sql.mytijn.org

Remote Host Port Number
93.185.77.230 43000

NICK [00|USA|XP|SP2|6283
USER rpiid 0 0 :[00|USA|XP|SP2|6283
USERHOST [00|USA|XP|SP2|6283
MODE [00|USA|XP|SP2|6283 +i
JOIN #@tijn@#
PRIVMSG #@tijn@# :
12 ScAnAgE
15 Random Method started at 192.168.x.x :sql-3306 for 0 minutes 5 delay 50 threads
PONG :B5B44799

* The following ports were open in the system:

Port Protocol Process
69 UDP iexplorer.exe (%System%iexplorer.exe)
1052 TCP iexplorer.exe (%System%iexplorer.exe)
1803 TCP iexplorer.exe (%System%iexplorer.exe)
1804 TCP iexplorer.exe (%System%iexplorer.exe)
1805 TCP iexplorer.exe (%System%iexplorer.exe)
1806 TCP iexplorer.exe (%System%iexplorer.exe)
1807 TCP iexplorer.exe (%System%iexplorer.exe)
1808 TCP iexplorer.exe (%System%iexplorer.exe)
1809 TCP iexplorer.exe (%System%iexplorer.exe)
1810 TCP iexplorer.exe (%System%iexplorer.exe)
1811 TCP iexplorer.exe (%System%iexplorer.exe)
1812 TCP iexplorer.exe (%System%iexplorer.exe)
1813 TCP iexplorer.exe (%System%iexplorer.exe)
1814 TCP iexplorer.exe (%System%iexplorer.exe)
1815 TCP iexplorer.exe (%System%iexplorer.exe)
1816 TCP iexplorer.exe (%System%iexplorer.exe)
1817 TCP iexplorer.exe (%System%iexplorer.exe)
1818 TCP iexplorer.exe (%System%iexplorer.exe)
1819 TCP iexplorer.exe (%System%iexplorer.exe)
1820 TCP iexplorer.exe (%System%iexplorer.exe)
1821 TCP iexplorer.exe (%System%iexplorer.exe)
1822 TCP iexplorer.exe (%System%iexplorer.exe)
1823 TCP iexplorer.exe (%System%iexplorer.exe)
1824 TCP iexplorer.exe (%System%iexplorer.exe)
1825 TCP iexplorer.exe (%System%iexplorer.exe)
1826 TCP iexplorer.exe (%System%iexplorer.exe)
1827 TCP iexplorer.exe (%System%iexplorer.exe)
1828 TCP iexplorer.exe (%System%iexplorer.exe)
1829 TCP iexplorer.exe (%System%iexplorer.exe)
1830 TCP iexplorer.exe (%System%iexplorer.exe)
1831 TCP iexplorer.exe (%System%iexplorer.exe)
1832 TCP iexplorer.exe (%System%iexplorer.exe)
1833 TCP iexplorer.exe (%System%iexplorer.exe)
1834 TCP iexplorer.exe (%System%iexplorer.exe)
1835 TCP iexplorer.exe (%System%iexplorer.exe)
1836 TCP iexplorer.exe (%System%iexplorer.exe)
1837 TCP iexplorer.exe (%System%iexplorer.exe)
1838 TCP iexplorer.exe (%System%iexplorer.exe)
1839 TCP iexplorer.exe (%System%iexplorer.exe)
1840 TCP iexplorer.exe (%System%iexplorer.exe)
1841 TCP iexplorer.exe (%System%iexplorer.exe)
1842 TCP iexplorer.exe (%System%iexplorer.exe)
1843 TCP iexplorer.exe (%System%iexplorer.exe)
1844 TCP iexplorer.exe (%System%iexplorer.exe)
1845 TCP iexplorer.exe (%System%iexplorer.exe)
1846 TCP iexplorer.exe (%System%iexplorer.exe)
1847 TCP iexplorer.exe (%System%iexplorer.exe)
1848 TCP iexplorer.exe (%System%iexplorer.exe)
1849 TCP iexplorer.exe (%System%iexplorer.exe)
1850 TCP iexplorer.exe (%System%iexplorer.exe)
1851 TCP iexplorer.exe (%System%iexplorer.exe)
1852 TCP iexplorer.exe (%System%iexplorer.exe)
6117 TCP iexplorer.exe (%System%iexplorer.exe)

Registry Modifications

* The following Registry Keys were created:
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
o HKEY_CURRENT_USERSYSTEM
o HKEY_CURRENT_USERSYSTEMCurrentControlSet
o HKEY_CURRENT_USERSYSTEMCurrentControlSetControl
o HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa

* The newly created Registry Values are:
o [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
+ Internet Explore AutoUpdate = “iexplorer.exe”

so that iexplorer.exe runs every time Windows starts
o [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
+ Internet Explore AutoUpdate = “iexplorer.exe”

so that iexplorer.exe runs every time Windows starts
o [HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa]
+ Internet Explore AutoUpdate = “iexplorer.exe”

Memory Modifications

* There was a new process created in the system:

Process Name Process Filename Main Module Size
iexplorer.exe %System%iexplorer.exe 2 015 232 bytes

File System Modifications

* The following file was created in the system:

# Filename(s) File Size File Hash Alias
1 %System%iexplorer.exe
[file and pathname of the sample #1] 1 728 512 bytes MD5: 0x37AD66CA71BD501112077A58C117274A
SHA-1: 0x24F4FE4681453880B8C91D1B0356E8B901B6C8F2 Trojan.IRCBot [PCTools]
W32.IRCBot [Symantec]
Backdoor.Win32.IRCBot.njj [Kaspersky Lab]
Mal/Generic-A [Sophos]
VirTool:Win32/VBInject.DN [Microsoft]
VirTool.Win32.VBInject [Ikarus]

Categories: Uncategorized