Trojan-Downloader.Win32.Genome.gzea (Kaspersky), Trojan.Win32.Generic!BT (VIPRE), DLOADER.Trojan (DrWeb), Artemis!C78C3EA77AF0 (McAfee), Win32:Malware-gen (Avast), mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan-Downloader, Trojan
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: c78c3ea77af0b8eec47e55f5919154a3
SHA1: 76017c1c3d5f947cbb51d54bce084c372e538b0b
SHA256: 2897fa3c76dfdfca1fd624e1ec233eb47ec0a855a1e2f39177bcbaacea75efdb
SSDeep: 24576:Uv0PRGmay4PjE9bUix084d2mVWca83VSQCbLL0Jcwcdc5:5GfjkoPwx8cHbLIWwKW
Size: 1166945 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: Softonic
Created at: 2009-06-07 00:41:59
Analyzed on: WindowsXP SP3 32-bit
Summary: Trojan-Downloader. Trojan program, which downloads files from the Internet without user's notice and executes them.
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Trojan-Downloader creates the following process(es):
shandian.exe:1708
shandian.exe:860
The Trojan-Downloader injects its code into the following process(es):
%original file name%.exe:580
sdad.exe:1488
F30241_s_0523.exe:1508
File activity
The process %original file name%.exe:580 makes changes in the file system.
The Trojan-Downloader creates and/or writes to the following file(s):
%Program Files%\shandian\ico\360.ico (32 bytes)
%Documents and Settings%\%current user%\Desktop\Internet Explorer.lnk (1 bytes)
%Program Files%\shandian\bin\shandian.ini (74 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nse2.tmp\config.ini (4 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nse2.tmp\System.dll (11 bytes)
%Program Files%\shandian\bin\shandian.exe (28283 bytes)
%Program Files%\shandian\ico\ie.ico (700 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nse2.tmp\xID.dll (10 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nse2.tmp\config0.ini (3 bytes)
&gp&time
&gp&time
&gp&time
| &name&mac&md5 | |
| &guid&lastver | |
| &jsonp&t&_stamp | |
| &mainver&popver&xmlver | |
| &ver&gfg&city&pid&c&method&cbf | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &ids | |
| &gp&time | |
| &t | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &rnd | |
| &cna | |
| &cna | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &jsonp&t&_stamp | |
| &ver&gfg&city&pid&c&method&cbf | |
| &cna | |
| &name&mac&md5 | |
| &rnd | |
| &rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time | |
| &gp&time | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode | |
| &mainver&popver&xmlver | |
| &rnd | |
| &ids | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
| &rnd | |
| &cna | |
| &rnd | |
| &rnd | |
| &t | |
| &ufoid&ptype&pcode&rdk&img&sourcelist&titlelist | |
| &r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd | |
&&y.5..<<<>&&p........x...r....>
<<
<<<>>>
<><><><><><><><><><><><><><><><><>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&rnd
&cna
&rnd
&cna
&rnd
&cna
&rnd
&cna
<<&n.-&j..a...91>>><&K..hhA....U.T.J....-.<>>>>&I...&>>
<<
<<<>>>
&rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time
&rdk&img&pars&suid&sduv&ckid&m&apid&sgtp&refer&page&pageUrl&loc&hp&pid&ptype&pcode&yyid&skin&ver&sys&ser&sev&time
&cna
<>>>>>&<><><><><
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><>><&<<>
<<
<<<>>>
<>&<&>&&&><
<<
<<<>>>
&&>>><<>>>><><>
<<
<<<>>>
&X<
>&<&W.>><><&&>&>&><>
<<
<<<>>>
&
&jsonp&t&_stamp
>>><<<<&L...>><&
<<
<<<>>>
&&<>><><<<<<>>&>
<<
<<<>>>
&&&Rj.y........VO.-.z>
<<
<<<>>>
&P......sBIT.....O.....PLTE...
&gp&time
&&D.TdE..t6..U.e.....u..F&>><<
<<
<<<>>>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&gp&time
&&D.TdE..t6..U.e.....u..F&>><<&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><&&<<&>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
&&<<&><<&&g
<<
<<<>>>
&n..>><&&><&<&&><<><
<<
<<<>>>
&guid&lastver
<><><><><><><><><><> <><><><><><><><><><><><><><><><><><><><><><><><> <><><><><><><><><><> <><><><><><>
<<
<<<>>>
&guid&lastver
&guid&lastver
&<<>&<&&&&&<
<<
<<<>>>
&guid&lastver
&><>>&<<&&&>>><<&&
<<
<<<>>>
&<&&
<<
<<<>>>
<><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><>&&<&&&&l
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
&b.....HmkBF........................................................................&>>&><<&><>><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>>>&
<<
<<<>>>
>><>>>&bc1l...h..DQ..m..D...4f...b.......1x<><&>&
<<
<<<>>>
<<&>&&V>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&><<&&><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>>>><&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>><>&><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<<<>
<<
<<<>>>
>&&D.TdE..t6..U.e.....u..F&<<<>>&V...fc.
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>>&<>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
<<
<<<>>>
&rnd
&cna
<><><><><><><><><><><><><><>
><&O........<&&>&&F...m...9.h..0..&<>><
<<
<<<>>>
>><&&e<&<<&B.t...><&>
<<
<<<>>>
&>>>&&l...>>&&><>><&B><>><&
<<
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&u2.....pHYs................OiCCPPhotoshop&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
&mainver&popver&xmlver
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&>>&&
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&><&&<<&&>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<><>>>
<<
<<<>>>
<><><><><><><><><><><><><><>
<><><><><><><><><><><><><><
<<
<<<>>>
<<<>>&>&
<<
<<<>>>
>>&i....V.....y>&&>>&C.>&n.N7&&>
<<
<<<>>>
&<<<&
<<
<<<>>>
&ids
<<
<<<>>>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><><><><>
<<
<<<>>>
<><><><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
<><><><><><><><>
<<
<<<>>>
&<><>>><&<&i.><<&&<
<<
<<<>>>
&&>>>&>&<<<<&&&T....2Q
<<
<<<>>>
<<
<>>>>&><><<&<<>><<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>>&>>>&>>&&<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&>&&&O.W..._........C..T.........gJ..X..<<
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<&v.a.Ay......>>>
<<
<<<>>>
&&D.TdE..t6..U.e.....u..F&<>><
<<
<<<>>>
<<
<<<>>>
&t
站长统计&&&n.callRequest&&<><><><><>
<><>>><&<<<>>>&A.O....4......3...h..a.
<<
<<<>>>
&ver&gfg&city&pid&c&method&cbf
北京阴有零星小雨转多云微风阴转晴北风级晴转多云微风多云转晴微风晴转多云微风阴转晴微风晴微风四月廿六
<<
<<<>>>
&<<<&
<<
<<<>>>
<><><><><><><><><><>
&t
站长统计&&&n.callRequest&&<><><><><>
<<<&L.>&<&<<<
<<
<<<>>>
&><<&S....<<<<<>>>&&&<<<&&&KM.M..RM..
<<
<<<>>>
<><><><><><><><><>&
<<
<<<>>>
<<<>>>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&name&mac&md5
&&&J.RJ4......&>>&>&>
<<
<<<>>>
<&><>&&<>&V.&&><<<<<
<<
<<<>>>
><<<<<<<&YD.&>>&k.r<&&&<
<<
<<<>>>
&z..Hv......L...&&&&LLN.T>><
&<<>&<
>
<<><><><><><><><><><&><&<>&>
<<
<<<>>>
><>&>>><>&&<<<&<
<<
<<<>>>
<&&
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
<<><><><
<<
<<<>>>
<<><<&>><<>&>><>&&v....m....02<<<<
<<
<<<>>>
<><><><><><><><>
&r&lg&ntime&repeatip&rtime&cnzz_eid&showp&st&sin&t&rnd
<<><><><><><><><><><>&&
<<
<<<>>>
&ufoid&ptype&pcode&rdk&img&sourcelist&titlelist
&ufoid&ptype&pcode&rdk&refer&page&pageUrl&img&vcode
&guid&lastver
>>&><>>&&<
<<
<<<>>>
&cna
&cna
&cna
&cna
<>"
<>"
""
""
""
""
""
""
<""""><>
<""""><>
"
"
""
""
""
""
Û
Û
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<
<
<
<
"
"
""
""
""""
""""
<"""">
<"""">
""
""
""
""
""
""
""
""
"ï"
"ï"
""
""
>
>
""
""
""
""
""
""
""
""
""
""
<
<
<<><><><><><><><><><><><><><>"<><><<><><><><><><><><><><><><><><><><><>&&&&<><><><><><><<><><><><><><><><><><><>&&<><><><><><><><><<><>&&<><><><>><><><><><><><><><><><><>><><>&&&&&&&&<><><><><><><><><><><><><""""><><><""""><><><><><><><><><><><><><><><><><><><><><><><><><><><>"&&&&&&"<><><><>"""&"<><>"""&"<><><><><><>""<><><><><><><><><><><><><><>""><><>""<><><><><><><>""<><>""<><>""<><><""""""><""><""""""><><><><><""><""<><><>""<><>""<><><><>""<><>""<><><><><><>""""""<><><><><><>""""""<><>""""<><><><><><>""""<><>""<><>""<><><><><""""""""""""><""><><><><><""""""><><><><""""><><><><"">"<>""<>"<><><><><><""""""><><>""<><>""<><>""""<><>""<><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><>""<><>""<><>""<><>""<><>""<><><><>""<><>""<><><><>""<><>""<><><><><><><><><><>""<><>""<><><><>""<><>""<><>""<><><><><><><><>""<><>""<><>""<><><><>"<""><""><>"<><>""<><><><><><><><><><><><><><>""<><>""<><><><><><><><><><>""<><><><><><>""<><><><><><><><>""<><><><><><><><><><>"<"">"<><>"<""""><>"<><>""<><><><>""<><><><>""<><>""<><><><><><><><>""<><><><><><><><><><>><><><><><""""> <""><><""><><><><><><><""><><><><""> <><><><""""> <""""""""><><><><""><><><><""><""""""""><><><><""><><><><""><""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""""""><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""""><""""""""""""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><""><><><><"">"<"""""""">"<><><><"">"<"""""""">"<><><>"<""><"">""<><"">""<><"">""<><>"<><>"<><>"<><>"<><>"<><>"<><>"<><>""<><>""<><>""<><><""""""><><><<><><><>""<><><><><><>""<><><><><""><><><><""""""><><><><""><><><><><""""><><><><><><><><""""><><><><><><><""><""""""><><><><""><><><><""><><><><><><><""><><><><><><><><""><><><><><><><""><><><><><><><><""><><><>"<"">"<><>""<><>""<><>""<><>""<><>""<><>"<>"<><>"<"">"<><><>"<""""""><>"<><>"<>