Trojan-Downloader.Win32.Genome.gzor (Kaspersky), Dropped:Trojan.Generic.11313659 (AdAware), Trojan.NSIS.StartPage.FD, Trojan.Win32.IEDummy.FD, mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan-Downloader, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: 2e8cd40312802ca5117dca7994143f01
SHA1: 82d5bcff45b0ae3a2a6e26318a747568b8d95036
SHA256: 40be4c4d59d74bbc0c8423af759a55b28adb61c361495ba28dd65b1c150aacdb
SSDeep: 24576:/vTRGmay4PA5NLqDYXyvDB2NeJfGaJYk1UsRNhwcRcg:/FGfQNuN7seJ 2Yk/tw T
Size: 1119244 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: no certificate found
Created at: 2009-06-07 00:41:59
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan. A program that appears to do one thing but actually does another (a.k.a. Trojan Horse).
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan creates the following process(es):
shandian.exe:764
shandian.exe:1772
The Trojan injects its code into the following process(es):
%original file name%.exe:1628
emaaif_70690.exe:2124
sdad.exe:1944
F30241_s_0523.exe:752
services.exe:760
svchost.exe:1080
File activity
The process %original file name%.exe:1628 makes changes in the file system.
The Trojan creates and/or writes to the following file(s):
%Program Files%\shandian\ico\360.ico (32 bytes)
%Documents and Settings%\%current user%\Desktop\Internet Explorer.lnk (1 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\4DQJW9YN\F30241_s_0523[1].rar (91814 bytes)
%Program Files%\shandian\uninst.exe (1368 bytes)
%Program Files%\shandian\home.bat (691 bytes)
%Program Files%\shandian\bin\shandian.exe (28332 bytes)
%Program Files%\shandian\ico\ie.ico (700 bytes)
%Documents and Settings%\%current user%\Local Settings\Temporary Internet Files\Content.IE5\OPQNSD2J\desktop.ini (67 bytes)
| &name&mac&md5 | |
| &guid&lastver | |
| &jsonp&t&_stamp | |
| &ver&gfg&city&pid&c&method&cbf | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &mainver&popver&xmlver | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &ids | |
| &gp&time | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &t | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &cna | |
| &cna | |
| &cna | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &cna | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &t | |
| &rnd | |
| &ver&gfg&city&pid&c&method&cbf | |
| &rnd | |
| &jsonp&t&_stamp | |
| &rnd | |
| &mainver&popver&xmlver | |
| &cna | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &name&mac&md5 | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &ids | |
| &cna | |
| &gp&time | |
| &rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
&guid&lastver
<><><><><><><><><><> <><><><><><><><><><><><><><><><><><><><><><><><> <><><><><><><><><><> <><><><><><>
<<
<<<>>>
&guid&lastver
>>&><>>&&<
<<
<<<>>>
&guid&lastver
&><>>&<<&&&>>><<&&
<<
<<<>>>
&X<
&&<<>><>&&<>><><<<>
<<
<<<>>>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
&&>>>&>&<<<<&&&T....2Q
<<
<<<>>>
&b.....HmkBF........................................................................&>>&><<&><>><<
<<
<<<>>>
>><>>>&bc1l...h..DQ..m..D...4f...b.......1x<><&>&
<<
<<<>>>
<<&>&&V>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
<<
<<<>>>
&ufoid&ptype&pcode&rdk&img&sourcelist&titlelist
&rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time
&ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode
&ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode
&t
站长统计&&&n.callRequest&&<><><><><>
&t
站长统计&&&n.callRequest&&<><><><><>
&<&&
<<
<<<>>>
<<&n.-&j..a...91>>><&K..hhA....U.T.J....-.<>>>>&I...&>>
<<
<<<>>>
<&><>&&<>&V.&&><<<<<
<<
<<<>>>
><<<<<<<&YD.&>>&k.r<&&&<
<<
<<<>>>
><&O........<&&>&&F...m...9.h..0..&<>><
<<
<<<>>>
>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
>&<&W.>><><&&>&>&><>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
<<<>>>
<<><<&>><<>&>><>&&v....m....02<<<<
<<
<<<>>>
&&<<<>>><>>><><><&<
<<
<<<>>>
&<&&
<<
<<<>>>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<>>>>>&<><><><><
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><>&&<&&&&l
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
&<><>>><&<&i.><<&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>>>&
<<
<<<>>>
<<
<>>>>&><><<&<<>><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
<<
<<<>>>
&P......sBIT.....O.....PLTE...
&n..>><&&><&<&&><<><
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&u2.....pHYs................OiCCPPhotoshop&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><>
<><><><><><><><><><>
&gp&time
<><><><><><><><><><><><>
&gp&time
<><><><><><><><><><><><>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&guid&lastver
&guid&lastver
&<<>&<&&&&&<
<<
<<<>>>
><>&>>><>&&<<<&<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><>><&<<>
<<
<<<>>>
<><><><><><><><><><><><><><>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<<>>><&>
<<
<<<>>>
&ver&gfg&city&pid&c&method&cbf
北京阴有分散性阵雨微风阴转多云微风晴转多云微风多云转晴微风晴转多云微风阴转多云微风多云微风五月初四
<<
<<<>>>
&<<<&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
<>>>&>&><&<<<>><>&<>&<<<<&mv-...A.l.G
<<
<<<>>>
<<<>>&>&
<<
<<<>>>
>&&>>&&<>&<<&<
<<
<<<>>>
&<<<&
<<
<<<>>>
&ids
<<
<<<>>>
<<><><><><><><><><><>
<<
<<<>>>
<<><><><
<<
<<<>>>
<<<&L.>&<&<<<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&&>&<><>>>>&
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&&y.5..<<<>&&p........x...r....>
<<
<<<>>>
&&&&<<>&C.r..N.......<<&<&
<<
<<<>>>
&name&mac&md5
&cna
&cna
&cna
&rnd
&cna
&rnd
&cna
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
<<
<<<>>>
&jsonp&t&_stamp
<><><><><><><><>
<&&
<>&<&>&&&><
<<
<<<>>>
&<<>&<
&>>>&&l...>>&&><>><&B><>><&
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
>>><<<<&L...>><&
<<
<<<>>>
<><><><><><><><><>&Adobe.d............................o............................................................................................................................................k._..........................................................................................&p........
<<
<<<>>>
&cna
&cna
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><>
<<
<<<>>>
&z..Hv......L...&&&&LLN.T>><
&><>&&A.3.n.<<>>><<&i......<>><&<
<<
<<<>>>
&
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&rnd
&cna
&rnd
&cna
&rnd
&cna
<>"
<>"
""
""
""
""
""
""
<""""><>
<""""><>
"
"
""
""
""
""
""
""
"""
"""
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
"""""
"""""
""""""
""""""
"
"
""""""
""""""
""
""
"""
"""
""""""
""""""
&&&
&&&
&&&&
&&&&
&&&&
&&&&
&&&
&&&
&"
&"
""""""""
""""""""
""
""
""
""
""
""
"
"
"
"
>
>
""""""
""""""
"""""
"""""
"
"
&
&
<>&
<>&
&
&
&<<>>
&<<>>
Í
Í
Ú
Ú
""
""
""
""
""
""
<
<
<
<
"
"
""
""
""""
""""
<"""">
<"""">
""
""
""
""
""
""
""
""
"ï"
"ï"
""
""
>
>
""
""
""
""
""
""
""
""
""
""
<
<
<<><><><><><><><><><><><><><>"<><><<><><><><><><><><><><><><><><><><><>&&&&<><><><><><><<><><><><><><><><><><><>&&<><><><><><><><><<><>&&<><><><>><><><><><><><><><><><><>><><>&&&&&&&&<><><><><><><><><><><><><""""><><><""""><><><><><><><><><><><><><><><><><><><><><><><><><><><>"&&&&&&"<><><><>"""&"<><>"""&"<><><><><><>""<><><><><><><><><><><><><><>""><><>""<><><><><><><>""<><>""<><>""<><><""""""><""><""""""><><><><><""><""<><><>""<><>""<><><><>""<><>""<><><><><><>""""""<><><><><><>""""""<><>""""<><><><><><>""""<><>""<><>""<><><><><""""""""""""><""><><><><><""""""><><><><""""><><><><"">"<>""<>"<><><><><><""""""><><>""<><>""<><>""""<><>""<><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><>""<><>""<><>""<><>""<><>""<><><><>""<><>""<><><><>""<><>""<><><><><><><><><><>""<><>""<><><><>""<><>""<><>""<><><><><><><><>""<><>""<><>""<><><><>"<""><""><>"<><>""<><><><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><><><><><>""<><><><><><><><>""<><><><><><><><><><>"<"">"<><>"<""""><>"<><>""<><><><>""<><><><>""<><>""<><><><><><><><>""<><><><><><><><><><>><><><><><""""> <""><><""><><><><><><><""><><><><""> <><><><""""> <""""""""><><><><""><><><><""><""""""""><><><><""><><><><""><""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""""""><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""><""""""""""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><"">"<"""""""">"<><><><"">"<"""""""">"<><><>"<""><"">""<><"">""<><"">""<><>"<><>"<><>"<><>"<><>"<><>"<><>"<><>""<><>""<><>""<><><""""""><><><<><><><>""<><><><><><>""<><><><><""><><><><""""""><><><><""><><><><><""""><><><><><><><><""""><><><><><><><""><""""""><><><><""><><><><""><><><><><><><""><><><><><><><><""><><><><><><><""><><><><><><><><""><><><>"<"">"<><>""<><>""<><>""<><>""<><>""<><>"<>"<><>"<"">"<><><>"<""""""><>"<><>"<>