Trojan-Downloader.Win32.Moure.FD, mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan-Downloader, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: a88fd51dde1e355009d337a1f84659b7
SHA1: e5ab390acc4d80f853e795ae8e96c9856aaf2cca
SHA256: ccd1d31c7eeb42d1457823a33ba57cac65fdb027c24452353a4816cf525690d0
SSDeep: 49152:846hi9cnbNEKa/tgrYJUGfZC3wA6EylfwEaFW9:R6hiSuptLxC3sEwwM9
Size: 2354752 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: Sogou.com Inc.
Created at: 2015-12-11 10:50:56
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan-Downloader. Trojan program, which downloads files from the Internet without user's notice and executes them.
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan-Downloader creates the following process(es):
ThunderFW.exe:660
ExternalApp.exe:1800
minidownload.exe:140
regsvr32.exe:888
UpdateService.exe:240
UpdateService.exe:460
%original file name%.exe:1328
MiniTPFw.exe:700
The Trojan-Downloader injects its code into the following process(es):
SogouSoftware.exe:1080
MiniThunderPlatform.exe:1296
Mutexes
The following mutexes were created/opened:No objects were found.
File activity
The process SogouSoftware.exe:1080 makes changes in the file system.
The Trojan-Downloader creates and/or writes to the following file(s):
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[4].png (392 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\LocalInfo.xml (7 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\jquery-1.7.2.min[1].js (49189 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\ie-css3[1].htc (1115 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[2].png (1168 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\recommend[1].css (145 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\741430117543639[1].png (17104 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[1].png (3055 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\CC1430117533187[1].png (14923 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[2].png (8 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\link[3].png (1928 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\desktop.ini (67 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\link[1].png (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[5].png (776 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\link[3].png (392 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[1].jpg (3344 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\PCID.xml (685 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\sogousoftware.db (149 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[3].png (776 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\scroll[1].js (601 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\SogouSoftwareExternalApp[1].exe (1104620 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\desktop.ini (67 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@sogou[1].txt (494 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[1].png (6155 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[3].png (1513 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@yx.sogou[1].txt (135 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\desktop.ini (67 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\381427456234840[1].jpg (10822 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\SilentParaReponse.xml (97 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\ie-css3[1].htc (4387 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\sogousoftware.db-journal (86 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\loading[1].gif (392 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\link[1].png (392 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\jquery-1.11.1.min[1].js (46785 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\ranking-ico[1].png (1 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\ranking[1].css (73 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQISTQM\link[2].png (392 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\link[4].png (7360 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\link[2].png (776 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\NewVersionReponse.xml (1 bytes)
%Program Files%\SogouSoftware\tmp\ExternalApp.exe (670671 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\OnlineIconReponse.xml (359 bytes)
%Documents and Settings%\%current user%\Cookies\index.dat (1928 bytes)
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\cache\SoftInfo.xml (809 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\desktop.ini (67 bytes)
The Trojan-Downloader deletes the following file(s):
%Documents and Settings%\%current user%\Application Data\SogouSoftware\data\sogousoftware.db-journal (0 bytes)
%Program Files%\SogouSoftware\tmp\ExternalApp.exe (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[1].png (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\ie-css3[1].htc (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\WLMVCPYN\link[2].png (0 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@sogou[2].txt (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\link[1].png (0 bytes)
The process ExternalApp.exe:1800 makes changes in the file system.
The Trojan-Downloader creates and/or writes to the following file(s):
%Program Files%\SogouSoftware\3.1.13.79\skin\upgrade_stable_list_item.xml (5 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\PNG\button.png (1 bytes)
%Program Files%\SogouSoftware\3.1.13.79\ApkTool\extheme\ApkTool\continuebtn.png (819 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\PNG\edit.png (1 bytes)
%Program Files%\SogouSoftware\3.1.13.79\ApkTool\extheme\ApkTool\option_bk.png (1 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\PNG\white.png (163 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\PNG\9.png (18 bytes)
%Program Files%\SogouSoftware\3.1.13.79\ApkTool\extheme\ApkTool\beginexp.png (1 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\confirm_dlg.xml (2 bytes)
%Program Files%\SogouSoftware\3.1.13.79\skin\PNG\update_nor.png (18 bytes)
| &gid&unc&t&rand | |
| &gid&unc&t&rand | |
| &gid&unc&t&rand | |
| &unc&mode | |
| &downloadtype&unc&pcid&mode | |
| &gid&unc&t&activatetype&rand | |
| &gid&unc&t&servicestate&rand | |
| &gid&unc&t&sogousoftware&updateservice&rand | |
| &gid&unc&t&sogousoftware&updateservice&rand | |
| &gid&unc&t&num&rand | |
| &pcid&downloadtype&filename | |
| &url&r | |
| &url&r | |
| &gid&unc&t&tasktype&pcid&downloadtype&softname&extension&rand | |
| &gid&unc&t&bindtype&bindname&weight&scheme&rand | |
| &v | |
| &appname&state | |
| &pageNo | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &unc&mode | |
| &pcid&downloadtype&filename | |
| &url&r | |
| &gid&unc&t&tasktype&pcid&downloadtype&softname&extension&rand | |
| &url&r | |
| &pageNo | |
| &url&r | |
| &url&r | |
| &url&r | |
| &url&r | |
| &v | |
| &gid&unc&t&bindtype&bindname&weight&scheme&rand | |
| &gid&unc&t&num&rand | |
| &gid&unc&t&servicestate&rand | |
| &gid&unc&t&sogousoftware&updateservice&rand | |
| &url&r | |
| &gid&unc&t&sogousoftware&updateservice&rand | |
| &downloadtype&unc&pcid&mode | |
| &gid&unc&t&activatetype&rand | |
| &appname&state | |
| &url&r | |
| &url&r | |
| &gid&unc&t&rand | |
| &gid&unc&t&rand | |
| &gid&unc&t&rand | |
| &url&r | |
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&pcid&downloadtype&filename
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&v
&appname&state
<><>
&url&r
&<<<>>>&<<&>&T&_.y....Z.<&l.........
<<<>>>
&url&r
>&<&q..>&k....s...G...<<<&>>>
<<<>>>
&url&r
>&<&><>&<&<&A&><&<>&>>>
<<<>>>
&url&r
>&<<>>>&>&>&kpY.>&><>&
<<<>>>
&url&r
>&<&vM...F.&&><&>><<><&R.9..RJ.....Q
<<<>>>
&url&r
>&<<&<<>>>>>><<<<<<>
<<<>>>
&url&r
>&<<>><&<<<<>>&
<<<>>>
&url&r
>&<>&<<><>&<&m&h.&<&
<<<>>>
&url&r
&<>>&&<<>>>&&Q..a........9E.c....o...>>>
<<<>>>
<<<>>>
&pageNo
&&&u&pcid&filename&&
<<<>>>
<&iTXtXML:com.adobe.xmp.....<><><><><><><><><><
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&>&<&W.>><><&&>&>&><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<>
<
<><><><><><><><><><><><><><><><><><><><><>
<&<
<
>>>>>
<<<>>>
<
><&l<&<>&<&<>><>>>>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&gid&unc&t&rand
<><><><><><><><><><><><><><><><><><><><><>
&<
<><><><><><><><><><><><><><><><><><><><><>
&>&<&W.>><><&&>&>&><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
<<<>>>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<&g
<><><><><><><><><><><><><><><><><><><>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<<>>>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<<>>>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<><><><><><><><><><><><><><><><><&partner&dl><><><><><><><><><><><><><><><><><><><><
<<<>>>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<><><>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&gid&unc&t&rand
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&url&r
<><><><><><><><><>>><
<<<>>>
&url&r
>&<<&<<>>>>>><<<<<<>
<<<>>>
&url&r
>&<&>&><<&>>&&><&<
<<<>>>
&url&r
>&<&&&&&&<>>
<<<>>>
&url&r
>&<><<<><><&>&>>
<<<>>>
&url&r
>&<&><>&<&<&A&><&<>&>>>
<<<>>>
&url&r
>&<&q..>&k....s...G...<<<&>>>
<<<>>>
&url&r
>&<&><<>>><&<>&j..x.d..wK.J<>>>>>
<<<>>>
&url&r
>&<>>&><&>><>><&>&&
<<<>>>
&url&r
>&<<><><>&S.G.......h.><>&<><&<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
&softurl&pcid&downloadtype&filename&iconurl&softname&softsize&softurl&pcid&downloadtype&filename&iconurl&softname&softsize
<<<>>>
<><><><><><><><><><><><><><&v><><><&appname&state><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><&
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<<
<<<>&><>>><&M<<&&o..oN....<&&
<<<>>>
<<>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&unc&mode
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
<<<>>>
&downloadtype&unc&pcid&mode
<><><><><><><><><><><><>>>
<<<>>>
<<<>>>
<><><><>&&<&&&&l&&&&&&f.error&&
<<<>>>
<<<>>>
&&>>>&&b>&&
<<<>>>
<><><><>
<><><><>
<><><><>
<><><><><
<<<>>>
&&&u&pcid&filename&&&u
<<<>>>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<>
>>
<>&l.x4...g....m....&<&<><&&<><>&q.&T......8.W.&<<><
<<<>>>
<<<>>>
&gid&unc&t&rand
&gid&unc&t&activatetype&rand
&gid&unc&t&servicestate&rand
&gid&unc&t&sogousoftware&updateservice&rand
&gid&unc&t&sogousoftware&updateservice&rand
&gid&unc&t&num&rand
&gid&unc&t&tasktype&pcid&downloadtype&softname&extension&rand
&gid&unc&t&bindtype&bindname&weight&scheme&rand
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><>
<<<>>>
<<<>>>
<><><><>
<><><><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<&vK..2S<&
<>>>><<&&><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&&D.TdE..t6..U.e.....u..F&>>>&>&>>>>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&t&gid&unc&&rand
&t&gid&unc&&rand
&t&gid&unc&rand
&t&gid&unc&rand
&appname&state
&appname&state
&unc&guid&useridbit1&useridbit2&v&t
&unc&guid&useridbit1&useridbit2&v&t