not-a-virus:AdWare.Win32.Agent.ahdb (Kaspersky), Backdoor.Win32.Farfli.FD, Trojan.NSIS.StartPage.FD, Trojan.Win32.Delphi.FD, Trojan.Win32.Iconomon.FD, Trojan.Win32.Sasfis.FD, VirTool.Win32.DelfInject.FD, mzpefinder_pcap_file.YR (Lavasoft MAS)Behaviour: Trojan, Backdoor, VirTool
The description has been automatically generated by Lavasoft Malware Analysis System and it may contain incomplete or inaccurate information.
Summary
MD5: 0038282fbfeb2d10964f756d6ac2b336
SHA1: dde224788ab485532f1c527dff97cad034cfcdde
SHA256: 17749e17ae966d88bda539cf4dd493615ea8a42355f872b4af2ffa0fa5b77d88
SSDeep: 393216:L6Hjv /AWHx4t1b/6JGcnUeW9vO7ka8TqNzBtbGXKMJpG:LizU2jyJlnUeW87V86zBtbgppG
Size: 13100305 bytes
File type: EXE
Platform: WIN32
Entropy: Packed
PEID: UPolyXv05_v6
Company: Softonic
Created at: 2008-09-16 17:17:44
Analyzed on: WindowsXP SP3 32-bit
Summary: Backdoor. Malware that enables a remote control of victim's machine.
Dynamic Analysis
Payload
No specific payload has been found.
Process activity
The Backdoor creates the following process(es):
taskkill.exe:612
taskkill.exe:1584
taskkill.exe:1920
taskkill.exe:672
taskkill.exe:508
taskkill.exe:812
taskkill.exe:1380
%original file name%.exe:564
u_rv259510009.exe:1384
KAVD_22_2317.exe:424
XiaobaiSetup.exe:348
Xiaobai.exe:864
dwwin.exe:544
BarBroker.exe:1136
XiaobaiSetup_3.1.1.(soft001).exe:1180
regsvr32.exe:1752
FX_82068094_3.exe:1604
DDGuoServer.exe:872
cacls.exe:1004
cacls.exe:264
The Backdoor injects its code into the following process(es):
FunshionInstall2.4.5.9.exe:1688
DDGuo.exe:1712
DDGuoServer.exe:1408
Mutexes
The following mutexes were created/opened:No objects were found.
File activity
The process FunshionInstall2.4.5.9.exe:1688 makes changes in the file system.
The Backdoor creates and/or writes to the following file(s):
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPlayList.bmp (10 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcome.bmp (5064 bytes)
%Program Files%\Funshion Online\Funshion\skin\HidePlayInfoBtn.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnNext.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\Media\Start Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetBkgndHover.bmp (118 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionBtnBk.bmp (1552 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgDrawMenuItem.bmp (14 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetBkgndL.bmp (162 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListStatSelIcon.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionBkgnd.bmp (170 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarLeftBk.bmp (1 bytes)
%Documents and Settings%\All Users\Start Menu\Programs\Funshion\Funshion Use Help.lnk (256 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnBarRScrollBtn.bmp (11 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\instpath.ini (654 bytes)
%Program Files%\Funshion Online\Funshion\skin\CheckBox_Check.bmp (406 bytes)
%Program Files%\Funshion Online\Funshion\skin\ShowPlayInfoBtn.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\drvc.dll (9608 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarDownArrowL.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarRestore.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerBkgndL.bmp (90 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarPlay.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollLinkBkgnd.bmp (146 bytes)
%Program Files%\Funshion Online\Funshion\Funshion-install.ico (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarSplidRgn.bmp (654 bytes)
%Program Files%\Funshion Online\Funshion\quality.dll (11048 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpError_IE.bmp (1856 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBufferInfoWndLeft.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\Dump.dll (11048 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMenuBtn.bmp (13 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installfilesen.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\pndx5032.dll (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarBkgnd.bmp (166 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarHead.bmp (310 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerSimpleBarBk.bmp (166 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installpathcn.bmp (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\KillProcDLL.dll (784 bytes)
%Program Files%\Funshion Online\Funshion\fptassrv.dll (8560 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarSplid.bmp (166 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarShowPlayerEn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateCapCloseBtn.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskBarBtnMenu.bmp (7 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@funshion[2].txt (280 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\NSISdl.dll (14 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPauseSmall.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetBkgnd.bmp (182 bytes)
%Program Files%\Funshion Online\Funshion\skin\IntergrateModeBtn.bmp (2392 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayListVerSplid.bmp (78 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionText.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnMute.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpPrompt.bmp (7 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetHead.bmp (566 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBufferInfoWndBkgnd.bmp (174 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateIconSuc.bmp (354 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarBkgndRightSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarDownArrow.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBufferInfoWndRight.bmp (894 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionSplidBarHead.bmp (200 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgFullViewMini.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPlaySmall.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarMoveUp.bmp (2 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcomekugou.bmp (5064 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcRightBtmCorner.bmp (246 bytes)
%Program Files%\Funshion Online\Funshion\skin\PauseAdCloseBtn.bmp (3 bytes)
%Documents and Settings%\%current user%\Cookies\index.dat (2892 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoTitle.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoTitleBk.bmp (158 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgStandardMiniEn.bmp (15 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionText.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateCapBkgnd.bmp (190 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnMuteSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMaxBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarBkgnd.bmp (222 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateBtmIgoreBtn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionTextEn.bmp (6 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerSimpleBarBkgnd.bmp (166 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcFrameLeft.bmp (58 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\System.dll (11 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBkgnd.bmp (214 bytes)
%Program Files%\Funshion Online\Funshion\dbghelp.dll (33295 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMenuF.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\ChangeModeBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgCloseMini.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetTrailL.bmp (810 bytes)
%Program Files%\Funshion Online\Funshion\skin\TipTopArrow.bmp (306 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpCleanFile.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\FunshionService.exe (37025 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarBkgndSmall.bmp (110 bytes)
%Program Files%\Funshion Online\Funshion\skin\IErrorWndBk.bmp (2392 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnStopSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionSplidBarTrail.bmp (200 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetTrail.bmp (694 bytes)
%Documents and Settings%\All Users\Desktop\Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\StatusBarSplid.bmp (234 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\WelcomePage.ini (299 bytes)
%Program Files%\Funshion Online\Funshion\skin\ListHeaderSplid.bmp (154 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetMid.bmp (182 bytes)
%Program Files%\Funshion Online\Funshion\rmoc3260.dll (6584 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsk2.tmp (395850 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarRightBk.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateBtmUpdateBtn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoItemTextBk.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\cook.dll (1856 bytes)
%Program Files%\Funshion Online\Funshion\FunShion.ini (22 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnVolume.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\PauseFlickerBtn.bmp (1552 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\nsisXML.dll (11 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMinBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnTitleRight.bmp (678 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\Setup_fengxingtg.exe (14761 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgCleanFileBtn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\WebCloseBtnRgn.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarThumbSmall.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionTextEn.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskTabBtnPopIcon.bmp (270 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoBtmBar.bmp (226 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarGamePage.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarTrail.bmp (310 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\ExecDos.dll (5 bytes)
%Documents and Settings%\%current user%\funshion\cache\Cacheflash\blankFs.swf (80 bytes)
%System%\funshion.ini (2234 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarBack.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetHeadHover.bmp (258 bytes)
%Program Files%\Funshion Online\Funshion\pncrt.dll (9608 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetTrailHover.bmp (174 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarBefore.bmp (126 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionSplideBarBkgnd.bmp (200 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installfilescn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\CheckBox_Box.bmp (450 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarStop.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\CoreAAC.ax (20416 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpPlayBarTip.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoHeaderBkgnd.bmp (798 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateCaption.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\pndx5016.dll (6 bytes)
%Documents and Settings%\%current user%\funshion\install.ini (104 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcFrameRight.bmp (58 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayListVerSplidMark.bmp (78 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarDelete.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgNormalViewMini.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\GetMACAddress.dll (5520 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionSplideBarThumb.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\WebToolBarBk.bmp (14 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarBk.bmp (15 bytes)
%Program Files%\Funshion Online\Funshion\FunshionUpgrade.exe (30464 bytes)
%Program Files%\Funshion Online\Funshion\Media\Install Latest Funshion.lnk (316 bytes)
%Program Files%\Funshion Online\Funshion\skin\RadioBtnPt.bmp (576 bytes)
%Documents and Settings%\%current user%\funshion\update\Pop Game.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnBarBk.bmp (226 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpError.bmp (6 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarShowWeb.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarHomePage.bmp (2 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\FX_82068094_3.exe (141589 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\licenseen.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMenuBtnEn.bmp (14 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarDownload.bmp (126 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarTrailSmall.bmp (198 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarUpArrowL.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnBarLScrollBtn.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\vodPlay.gif (7 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerBkgnd.bmp (98 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnSimple.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionNormalBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPre.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\fpsrv.dll (5064 bytes)
%Program Files%\Funshion Online\Funshion\skin\TipRightArrow.bmp (222 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoItemTextHover.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayListRemove.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\nicdescr.dat (1 bytes)
%Program Files%\Funshion Online\Funshion\funshionplugin2.dll (130775 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarBeforeSmall.bmp (102 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetMidL.bmp (162 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarBkgndSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcFrameTop.bmp (58 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcFrameBtm.bmp (58 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpTimerClose.bmp (1552 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarSplid.bmp (210 bytes)
%Program Files%\Funshion Online\Funshion\icon\RMVB.ico (1856 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskText.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoBkgnd.bmp (150 bytes)
%Program Files%\Funshion Online\Funshion\skin\SplidBarBkgnd.bmp (70 bytes)
%Program Files%\Funshion Online\Funshion\skin\ListHeaderBkgnd.bmp (154 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskTabBkgnd.bmp (246 bytes)
%Program Files%\Funshion Online\Funshion\skin\LogoMiniEn.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnVolumeSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollLinkFrm.bmp (15 bytes)
%Program Files%\Funshion Online\Funshion\skin\Scroll.gif (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetMidHover.bmp (118 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installpathen.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarDownloadSmall.bmp (102 bytes)
%Program Files%\Funshion Online\Funshion\skin\TextBtnBk.bmp (58 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnNonTop.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnNextSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\Buffering.gif (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarBkgnd.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerHideBtn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\LogoMini.bmp (3 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@funshion[1].txt (540 bytes)
%Documents and Settings%\%current user%\funshion\update\Shopping Sites.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarBkgndRight.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\RpcStartDlgBk.bmp (3312 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgNonTopViewMini.bmp (4 bytes)
%Documents and Settings%\All Users\Start Menu\Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarUpArrowRound.bmp (114 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnBarCurItem.bmp (4 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\Dump.dll (11048 bytes)
%Documents and Settings%\%current user%\funshion.ini (6448 bytes)
%Program Files%\Funshion Online\Funshion\LoginServer.dll (11344 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnNormal.bmp (3 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\funshion.ini (1164 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgMinViewMini.bmp (5 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarThumb.bmp (3 bytes)
%Documents and Settings%\All Users\Start Menu\Programs\Funshion\Uninstall Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcLeftTopCorner.bmp (222 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\config.xml (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\DragCorner.bmp (774 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcLeftBtmCorner.bmp (246 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgTopViewMini.bmp (4 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcomepage.ini (119 bytes)
%Program Files%\Funshion Online\Funshion\skin\DiskWarnning.bmp (950 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateBtmBkgnd.bmp (234 bytes)
%Program Files%\Funshion Online\Funshion\coreavc.ax (9608 bytes)
%Program Files%\Funshion Online\Funshion\skin\StatusBarLeft.bmp (234 bytes)
%Program Files%\Funshion Online\Funshion\skin\MainNcRightTopCorner.bmp (246 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskBarTipDownArrow.bmp (306 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarMoveDown.bmp (2 bytes)
%Documents and Settings%\All Users\Start Menu\Programs\Funshion\Update History.lnk (280 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarVerWidgetHeadL.bmp (810 bytes)
%Program Files%\Funshion Online\Funshion\LangResEnAmerican.dll (4992 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\InstPath.ini (1900 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarShowWebEn.bmp (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\getmacaddress.dll (11040 bytes)
%Program Files%\Funshion Online\Funshion\icon\MP4.ico (1856 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nicdescr.dat (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\OptionBtnArrow.bmp (138 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarHeadSmall.bmp (198 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarThumb.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnFullView.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayListAddBtn.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarVolumeBarThumbSmall.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskManagerCloseBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayBarSplidLineBk.bmp (210 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnSetting.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskBarBtnOpenLcl.bmp (2392 bytes)
%Program Files%\Funshion Online\Funshion\skin\vodWebEn.gif (7 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateIconInit.bmp (354 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListRePlayBtn.bmp (12 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoBtnMenu.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListBtnShow.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\Uninstall.exe (7966 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlaySplidBarBkgnd.bmp (126 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionCloseBtn.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPlay.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\OpenLocalBtnMenu.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListRightLine.bmp (270 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerHideBtnEn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\IErrorReshBtn.bmp (142 bytes)
%Program Files%\Funshion Online\Funshion\skin\GetFspFile.gif (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\ExecCmd.dll (4 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\xml2fspdata.exe (4992 bytes)
%Program Files%\Funshion Online\Funshion\skin\WebCloseBtn.bmp (8 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateBtmCloseBtn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerTipCloseBtn.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpListHeaderBk.bmp (146 bytes)
%Program Files%\Funshion Online\Funshion\Funshion.exe (99795 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpQuestion.bmp (7 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnTitleBkgnd.bmp (182 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListStatIcons.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\vodWeb.gif (7 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarDownload.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoTitleEn.bmp (2 bytes)
%Documents and Settings%\%current user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\StatusBarBkgnd.bmp (218 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskListBtnHide.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnBarItem.bmp (1552 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPreSmall.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\SplidBarMark.bmp (634 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarShowPlayer.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\StatusBarRight.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\Agentd.dll (11048 bytes)
%Program Files%\Funshion Online\Funshion\skin\vodPlayEn.gif (6 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\FindProcDLL.dll (784 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\licensecn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\RpcLoading.gif (11 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMgnTitleLeft.bmp (726 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnTop.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\LoadTeleplayWeb.gif (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarBk000.bmp (15 bytes)
%Program Files%\Funshion Online\Funshion\skin\list_expend.bmp (802 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarForward.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnPause.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\TipBottomArrow.bmp (246 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskManagerCloseTxtBtn.bmp (15 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpClearDisk.bmp (4 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskTextEn.bmp (6 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarDownArrowRound.bmp (114 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp\md5dll.dll (8 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarRefresh.bmp (1 bytes)
%Documents and Settings%\%current user%\funshion\cache\Cacheflash\donghuanew_18.swf (3616 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskMngBtnIcon.bmp (3 bytes)
%Program Files%\Funshion Online\Funshion\skin\CaptionMenuFEn.bmp (784 bytes)
%Program Files%\Funshion Online\Funshion\skin\TaskToolBarDiskClear.bmp (1 bytes)
%Documents and Settings%\All Users\Start Menu\Programs\Funshion\Funshion.lnk (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\ScrollBarUpArrow.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\skin\IeToolBarShopPage.bmp (2 bytes)
%Program Files%\Funshion Online\Funshion\skin\TabModeBtn.bmp (2392 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoCurPlay.bmp (342 bytes)
%Program Files%\Funshion Online\Funshion\skin\bmpMenuBk.bmp (1 bytes)
%Program Files%\Funshion Online\Funshion\CrashReport.exe (6584 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayerBarBtnStop.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\PlayInfoBkgndSel.bmp (10 bytes)
%Program Files%\Funshion Online\Funshion\skin\imgStandardMini.bmp (12 bytes)
%Program Files%\Funshion Online\Funshion\skin\UpdateIconFail.bmp (354 bytes)
%Program Files%\Funshion Online\Funshion\skin\RadioBtnBox.bmp (576 bytes)
The Backdoor deletes the following file(s):
%Documents and Settings%\%current user%\Local Settings\Temp\posts.dat (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\post.dat (0 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@funshion[1].txt (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\funshion.ini (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\instpath.ini (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsv3.tmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcome.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installfilescn.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcomepage.ini (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\xml2fspdata.exe (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\licenseen.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installfilesen.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\nsp1.tmp (0 bytes)
%Documents and Settings%\%current user%\Cookies\Current_User@funshion[2].txt (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installpathcn.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\licensecn.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\welcomekugou.bmp (0 bytes)
%Documents and Settings%\%current user%\Local Settings\Temp\installpathen.bmp (0 bytes)
The process %original file name%.exe:564 makes changes in the file system.
The Backdoor creates and/or writes to the following file(s):
C:\FunshionInstall2.4.5.9.exe (42603 bytes)
C:\XiaobaiSetup_3.1.1.(soft001).exe (27947 bytes)
C:\u_rv259510009.exe (14726 bytes)
C:\KAVD_22_2317.exe (1180 bytes)
The Backdoor deletes the following file(s):
C:\__tmp_rar_sfx_access_check_1198156 (0 bytes)
The process u_rv259510009.exe:1384 makes changes in the file system.
The Backdoor creates and/or writes to the following file(s):
%Documents and Settings%\%current user%\Local Settings\Temp\nsu6.tmp\Processes.dll (1552 bytes)
&addresssearch
&addresssearch
&ie&oe&bar&tn
| ×tamp | |
| &id&idn&c&t&v&mh | |
| &id&idn&c&t&u&ov&v&auto&other&mh&guid&rp&im | |
| ×tamp | |
&id&idn&c&t&u&ov&v&auto&other&mh&guid&rp&im
×tamp
<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
<><><><><><><><><><><><><><><><><><><><><><><><><><><><
<<
<<<>>>
&id&idn&c&t&v&mh
&
<<
<<<>>>
<>"
<>"
""
""
""
""
""
""
&&&&&&&&&&&
&&&&&&&&&&&
""
""
""
""
""
""
""
""
>
>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<""""""><""""><""""""""><><><><><""""""""""""><><><""><><><""""><><><><""><><""><""><><><>
<
<
&
&
<
<
<
<
‚
‚
<<><><><><><><><>&<><><<><><><><><><><><><><><>""<><>""<><>""<><>""<><><<><>
<<><><><><><><><>&<><><<><><><><><><><><><><><>""<><>""<><>""<><>""<><><<><>
""""""""
""""""""
"
"
""
""
""
""
"
"
""
""
<
<
<<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>>>>><><>"<><><><><><>"&<><><><><><>"&<><>&<><><><><<><><><><<<<<><><><><><><><>&<><><><><<><><><><<><><><><><><><><><>""<><><><><><><><><><><><>"<><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><<><><><><><><><><><><><><><><><>Ê<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>"<><><><><><><><><><><><><><><><>&&&<><>""<><>""<><>""<><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><>Ñ<><>""<><>""<><>""<><><><><><><><>""""<><>&<><><><>ÊÊ""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>"<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><><><><><><><><><><><><><><><>"<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>&<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>&<><><><>&&<><>&&<><>&&<><>&&&<><>&&&<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>Á<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>"&<><><""""""""""""><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>"">""<><><><><><><><><><><><><><><><><><><><><><>><><>><><>><><><><><><><><><><><><>>""<><>""<><>""<><>><><>><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><""""><><><""""><><><><><><><><><><><><><><><><><><><><><""""><><><><><><""""><><""""""><><><><><><><><""""><><><><><><""><><><><""><><><><""><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><""""><><""""><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>"><><>"><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><><><>><><>><><>><><>><><>><><><><><><><><><><><><><><><><><><><><><><><><><><>""""<><><><><><><><><><><><><><><><><><><><><><>&<><><><><><><><>&&<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""""""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""""<><><><><><><><><><><><><><><><>><><>><><><><><><><><><><><><><><>&&<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""""""<><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><><><><><>""<><><><><><>""""<><>""""<><><><><><><><>""<><><><>""<><><><><><>""""<><><><>""<><><><><><><><><><>""""<><><><><><>""<><><><><><>""""<><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><>><><><><>><><><><><><>""<><>""<><>><><><><>>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><>""<><>""<><><><>""<><>""<><>""<><>""<><><><>><><><><><><><><><><><><><><><><><><><><>""<><>""<><>""<><>""<><><><><><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><>""<><>""<><>""""<><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><>><><>><><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""""<><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>&&<><><><><><><""><><><><><><><><><><><><><><><><><><><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><>""<><>""<><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><><<><><><><><><><><><><><><><><><><><><><><>