DNS ASK pe####scontinue.net
- DNS ASK wi####discover.net
- DNS ASK fi####master.net
- DNS ASK le####ontinue.net
- DNS ASK le###master.net
- DNS ASK le###wonder.net
- DNS ASK fi####wonder.net
- DNS ASK su####tmaster.net
- DNS ASK su####tcontinue.net
- DNS ASK su####twonder.net
- DNS ASK fi####continue.net
- DNS ASK su####tdiscover.net
Miscellaneous:
Searches for the following windows:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
