Trojan-Downloader.Win32.Genome.gzzh (Kaspersky), Trojan.NSIS.StartPage.FD, Trojan.Win32.IEDummy.FD, mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan-Downloader, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: 75d4f04577417faeee85a9b1e706e66b
SHA1: 0611968e477bb04a8af318d03e0ee1b720e2342d
SHA256: 2ece80e3f6b7a01da9d86d5bccdcc2e2043038a94a23a55023e1dc699ecd567b
SSDeep: 24576:N48JRGmay4PA5NLqDYXyvDB2NeJfGaJYk1UsRNhwcHce:N42GfQNuN7seJ 2Yk/twcB
Size: 1117368 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: AirInstaller
Created at: 2009-06-07 00:41:59
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan. A program that appears to do one thing but actually does another (a.k.a. Trojan Horse).
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan creates the following process(es):
shandian.exe:604
shandian.exe:564
The Trojan injects its code into the following process(es):
F30241_s_0523.exe:1700
%original file name%.exe:1180
sdad.exe:1736
File activity
The process F30241_s_0523.exe:1700 makes changes in the file system.
The Trojan creates and/or writes to the following file(s):
%Documents and Settings%\%current user%\Local Settings\Temp\nsa6.tmp\System.dll (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsa6.tmp\PluginInstallHelper.dll (3616 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsf5.tmp (51442 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsa6.tmp\NewPih.dll (4992 bytes)
The Trojan deletes the following file(s):
%Documents and Settings%\%current user%\Local Settings\Temp\nsa6.tmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsa4.tmp (0 bytes)
The process %original file name%.exe:1180 makes changes in the file system.
The Trojan creates and/or writes to the following file(s):
%Program Files%\shandian\ico\360.ico (32 bytes)
%Documents and Settings%\%current user%\Desktop\Internet Explorer.lnk (1 bytes)
%Program Files%\shandian\uninst.exe (2466 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsx2.tmp\config.ini (3 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsx2.tmp\xID.dll (10 bytes)
%Program Files%\shandian\home.bat (691 bytes)
%Program Files%\shandian\bin\shandian.exe (28332 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsx2.tmp\config0.ini (3 bytes)
%Program Files%\shandian\ico\ie.ico (700 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsx2.tmp\System.dll (11 bytes)
| &ac&name&mac&md5 | |
| &name&mac&md5 | |
| &guid&lastver | |
| &mainver&popver&xmlver | |
| &jsonp&t&_stamp | |
| &ver&gfg&city&pid&c&method&cbf | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &ids | |
| &gp&time | |
| &t | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &rnd | |
| &rnd | |
| &cna | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &cna | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &m&n&s_px | |
| &s_width&s_height&s_id&s_attrib&ref&l | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &t | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &cna | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &cna | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &rnd | |
| &ver&gfg&city&pid&c&method&cbf | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &gp&time | |
| &jsonp&t&_stamp | |
| &ids | |
| &rnd | |
| &rnd | |
| &guid&lastver | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
&t
站长统计&&&n.callRequest&&<><><><><>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
>&&&&<>>><
<<
<<<>>>
&M&O....S.w....6...w.&>><><
<<
<<<>>>
&ids
<<
<<<>>>
><>&>>><>&&<<<&<
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&jsonp&t&_stamp
&jsonp&t&_stamp
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><>&&<&&&&l
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
&<><>>><&<&i.><<&&<
<<
<<<>>>
&&>>>&>&<<<<&&&T....2Q
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>>>&
<<
<<<>>>
<>>>>&><><<&<<>><<
<<&>&&V>>>
<<
<<<>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
<<
<<<>>>
&<<>&<
&>>>&&l...>>&&><>><&B><>><&
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><>><&<<>
<<
<<<>>>
&t
站长统计&&&n.callRequest&&<><><><><>
&name&mac&md5
><&O........<&&>&&F...m...9.h..0..&<>><
<<
<<<>>>
<<>><<&_.t.<<
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
<><><><><><><><>
<&><>&&<>&V.&&><<<<<
<<
<<<>>>
><<<<<<<&YD.&>>&k.r<&&&<
<<
<<<>>>
&z..Hv......L...&&&&LLN.T>><
>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><&m&n&s_px><><><><><><><><><>
<<
<<<>>>
&&C&
&<&&
<<
<<<>>>
<>>>>>&<><><><><
<<
<<<>>>
&&><<<><<<>>>>>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&cna
&cna
>&<&W.>><><&&>&>&><>
<<
<<<>>>
<<><><><
<<
<<<>>>
<<<&L.>&<&<<<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&&>&<><>>>>&
<<
<<<>>>
&rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time
&ufoid&ptype&pcode&rdk&img&sourcelist&titlelist
&ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode
&guid&lastver
&guid&lastver
&<<>&<&&&&&<
<<
<<<>>>
&m&n&s_px
&>><>
&<>&>>
&s_width&s_height&s_id&s_attrib&ref&l
&>>>&>>&&&
<<
<<<>>>
&s_width&s_height&s_id&s_attrib&ref&l
&<<><<&<&<<<<&<><<>>
&cna
&cna
&cna
&ac&name&mac&md5
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&u2.....pHYs................OiCCPPhotoshop&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<<&n.-&j..a...91>>><&K..hhA....U.T.J....-.<>>>>&I...&>>
<<
<<<>>>
<><><&&&pt&ft&af
<<
<<<>>>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
&b.....HmkBF........................................................................&>>&><<&><>><<
<<
<<<>>>
<<
>><>>>&bc1l...h..DQ..m..D...4f...b.......1x<><&>&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
<<
<<<>>>
<<><<&>><<>&>><>&&v....m....02<<<<
<<
<<<>>>
&&<<<>>><>>><><><&<
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&ac&name&mac&md5
<<
<<<>>>
&s_width&s_height&s_id&s_attrib&ref&l
&<<<>><<<>>>>&<>&>
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
<&&
<><><&&&pt&ft
<<
<<<>>>
&P......sBIT.....O.....PLTE...
><
&rnd
&cna
&rnd
&cna
&rnd
&cna
<<<>>>
&
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&&y.5..<<<>&&p........x...r....>
<<
<<<>>>
&&&&<<>&C.r..N.......<<&<&
<<
<<<>>>
<><><><><><><><><><><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><&m&n&s_px><><><><><><><><><>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
<<
<<<>>>
<><><><><><><><><><><><><><>
<><><><><><><><><><><><><><>
<<><><><><><><><><><>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<>>>&>&><&<<<>><>&<>&<<<<&mv-...A.l.G
<<
<<<>>>
<<<>>&>&
<<
<<<>>>
&ver&gfg&city&pid&c&method&cbf
&ver&gfg&city&pid&c&method&cbf
北京晴转多云微风多云微风阵雨转阴微风阴转晴微风晴转多云微风多云微风多云微风五月初二
<<
<<<>>>
&<<<&
<<
<<<>>>
>>><<<<&L...>><&
<<
<<<>>>
<><><><><><><><><>&Adobe.d............................o............................................................................................................................................k._..........................................................................................&p........
<<
<<<>>>
&n..>><&&><&<&&><<><
<<
<<<>>>
&rnd
&cna
&rnd
&cna
<>&<&>&&&><
<<
<<<>>>
&guid&lastver
<><><><><><><><><><> <><><><><><><><><><><><><><><><><><><><><><><><> <><><><><><><><><><> <><><><><><>
<<
<<<>>>
&guid&lastver
>>&><>>&&<
<<
<<<>>>
&guid&lastver
&><>>&<<&&&>>><<&&
<<
<<<>>>
<><><><><><><><><><>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&gp&time
<><><><><><><><><><><><>
&gp&time
<><><><><><><><><><><><>
&X<
&&<<>><>&&<>><><<<>
<<
<<<>>>
<>"
<>"
""
""
""
""
""
""
"
"
"
"
"
"
"
"
<""""><>
<""""><>
"
"
""
""
""
""
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
"""""
"""""
""""""
""""""
"
"
""""""
""""""
""
""
"""
"""
""""""
""""""
&&&
&&&
&&&&
&&&&
&&&&
&&&&
&&&
&&&
&"
&"
""""""""
""""""""
""
""
""
""
""
""
"
"
"
"
>
>
""""""
""""""
"""""
"""""
"
"
&
&
<>&
<>&
&
&
&<<>>
&<<>>
Í
Í
Ú
Ú
""
""
""
""
""
""
<
<
<
<
"
"
""
""
""""
""""
<"""">
<"""">
""
""
""
""
""
""
""
""
"ï"
"ï"
""
""
>
>
""
""
""
""
""
""
""
""
""
""
<
<
<<><><><><><><><><><><><><><>"<><><<><><><><><><><><><><><><><><><><><>&&&&<><><><><><><<><><><><><><><><><><><>&&<><><><><><><><><<><>&&<><><><>><><><><><><><><><><><><>><><>&&&&&&&&<><><><><><><><><><><><><""""><><><""""><><><><><><><><><><><><><><><><><><><><><><><><><><><>"&&&&&&"<><><><>"""&"<><>"""&"<><><><><><>""<><><><><><><><><><><><><><>""><><>""<><><><><><><>""<><>""<><>""<><><""""""><""><""""""><><><><><""><""<><><>""<><>""<><><><>""<><>""<><><><><><>""""""<><><><><><>""""""<><>""""<><><><><><>""""<><>""<><>""<><><><><""""""""""""><""><><><><><""""""><><><><""""><><><><"">"<>""<>"<><><><><><""""""><><>""<><>""<><>""""<><>""<><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><>""<><>""<><>""<><>""<><>""<><><><>""<><>""<><><><>""<><>""<><><><><><><><><><>""<><>""<><><><>""<><>""<><>""<><><><><><><><>""<><>""<><>""<><><><>"<""><""><>"<><>""<><><><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><><><><><>""<><><><><><><><>""<><><><><><><><><><>"<"">"<><>"<""""><>"<><>""<><><><>""<><><><>""<><>""<><><><><><><><>""<><><><><><><><><><>><><><><><""""> <""><><""><><><><><><><""><><><><""> <><><><""""> <""""""""><><><><""><><><><""><""""""""><><><><""><><><><""><""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""""""><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""><""""""""""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><"">"<"""""""">"<><><><"">"<"""""""">"<><><>"<""><"">""<><"">""<><"">""<><>"<><>"<><>"<><>"<><>"<><>"<><>"<><>""<><>""<><>""<><><""""""><><><<><><><>""<><><><><><>""<><><><><""><><><><""""""><><><><""><><><><><""""><><><><><><><><""""><><><><><><><""><""""""><><><><""><><><><""><><><><><><><""><><><><><><><><""><><><><><><><""><><><><><><><><""><><><>"<"">"<><>""<><>""<><>""<><>""<><>""<><>"<>"<><>"<"">"<><><>"<""""""><>"<><>"<>