Technical Information
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AutoConfig Auto-Discovery File' = '<SYSTEM32>\kehrqoyhfh.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Assistant Topology Provider Cryptographic] 'Start' = '00000002'
- Windows Security Center
- '<SYSTEM32>\ivvfgcuaqcsu.exe' "<SYSTEM32>\kehrqoyhfh.exe"
- '%WINDIR%\Temp\zjxzvrk3hp6p3.exe' -r 48544 tcp
- '%TEMP%\zjxzvrk3cgtp3nzgwm2.exe'
- '<SYSTEM32>\kehrqoyhfh.exe'
- <SYSTEM32>\uuxfreaneajev\run
- <SYSTEM32>\uuxfreaneajev\rng
- %WINDIR%\Temp\zjxzvrk3hp6p3.exe
- <SYSTEM32>\uuxfreaneajev\cfg
- <SYSTEM32>\ivvfgcuaqcsu.exe
- %TEMP%\zjxzvrk3cgtp3nzgwm2.exe
- <SYSTEM32>\uuxfreaneajev\tst
- <SYSTEM32>\kehrqoyhfh.exe
- <SYSTEM32>\uuxfreaneajev\etc
- <SYSTEM32>\ivvfgcuaqcsu.exe
- <SYSTEM32>\kehrqoyhfh.exe
- %WINDIR%\Temp\zjxzvrk3hp6p3.exe
- <DRIVERS>\etc\hosts
- %TEMP%\zjxzvrk3cgtp3nzgwm2.exe
- 'fa###shine.net':80
- 'ri###hine.net':80
- 'fa###done.net':80
- 'ri###one.net':80
- 'no###new.net':80
- 'we###new.net':80
- 'fa###fifth.net':80
- 'ri###ifth.net':80
- 'fi###each.net':80
- 'so###each.net':80
- 'fi####esterday.net':80
- 'so####esterday.net':80
- 'fa###knew.net':80
- 'ri###new.net':80
- 'fi###feet.net':80
- 'so###feet.net':80
- 'no###one.net':80
- 'mo###rest.net':80
- 'we####dayhalf.net':80
- 'fa###oat.net':80
- 'dr####hirteen.net':80
- 'en###guess.net':80
- 'ab###ead.net':80
- 'qu###tell.net':80
- 'so###nder.net':80
- 'we###hine.net':80
- 'no###ifth.net':80
- 'we###one.net':80
- 'no###hine.net':80
- 'mu###appy.net':80
- 'se###sound.net':80
- 'we###ifth.net':80
- 'li###new.net':80
- fa###shine.net/index.php?me################################################
- ri###hine.net/index.php?me################################################
- fa###done.net/index.php?me################################################
- ri###one.net/index.php?me################################################
- no###new.net/index.php?me################################################
- we###new.net/index.php?me################################################
- fa###fifth.net/index.php?me################################################
- ri###ifth.net/index.php?me################################################
- fi###each.net/index.php?me################################################
- so###each.net/index.php?me################################################
- fi####esterday.net/index.php?me################################################
- so####esterday.net/index.php?me################################################
- fa###knew.net/index.php?me################################################
- ri###new.net/index.php?me################################################
- fi###feet.net/index.php?me################################################
- so###feet.net/index.php?me################################################
- no###one.net/index.php?me################################################
- mo###rest.net/index.php?me################################################
- we####dayhalf.net/index.php?me################################################
- fa###oat.net/index.php?me################################################
- dr####hirteen.net/index.php?me################################################
- en###guess.net/index.php?me################################################
- ab###ead.net/index.php?me################################################
- qu###tell.net/index.php?me################################################
- so###nder.net/index.php?me################################################
- we###hine.net/index.php?me################################################
- no###ifth.net/index.php?me################################################
- we###one.net/index.php?me################################################
- no###hine.net/index.php?me################################################
- mu###appy.net/index.php?me################################################
- se###sound.net/index.php?me################################################
- we###ifth.net/index.php?me################################################
- li###new.net/index.php?me################################################
- DNS ASK fa###shine.net
- DNS ASK ri###hine.net
- DNS ASK fa###done.net
- DNS ASK ri###one.net
- DNS ASK no###new.net
- DNS ASK we###new.net
- DNS ASK fa###fifth.net
- DNS ASK ri###ifth.net
- DNS ASK ri###new.net
- DNS ASK so####esterday.net
- DNS ASK fi###each.net
- DNS ASK so###wedge.net
- DNS ASK fi####esterday.net
- DNS ASK so###feet.net
- DNS ASK fa###knew.net
- DNS ASK so###each.net
- DNS ASK fi###feet.net
- DNS ASK no###one.net
- DNS ASK mo###rest.net
- DNS ASK we####dayhalf.net
- DNS ASK fa###oat.net
- DNS ASK dr####hirteen.net
- DNS ASK en###guess.net
- DNS ASK ab###ead.net
- DNS ASK qu###tell.net
- DNS ASK so###nder.net
- DNS ASK we###hine.net
- DNS ASK no###ifth.net
- DNS ASK we###one.net
- DNS ASK no###hine.net
- DNS ASK mu###appy.net
- DNS ASK se###sound.net
- DNS ASK we###ifth.net
- DNS ASK li###new.net
- '23#.#55.255.250':1900