Trojan.DownLoader33.61191

• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'xcdbyksf' = '%APPDATA%\xcdbyksf.exe'

• %APPDATA%\xcdbyksf.exe
• nul
• %APPDATA%\svchost.exe

• 'un####dstories.com':80

'localhost':49879

'localhost':49881

'localhost':49883

'localhost':49885

'localhost':49887

'localhost':49889

'localhost':49891

'localhost':49868

'localhost':49893

'localhost':49832

'localhost':49897

'localhost':49899

'localhost':49901

'localhost':49903

'localhost':49905

'localhost':49845

'localhost':49841

'ts####test50.com':443

'localhost':49828

'localhost':49877

'localhost':49173

'localhost':49824

'localhost':49874

'localhost':49842

'localhost':49844

'localhost':49846

'localhost':49848

'localhost':49804

'localhost':49815

'localhost':49820

'localhost':49811

'localhost':49907

'localhost':49927

'th###abri.org':443

'localhost':49856

'localhost':49858

'localhost':49860

'localhost':49862

'localhost':49864

'ri###antas.lt':443

'localhost':49866

'localhost':49870

'localhost':49872

'localhost':49850

'me###ish.com':443

'localhost':49912

'sh###agari.com':443

'localhost':49952

'localhost':49954

'sa#####agencyinc.com':443

'st####stucson.com':443

'localhost':49956

'localhost':49958

'localhost':49900

'localhost':49849

'localhost':49886

'localhost':49878

'localhost':49964

'localhost':49966

'localhost':49919

'go######kopen-amsterdam.nl':443

'localhost':49969

'localhost':49971

'localhost':49932

'localhost':49936

'localhost':49904

'ge###wijzer.nl':443

'localhost':49914

'localhost':49950

'localhost':49890

'localhost':49916

'localhost':49918

'ks##atou.be':443

'localhost':49857

'localhost':49865

'localhost':49861

'localhost':49869

'localhost':49873

'localhost':49838

'localhost':49840

'localhost':49923

'localhost':49931

'localhost':49933

'localhost':49935

'localhost':49882

'localhost':49937

'localhost':49940

'localhost':49894

'localhost':49945

'localhost':49947

'localhost':49929

'localhost':49943

'of####factory.at':443

'localhost':49767

'localhost':49751

'localhost':49675

'ha#####hirecare.co.uk':443

'nt#.rs':443

'localhost':49754

'localhost':49756

'localhost':49709

'localhost':49692

'localhost':49759

'localhost':49761

'localhost':49764

'localhost':49766

'localhost':49768

'fa##k.org':443

'localhost':49733

'localhost':49729

'localhost':49770

'localhost':49738

'localhost':49713

'localhost':49749

'localhost':49779

'localhost':49747

'localhost':49745

'localhost':49714

'localhost':49716

'localhost':49718

'localhost':49720

'localhost':49722

'localhost':49724

'localhost':49726

'localhost':49728

'localhost':49725

'ki####crodney.co.nz':443

'localhost':49730

'localhost':49735

'localhost':49737

'localhost':49669

'localhost':49696

'localhost':49688

'localhost':49701

'localhost':49683

'ma####edreams.com':443

'zw#####reiundvierzig.de':443

'localhost':49732

'localhost':49721

'localhost':49679

'localhost':49780

'localhost':49810

'localhost':49812

'localhost':49717

'localhost':49814

'localhost':49817

'localhost':49819

'localhost':49821

'localhost':49928

'localhost':49823

'localhost':49827

'localhost':49829

'localhost':49788

'localhost':49798

'ha##pijn.nl':443

'localhost':49831

'ho###ticure.jp':443

'localhost':49792

'localhost':49784

'localhost':49825

'localhost':49808

'co###oof.com':443

'at###terra.com':443

'mu#####tsystems.co.za':443

'localhost':49705

'localhost':49783

'localhost':49785

'localhost':49787

'al####wtents.com':443

'di####huatanejo.com':443

'localhost':49789

'localhost':49791

'localhost':49778

'localhost':49776

'localhost':49752

'localhost':49793

'localhost':49797

'localhost':49799

'localhost':49762

'localhost':49757

'localhost':49748

'localhost':49803

'localhost':49771

'pa#####.minute-fruitee.fr':443

'sm#####emicalnews.com':443

'localhost':49941

'localhost':49946

'localhost':49978

'localhost':50155

'localhost':50157

'localhost':50159

'localhost':50161

'localhost':50163

'localhost':50165

'localhost':50167

'localhost':50052

'localhost':50169

'localhost':50173

'localhost':50175

'localhost':50177

'localhost':50048

'localhost':50179

'localhost':50182

'localhost':50184

'localhost':50186

'localhost':50188

'localhost':50171

'localhost':50153

'is######chielkestudio.com':443

'localhost':50151

'localhost':50149

'localhost':50042

'ah##zc.com':443

'localhost':50032

'me#####tawesterbork.nl':443

'vi###xtile.net':443

'localhost':50119

'localhost':50121

'localhost':50056

'localhost':50190

'localhost':50126

'localhost':50123

'localhost':50130

'localhost':50132

'localhost':50134

'localhost':50136

'localhost':50138

'localhost':50140

'localhost':50142

'localhost':50145

'localhost':50147

'localhost':50128

'localhost':50038

'localhost':50114

'localhost':50198

'ed###thouse.pl':443

'localhost':50239

'localhost':50241

'localhost':50243

'it###athome.it':443

'localhost':50245

'localhost':50247

'localhost':50249

'localhost':50235

'localhost':50082

'localhost':50086

'localhost':50111

'localhost':50115

'localhost':50102

'localhost':50122

'localhost':50094

'localhost':50131

'localhost':50139

'localhost':50135

'localhost':50196

'localhost':50237

'localhost':50233

'localhost':49491

'localhost':50200

'localhost':50202

'localhost':50204

'localhost':50206

'localhost':50208

'localhost':50061

'localhost':50211

'localhost':50213

'bn###abella.eu':443

'localhost':50192

'localhost':50194

'localhost':50217

'localhost':50065

'localhost':50078

'localhost':50223

'localhost':50225

'localhost':50227

'localhost':50229

'localhost':50231

'localhost':50215

'localhost':50074

'localhost':49712

'localhost':50070

'localhost':50112

'localhost':50012

'localhost':50014

'localhost':50016

'localhost':50018

'localhost':50020

'localhost':49959

'localhost':50023

'localhost':49991

'localhost':50025

'localhost':49967

'localhost':50029

'localhost':50031

'localhost':49985

'localhost':49992

'po#######mientowebsevilla.net':443

'ch####ian-bosch.com':443

'localhost':50035

'localhost':50006

'localhost':49981

'localhost':50010

'localhost':50008

'localhost':50004

'localhost':50002

'localhost':49980

'localhost':49982

'localhost':49984

'localhost':49955

'il###ellaio.com':443

'localhost':49986

'localhost':49910

'localhost':50037

'localhost':49951

'localhost':50110

'localhost':49993

'localhost':49915

'fl####nguenet.fr':443

'ma###raozon.net':443

'us###oyacim.com':443

'en#####isemarine.com.au':443

'we#####zine.moyais.com':443

'localhost':49998

've##elux.md':443

'localhost':50000

'localhost':49995

'localhost':49710

'za###ncraft.com':443

'localhost':50009

'localhost':50089

'localhost':50091

'localhost':50093

'localhost':50095

'localhost':50097

'ou####dquotes.com':443

'localhost':50099

'localhost':50039

'localhost':50101

'localhost':50021

'localhost':50017

'localhost':50026

'th###lesty.com':443

'ai#####ueflorida.com':443

'tw###sstore.com':443

'localhost':50005

'localhost':50108

'localhost':50085

'localhost':50013

'localhost':50087

'su#####baratpost.com':443

'localhost':50083

'localhost':50081

'localhost':50047

'localhost':50049

'localhost':50051

'localhost':50053

'localhost':50055

'localhost':50057

'localhost':50001

'localhost':50041

'ba##two.com':443

'localhost':50043

'localhost':50062

'localhost':49972

'localhost':50067

'localhost':50069

'localhost':50071

'localhost':50073

'localhost':50075

'localhost':50077

'localhost':49996

'localhost':50079

'localhost':50064

'localhost':50059

'localhost':49708

'localhost':49706

'dn###ood.com':443

'localhost':49353

'localhost':49355

'localhost':49357

'localhost':49359

'localhost':49361

'localhost':49363

'localhost':49365

'localhost':49311

'localhost':49367

'localhost':49330

'localhost':49336

'localhost':49351

'eu###empest.net':443

'localhost':49373

'localhost':49375

'localhost':49263

'go##ora.com':443

'in###limarq.com':443

'pa##uk.tech':443

'localhost':49324

'localhost':49350

'localhost':49348

'localhost':49323

'localhost':49297

'localhost':49283

'localhost':49326

'localhost':49329

'localhost':49289

'localhost':49307

'localhost':49333

'he#####cbdbenefits.com':443

'localhost':49347

'localhost':49335

'localhost':49338

'localhost':49340

'localhost':49319

'localhost':49315

'localhost':49344

'localhost':49346

'to###ogic.com':443

'ko###sportv.com':443

'localhost':49293

'lu###droese.de':443

'localhost':49398

'localhost':49229

'localhost':49382

'localhost':49418

'localhost':49420

'localhost':49422

'localhost':49424

'localhost':49426

'em##dsr.org':443

'ba####chauau.com':443

'localhost':49428

'localhost':49378

'localhost':49430

'localhost':49434

'localhost':49393

'localhost':49408

'localhost':49419

'localhost':49404

're####symphony.com':443

'localhost':49427

'zi####we.misa.org':443

'ma###mmini.vn':443

'localhost':49416

'localhost':49389

'localhost':49381

'localhost':49385

'localhost':49386

'localhost':49388

'localhost':49390

'localhost':49392

'localhost':49394

'localhost':49396

'localhost':49368

'localhost':49364

'localhost':49380

'localhost':49320

'localhost':49356

'localhost':49405

'localhost':49407

'ac###etout.com':443

'hb##ans.nl':443

'localhost':49360

'localhost':49303

'localhost':49376

'localhost':49341

'localhost':49384

'localhost':49403

'localhost':49432

'la####dersports.com':443

'localhost':49299

'localhost':49226

'localhost':49228

'localhost':49230

'localhost':49232

'localhost':49197

'localhost':49201

'localhost':49205

'localhost':49221

'localhost':49196

'localhost':49213

'localhost':49240

'localhost':49242

'localhost':49217

'no#r.nl':443

'2c####ructions.com':443

'me####s-sonores.ch':443

'localhost':49245

'localhost':49247

'localhost':49222

'localhost':49224

'localhost':49220

'localhost':49218

'localhost':49216

'localhost':49176

'bd#s.by':443

'localhost':49178

'localhost':49181

'localhost':49184

'localhost':49187

'localhost':49190

'localhost':49192

'ki#####pvangrolde.nl':443

'localhost':49193

'localhost':49194

'localhost':49200

'localhost':49202

'localhost':49204

'localhost':49206

'localhost':49208

'localhost':49210

'localhost':49212

'localhost':49214

'localhost':49175

'localhost':49198

'ge######ontractorgroup.com':443

'localhost':49318

'localhost':49233

'gl###lprep.gr':443

'localhost':49286

'localhost':49288

'localhost':49290

'localhost':49292

'localhost':49294

'localhost':49296

'co###izz.com':443

'localhost':49316

'localhost':49275

'localhost':49279

'localhost':49302

'localhost':49304

'localhost':49306

'localhost':49308

'localhost':49310

'localhost':49312

'localhost':49314

'localhost':49267

'ib#.pl':443

'localhost':49259

'localhost':49282

'localhost':49280

'localhost':49252

'localhost':49254

'localhost':49256

'localhost':49258

'localhost':49260

'localhost':49262

'localhost':49264

'localhost':49266

'localhost':49225

'localhost':49209

'localhost':49243

'localhost':49248

'ka###emajet.com':443

'fr######struwwelpeter.net':443

'en####ectric.com':443

'localhost':49272

'localhost':49274

'localhost':49276

'localhost':49278

'e-###tuva.lt':443

'localhost':49255

'localhost':50152

'localhost':49441

'localhost':49445

'localhost':49614

'localhost':49616

'localhost':49618

'localhost':49620

'localhost':49622

'localhost':49624

'localhost':49626

'localhost':49588

'localhost':49628

'localhost':49632

'localhost':49634

'ag#.agr.br':443

'localhost':49636

'localhost':49638

'localhost':49640

'localhost':49589

'localhost':49593

'localhost':49608

'localhost':49630

'localhost':49612

'localhost':49610

'localhost':49606

'localhost':49600

'ge###mbia.org':443

'localhost':49580

'localhost':49559

'localhost':49582

'localhost':49578

're#####hmypast.co.uk':443

'gr###dedpgh.org':443

'no######tparkburlington.com':443

'localhost':49586

'localhost':49443

'localhost':49590

'localhost':49594

'localhost':49596

'localhost':49598

'cr####016.inria.fr':443

'localhost':49568

'localhost':49564

'localhost':49573

'localhost':49555

'localhost':49583

'localhost':49592

're##nd.com':443

'localhost':49577

'localhost':49650

'localhost':49674

'localhost':49676

'localhost':49678

'localhost':49680

'localhost':49659

'localhost':49682

'localhost':49685

'localhost':49642

'localhost':49687

'localhost':49689

'localhost':49691

'localhost':49693

'localhost':49597

'localhost':49695

'localhost':49698

'localhost':49700

'localhost':49702

'si####simburda.com':443

'un##erst.ro':443

'localhost':49672

'vi##toen.fi':443

'fl###chool.com':443

'wi####toluxury.com':443

'localhost':49613

'localhost':49609

'localhost':49621

'localhost':49656

'localhost':49658

'bf###heer.com':443

'localhost':49617

'localhost':49646

'localhost':49625

'localhost':49648

'localhost':49637

'localhost':49629

'localhost':49647

'10##er.com':443

'localhost':49666

'be###eca.com':443

'localhost':49668

'localhost':49652

'localhost':49601

'localhost':49641

'localhost':49633

'in#######mondial-consulting.ch':443

'localhost':49575

'localhost':49704

'localhost':49480

'localhost':49482

'localhost':49484

'localhost':49486

'localhost':49488

'localhost':49490

'localhost':49492

'localhost':49494

'ri###daily.com':443

'zu##t.eu':443

'localhost':49498

'localhost':49500

'localhost':49502

'localhost':49504

'localhost':49506

'localhost':49460

'localhost':49467

'localhost':49471

'localhost':49477

'localhost':49452

'localhost':49475

'localhost':49448

'localhost':49423

'localhost':49449

'lh####rdusommeil.fr':443

'localhost':49451

'localhost':49453

'localhost':49455

'sa###olto.com':443

'ca####whispers.com':443

'localhost':49457

'localhost':49478

'localhost':49496

'localhost':49459

'localhost':49397

'localhost':49431

'e-##an.com':443

'localhost':49464

'localhost':49466

'localhost':49468

'localhost':49470

'localhost':49444

'localhost':49447

'localhost':49435

'localhost':49551

'localhost':49572

'localhost':49483

'localhost':49538

'localhost':49546

'localhost':49548

'localhost':49550

'ol####thgolf.com':443

'localhost':49552

'localhost':49554

'localhost':49556

'localhost':49509

'localhost':49530

'localhost':49558

'localhost':49561

'localhost':49563

'localhost':49565

'localhost':49567

'localhost':49547

'nu####family.org':443

'localhost':49570

'om###chau.de':443

'localhost':49536

'pu#####isappeared.org':443

'localhost':50090

'localhost':49526

'localhost':49499

'ge##tech.fr':443

'localhost':49518

'localhost':49520

'localhost':49495

'localhost':49523

'ru####numbers.org':443

'localhost':49525

'localhost':49527

'localhost':49514

'localhost':49521

'localhost':49529

'localhost':49503

'he#######raxis-filderklinik.de':443

'localhost':49533

'localhost':49535

'localhost':49507

'sp###ory.com':443

'localhost':49515

'localhost':49456

'localhost':49487

'de####recroacia.com':443

'localhost':50148

• DNS ASK bd#s.by
• DNS ASK pu###avanow.com
• DNS ASK ts####test50.com
• DNS ASK ks##atou.be
• DNS ASK mo###ebush.com
• DNS ASK da####iggins.com
• DNS ASK st####stucson.com
• DNS ASK de###nsales.net
• DNS ASK sa#####agencyinc.com
• DNS ASK ga###ci.dole.si
• DNS ASK st#######nnectedinitiative.org
• DNS ASK do####advideo.com
• DNS ASK b4#.#tem9.com
• DNS ASK en#####isemarine.com.au
• DNS ASK fc#####unities.co.uk
• DNS ASK ge###wijzer.nl
• DNS ASK is######chielkestudio.com
• DNS ASK go######kopen-amsterdam.nl
• DNS ASK ma###raozon.net
• DNS ASK ha##.###.native-service.net
• DNS ASK ve##elux.md
• DNS ASK me###ish.com
• DNS ASK sh###agari.com
• DNS ASK ih####geekshow.com
• DNS ASK ri###antas.lt
• DNS ASK sa####ng-vip.net
• DNS ASK fa##k.org
• DNS ASK mu#####tsystems.co.za
• DNS ASK co###oof.com
• DNS ASK al####wtents.com
• DNS ASK ha##pijn.nl
• DNS ASK ho###ticure.jp
• DNS ASK de#######wranchandcabins.com
• DNS ASK st##.ulyssis.be
• DNS ASK mi#####tersproject.org
• DNS ASK lo#####chitecture.ch
• DNS ASK we#####zine.moyais.com
• DNS ASK di####huatanejo.com
• DNS ASK at###terra.com
• DNS ASK pa#####.minute-fruitee.fr
• DNS ASK ch###er4oil.com
• DNS ASK ca###et-ask.com
• DNS ASK th###abri.org
• DNS ASK so###lity.biz
• DNS ASK ki####crodney.co.nz
• DNS ASK bl####lloweo.com
• DNS ASK of####factory.at
• DNS ASK ga####toflove.org
• DNS ASK le####letter.net
• DNS ASK il###ellaio.com
• DNS ASK ti###ronk.dk
• DNS ASK sp######technologies.com
• DNS ASK bn###abella.eu
• DNS ASK ta###tspace.pl
• DNS ASK so##io.be
• DNS ASK sw###tone.ch
• DNS ASK im###ss-ev.de
• DNS ASK th#####utedubonheur.com
• DNS ASK gh##co.cn
• DNS ASK st####remen.info
• DNS ASK fa###eport.com
• DNS ASK al#####eyerphoto.com
• DNS ASK dr####pelosi.com
• DNS ASK nt#.rs
• DNS ASK je####rclub.info
• DNS ASK bl####ndwhite.nl
• DNS ASK st#####egalezizzi.it
• DNS ASK po###der.media
• DNS ASK un####dstories.com
• DNS ASK po###s852.com
• DNS ASK cc#.sk
• DNS ASK ce#.#ng.ua.edu
• DNS ASK si###sp.org.br
• DNS ASK on####courses.co.il
• DNS ASK ed###thouse.pl
• DNS ASK ah##zc.com
• DNS ASK it###athome.it
• DNS ASK gr####agcity.com
• DNS ASK us###oyacim.com
• DNS ASK fl####nguenet.fr
• DNS ASK ru#####nglertreff.de
• DNS ASK mo####ilbonds.com
• DNS ASK po#######mientowebsevilla.net
• DNS ASK ou####dquotes.com
• DNS ASK pu#####aranormal.com
• DNS ASK ch####ian-bosch.com
• DNS ASK ju####lassus.com
• DNS ASK su#####baratpost.com
• DNS ASK yo####ftfrom.com
• DNS ASK ga##by.com
• DNS ASK ba##two.com
• DNS ASK ai#####ueflorida.com
• DNS ASK th###lesty.com
• DNS ASK tw###sstore.com
• DNS ASK za###ncraft.com
• DNS ASK an####a-bali.com
• DNS ASK vi###xtile.net
• DNS ASK me#####tawesterbork.nl
• DNS ASK in####thailand.com
• DNS ASK ni####oup-it.com
• DNS ASK nk##ngh.in
• DNS ASK fr####rset.co.uk
• DNS ASK sm#####emicalnews.com
• DNS ASK si####simburda.com
• DNS ASK dn###ood.com
• DNS ASK pa##uk.tech
• DNS ASK eu###empest.net
• DNS ASK ma####olesti.com
• DNS ASK go##ora.com
• DNS ASK e-##an.com
• DNS ASK ph#####yschoolsanz.org
• DNS ASK he#####cbdbenefits.com
• DNS ASK fl###maniac.net
• DNS ASK ka###emajet.com
• DNS ASK re####symphony.com
• DNS ASK hb##ans.nl
• DNS ASK em##dsr.org
• DNS ASK ok###ght.com
• DNS ASK ba####chauau.com
• DNS ASK la####dersports.com
• DNS ASK ri###daily.com
• DNS ASK at######ogranadajoven.es
• DNS ASK sa###olto.com
• DNS ASK zi####we.misa.org
• DNS ASK to###ogic.com
• DNS ASK ma###mmini.vn
• DNS ASK tr#####ifecleaners.com
• DNS ASK vi#####pcservices.be
• DNS ASK lu###droese.de
• DNS ASK en####ectric.com
• DNS ASK no#r.nl
• DNS ASK 2c####ructions.com
• DNS ASK my##ep.be
• DNS ASK fr######struwwelpeter.net
• DNS ASK me####s-sonores.ch
• DNS ASK e-###tuva.lt
• DNS ASK ki#####pvangrolde.nl
• DNS ASK da##i.od.ua
• DNS ASK lh####rdusommeil.fr
• DNS ASK ac###etout.com
• DNS ASK gl###lprep.gr
• DNS ASK ib#.pl
• DNS ASK wo###tgirl.com
• DNS ASK st#####ievasseur.com
• DNS ASK in######ionalboysday.org
• DNS ASK co###izz.com
• DNS ASK ge######ontractorgroup.com
• DNS ASK cl.###strufy.com
• DNS ASK ko###sportv.com
• DNS ASK in###limarq.com
• DNS ASK k6###847.lib
• DNS ASK vv###sparen.nl
• DNS ASK gr####trentals.com
• DNS ASK ca####whispers.com
• DNS ASK wi###rbasis.nl
• DNS ASK ag#.agr.br
• DNS ASK no######tparkburlington.com
• DNS ASK cr####016.inria.fr
• DNS ASK ma##tino.se
• DNS ASK in#######mondial-consulting.ch
• DNS ASK vo#####alviosbeltrum.nl
• DNS ASK ma####edreams.com
• DNS ASK bf###heer.com
• DNS ASK be###eca.com
• DNS ASK 10##er.com
• DNS ASK ba###cdiap.cat
• DNS ASK ha#####hirecare.co.uk
• DNS ASK br##rch.com
• DNS ASK vi##toen.fi
• DNS ASK fl###chool.com
• DNS ASK wi####toluxury.com
• DNS ASK cr######craltreatment.co.uk
• DNS ASK ar##60.ro
• DNS ASK xk###rygfum.cf
• DNS ASK un##erst.ro
• DNS ASK ph###zeum.com
• DNS ASK mo###tel.com
• DNS ASK su###sstv.com
• DNS ASK sp###ory.com
• DNS ASK re#####hmypast.co.uk
• DNS ASK he#######raxis-filderklinik.de
• DNS ASK ar#####inhomecare.com
• DNS ASK ch######nbibleinstitute.net
• DNS ASK pa###umat.org
• DNS ASK zu##t.eu
• DNS ASK ol####thgolf.com
• DNS ASK qu##tay.pro
• DNS ASK th###ult.com
• DNS ASK ge##tech.fr
• DNS ASK ru####numbers.org
• DNS ASK de####recroacia.com
• DNS ASK zw#####reiundvierzig.de
• DNS ASK re##nd.com
• DNS ASK do####playsatl.org
• DNS ASK g-###taku.jp
• DNS ASK sp####ut-leman.ch
• DNS ASK co####sos-secca.com
• DNS ASK om###chau.de
• DNS ASK ch###projekt.cz
• DNS ASK nu####family.org
• DNS ASK pu#####isappeared.org
• DNS ASK ro###ldies.net
• DNS ASK ge###mbia.org
• DNS ASK gr###dedpgh.org
• DNS ASK ja###-eg.com

• '%APPDATA%\xcdbyksf.exe'
• '%APPDATA%\svchost.exe'

• '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w -n 1 -w3000 > Nul & Del /f /q "<Full path to file>"/f /q "(null)"
• '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 1 -w -n 1 -w3000