Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '<SYSTEM32>\ngrymim.dll'
Malicious functions:
Executes the following:
- %WINDIR%\regedit.exe /s "%HOMEPATH%\My Documents\Iterra\T03emp03.reg"
Injects code into
the following system processes:
- %WINDIR%\Explorer.EXE
Modifies file system :
Creates the following files:
- <SYSTEM32>\ngrymim.dll
- %HOMEPATH%\Cookies\cf
- %HOMEPATH%\My Documents\Iterra\0105.tmp
- %HOMEPATH%\My Documents\Iterra\T03emp03.reg
Deletes the following files:
- %HOMEPATH%\My Documents\Iterra\T03emp03.reg
- %HOMEPATH%\My Documents\Iterra\0105.tmp
Network activity:
Connects to:
- 'fo##dns.com':80
- 'cl###stano.com':80
- 'de##db.com':80
- 'te##ans.su':80
- 'te###ode.com':80
- 'cl###clans.ru':80
- '91.##0.35.154':80
- 'ns###se1.com':80
- 'de###eclick.com':80
- 'cl###beta.ru':80
- 'ge###odes.com':80
- 'tr###dns.com':80
- 'ge###tsu.com':80
- 've###lana.com':80
- '11#.#11.111.2':80
- 'in###ora.com':80
- 'od###are.com':80
- 'ne###vad.com':80
- 'fe###eck.com':80
- 'in###ango.com':80
TCP:
HTTP GET requests:
- fo##dns.com/phpbb/get.php?id########################################################################################################################################################################################
- cl###stano.com/phpbb/get.php?id########################################################################################################################################################################################
- de##db.com/phpbb/get.php?id########################################################################################################################################################################################
- te##ans.su/phpbb/get.php?id########################################################################################################################################################################################
- te###ode.com/phpbb/get.php?id########################################################################################################################################################################################
- cl###clans.ru/phpbb/get.php?id########################################################################################################################################################################################
- 91.##0.35.154/phpbb/get.php?id########################################################################################################################################################################################
- ns###se1.com/phpbb/get.php?id########################################################################################################################################################################################
- de###eclick.com/phpbb/get.php?id########################################################################################################################################################################################
- cl###beta.ru/phpbb/get.php?id########################################################################################################################################################################################
- ge###odes.com/phpbb/get.php?id########################################################################################################################################################################################
- tr###dns.com/phpbb/get.php?id########################################################################################################################################################################################
- ge###tsu.com/phpbb/get.php?id########################################################################################################################################################################################
- ve###lana.com/phpbb/get.php?id########################################################################################################################################################################################
- 11#.#11.111.2/phpbb/get.php?id########################################################################################################################################################################################
- in###ora.com/phpbb/get.php?id########################################################################################################################################################################################
- od###are.com/phpbb/get.php?id########################################################################################################################################################################################
- ne###vad.com/phpbb/get.php?id########################################################################################################################################################################################
- fe###eck.com/phpbb/get.php?id########################################################################################################################################################################################
- in###ango.com/phpbb/get.php?id########################################################################################################################################################################################
UDP:
- DNS ASK de##db.com
- DNS ASK fo##dns.com
- DNS ASK te##ans.su
- DNS ASK te###ode.com
- DNS ASK cl###stano.com
- DNS ASK ns###se1.com
- DNS ASK cl###clans.ru
- DNS ASK de###eclick.com
- DNS ASK cl###beta.ru
- DNS ASK od###are.com
- DNS ASK ge###tsu.com
- DNS ASK ge###odes.com
- DNS ASK ve###lana.com
- DNS ASK ve###nla.com
- DNS ASK tr###dns.com
- DNS ASK ne###vad.com
- DNS ASK in###ora.com
- DNS ASK fe###eck.com
- DNS ASK in###ango.com
Miscellaneous:
Searches for the following windows:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
