Trojan.DownLoader4.39398

Technical Information

To ensure autorun and distribution:

Creates the following services:

[<HKLM>\SYSTEM\ControlSet001\Services\.Net CLR] 'Start' = '00000002'

Malicious functions:

Creates and executes the following:

C:\AutoHideIP_v5.1.0.2_Portable.exe
C:\IP.exe

Executes the following:

<SYSTEM32>\svchost.exe -k ".Net CLR"

Searches for windows to

detect analytical utilities:

ClassName: 'OLLYDBG' WindowName: ''

Modifies settings of Windows Internet Explorer:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=;ftp=;https=;'

Modifies file system :

Creates the following files:

%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NF.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MX.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PF.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NP.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NORTHERN IRELAND.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\OM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\NZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LC.png
%TEMP%\RarSFX0\AutoHideIP\res\logo.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LB.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KP.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ML.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MQ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MP.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\LV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MANN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\MC.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\US.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\VATICAN CITY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\UA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\VC.PNG
%APPDATA%\AutoHideIP\UserFlag.ini
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ZW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ZM.PNG
%ALLUSERSPROFILE%\Application Data\AutoHideIP\setting.dat
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\[1].PNG
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\[1].PNG
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\update[1]
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ZA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\VU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\VN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\VE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\WALES.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\YE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\WS.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\WALLIS AND FUTUNA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SCOTLAND.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SC.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SB.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SAINT HELENA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\QA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\PW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\RO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\RW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\RU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TM.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\TJ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ST.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\SR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BJ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BF.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\background.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BB.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CF.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\BY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\map.tpl
%TEMP%\RarSFX0\AutoHideIP\skins\default.skn
%TEMP%\RarSFX0\AutoHideIP\res\trialnotify.mht
%TEMP%\RarSFX0\AutoHideIP\ffextension.xpi
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112139176.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112138779.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112135624.png
%TEMP%\RarSFX0\AutoHideIP\lang\English.lan
<SYSTEM32>\1e838.dll
C:\AutoHideIP_v5.1.0.2_Portable.exe
C:\IP.exe
%TEMP%\RarSFX0\AutoHideIP\AutoHideIP.exe
%TEMP%\RarSFX0\AutoHideIP\res\hideip.dat
%TEMP%\RarSFX0\AutoHideIP\const.dat
%TEMP%\RarSFX0\AutoHideIP\uninst.exe
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112140701.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\A.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112142681.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\200868112141828.png
%TEMP%\RarSFX0\AutoHideIP\res\images\about.png
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AF.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\AD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\HK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GW.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\HN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\HU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\HT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\HR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GP.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GQ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ID.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\JP.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\JO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\JM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\KG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IT.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IN.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IL.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\IQ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DJ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\EE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\EC.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\DE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CS.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CU.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CZ.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CY.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\CV.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\EG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GD.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GA.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FR.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GE.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GH.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\GG.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FO.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ET.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ES.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\ER.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FI.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FM.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FK.PNG
%TEMP%\RarSFX0\AutoHideIP\res\flag_short\FJ.PNG

Deletes the following files:

%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\[1].PNG
C:\IP.exe

Network activity:

Connects to:

'localhost':1041
'cl#####.autohideip.com':80
'ni####rson.wo.tc':2000

TCP:

HTTP GET requests:

cl#####.autohideip.com/map/flag_short/.PNG
cl#####.autohideip.com/update/?AC############################################################################################################################################################
cl#####.autohideip.com/map/getinfo.php?Ma###########

UDP:

DNS ASK cl#####.autohideip.com
DNS ASK ni####rson.wo.tc

Miscellaneous:

Searches for the following windows:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'EDIT' WindowName: ''

Technologies

Begriffe

Schulung und Training

Mythen

Technical Information

Curing recommendations

Free trial