Win32/TrojanDownloader.Perkesh [Threat Name] go to Threat

Win32/TrojanDownloader.Perkesh.A [Threat Variant Name]

Category trojan
Size 29296 B
Aliases Trojan.Win32.Agent.cgwi (Kaspersky)
  TrojanDownloader:Win32/Perkesh.gen! (Microsoft)
  Agent2.HNK (AVG)
Short description

Win32/TrojanDownloader.Perkesh.A is a trojan which tries to download other malware from the Internet. The trojan terminates various security related applications. The file is run-time compressed using UPX .

Installation

When executed, the trojan creates the following files:

  • %temp%\­dll%random1%.dll (25600 B)
  • %system%\­%random2%.dll (25600 B)
  • %system%\­winavproc.dll (3584 B)
  • %system%\­drivers\­NsDnldr3.sys (3056 B)
  • %system%\­drivers\­NsPass0.sys (8256 B)
  • %system%\­drivers\­NsPass1.sys (8256 B)
  • %system%\­drivers\­NsPass2.sys (8256 B)
  • %system%\­drivers\­NsPass3.sys (8256 B)
  • %system%\­drivers\­NsPass4.sys (8256 B)

The %random1-2% represents a random number.


The trojan registers itself as a system service using the following name:

  • Microsoft Kernel %variable% Service

A string with variable content is used instead of %variable% .


Installs the following system drivers (path, name):

  • %system%\­drivers\­NsDnldr3.sys (my260)
  • %system%\­drivers\­NsPass0.sys (mymydk00)
  • %system%\­drivers\­NsPass1.sys (mymydk01)
  • %system%\­drivers\­NsPass2.sys (mymydk02)
  • %system%\­drivers\­NsPass3.sys (mymydk03)
  • %system%\­drivers\­NsPass4.sys (mymydk04)

The following Registry entries are created:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­360safe.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­360safebox.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­360tray.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ACKWIN32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­anti.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ANTI-TROJAN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­antivir.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­atrack.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ATRACK.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AUTODOWN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVCONSOL.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVE32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVGCTRL.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­avk.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVKSERV.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVSCHED32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­avsynmgr.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­AVWIN95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­avxonsol.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­BLACKD.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­BLACKICE.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CCenter.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CFIADMIN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CFIAUDIT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CFIND.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­cfinet.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­cfinet32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CLAW95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CLAW95CT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CLEANER.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­CLEANER3.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­DAVPFW.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­dbg.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­debu.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­DV95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­DV95_O.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­DVP95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ECENGINE.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­EFINET32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ESAFE.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­egui.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ekrn.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ESPWATCH.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­explorewclass.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­F-AGNT95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­FINDVIRU.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­fir.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­F-PROT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­f-prot95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­fp-win.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­FP-WIN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­FRW.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­f-stopw.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­F-STOPW.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IAMAPP.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IAMAPP.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IAMSERV.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IBMASN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IBMAVSP.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ice.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­IceSword.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ICLOAD95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ICLOADNT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ICMOON.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ICSSUPPNT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­iom.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­iomon98.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­JED.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­Kabackreport.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­Kasmain.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kav32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kavstart.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kissvc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­knownsvr.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­KPFW32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kpfw32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kpfwsvc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­KPPMain.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­KRF.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­KVMonXP.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­KVPreScan.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­kwatch.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­lamapp.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­lockdown2000.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­LOOKOUT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­luall.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­LUCOMSERVER.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­mcafee.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­microsoft.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­mon.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­moniker.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­MOOLIVE.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­MPFTRAY.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ms.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­N32ACAN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­navapsvc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­navapw32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVLU32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVNT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­navrunr.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVSCHED.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVW.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVW32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­navwnt.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NAVWNT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­nisserv.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­nisum.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NMAIN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NORMIST.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­norton.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NUPGRADE.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­NVC95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­OUTPOST.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PADMIN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PAVCL.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­pcc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PCCClient.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­pcciomon.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­pccmain.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­pccwin98.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PCFWALLICON.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PERSFW.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­PpPpWallRun.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­program.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­prot.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­pview95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ras.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­Rav.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RAV7.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­rav7win.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­rsnetsvr.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RsTray.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RSTray.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RsMain.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RavMon.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RavMonD.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RavStub.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­RavTask.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­regedit.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­rescue32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­Rfw.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­rn.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­safeboxTray.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­safeweb.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­scam32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­scan.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SCAN32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SCANPM.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ScanFrm.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­scon.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SCRSCAN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­secu.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SERV95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­sirc32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SMC.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­smtpsvc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SPHINX.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­spy.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­sreng.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SuperKiller.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­SWEEP95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­symproxysvc.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TBSCAN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TCA.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TDS2-98.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TDS2-NT.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­Tmntsrv.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TMOAgent.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­tmproxy.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­tmupdito.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­TSC.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­UlibCfg.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­vavrunr.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VET95.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VETTRAY.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­vir.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VPC32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VSECOMR.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­vshwin32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VSHWIN32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­VSSCAN40]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­vsstat.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­WEBSCAN.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­WEBSCANX.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­webtrap.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­WFINDV32.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­wink.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­XDelbox.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­zonealarm.exe]
    • "Debugger" = "svchost.exe"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Image File Execution Options\­ZONEALARM.exe]
    • "Debugger" = "svchost.exe"
Information stealing

The trojan collects the following information:

  • network adapter information
  • operating system version
  • malware version

The trojan can send the information to a remote machine. The HTTP protocol is used.


Other information

The trojan modifies the following file:

  • %system%\­drivers\­etc\­hosts

The trojan writes the following entries to the file, effectively disabling access to the specific Internet sites:

  • 127.0.0.1 www.360.cn
  • 127.0.0.1 www.360safe.cn
  • 127.0.0.1 www.360safe.com
  • 127.0.0.1 www.chinakv.com
  • 127.0.0.1 www.rising.com.cn
  • 127.0.0.1 rising.com.cn
  • 127.0.0.1 dl.jiangmin.com
  • 127.0.0.1 jiangmin.com
  • 127.0.0.1 www.jiangmin.com
  • 127.0.0.1 www.eset.com.cn
  • 127.0.0.1 www.nod32.com
  • 127.0.0.1 union.kingsoft.com
  • 127.0.0.1 www.kaspersky.com.cn
  • 127.0.0.1 kaspersky.com.cn
  • 127.0.0.1 virustotal.com
  • 127.0.0.1 www.kaspersky.com
  • 127.0.0.1 www.cnnod32.cn
  • 127.0.0.1 www.lanniao.org
  • 127.0.0.1 www.nod32club.com
  • 127.0.0.1 www.dswlab.com
  • 127.0.0.1 bbs.sucop.com
  • 127.0.0.1 www.virustotal.com
  • 127.0.0.1 tool.ikaka.com
  • 127.0.0.1 360.qihoo.com
  • 127.0.0.1 qup.f.360.cn

The trojan will attempt to download several files from the Internet.


The files are then executed.


The trojan contains a list of (1) URLs. The HTTP protocol is used.


These are stored in the following locations:

  • %temp%\­%filename%

A string with variable content is used instead of %filename% .


The trojan terminates processes with any of the following strings in the name:

  • 360safe.exe
  • 360safebox.exe
  • 360tray.exe
  • ACKWIN32.exe
  • anti.exe
  • ANTI-TROJAN.exe
  • antivir.exe
  • atrack.exe
  • ATRACK.exe
  • AUTODOWN.exe
  • AVCONSOL.exe
  • AVE32.exe
  • AVGCTRL.exe
  • avk.exe
  • AVKSERV.exe
  • AVSCHED32.exe
  • avsynmgr.exe
  • AVWIN95.exe
  • avxonsol.exe
  • BLACKD.exe
  • BLACKICE.exe
  • CCenter.exe
  • CFIADMIN.exe
  • CFIAUDIT.exe
  • CFIND.exe
  • cfinet.exe
  • cfinet32.exe
  • CLAW95.exe
  • CLAW95CT.exe
  • CLEANER.exe
  • CLEANER3.exe
  • DAVPFW.exe
  • dbg.exe
  • debu.exe
  • DV95.exe
  • DV95_O.exe
  • DVP95.exe
  • ECENGINE.exe
  • EFINET32.exe
  • ESAFE.exe
  • egui.exe
  • ekrn.exe
  • ESPWATCH.exe
  • explorewclass.exe
  • F-AGNT95.exe
  • FINDVIRU.exe
  • fir.exe
  • F-PROT.exe
  • f-prot95.exe
  • fp-win.exe
  • FP-WIN.exe
  • FRW.exe
  • f-stopw.exe
  • F-STOPW.exe
  • IAMAPP.exe
  • IAMAPP.exe
  • IAMSERV.exe
  • IBMASN.exe
  • IBMAVSP.exe
  • ice.exe
  • IceSword.exe
  • ICLOAD95.exe
  • ICLOADNT.exe
  • ICMOON.exe
  • ICSSUPPNT.exe
  • iom.exe
  • iomon98.exe
  • JED.exe
  • Kabackreport.exe
  • Kasmain.exe
  • kav32.exe
  • kavstart.exe
  • kissvc.exe
  • knownsvr.exe
  • KPFW32.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • KPPMain.exe
  • KRF.exe
  • KVMonXP.exe
  • KVPreScan.exe
  • kwatch.exe
  • lamapp.exe
  • lockdown2000.exe
  • LOOKOUT.exe
  • luall.exe
  • LUCOMSERVER.exe
  • mcafee.exe
  • microsoft.exe
  • mon.exe
  • moniker.exe
  • MOOLIVE.exe
  • MPFTRAY.exe
  • ms.exe
  • N32ACAN.exe
  • navapsvc.exe
  • navapw32.exe
  • NAVLU32.exe
  • NAVNT.exe
  • navrunr.exe
  • NAVSCHED.exe
  • NAVW.exe
  • NAVW32.exe
  • navwnt.exe
  • NAVWNT.exe
  • nisserv.exe
  • nisum.exe
  • NMAIN.exe
  • NORMIST.exe
  • norton.exe
  • NUPGRADE.exe
  • NVC95.exe
  • OUTPOST.exe
  • PADMIN.exe
  • PAVCL.exe
  • pcc.exe
  • PCCClient.exe
  • pcciomon.exe
  • pccmain.exe
  • pccwin98.exe
  • PCFWALLICON.exe
  • PERSFW.exe
  • PpPpWallRun.exe
  • program.exe
  • prot.exe
  • pview95.exe
  • ras.exe
  • Rav.exe
  • RAV7.exe
  • rav7win.exe
  • rsnetsvr.exe
  • RsTray.exe
  • RSTray.exe
  • RsMain.exe
  • RavMon.exe
  • RavMonD.exe
  • RavStub.exe
  • RavTask.exe
  • regedit.exe
  • rescue32.exe
  • Rfw.exe
  • rn.exe
  • safeboxTray.exe
  • safeweb.exe
  • scam32.exe
  • scan.exe
  • SCAN32.exe
  • SCANPM.exe
  • ScanFrm.exe
  • scon.exe
  • SCRSCAN.exe
  • secu.exe
  • SERV95.exe
  • sirc32.exe
  • SMC.exe
  • smtpsvc.exe
  • SPHINX.exe
  • spy.exe
  • sreng.exe
  • SuperKiller.exe
  • SWEEP95.exe
  • symproxysvc.exe
  • TBSCAN.exe
  • TCA.exe
  • TDS2-98.exe
  • TDS2-NT.exe
  • Tmntsrv.exe
  • TMOAgent.exe
  • tmproxy.exe
  • tmupdito.exe
  • TSC.exe
  • UlibCfg.exe
  • vavrunr.exe
  • VET95.exe
  • VETTRAY.exe
  • vir.exe
  • VPC32.exe
  • VSECOMR.exe
  • vshwin32.exe
  • VSHWIN32.exe
  • VSSCAN40
  • vsstat.exe
  • WEBSCAN.exe
  • WEBSCANX.exe
  • webtrap.exe
  • WFINDV32.exe
  • wink.exe
  • XDelbox.exe
  • zonealarm.exe
  • ZONEALARM.exe

The trojan quits immediately if it detects a running process containing one of the following strings in its name:

  • ImportREC.exe
  • C32Asm.exe
  • LordPE.exe
  • PEditor.exe
  • OllyICE.exe
  • OllyDbg.exe

The trojan may create the following files:

  • %temp%\­%random3%.bat
  • %temp%\­%random4%.txt

The %random3-4% represents a random number.

Please enable Javascript to ensure correct displaying of this content and refresh this page.