Susp_Dropper (Kaspersky), Gen:Trojan.Heur.3uZ@yDgEvJmif (B) (Emsisoft), Backdoor.Win32.PcClient.FD, Trojan.Win32.IEDummy.FD, GenericPhysicalDrive0.YR (Lavasoft MAS)Behaviour: Trojan, Backdoor
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: 85784b229fd483ddd707706e21161bea
SHA1: 2995be1b726dccac8953f4a2c34830f0ed92e063
SHA256: f6e2b6a4af35737e4b83d607dbf9c38700b1a9de7904652a917facd4c42d5575
SSDeep: 12288:2CrjJSWj7aBX TLBhAuwf48ZujbT1lq8ENSue3QSsQS4KjvuNeR440aCBBUQ0ZQ1:RZtXXTLBuuKUT1VJQ06jGNeG5b0Za
Size: 913425 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: no certificate found
Created at: 2008-05-03 17:08:38
Analyzed on: WindowsXP SP3 32-bit
Summary: Backdoor. Malware that enables a remote control of victim's machine.
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Backdoor creates the following process(es):
ctfmon1.exe:1952
%original file name%.exe:464
Server.exe:1328
The Backdoor injects its code into the following process(es):
&randcode | |
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid | |
&aid&mid&ip&cookie&showp&href&referer&rtime&js | |
&raid&rmid&rip&rcookie&showp&href&referer&rtime&view | |
&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt | |
&CI&PI&UI&MT&EX&gUid_1449683920506 | |
&rotate_count&TIMESTAMP&referral&callback | |
&rotate_count&TIMESTAMP&referral&callback | |
&t&_sinaads_sio_log_1lz6hl | |
&t&_sinaads_sio_log_cs339c | |
&rotate_count&TIMESTAMP&referral&callback | |
&rotate_count&TIMESTAMP&referral&callback | |
&uids&_ | |
&_ | |
&num | |
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid | |
&rotate_count&TIMESTAMP&referral&callback | |
&rotate_count&TIMESTAMP&referral&callback | |
&type&loadtime&rtime | |
&aid&mid&ip&cookie&showp&href&referer&rtime&js | |
&_ | |
&raid&rmid&rip&rcookie&showp&href&referer&rtime&view | |
&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt | |
&uids&_ | |
&randcode | |
&num | |
<<><><><><><><><><>
<<<>>>
&uids&_
<
&n.<>>&><><>&<>&&Xz...&<&g.M....k.><<<
<<<>>>
&<<&><&>>&<<&>&u.....n.9q...
<<<>>>
&id&style&vpage&
<><><><><><><><&&&&><><>&id&style&vpage&<><><><><><><><&&&&><><>
&id&style&vpage&
<><><><><><><><&&&&><><>&id&style&vpage&<><><><><><><><&&&&><><>
&rotate_count&TIMESTAMP&referral&callback
&_
<>&<
<><<>>>&&>>><>&:.....a.A...2...t..xy.....Dq....K..f.........9<>&&&&<
<<<>>>
><><>>&>>>>>
<<<>>>
&type&loadtime&rtime
&t&_sinaads_sio_log_1lz6hl
&rotate_count&TIMESTAMP&referral&callback
&M<<&<
>&<&o..Ev.V.....65I.4>&&&<<<<<>&N.....Q.l.i.......M..A.
<<<>>>
&aid&mid&ip&cookie&showp&href&referer&rtime&js
&>&&>&<
><>&D.....P9...o..N..K:KhKq..>><<<>>>&<><><>
<<<>>>
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid
<<<><&<&g.eqeom.7..6v15.......<>><<<
<<<>>>
<<><><><><><><><><>>&<&<&<
<<<>>>
&<<><><><&
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<><<&Y..Q<
<<<>>>
<<><><><><><><><><>>>
<<<>>>
<&&&<><<
<<<>>>
<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&&&<>
<<<>>>
<<><><><><><><><><><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
>><<><><><><><><><><>&>><
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&&<>
<<<>>>
<&Cc.....................................................&<<><>&
<<<>>>
<><><><>&&<&&&&l&&&&&&f.error&&
<<<>>>
>>
<<<>>>
<><>
<<<>>>
<<<
<<<>>>
<><><><><><>
<<<>>>
<&&
<<<>>>
&
<<<>>>
<><>
<<<>>>
>&>&X.>&<<>><<><&&<>>><>>
<<<>>>
<<><><><><><><><><>&&&>>>&>>>>><>>>>>><
<<<>>>
<><><><><><><><><>><
<<<>>>
<<><><><><><><><><>>>>&
<<<>>>
<<><><><><><><><><>>>
<<<>>>
<><><><><><><><><>
<<<>>>
<><><><><><><><><>
<<<>>>
<><><><><><><><><>
<<<>>>
<<><><><><><><><><>&&><
<<<>>>
<<><><><><><><><><>&
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>&
<<<>>>
<<<>>>
<<><><><><><><><><>
<<<>>>
<<><><><><><><><><>&Adobe.d................E...4......>><<
<<<>>>
&<<>>&>&>><>
<<><><><><><><><><>>>&>&>
<<<>>>
<>>&j..&R...p
<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&
<<<>>>
<<><><><><><><><><><&<<<>
<<<>>>
<><><><><><><><><>><&
<<<>>>
<>><&>&>>><&>&d.n.<<>><>
<<<>>>
<><><><><><><><><>><&
<<<>>>
<<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>&
<<<>>>
>&<&W.>><><&&>&>&><>
<<<>>>
<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>
<<<>>>
<&iTXtXML:com.adobe.xmp.....<><><><><><><><><>><><>
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<&&><<&F..f...Nk...v..tp&><>>&&><&&
<<<>>>
<&&<><><<<&>><
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><><><><><><><><>>
<<<>>>
<><><><><><><><><>><&&&>&t..Djl.7.><
<<<>>>
<><><><><><><><><>&&K...a>><&C.T.
<<<>>>
>&&hJB.&<><>>>><<&&&I..RM....b.g..
<<<>>>
&&Ccs...De..................................A.........................&&>&&f....4.v.<
<<<>>>
&<<<&&W.....><<<&><<&
<<<>>>
<>&N.>&<<>
<>><>&&Sh.Y6<>>&>&><>&g.H_.........m4.>>&<
<<<>>>
>&&NC.<&&d.<<<<>&e..j.<<
<<<>>>
&rotate_count&TIMESTAMP&referral&callback
&rotate_count&TIMESTAMP&referral&callback
&randcode
><>&D.....P9...o..N..K:KhKq..>>><&<>&&_.gE..A>
<<<>>>
>>><<>>&&<><>&<><<<
<<<>>>
&width&height&isf&domain&proid&pid&fid&mid&floorid&time&referer&href&queueid
><<&>&<&<&&><
<<<>>>
<><><><><><><><><>><&
<<<>>>
<><>&&&&&&&&&
<<<>>>
&rotate_count&TIMESTAMP&referral&callback
<><><><><><><><><><><><><><><><><><><><><><><><><><><>
&aid&mid&ip&cookie&showp&href&referer&rtime&js
&&>>><>>&><>
<<><><><><><><><><><
<<<>>>
<><><><><><><><><>&F.7...&>
<<<>>>
&CI&PI&UI&MT&EX&gUid_1449683920506
<&>&BE.L....><>>>&P...o.<>>&&&o&
<<<>>>
&num
&&<&>&>&><<
<<<>>>
>&&>&<><&<&&<<
<<<>>>
&ck&cl&ds&et&fl&ja&ln&lo&nv&rnd&si&st&v&lv&tt
<&&&<><>&><>&>>&
<<<>>>
&raid&rmid&rip&rcookie&showp&href&referer&rtime&view
&rotate_count&TIMESTAMP&referral&callback
&&<&&j&&
>&&W..M...C.E<><
&t&_sinaads_sio_log_cs339c
<><><><><><><><><>
<<<>>>
<><><><><><><><><>
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><我要啦免费统计><><>
<<<>>>
<><><><><><><<><><><><><><><
<<<>>>
<><><><><><><><><>&<&<<
<<<>>>
>&i.1.8s...8...m.I.><&>>&&><<<&&j.8<>&<&y..s..<>
<<<>>>
&&f.attachEvent&&f.attachEvent&&<>&&c.top<&&c.left>&&c.left<><><&&b.data
<<<>>>
<<&<<>&C<<<>
<<<>>>
&<>>>><>><>
<<<>>>
<><><><><><><><><><&evKwa...a&
<<<>>>
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
&
<:8>
<:8>
&
&
&
&
&
&
&
&
&randcode
&randcode
&
&
&Ex
&Ex
&pass
&pass
&tK
&tK
&iB&qH
&iB&qH
&lE&pH
&lE&pH
&mF
&mF
&mE
&mE
&pG&mE
&pG&mE
&oF&tJ
&oF&tJ
&lD
&lD
&nF&lD&oF
&nF&lD&oF
&pG
&pG
&
&
<.fg>
<.fg>