Gen:Variant.Symmi.25253 (B) (Emsisoft), Gen:Variant.Symmi.25253 (AdAware), Trojan-PSW.Win32.MSNPassword.FD, Trojan.Win32.FlyStudio.FD, Trojan.Win32.IEDummy.FD, TrojanFlyStudio.YR (Lavasoft MAS)Behaviour: Trojan-PSW, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: a28ce11b458b294086621deece330871
SHA1: 35a998033e84d0411d53c0d5d83ff054396243f9
SHA256: db72fa663811194373fc852b98c144894d37d523c62f5ff7cd288311c70588d9
SSDeep: 12288:imizRxd7wx G6krpWH32gjGeAdzwNK9GMxNY62EKoOOZxnkPsct:ipnd7OzJr8mgj7Adz6KcMDFPf49
Size: 477851 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: MEW11SEv12, MEW11SEv11, UPolyXv05_v6, Mew11SEv12Eng
Company: firseria s.l.
Created at: 1970-01-01 03:00:00
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan. A program that appears to do one thing but actually does another (a.k.a. Trojan Horse).
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan creates the following process(es):No processes have been created.The Trojan injects its code into the following process(es):
%original file name%.exe:856
Mutexes
The following mutexes were created/opened:
| &TID&Auth&referer&utz | |
| &rsid&check&track | |
| &TID&Auth&referer&utz | |
| &TID&Auth&referer&utz | |
| &height&SCUrl&gourl&PID&Auth&Url | |
| &TID&Auth&referer&utz | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &height&SCUrl&gourl&PID&Auth&Url | |
| &show | |
| &KEY | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &show&t | |
| &rnd | |
| &cna | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &height&SCUrl&gourl&PID&Auth&Url | |
| &rnd | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &TID&Auth&referer&utz | |
| &sid&ref | |
| &oid&dirtype&sid&site_id&p | |
| &oid&game | |
| &oid&dirtype&sid&p | |
| &rnd | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &return_url | |
| &tid | |
| &_ | |
| &callback | |
| &t | |
| &web_id | |
| &num&callback | |
| &rnd | |
| &t | |
| &rnd | |
| &f&cur_page_num&rep&tag&vataposition&vatacon&rows&qtype&vataframe&callback&ab&tile&city | |
| &f&cur_page_num&rep&tag&vataposition&vatacon&rows&qtype&vataframe&callback&ab&tile&city | |
| &t&utmsr&utmr&utmp&utmhn&s | |
| &rnd | |
| &t | |
| &from&to&month&cachefrom&cacheto&type&source&_ | |
| &from&to&month&cachefrom&cacheto&type&source&_ | |
| &vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city | |
| &vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &game&dirtype | |
| &rnd | |
| &rnd | |
| &chan&pg&pos&site&size&type&tile&city | |
| &vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city | |
| &chan&pg&site&type&tile&city | |
| &rnd | |
| &rnd | |
| &chan&pg&pos&site&type&tile&city | |
| &rnd | |
| &chan&pg&pos&site&size&type&tile&city | |
| &rnd | |
| &chan&pg&pos&site&size&tile&city | |
| &rnd | |
| &chan&pg&pos&site&size&tile&city | |
| &q&sa&callback | |
| &chan&pg&pos&site&size&tile&city | |
| &chan&pg&pos&site&size&tile&city | |
| &game&dirtype | |
| &Auth&referer&utz | |
| &t | |
| &sid | |
| &TID&Auth&referer&utz | |
| &oid&dirtype&sid&site_id&p | |
| &t | |
| &q&sa&callback | |
| &rnd | |
| &chan&pg&pos&site&size&tile&city | |
| &rnd | |
| &TID&Auth&referer&utz | |
| &sid | |
| &TID&Auth&referer&utz | |
| &chan&pg&pos&site&size&tile&city | |
| &TID&Auth&referer&utz | |
| &TID&Auth&referer&utz | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &chan&pg&pos&site&size&type&tile&city | |
| &chan&pg&pos&site&size&type&tile&city | |
| &rnd | |
| &Auth&referer&utz | |
| &rnd | |
| &rnd | |
| &rnd | |
| &chan&pg&pos&site&type&tile&city | |
| &rnd | |
| &game&dirtype | |
| &height&SCUrl&gourl&PID&Auth&Url | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &oid&game | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &rnd | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &rnd | |
| &chan&pg&site&type&tile&city | |
| &rnd | |
| &web_id | |
| &chan&pg&pos&site&size&tile&city | |
| &game&dirtype | |
| &show | |
| &oid&dirtype&sid&p | |
| &r&lg&ntime&cnzz_eid&showp&t&h&rnd | |
| &height&SCUrl&gourl&PID&Auth&Url | |
| &show&t | |
| &chan&pg&pos&site&size&tile&city | |
| &rsid&check&track | |
| &WebID&DomainID&APID&Auth&Url&referer | |
| &rnd | |
| &cna | |
| &rnd | |
| &return_url | |
| &rnd | |
&&&&
&show
&<&&
<<
<<<>>>
<><><><><><><><><>&&
<<
<<<>>>
<><><><><><><><><>&<<<
<<
<<<>>>
&show
&<&&
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&>&&&&a.....
<<
<<<>>>
&rsid&check&track
<><><><><><><><><>><&
<<
<<<>>>
&<&&&<<>&>>>&<
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
><>&<&>&>&
<<
<<<>>>
>>&&<&<<<<<&><&<<<&>
<<
<<<>>>
&>&>>>>><<>><<><&m.w..h<<&y<
<<
<<<>>>
&tid
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&>>>&>>>>&<>>&&&m.......<><&X><>
<<
<<<>>>
&>>>&>>>>&<>>&&&
<<
<<<>>>
&>>>&>>>>&<>>&&&m.......<><&X><>
<<
<<<>>>
&>>>>&L3.....x..>&RUo..t.M.>>>>>><>&>&>
<<
<<<>>>
&><>>>><><>>>>&m..Z0....GO..<>>&Ve...G..........Bp.H&
<<
<<<>>>
&r&lg&ntime&cnzz_eid&showp&t&h&rnd
&oid&dirtype&sid&site_id&p
<&&&><>&<&<<&xK...O.
<<
<<<>>>
&oid&dirtype&sid&site_id&p
<&><>&&P>&L.<>&<<
<<
<<<>>>
&ntime
<>&&<>><>
<<
<<<>>>
&height&SCUrl&gourl
&&<<<><><><><
<<
<<<>>>
&f&cur_page_num&rep&tag&vataposition&vatacon&rows&qtype&vataframe&callback&ab&tile&city
&><<&<>&<<
&vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city
<>&<&><<><&<&&<<>>&>
<<
<<<>>>
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
<<
<<<>>>
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&q&sa&callback
&TID&Auth&referer&utz
&rsid&check&track
<><><><><><><><&&&><><><><>&rsid&check&track<><><><><><><><&&&><><><><>
&TID&Auth&referer&utz
&KEY
<><><><><><><><&><><><><>&KEY<><><><><><><><&><><><><>
&TID&Auth&referer&utz
<><><><><><><><><><><><><><><><><><><><><><><><>
&TID&Auth&referer&utz
&return_url
<><><><><><><><&><><><><>&return_url<><><><><><><><&><><><><>
<><><><><><><><><><<
<<
<<<>>>
<<>>><<>&><>>
<<
<<<>>>
>&&&<&>&&&<&
&height&SCUrl&gourl&PID&Auth&Url
&<<>&<&&<<>>&><>
<<
<<<>>>
&>><<<<><<&<
<<
<<<>>>
<><><><><><><><><>&><>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&:wH
<<
<<<>>>
&r&lg&ntime&cnzz_eid&showp&t&h&rnd
&_
&num&callback
&<>&><<><&>>>&&&>&>&<&d:<<&>&
<<
<<<>>>
&from&to&month&cachefrom&cacheto&type&source&_
&><<>&><<>
<><><><><><><><><><><><><><><><
<<
<<<>>>
&oid&dirtype&sid&site_id&p
<><<<>>>
<<
<<<>>>
&ntime
>><>>>>&&&<&&&<&b.<&c...37<&<
<<
<<<>>>
&ntime
&<&&&<><&<<<<
<<
<<<>>>
&ntime
&<&<<<<><&<>><&&
<<
<<<>>>
&ntime
>&<&&Lr.H......yR..2...c..f.g....W.KH..7...nx...<<&awv9...S.R_..&<>>&>>
<<
<<<>>>
&game&dirtype
&oid&dirtype&sid&site_id&p
&game&dirtype
&oid&dirtype&sid&site_id&p
>>&><<<<><&B.&
<<
<<<>>>
<<&<>&&&&<>&<<<>&
<<
<<<>>>
&Exif..II>><>><>&>><&&
<<
<<<>>>
<>>><&<&oQ.s.9&>>&>&u.<<&
<<
<<<>>>
<><><><><><><><><><<>>
<<
<<<>>>
&rnd
>&<&W.>><><&&>&>&><>
<<
<<<>>>
&rnd
>&<&W.>><><&&>&>&><>
<<
<<<>>>
>&&String&&&
<<
<<<>>>
&show&t
站长统计&&&k.callRequest&&<><><><><>站长统计&&&k.callRequest&&
<<
<<<>>>
<><<<>>&j....6.SnTv.E..1V...7.5g&>&><<>&<<&<&&>
<<
<<<>>>
&rsid&check&track
<<
<<<>>>
&chan&pg&site&type&tile&city
&rnd
<> <>
&chan&pg&pos&site&size&type&tile&city
&rnd
<> <>
&chan&pg&pos&site&size&tile&city
&rnd
<> <>
&chan&pg&pos&site&size&tile&city
&rnd
<> <><> <>
&chan&pg&pos&site&size&type&tile&city
&rnd
<> <>
&chan&pg&pos&site&type&tile&city
&rnd
<> <>
&chan&pg&pos&site&size&tile&city
&rnd
&FlightID&AdID&TargetID&Segments&Targets&Values&RawValues&Redirect<><><>
<<
<<<>>>
&chan&pg&pos&site&size&tile&city
&rnd
&FlightID&AdID&TargetID&Segments&Targets&Values&RawValues&Redirect&FlightID&AdID&TargetID&Segments&Targets&Values
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>“”“”<><>“”“”“”“”<><><><
<<
<<<>>>
>>&&><<<&>><
<<
<<<>>>
&&zpg....v.h>><>><><><><><
<<
<<<>>>
&return_url
<<
<<<>>>
&WebID&DomainID&APID&Auth&Url&referer
&>>&>>
&WebID&DomainID&APID&Auth&Url&referer
&>>&>>
&<><>>&<><&<&>>&D.O..gSi<&&>
<<
<<<>>>
&t
&><>&&w.2..Q.u<&&&T.T...6.><<
<<
<<<>>>
&t
&>>>&>>>>&<>>&&&m.......<><&X><>
<<
<<<>>>
&><&>>>>>>><>>>>&
<<
<<<>>>
&&
<>><<>><
<&&<><<<<>>&&
<<
<<<>>>
&t
&oid&dirtype&sid&site_id&p
站长统计&&&k.callRequest&&<><><><><>站长统计&&&k.callRequest&&
<<
<<<>>>
&sid
&>>>><&&lQ....a_..:.dV....l.X.c.C........&>&&><&<>&>>&><&>>&&
<<
<<<>>>
&sid
<&<&<&><&k..........9........m...j&>>&>
<<
<<<>>>
&sid
<<>
&sid&ref
<><><><><><><><><>&>
<<
<<<>>>
<><<&<><&<&<>>>>&IBs.......&c.....W..u<<><
<<
<<<>>>
&<<>&<&<&>><<<>><&
<<
<<<>>>
><&><><
>><>>><>>>>><>
<<
<<<>>>
&oid&game
&oid&dirtype&sid&p
&rsid&check&track
&&a.nodeType&&a.type<<<&&
<<
<<<>>>
&rsid&check&track
<><<><><><><><><><><<><><><><><><>
<<
<<<>>>
&rnd
&cna
&cna
&>>>&>>>>&<>>&&&m.......<><&X><>
<<
<<<>>>
&>>&><&>>>>>>><>>>>&
<<
<<<>>>
&F..><><&&>&&K..Lqkp.&&>>>&
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&>>>
<<
<<<>>>
<><>
&KEY
<><><><><><><><><><><><><><><><><><><><><><><><>
&&<<>><><>><&
<<
<<<>>>
<&<&&F&&
<<
<<<>>>
&
&height&SCUrl&gourl&PID&Auth&Url
&&>&>&<>&>>&&&>>
<<
<<<>>>
<><><><><><><><><><<&C.6.Q.u.....J
<<
<<<>>>
&cna
<&&&&<<&<<&><>&>
<<
<<<>>>
&callback
<<<><<>&<<&Q_.x...&>&&
<<
<<<>>>
&from&to&month&cachefrom&cacheto&type&source&_
<><>
<><><><><><><><><><><><><><><><><><>
&rsid&check&track
<<><><><><><><><><><&
<<
<<<>>>
&rnd
&cna
&cna
&height&SCUrl&gourl&PID&Auth&Url
&<<>&<&&<<>>&>&
<<
<<<>>>
>&<&W.>><><&&>&>&><>
<<
<<<>>>
<>><
>&<&W.>><><&&>&>&><>
<<
<<<>>>
&r&lg&ntime&cnzz_eid&showp&t&h&rnd
<<
<<<>>>
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&rnd
<&<&>>&><&&Z.0....3..&s>&f.
&q&sa&callback
&cna
&>&<&YIV8jlmmU.3mF.e&b......._.<<><>><<>>&>
<<
<<<>>>
&web_id
&oid&dirtype&sid&site_id&p
&<&&
<<
<<<>>>
&WebID&DomainID&APID&Auth&Url&referer
&>>&>>
&TID&Auth&referer&utz
<><><><><><><><><><><><><><><><><><><><><><><><>
&Auth&referer&utz
&sid
<><><><><><><><&><><><><>&sid<><><><><><><><&><><><><>
&oid&dirtype&sid&site_id&p
<&H.4H.&><<><&&&&Qq.D.....D...L....J.>&<>&
<<
<<<>>>
&oid&dirtype&sid&p
<&H.4H.&><<><&&&&Qq.D.....D...L....J.>&<>&
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&<
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&<&<><
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&Fc.d&
<<
<<<>>>
&height&SCUrl&gourl
&&<<<><><><><
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>“”“”<><>“”“”“”“”<><><><
<<
<<<>>>
&<&<>><<<<&<><><<>>>><><<>
<<
<<<>>>
<><><><><><><><><>&
<<
<<<>>>
>&&F...o.VB...x..&&p....B9.L.B.HTKD..J..<<>&<>&&>>&&F...o.VB...x..&&p....B9.L.B.HTKD..J..
<<
<<<>>>
>><<&<>><&<>&S......d<>&&>
<<
<<<>>>
&D..........E......xYZ.X9X9Z9y.<>><<<&>><<<<><&_sIq>
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><>
&<<&&>><&><&<<<
<<
<<<>>>
&rsid&check&track
<><><><><><><><><><><><><><><><>&&<><>
<<
<<<>>>
&rsid&check&track
&&&&&&&&&&&&&
<<
<<<>>>
><>&>&&&&&<&h..g&&eE<&
<<
<<<>>>
<>&<>>>>&v.0.1st...&<&>&<<
<<
<<<>>>
&>><<&
<<
<<<>>>
&
<<&Y.--W.H.6>
<<&<&>><<<
<<
<<<>>>
<&><&fp.OZh&R<>&a.:&A...<&><&>>
<<
<<<>>>
<&&<&
>>><><>&&Q><&&&c.&C..a1.zp....><
&oid&dirtype&sid&site_id&p
<<><>><&g&><<<&D<<&<&
<<
<<<>>>
&f&cur_page_num&rep&tag&vataposition&vatacon&rows&qtype&vataframe&callback&ab&tile&city
&vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city
&vataposition&tag&rows&cur_page_num&rep&f&callback&ab&tile&city
<<
<<<>>>
<><><><><><><><><><<><
<<
<<<>>>
<><><><><><><><><>&&&I>
<<
<<<>>>
<><><><><><><><><>><&<
<<
<<<>>>
&&
<<><><><><><><><><>
<<<>&><>>&P...H..>><<<<<&G.....S.><&>
<<
<<<>>>
<<><><><><><><><><>&b>
<><><><><><><><><>><&<&z>
<<
<<<>>>
<<>>><
<<
<<<>>>
<
<<&><
>
<<<&&L....J...........J
<<
&oid&dirtype&sid&site_id&p
&>>&<&<<>&<<>&kg..b.d.....&G.q..>&&&>&
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&>><>
<<
<<<>>>
&rsid&check&track
<<><><><><><><><><>&&PC...<
<<
<<<>>>
<><><><><><><><><>&&EF.<>
<<
<<<>>>
&rnd
&cna
&cna
&
&
<>
<>
Á
Á
""
""
<
<
<><><><><<><><><><><>"<><><><>><><><><><<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>ð<><>"<><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><>&<><><><><><><><>ß<><>Ç<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>