Trojan.Siggen9.18314

Техническая информация

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

<SYSTEM32>\tasks\microsoft localmanager[windows 7 enterprise]

Вредоносные функции

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами

[<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]

Читает файлы, отвечающие за хранение паролей сторонними программами

%LOCALAPPDATA%\google\chrome\user data\default\cookies
%LOCALAPPDATA%\google\chrome\user data\default\login data
%LOCALAPPDATA%\google\chrome\user data\default\web data
%APPDATA%\opera software\opera stable\login data

Ищет следующие окна с целью

обнаружения утилит для анализа:

ClassName: 'OLLYDBG', WindowName: ''
ClassName: 'GBDYLLO', WindowName: ''
ClassName: 'pediy06', WindowName: ''
ClassName: 'FilemonClass', WindowName: ''
ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'RegmonClass', WindowName: ''
ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'

Изменения в файловой системе

Создает следующие файлы

%TEMP%\nswa1ff.tmp
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\index.dat
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\mlprwrxm\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\mug2lif0\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\jmoc3ngb\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\04kbmsoi\desktop.ini
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\index.dat
%TEMP%\is-gu8su.tmp\_isetup\_regdll.tmp
%PROGRAMDATA%\systemnetwork\xcoremanagment.exe
%PROGRAMDATA%\systemnetwork\arch.txt
%PROGRAMDATA%\systemnetwork\video.txt
%LOCALAPPDATA%low\zwyrdvrpbjvd.ljg
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%LOCALAPPDATA%\microsoft\windows\history\low\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
%TEMP%\is-gu8su.tmp\wizardform.bitmapimage1.bmp
%TEMP%\is-gu8su.tmp\metroblue.vsf
%TEMP%\is-gu8su.tmp\vclstylesinno.dll
%TEMP%\is-gu8su.tmp\istask.dll
%TEMP%\is-gu8su.tmp\_isetup\_shfoldr.dll
%TEMP%\is-gu8su.tmp\_isetup\_setup64.tmp
%APPDATA%\microsoft\windows\cookies\low\index.dat
%TEMP%\is-occ6n.tmp\1.tmp
%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe
%APPDATA%\software\1.exe
%APPDATA%\software\move_39.exe
%APPDATA%\software\bid_66.exe
%APPDATA%\suddenly\police_61.exe
%TEMP%\nsma210.tmp\system.dll
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol

Присваивает атрибут 'скрытый' для следующих файлов

%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\mlprwrxm\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\mug2lif0\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\jmoc3ngb\desktop.ini
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\04kbmsoi\desktop.ini
%LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini

Удаляет следующие файлы

%TEMP%\nsma210.tmp\system.dll
%APPDATA%\software\bid_66.exe
%LOCALAPPDATA%low\zwyrdvrpbjvd.ljg

Подменяет следующие файлы

%LOCALAPPDATA%low\zwyrdvrpbjvd.ljg

Сетевая активность

TCP

Запросы HTTP GET

http://vm###560.had.wf/Build2/xCoreManagment.exe

'my####gramapi.cf':443

UDP

DNS ASK my####gramapi.cf
DNS ASK vm###560.had.wf

Другое

Ищет следующие окна

ClassName: '18467-41' WindowName: ''
ClassName: 'Edit' WindowName: ''

Создает и запускает на исполнение

'%APPDATA%\suddenly\police_61.exe'
'%APPDATA%\software\bid_66.exe'
'%APPDATA%\software\move_39.exe'
'%APPDATA%\software\1.exe'
'%TEMP%\is-occ6n.tmp\1.tmp' /SL5="$9022E,16663327,66048,%APPDATA%\Software\1.exe"
'%PROGRAMDATA%\systemnetwork\xcoremanagment.exe'
'%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe'
'%WINDIR%\syswow64\schtasks.exe' /create /sc minute /f /tn "Microsoft LocalManager[Windows 7 Enterprise]" /tr "%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /k ping -n 5 localhost < nul & del /F /Q "%APPDATA%\Software\Bid_66.exe"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c WMIC OS get osarchitecture >%PROGRAMDATA%\SystemNetwork\arch.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c wmic path win32_VideoController get name >%PROGRAMDATA%\SystemNetwork\video.txt' (со скрытым окном)
'%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe' ' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\schtasks.exe' /create /sc minute /f /tn "Microsoft LocalManager[Windows 7 Enterprise]" /tr "%PROGRAMDATA%\{63396499-6339-6339-633964991907}\lsm.exe"
'%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\WININET.dll",DispatchAPICall 1
'%WINDIR%\syswow64\cmd.exe' /k ping -n 5 localhost < nul & del /F /Q "%APPDATA%\Software\Bid_66.exe"
'%WINDIR%\syswow64\ping.exe' -n 5 localhost
'%WINDIR%\syswow64\cmd.exe' /c WMIC OS get osarchitecture >%PROGRAMDATA%\SystemNetwork\arch.txt
'%WINDIR%\syswow64\wbem\wmic.exe' OS get osarchitecture
'%WINDIR%\syswow64\cmd.exe' /c wmic path win32_VideoController get name >%PROGRAMDATA%\SystemNetwork\video.txt
'%WINDIR%\syswow64\wbem\wmic.exe' path win32_VideoController get name
'<SYSTEM32>\taskeng.exe' {74407D15-4FA3-427E-9E9E-108F76F4BE4A} S-1-5-21-1960123792-2022915161-3775307078-1001:nnnbdztn\user:Interactive:[1]