Trojan-Downloader.Win32.Genome.hfti (Kaspersky), Trojan.NSIS.StartPage.FD, Trojan.Win32.IEDummy.FD, mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan-Downloader, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: 0d2e712e2bd7ec4ffe7eeabb001bde86
SHA1: 1b6b2e59e276b9c8cfa35139e8b8f66e8dc20f90
SHA256: c7fe6c01851d634abe11b036c4c20d08eee02b62ed3738122f5550aa4112bf3b
SSDeep: 24576:2FxkWYo5NLqDYXyvDB2NeJfGaJYk1UsRN5ieAs:ZWYINuN7seJ 2Yk/Vi3s
Size: 1131777 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: no certificate found
Created at: 2009-06-07 00:41:59
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan. A program that appears to do one thing but actually does another (a.k.a. Trojan Horse).
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan creates the following process(es):
shandian.exe:1524
shandian.exe:428
The Trojan injects its code into the following process(es):
%original file name%.exe:1800
sdad.exe:1208
File activity
The process %original file name%.exe:1800 makes changes in the file system.
The Trojan creates and/or writes to the following file(s):
%Program Files%\shandian\ico\360.ico (32 bytes)
%Documents and Settings%\%current user%\Desktop\Internet Explorer.lnk (1 bytes)
%Program Files%\shandian\uninst.exe (832 bytes)
%Program Files%\shandian\home.bat (703 bytes)
%Program Files%\shandian\bin\shandian.exe (28332 bytes)
%Program Files%\shandian\ico\ie.ico (700 bytes)
&gp&time
&gp&time
| &ac&name&mac&md5 | |
| &name&mac&md5 | |
| &guid&lastver | |
| &jsonp&t&_stamp | |
| &ver&gfg&city&pid&c&method&cbf | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &mainver&popver&xmlver | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &ids | |
| &gp&time | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &t | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &rnd | |
| &cna | |
| &cna | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &t | |
| &ids | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &rnd | |
| &jsonp&t&_stamp | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &gp&time | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &rnd | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &guid&lastver | |
| &rnd | |
| &ver&gfg&city&pid&c&method&cbf | |
| &cna | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &cna | |
&cna
&rnd
&cna
&cna
&rnd
&cna
&cna
&t
站长统计&&&n.callRequest&&<><><><><>站长统计&&&n.callRequest&&
<<
<<<>>>
&P......sBIT.....O.....PLTE...
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&u2.....pHYs................OiCCPPhotoshop&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&guid&lastver
<><><><><><><><><><> <><><><><><><><><><><><><><><><><><><><><><><><> <><><><><><><><><><> <><><><><><>
<<
<<<>>>
&guid&lastver
&guid&lastver
&<<>&<&&&&&<
<<
<<<>>>
&guid&lastver
&><>>&<<&&&>>><<&&
<<
<<<>>>
<><><><><><><><>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><>
&ac&name&mac&md5
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><>
&X<&X<
<<
<<<>>>
&&<<>><>&&<>><><<<>
<<
<<<>>>
&cna
&rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time
&cna
&<&&
<<
<<<>>>
&ver&gfg&city&pid&c&method&cbf
北京晴间多云微风多云转阴微风晴转多云微风多云转阴微风阴微风阴转晴微风晴微风四月三十
<<
<<<>>>
&M&O....S.w....6...w.&>><><
<<
<<<>>>
&ids
<<
<<<>>>
&cna
&cna
<&><><>><>>&<&>><
<<
<<<>>>
<<<>>&>&
<<
<<<>>>
<>&>&>&<&<<&eJa..dzv..<>><>&
<<
<<<>>>
&<<<&
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
<<><><><
<<
<<<>>>
<<<&L.>&<&<<<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&&>&<><>>>>&
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&guid&lastver
>>&><>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
<<
<<<>>>
>>><<<<&L...>><&
<<
<<<>>>
<><><><><><><><><>&Adobe.d............................o............................................................................................................................................k._..........................................................................................&p........
<<
<<<>>>
><
&n..>><&&><&<&&><<><
<<
<<<>>>
<>&<&>&&&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
<&><>&&<>&V.&&><<<<<
<<
<<<>>>
><<<<<<<&YD.&>>&k.r<&&&<
<<
<<<>>>
&<<>&<
>>
<<&n.-&j..a...91>>><&K..hhA....U.T.J....-.<>>>>&I...&>>
<<
<<<>>>
&
<><><><><><><><><><><><><><><><><>
<<
<<<>>>
&gp&time
&&D.TdE..t6..U.e.....u..F&>><<&&<
<<
<<<>>>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&ac&name&mac&md5
<<
<<<>>>
&<&&
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<<><><><><><><><><>><<
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><>&&<&&&&l
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
&<><>>><&<&i.><<&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>>>&
<<
<<<>>>
<<
<>>>>&><><<&<<>><<
<<&>&&V>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&t
站长统计&&&n.callRequest&&<><><><><>站长统计&&&n.callRequest&&
<<
<<<>>>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
&b.....HmkBF........................................................................&>>&><<&><>><<
<<
<<<>>>
&&>>>&>&<<<<&&&T....2Q
<<
<<<>>>
>><>>>&bc1l...h..DQ..m..D...4f...b.......1x<><&>&
<<
<<<>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
><>&>>><>&&<<<&<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><>><&<<>
<<
<<<>>>
&rnd
&cna
&cna
&rnd
&cna
&cna
<>>>>>&<><><><><
<<
<<<>>>
&gp&time
&&D.TdE..t6..U.e.....u..F&>><<&&<
<<
<<<>>>
&rnd
&cna
&cna
&name&mac&md5
<<><<&>><<>&>><>&&v....m....02<<<<
<<
<<<>>>
&&<<<>>><>>><><><&<
<<
<<<>>>
<<<><&o.J.r...c&a.....r.6....>>>><>&<<>
<<
<<<>>>
&ufoid&ptype&pcode&rdk&img&sourcelist&titlelist
&ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
>&<&W.>><><&&>&>&><>
<<
<<<>>>
&z..Hv......L...&&&&LLN.T>><&z..Hv......L...&
<<
<<<>>>
&>>>&&l...>>&&><>><&B><>><&
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&jsonp&t&_stamp
<&&<&&
<<><><><><><><><><>><<<
<<
<<<>>>
><&O........<&&>&&F...m...9.h..0..&<>><
<<
<<<>>>
&dY..E....<<&>&&&<&<<<<>
<<
<<<>>>
&&y.5..<<<>&&p........x...r....>
<<
<<<>>>
&&&&<<>&C.r..N.......<<&<&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
<>"
<>"
""
""
""
""
""
""
<""""><>
<""""><>
"
"
""
""
""
""
ý
ý
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
"""""
"""""
""""""
""""""
"
"
""""""
""""""
"""
"""
"""
"""
&&&
&&&
&&&&
&&&&
&&&&
&&&&
&&&
&&&
&"
&"
""""""""
""""""""
""
""
""
""
"
"
"
"
>
>
""""""
""""""
"""""
"""""
"
"
&
&
<>&
<>&
&
&
&<<>>
&<<>>
Í
Í
Ú
Ú
""
""
""
""
""
""
<
<
<
<
"
"
""
""
""""
""""
<"""">
<"""">
""
""
""
""
""
""
""
""
"ï"
"ï"
""
""
>
>
""
""
""
""
""
""
""
""
""
""
<
<
<<><><><><><><><><><><><><><>"<><><<><><><><><><><><><><><><><><><><><>&&&&<><><><><><><<><><><><><><><><><><><>&&<><><><><><><><><<><>&&<><><><>><><><><><><><><><><><><>><><>&&&&&&&&<><><><><><><><><><><><><""""><><><""""><><><><><><><><><><><><><><><><><><><><><><><><><><><>"&&&&&&"<><><><>"""&"<><>"""&"<><><><><><>""<><><><><><><><><><><><><><>""><><>""<><><><><><><>""<><>""<><>""<><><""""""><""><""""""><><><><><""><""<><><>""<><>""<><><><>""<><>""<><><><><><>""""""<><><><><><>""""""<><>""""<><><><><><>""""<><>""<><>""<><><><><""""""""""""><""><><><><><""""""><><><><""""><><><><"">"<>""<>"<><><><><><""""""><><>""<><>""<><>""""<><>""<><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><>""<><>""<><>""<><>""<><>""<><><><>""<><>""<><><><>""<><>""<><><><><><><><><><>""<><>""<><><><>""<><>""<><>""<><><><><><><><>""<><>""<><>""<><><><>"<""><""><>"<><>""<><><><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><><><><><>""<><><><><><><><>""<><><><><><><><><><>"<"">"<><>"<""""><>"<><>""<><><><>""<><><><>""<><>""<><><><><><><><>""<><><><><><><><><><>><><><><><""""> <""><><""><><><><><><><""><><><><""> <><><><""""> <""""""""><><><><""><><><><""><""""""""><><><><""><><><><""><""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""""""><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""><""""""""""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><"">"<"""""""">"<><><><"">"<"""""""">"<><><>"<""><"">""<><"">""<><"">""<><>"<><>"<><>"<><>"<><>"<><>"<><>"<><>""<><>""<><>""<><><""""""><><><<><><><>""<><><><><><>""<><><><><""><><><><""""""><><><><""><><><><><""""><><><><><><><><""""><><><><><><><""><""""""><><><><""><><><><""><><><><><><><""><><><><><><><><""><><><><><><><""><><><><><><><><""><><><>"<"">"<><>""<><>""<><>""<><>""<><>""<><>"<>"<><>"<"">"<><><>"<""""""><>"<><>"<>