This malware injects to notepad.exe
notepad.exe – Network Activity
– DNS Queries:
dl.dropbox.com DNS_TYPE_A
50.16.240.166
107.20.132.92
107.20.134.231
107.20.135.122
107.20.207.68
174.129.232.94
184.73.245.80
23.21.195.136
www.comeciosilvaa.com.br DNS_TYPE_A 200.98.197.80 YES udp
www.pandafix.com.br DNS_TYPE_A 187.17.98.44 YES udp
– HTTP Conversations:
50.16.240.166:80 – [dl.dropbox.com]
Request: GET /u/56787160/index.html
Response: 200 “OK”
200.98.197.80:80 – [www.comeciosilvaa.com.br]
Request: POST /avisosgordim/index.php
Response: 404 “Not Found”
187.17.98.44:80 – [www.pandafix.com.br]
Request: GET /modulos/md30.jpg
Response: 200 “OK”
The data identified by the following URLs was then requested from the remote web server:
http://dl.dropbox.com/u/56787160/index.html
http://www.pandafix.com.br/modulos/md50.jpg
http://www.pandafix.com.br/modulos/md30.jpg
http://www.pandafix.com.br/modulos/md40.jpg
http://www.pandafix.com.br/modulos/md10.jpg
http://www.pandafix.com.br/modulos/md20.jpg
http://www.pandafix.com.br/modulos/md60.jpg
http://www.pandafix.com.br/modulos/md70.jpg
http://www.comeciosilvaa.com.br/avisosgordim/index.php
Encrypted strings:
{---CONFIG - INICIO - GENERATION---}
[Tabela]=jhdjffjiejggjfe)=[fim]
[DATA]=jazzjazajaagjaaejazajazijigjazejaaejdi)=[fim]
[Senha]=jigjaadjdijeejdhjeajezjdh)=[fim]
[Endereco]=jazzjihjaaejaacjdhjdhjdijeajdfjaaijazdjaaejazajaadjaahjazejazzjaaajaadjdfjiijaaajazi)=[fim]
[LINKI]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajigjdgjazijazzjigjdfjazfjaabjazc)=[fim]
[LINKII]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjiijaaajazijazajiijazejaaajaaejazejazhjaahjigjigjdfjiijaaajazijdfjihjaadjdgjigjaahjazejaaejaaajaaejazcjaaajaadjazzjazejazijdgjazejaazjazzjazajabzjdfjaabjazdjaab)=[fim]
[vmodulo1]=jdhjdijea)=[fim]
[modulo1]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjdijdhjdfjazfjaabjazc)=[fim]
[vmodulo2]=jdhjdijea)=[fim]
[modulo2]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjezjdhjdfjazfjaabjazc)=[fim]
[vmodulo3]=jdhjdijea)=[fim]
[modulo3]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjeajdhjdfjazfjaabjazc)=[fim]
[vmodulo4]=jdhjdijea)=[fim]
[modulo4]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjebjdhjdfjazfjaabjazc)=[fim]
[vmodulo5]=jdhjdijea)=[fim]
[modulo5]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjecjdhjdfjazfjaabjazc)=[fim]
[vmodulo6]=jdhjdijea)=[fim]
[modulo7]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjeejdhjdfjazfjaabjazc)=[fim]
[vmodulo7]=jdhjdijea)=[fim]
[modulo6]=jazdjaafjaafjaabjehjdgjdgjaaijaaijaaijdfjaabjigjaazjazzjigjazbjazejabzjdfjiijaaajazijdfjihjaadjdgjazijaaajazzjaagjazhjaaajaaejdgjazijazzjedjdhjdfjazfjaabjazc)=[fim]
{---CONFIG - FIM - GENERATION---}
hosting infos:
http://whois.domaintools.com/187.17.98.44