Skip to main content

Backdoor.Win32.PcClient_85784b229f


Susp_Dropper (Kaspersky), Gen:Trojan.Heur.3uZ@yDgEvJmif (B) (Emsisoft), Backdoor.Win32.PcClient.FD, Trojan.Win32.IEDummy.FD, GenericPhysicalDrive0.YR (Lavasoft MAS)Behaviour: Trojan, Backdoor

The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.

Summary

MD5: 85784b229fd483ddd707706e21161bea

SHA1: 2995be1b726dccac8953f4a2c34830f0ed92e063

SHA256: f6e2b6a4af35737e4b83d607dbf9c38700b1a9de7904652a917facd4c42d5575

SSDeep: 12288:2CrjJSWj7aBX TLBhAuwf48ZujbT1lq8ENSue3QSsQS4KjvuNeR440aCBBUQ0ZQ1:RZtXXTLBuuKUT1VJQ06jGNeG5b0Za

Size: 913425 bytes

File type: EXE

Platform: WIN32

Entropy: Packed

PEID: UPolyXv05_v6

Company: no certificate found

Created at: 2008-05-03 17:08:38

Analyzed on: WindowsXP SP3 32-bit

Summary: Backdoor. Malware that enables a remote control of victim's machine.

Dynamic Analysis

Payload

No specific payload has been found.

Process activity

The Backdoor creates the following process(es):

ctfmon1.exe:1952
%original file name%.exe:464
Server.exe:1328

The Backdoor injects its code into the following process(es):

































































































































































































































































































































































































































































































































































&randcode
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid
&aid&mid&ip&cookie&showp&href&referer&rtime&js
&raid&rmid&rip&rcookie&showp&href&referer&rtime&view
&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt
&CI&PI&UI&MT&EX&gUid_1449683920506
&rotate_count&TIMESTAMP&referral&callback
&rotate_count&TIMESTAMP&referral&callback
&t&_sinaads_sio_log_1lz6hl
&t&_sinaads_sio_log_cs339c
&rotate_count&TIMESTAMP&referral&callback
&rotate_count&TIMESTAMP&referral&callback
&uids&_
&_
&num
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid
&rotate_count&TIMESTAMP&referral&callback
&rotate_count&TIMESTAMP&referral&callback
&type&loadtime&rtime
&aid&mid&ip&cookie&showp&href&referer&rtime&js
&_
&raid&rmid&rip&rcookie&showp&href&referer&rtime&view
&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt
&uids&_
&randcode
&num

<<><><><><><><><><>

<<<>>>

&uids&_

<

&n.<>>&><><>&<>&&Xz...&<&g.M....k.><<<

<<<>>>

&<<&><&>>&<<&>&u.....n.9q...

<<<>>>

&id&style&vpage&

<><><><><><><><&&&&><><>&id&style&vpage&<><><><><><><><&&&&><><>

&id&style&vpage&

<><><><><><><><&&&&><><>&id&style&vpage&<><><><><><><><&&&&><><>

&rotate_count&TIMESTAMP&referral&callback

&_

<>&<

<><<>>>&&>>><>&:.....a.A...2...t..xy.....Dq....K..f.........9<>&&&&<

<<<>>>

><><>>&>>>>>

<<<>>>

&type&loadtime&rtime

&t&_sinaads_sio_log_1lz6hl

&rotate_count&TIMESTAMP&referral&callback

&M<<&<

>&<&o..Ev.V.....65I.4>&&&<<<<<>&N.....Q.l.i.......M..A.

<<<>>>

&aid&mid&ip&cookie&showp&href&referer&rtime&js

&>&&>&<

><>&D.....P9...o..N..K:KhKq..>><<<>>>&<><><>

<<<>>>

&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid

<<<><&<&g.eqeom.7..6v15.......<>><<<

<<<>>>

<<><><><><><><><><>>&<&<&<

<<<>>>

&<<><><><&

<<<>>>

&&D.TdE..t6..U.e.....u..F&<<><<&Y..Q<

<<<>>>

<<><><><><><><><><>>>

<<<>>>

<&&&<><<

<<<>>>

<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&&&<>

<<<>>>

<<><><><><><><><><><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

>><<><><><><><><><><>&>><

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&&<>

<<<>>>

<&Cc.....................................................&<<><>&

<<<>>>

<><><><>&&<&&&&l&&&&&&f.error&&

<<<>>>

>>

<<<>>>

<><>

<<<>>>

<<<

<<<>>>

<><><><><><>

<<<>>>

<&&

<<<>>>

&

<<<>>>

<><>

<<<>>>

>&>&X.>&<<>><<><&&<>>><>>

<<<>>>

<<><><><><><><><><>&&&>>>&>>>>><>>>>>><

<<<>>>

<><><><><><><><><>><

<<<>>>

<<><><><><><><><><>>>>&

<<<>>>

<<><><><><><><><><>>>

<<<>>>

<><><><><><><><><>

<<<>>>

<><><><><><><><><>

<<<>>>

<><><><><><><><><>

<<<>>>

<<><><><><><><><><>&&><

<<<>>>

<<><><><><><><><><>&

<<<>>>

&&D.TdE..t6..U.e.....u..F&>>>&

<<<>>>

<<<>>>

<<><><><><><><><><>

<<<>>>

<<><><><><><><><><>&Adobe.d................E...4......>><<

<<<>>>

&<<>>&>&>><>

<<><><><><><><><><>>>&>&>

<<<>>>

<>>&j..&R...p

<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&

<<<>>>

<<><><><><><><><><><&<<<>

<<<>>>

<><><><><><><><><>><&

<<<>>>

<>><&>&>>><&>&d.n.<<>><>

<<<>>>

<><><><><><><><><>><&

<<<>>>

<<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&

<<<>>>

>&<&W.>><><&&>&>&><>

<<<>>>

<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>

<<<>>>

<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>><><>

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<&&><<&F..f...Nk...v..tp&><>>&&><&&

<<<>>>

<&&<><><<<&>><

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><><><><><><><><>>

<<<>>>

<><><><><><><><><>><&&&>&t..Djl.7.><

<<<>>>

<><><><><><><><><>&&K...a>><&C.T.

<<<>>>

>&&hJB.&<><>>>><<&&&I..RM....b.g..

<<<>>>

&&Ccs...De..................................A.........................&&>&&f....4.v.<

<<<>>>

&<<<&&W.....><<<&><<&

<<<>>>

<>&N.>&<<>

<>><>&&Sh.Y6<>>&>&><>&g.H_.........m4.>>&<

<<<>>>

>&&NC.<&&d.<<<<>&e..j.<<

<<<>>>

&rotate_count&TIMESTAMP&referral&callback

&rotate_count&TIMESTAMP&referral&callback

&randcode

><>&D.....P9...o..N..K:KhKq..>>><&<>&&_.gE..A>

<<<>>>

>>><<>>&&<><>&<><<<

<<<>>>

&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid

><<&>&<&<&&><

<<<>>>

<><><><><><><><><>><&

<<<>>>

<><>&&&&&&&&&

<<<>>>

&rotate_count&TIMESTAMP&referral&callback

<><><><><><><><><><><><><><><><><><><><><><><><><><><>

&aid&mid&ip&cookie&showp&href&referer&rtime&js

&&>>><>>&><>

<<><><><><><><><><><

<<<>>>

<><><><><><><><><>&F.7...&>

<<<>>>

&CI&PI&UI&MT&EX&gUid_1449683920506

<&>&BE.L....><>>>&P...o.<>>&&&o&

<<<>>>

&num

&&<&>&>&><<

<<<>>>

>&&>&<><&<&&<<

<<<>>>

&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt

<&&&<><>&><>&>>&

<<<>>>

&raid&rmid&rip&rcookie&showp&href&referer&rtime&view

&rotate_count&TIMESTAMP&referral&callback

&&<&&j&&

>&&W..M...C.E<><

&t&_sinaads_sio_log_cs339c

<><><><><><><><><>

<<<>>>

<><><><><><><><><>

<<<>>>

<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><我要啦免费统计><><>

<<<>>>

<><><><><><><<><><><><><><><

<<<>>>

<><><><><><><><><>&<&<<

<<<>>>

>&i.1.8s...8...m.I.><&>>&&><<<&&j.8<>&<&y..s..<>

<<<>>>

&&f.attachEvent&&f.attachEvent&&<>&&c.top<&&c.left>&&c.left<><><&&b.data

<<<>>>

<<&<<>&C<<<>

<<<>>>

&<>>>><>><>

<<<>>>

<><><><><><><><><><&evKwa...a&

<<<>>>

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

&

<:8>

<:8>

&

&

&

&

&

&

&

&

&randcode

&randcode

&

&

&Ex

&Ex

&pass

&pass

&tK

&tK

&iB&qH

&iB&qH

&lE&pH

&lE&pH

&mF

&mF

&mE

&mE

&pG&mE

&pG&mE

&oF&tJ

&oF&tJ

&lD

&lD

&nF&lD&oF

&nF&lD&oF

&pG

&pG

&

&

<.fg>

<.fg>