Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Siggen9.23057

Добавлен в вирусную базу Dr.Web: 2020-03-21

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Создает следующие сервисы
  • [<HKLM>\System\CurrentControlSet\Services\mskdbbsa] 'Start' = '00000002'
  • [<HKLM>\System\CurrentControlSet\Services\mskdbbsa] 'ImagePath' = '%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d"<Полный путь к файлу>"'
  • [<HKLM>\SYSTEM\CurrentControlSet\services\mskdbbsa] 'ImagePath' = '%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
  • [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\mskdbbsa' = '00000000'
Запускает на исполнение
  • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
  • %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\gftvjghz.exe
  • %WINDIR%\syswow64\config\systemprofile:.repos
Перемещает следующие файлы
  • %TEMP%\gftvjghz.exe в %WINDIR%\syswow64\mskdbbsa\gftvjghz.exe
Самоудаляется.
Сетевая активность
Подключается к
  • 'mt##.##0.yahoodns.net':25
TCP
Запросы HTTP GET
  • http://www.google.com/
  • '43.#31.4.7':443
  • 'as###.daum.net':25
  • 'mx#.##rgerbd.com':25
  • 'mx####.##il.gm0.yahoodns.net':25
  • 'mx.##l.com.br':25
  • 'ms#####p-mx2.hinet.net':25
  • 'mx#.qq.com':25
  • 'mx#.free.fr':25
  • 'sp###.#ail.gandi.net':25
  • 'im##.##inkwaresys.com':25
  • 'mx.##oeuro.com':25
  • 'gw####.fortimail.com':25
  • 'sp#####l.cerimay.co.uk':25
  • 'mb####.mynet.com':25
  • 'ma##.surfeu.fi':25
  • 'mx#####.#ail.gm0.yahoodns.net':25
  • 'ff######x-vip1.prodigy.net':25
  • 'ma##.#obbyhorse.com':25
  • 'alt1.gmail-smtp-in.l.google.com':25
  • 'mx#.##tsolmail.net':25
  • 'go###e.co.uk':443
  • 'mx#.##ukiemail.com':25
  • 'ma#####1.pimail.com.pk':25
  • 'mx.##timum.net':25
  • 'mx.##.#tinternet.com':25
  • '46.#8.66.2':422
  • 'in##.rambler.ru':25
  • 'd3#####.##s.barracudanetworks.com':25
  • '93.##9.69.109':422
  • '85.##4.134.88':486
  • 'mi####.bittubeapp.com':13333
  • 'ho#########.olc.protection.outlook.com':25
  • 'mx####.#egamailservers.eu':25
  • 'ASPMX.L.GOOGLE.COM':25
  • 'mt##.##0.yahoodns.net':25
  • 'alt2.aspmx.l.google.com':25
  • 'eu#.###.#rotection.outlook.com':25
  • 'li######.#lc.protection.outlook.com':25
  • 'mx.###zta.onet.pl':25
  • 'ar#########.mail.protection.outlook.com':25
  • 'ma##.#lient.247.tv':25
  • 'mx###.##il.am0.yahoodns.net':25
  • 'ma##.#alticum-tv.lt':25
  • 'ma##.##mautoclinic.com':25
  • 'mx##.phpnet.org':25
  • 'a4#####.mx.mailhop.org':25
  • 'mx####.##il.am0.yahoodns.net':25
  • 'mx###.clara.net':25
  • 'alt1.aspmx.l.google.com':25
  • 'us#######nbound-2.mimecast.com':25
  • '78.#1.67.23':422
  • '18#.#65.238.150':422
  • '17#.#.114.177':422
  • '46.#.52.109':422
  • 'mx#.#anmail.net':25
  • 'mx.#####ce.govdelivery.com':25
  • UDP
    • DNS ASK mi##########m.mail.protection.outlook.com
    • DNS ASK ce###ay.co.uk
    • DNS ASK sp#####l.cerimay.co.uk
    • DNS ASK mo##lix.dk
    • DNS ASK re##er.dk
    • DNS ASK na##r.com
    • DNS ASK mx#.#aver.com
    • DNS ASK wi##sa.com
    • DNS ASK ti###linet.it
    • DNS ASK ec###hare.com
    • DNS ASK aa#.dk
    • DNS ASK mx#.##ailsrvr.com
    • DNS ASK ye###sure.com
    • DNS ASK cl######.us.messagelabs.com
    • DNS ASK my##t.com
    • DNS ASK mb####.mynet.com
    • DNS ASK ku##com.net
    • DNS ASK mx.#######.net.cust.b.hostedemail.com
    • DNS ASK wa##doo.fr
    • DNS ASK sm####n.orange.fr
    • DNS ASK fl##hnet.it
    • DNS ASK in.###babusiness.it
    • DNS ASK wm##.com.br
    • DNS ASK ph##hvt.com
    • DNS ASK mx#######001.gslb.pphosted.com
    • DNS ASK my###mail.net
    • DNS ASK ca####eremiason.com
    • DNS ASK mx#######702.gslb.pphosted.com
    • DNS ASK ko##umat.de
    • DNS ASK mx##.#spgateway.de
    • DNS ASK em##l.com
    • DNS ASK mx##.mail.com
    • DNS ASK em###tes.net.ae
    • DNS ASK dc######.emirates.net.ae
    • DNS ASK or####dsgaard.dk
    • DNS ASK ex###mobil.com
    • DNS ASK ma####.exxonmobil.com
    • DNS ASK ad###h.ppg.br
    • DNS ASK wa###nhut.com
    • DNS ASK mx#.###ntec.iphmx.com
    • DNS ASK mx.##oeuro.com
    • DNS ASK wd##pp.com
    • DNS ASK gw####.fortimail.com
    • DNS ASK ti##ali.it
    • DNS ASK et###.#ail.tiscali.it
    • DNS ASK ji####ilmore.com
    • DNS ASK fo##m.dk
    • DNS ASK fo####ail.forum.dk
    • DNS ASK nc##.edu
    • DNS ASK ac###eenergy.ca
    • DNS ASK l1#.fi
    • DNS ASK so#y.dk
    • DNS ASK wm###ero.com
    • DNS ASK sp###.#ail.gandi.net
    • DNS ASK mx.#.#ocaweb.com.br
    • DNS ASK yo####ksofine.eu
    • DNS ASK nu###email.com
    • DNS ASK mx#.##ukiemail.com
    • DNS ASK jr##ods.com
    • DNS ASK sm##.##cureserver.net
    • DNS ASK bl####nder.co.uk
    • DNS ASK mx.##.##mail.iss.as9143.net
    • DNS ASK pi###l.com.pk
    • DNS ASK ma#####1.pimail.com.pk
    • DNS ASK op###line.net
    • DNS ASK mx.##timum.net
    • DNS ASK mx######91d01.pphosted.com
    • DNS ASK bt###ernet.com
    • DNS ASK su#####ptions.ahrq.gov
    • DNS ASK mx.#####ce.govdelivery.com
    • DNS ASK is#.de
    • DNS ASK mx##.#nity-mail.com
    • DNS ASK ra##ler.ru
    • DNS ASK in##.rambler.ru
    • DNS ASK ya###.com.br
    • DNS ASK ya##o.co.in
    • DNS ASK py#.com.co
    • DNS ASK ec##es.net
    • DNS ASK sp###ify.com
    • DNS ASK ya##o.ro
    • DNS ASK fr###iernet.net
    • DNS ASK at#.com
    • DNS ASK a-###cept.co.uk
    • DNS ASK it#l.it
    • DNS ASK ya###.com.sg
    • DNS ASK mx#####.#ail.gm0.yahoodns.net
    • DNS ASK co##ast.net
    • DNS ASK mx#.#omcast.net
    • DNS ASK jp.#bm.com
    • DNS ASK sb###obal.net
    • DNS ASK ff######x-vip1.prodigy.net
    • DNS ASK ho###horse.com
    • DNS ASK im###.queen.it
    • DNS ASK ma##.surfeu.fi
    • DNS ASK su##eu.fi
    • DNS ASK ma##.#obbyhorse.com
    • DNS ASK ya##o.in
    • DNS ASK ge####asouthern.edu
    • DNS ASK cn.#bm.com
    • DNS ASK ya##o.co.uk
    • DNS ASK hu##en.com
    • DNS ASK mx#.##tsolmail.net
    • DNS ASK go###e.co.uk
    • DNS ASK ea#####toremember.com
    • DNS ASK sa##ee.com
    • DNS ASK gm##l.com
    • DNS ASK alt1.gmail-smtp-in.l.google.com
    • DNS ASK ve##zon.net
    • DNS ASK vo#.com
    • DNS ASK mx#.free.fr
    • DNS ASK fr#e.fr
    • DNS ASK de##itte.ca
    • DNS ASK mx#.####9-40.ca.iphmx.com
    • DNS ASK re#####.lombardia.it
    • DNS ASK mi#######2.regione.lombardia.it
    • DNS ASK li##ro.it
    • DNS ASK sm####n.libero.it
    • DNS ASK ho##ail.fr
    • DNS ASK ce###ese.com
    • DNS ASK mx#######101.gslb.pphosted.com
    • DNS ASK li#e.de
    • DNS ASK ed###dner.com
    • DNS ASK ya##o.de
    • DNS ASK ba###cum-tv.lt
    • DNS ASK ma##.#alticum-tv.lt
    • DNS ASK gs.com
    • DNS ASK mx#######501.gslb.pphosted.com
    • DNS ASK ne###ert.com
    • DNS ASK ma##.#lient.247.tv
    • DNS ASK co###ist.com
    • DNS ASK md####oclinic.com
    • DNS ASK ma##.##mautoclinic.com
    • DNS ASK eu#.###.#rotection.outlook.com
    • DNS ASK li#e.fr
    • DNS ASK li######.#lc.protection.outlook.com
    • DNS ASK ar#########.mail.protection.outlook.com
    • DNS ASK ar#.aon.com
    • DNS ASK 19#.###.211.95.in-addr.arpa
    • DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
    • DNS ASK sm####n.virgilio.it
    • DNS ASK ho##ail.com
    • DNS ASK 19#.###.#11.95.bl.spamcop.net
    • DNS ASK ho#########.olc.protection.outlook.com
    • DNS ASK 19#.###.#11.95.zen.spamhaus.org
    • DNS ASK al##e.de
    • DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
    • DNS ASK mx####.#egamailservers.eu
    • DNS ASK ya##o.it
    • DNS ASK 19#.###.#11.95.cbl.abuseat.org
    • DNS ASK mx###.##il.am0.yahoodns.net
    • DNS ASK mi####.bittubeapp.com
    • DNS ASK ho###dayisd.net
    • DNS ASK ASPMX.L.GOOGLE.COM
    • DNS ASK bo###nvw.com
    • DNS ASK alt2.aspmx.l.google.com
    • DNS ASK lf#####portes.com.br
    • DNS ASK op.pl
    • DNS ASK mx.###zta.onet.pl
    • DNS ASK vi###tron.ca
    • DNS ASK mx.##deotron.ca
    • DNS ASK ya##o.com
    • DNS ASK vi##ilio.it
    • DNS ASK mt##.##0.yahoodns.net
    • DNS ASK li##.com
    • DNS ASK a4#####.mx.mailhop.org
    • DNS ASK fa###ebnet.it
    • DNS ASK mx#.##stwebnet.it
    • DNS ASK te###stems.com
    • DNS ASK mx#######f01.gslb.pphosted.com
    • DNS ASK be###rbd.com
    • DNS ASK mx#.##rgerbd.com
    • DNS ASK th###ware.com
    • DNS ASK im##.##inkwaresys.com
    • DNS ASK co###serve.com
    • DNS ASK mx####.##il.gm0.yahoodns.net
    • DNS ASK as###.daum.net
    • DNS ASK eo###tes.com
    • DNS ASK google.com
    • DNS ASK uo#.com.br
    • DNS ASK us.#bm.com
    • DNS ASK mx######b2d01.pphosted.com
    • DNS ASK ms#.#inet.net
    • DNS ASK ms#####p-mx2.hinet.net
    • DNS ASK az##p.vr.it
    • DNS ASK qq.com
    • DNS ASK mx#.qq.com
    • DNS ASK ya##o.es
    • DNS ASK wm##pa.com
    • DNS ASK mx.##l.com.br
    • DNS ASK ac###edt.com
    • DNS ASK tr#####lendinggroup.com
    • DNS ASK mx.##.#tinternet.com
    • DNS ASK pr####2.echoes.net
    • DNS ASK st####giclien.com
    • DNS ASK me###mclick.com
    • DNS ASK so###hoca.com
    • DNS ASK no##dr.com
    • DNS ASK ua##.edu
    • DNS ASK mx#######a01.gslb.pphosted.com
    • DNS ASK sr##aw.com
    • DNS ASK ar###ours.com
    • DNS ASK mx####.##il.am0.yahoodns.net
    • DNS ASK st####elegram.com
    • DNS ASK ho##ail.de
    • DNS ASK d3#####.##s.barracudanetworks.com
    • DNS ASK pa##n.com
    • DNS ASK st###sline.com
    • DNS ASK st###sman.com
    • DNS ASK alt1.aspmx.l.google.com
    • DNS ASK st#.com
    • DNS ASK ma###chip.com
    • DNS ASK ma###.magnachip.com
    • DNS ASK la###htime.com
    • DNS ASK st##aw.com
    • DNS ASK us#######nbound-2.mimecast.com
    • DNS ASK ha##ail.net
    • DNS ASK mx#.#anmail.net
    • DNS ASK mx##.phpnet.org
    • DNS ASK mx###.clara.net
    • DNS ASK le####rental.co.zw
    Другое
    Создает и запускает на исполнение
    • '%WINDIR%\syswow64\mskdbbsa\gftvjghz.exe' /d"<Полный путь к файлу>"
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\mskdbbsa\' (со скрытым окном)
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gftvjghz.exe" %WINDIR%\SysWOW64\mskdbbsa\' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' create mskdbbsa binPath= "%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' description mskdbbsa "wifi internet conection"' (со скрытым окном)
    • '%WINDIR%\syswow64\sc.exe' start mskdbbsa' (со скрытым окном)
    • '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
    Запускает на исполнение
    • '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\mskdbbsa\
    • '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gftvjghz.exe" %WINDIR%\SysWOW64\mskdbbsa\
    • '%WINDIR%\syswow64\sc.exe' create mskdbbsa binPath= "%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"
    • '%WINDIR%\syswow64\sc.exe' description mskdbbsa "wifi internet conection"
    • '%WINDIR%\syswow64\sc.exe' start mskdbbsa
    • '%WINDIR%\syswow64\svchost.exe'
    • '%WINDIR%\syswow64\svchost.exe' --algo=cn-heavy/tube -o mining.bittubeapp.com:13333 -u bs3GJeLpK9P2RqEpCXWpirL9u7wrGwoPmTJTemNtc7QpSTE24ybGdgtBmXSxhkTitLPyRh8sVz7qmM9TYnhXoZ6G1kARcnhMT.60000 -p x -k

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Российский разработчик антивирусов Dr.Web
    Опыт разработки с 1992 года
    Dr.Web пользуются в 200+ странах мира
    Dr.Web в Реестре Отечественного ПО
    Более 71% дохода компании — продажи бизнес-клиентам
    Круглосуточная поддержка на русском языке

    Dr.Web © «Доктор Веб»
    2003 — 2020

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А

    Обработка ПД